09/2019 – Fachartikel Swiss Infosec AG
Was tun mit einer E-Mail-Nachricht und Aufforderung, wenn man nicht der richtige Empfänger ist?
E-Mail-Disclaimer-Hinweis
Erhalten auch Sie E-Mails mit einem Disclaimer-Hinweis am Ende einer E-Mail-Nachricht (eingebunden mit der E-Mail-Signatur), mit dem Ihnen untersagt wird, die Informationen der Nachricht zu verwenden oder weiterzugeben, falls Sie nicht der rechtmässige Empfänger sind – teils sogar unter Androhung rechtlicher Konsequenzen? Sind solche Disclaimer sinnvoll oder überflüssig?
Wer kennt es nicht: Ein falscher Klick, und ein E-Mail (wie auch allfällige Anhänge dazu) landen irgendwo, nur nicht beim gewünschten Empfänger. Eine solche Verwechslung kann zumindest zu einer fahrlässigen Verletzung des Datenschutzgesetzes führen. Man möchte es am liebsten ungeschehen machen.
Immer häufiger sieht man nun am Ende von E-Mails sogenannte Disclaimer, wie das folgende Beispiel:
Diese E-Mail sowie ev. Beilagen enthalten möglicherweise vertrauliche und/oder gesetzlich geschützte Daten oder Informationen. Zum Empfang derselben ist (sind) ausschliesslich die genannte(n) Person(en) bestimmt. Falls Sie diese E-Mail irrtümlich erhalten haben, benachrichtigen Sie bitte umgehend die absendende Person und vernichten Sie diese E-Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail sind nicht gestattet.
Kurz gesagt: Eine Aufforderung an den Empfänger, wie mit der E-Mail umzugehen ist und was er machen soll, wenn er nicht der richtige Empfänger ist.
Haben solche E-Mail-Disclaimer überhaupt eine (rechtliche) Wirkung?
Ein Disclaimer ist juristisch betrachtet ein Haftungsausschluss bzw. eine Haftungsfreizeichnung. Durch den Disclaimer will sich der E-Mail-Absender (bzw. das Unternehmen) also vor dem Schaden schützen, der entstehen kann, weil vertrauliche oder geschützte Informationen durch einen Unberechtigten zur Kenntnis genommen werden. Zudem werden Empfänger aufgefordert, die E-Mail sofort zu löschen und den Absender zu benachrichtigen. Eine Menge zu tun für jemanden, der unaufgefordert eine fremde E-Mail erhält. Nur: Den eigentlichen Fehler beging der E-Mail-Absender und nicht der Empfänger. Geht das überhaupt?
E-Mail-Disclaimer dürfen grundsätzlich von jedem verwendet werden. Dies bedeutet jedoch nicht, dass der E-Mail-Absender seine Haftung für solche Verstösse ausschliessen kann. Wer ein E-Mail verschickt, ist und bleibt verantwortlich dafür, dass das Datenschutzgesetz eingehalten wird. Die an den unberechtigten Empfänger des E-Mails gerichtete Bitte, die E-Mail zu löschen und den Absender über den Irrtum zu benachrichtigen, hat rechtlich keinerlei Wirkung und verpflichtet den Empfänger nicht. Immerhin aber könnte ein Bitte psychologische Wirkung haben und möglicherweise schadensmindernde Wirkung entfalten, nach dem Motto: Nützt es nichts, so schadet es (wenigstens) nicht, ist ja kein grosser Aufwand. Damit ein Disclaimer aber verbindlich würde, müsste ihr der Empfänger ausdrücklich zustimmen. Einseitige Erklärungen, wie Disclaimer, können rechtsverbindlich nur Selbstverpflichtungen enthalten, verschlechtern also tendenziell die eigene Position.
Unser Fazit
E-Mail-Disclaimer sind aus rechtlicher Sicht weitestgehend entbehrlich. Es handelt sich um einseitige Erklärungen, die einen Empfänger nicht binden. Vielmehr sind sie der (untaugliche) Versuch, einen irrtümlichen Adressaten zu einem datenschutzfreundlichen Verhalten anzuhalten. Trotzdem wäre es aber unzulässig, ein irrtümlich erhaltenes E-Mail zu verwenden oder unbefugt weiterzugeben. Gerade, wenn es sich um vertrauliche oder gesetzlich geschützte Informationen handelt, kann eine Verwendung rechtliche Konsequenzen nach sich ziehen. Dies jedoch nicht wegen des Disclaimers im Mail, sondern weil die missbräuchliche Verwendung gegen das Datenschutzgesetz oder andere Gesetze verstösst. Darauf müssen Sie aber die Empfänger Ihrer E-Mails nicht via Disclaimer hinweisen – die gesetzlichen Regelungen gelten auch so.
Vertrauliche oder geheime Informationen sollten ohnehin nicht über herkömmliche E-Mails, sondern verschlüsselt (z.B. Verschlüsselung mittels SSL/TLS) oder mit Hilfe sicherer Datenübertragung versendet werden, um eine unberechtigte Kenntnisnahme auszuschliessen oder jedenfalls deutlich zu erschweren.
Gerne beantworten wir all Ihre spezifischen Fragen zu Disclaimer und Haftungsausschluss und zu allen weiteren datenschutzrechtlichen Fragen in Ihrem Unternehmen. Wir unterstützen Sie bei der Einhaltung des DSG und der DSGVO nach Best Practice: «Genau so viel, wie Sie brauchen und angemessen ist!»
Kennen Sie den Entwurf des DSG bereits? Wir halten Sie gerne auf dem Laufenden. Kontaktieren Sie uns unter +41 41 984 12 12, infosec@infosec.ch