Love Letter Die Datenschutz-Grundverordnung schreibt vor, dass betroffene Personen über eine etwaige Datenverarbeitung zu informieren sind. Speichert man also den E-Mail-Verkehr bei Kundenabfragen ab (zB in einem CRM) so sind die Vorgaben der DSGVO zu befolgen.

Wie das für einen einfachen E-Mail-Verkehr aussehen kann wird in diesem Beitrag kurz beschrieben.

Beim ersten Kontakt muss den Betroffenen direkt mitgeteilt werden

  1. Name und Kontaktdaten des Verantwortlichen (und gegebenenfalls seines Vertreters)
  2. falls zutreffend, die Kontaktdaten des Datenschutzbeauftragten
  3. Zweck, für den die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung
  4. falls zutreffend, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden
  5. an wen die personenbezogenen Daten weitergegeben werden und
  6. falls die personenbezogenen Daten nach ausserhalb der EU übermittelt werden sollen, welche angemessenen Garantien zur Sicherstellung des Datenschutzes vorliegen

Wichtig ist, dass diese Informationen tatsächlich direkt in der Antwort-Mail zu lesen sind und nicht hinter einem Link o.Ä. versteckt werden. Hingegen können die weiteren Informationen, die die DSGVO fordert, in der Datenschutzerklärung stehen und man verweist nur auf diese per Link bzw. bietet an, auf Wunsch die Datenschutzerklärung per E-Mail zuzusenden. In der Datenschutzerklärung müssen behandelt werden:

  1. Dauer, für die die personenbezogenen Daten gespeichert werden
  2. Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrechts gegen die Verarbeitung, Recht auf Datenübertragbarkeit
  3. Widerrufsrecht bei Einwilligung
  4. Beschwerderecht bei einer Aufsichtsbehörde
  5. ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
  6. falls zutreffend, dass und wie die Daten für Profiling o.Ä. verwendet werden sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person

In der Praxis wird man die direkt zu gebenden Informationen in eine E-Mail-Fußzeile verpacken. Hier ein Beispiel, wie so eine E-Mail-Fußzeile aussehen könnte:

Um mit Ihnen in Kontakt bleiben zu können speichern wir Ihre E-Mail-Adresse und Ihren Namen in unserer elektronischen Adresskartei. Die Rechtsgrundlage dafür ergibt sich aus Ihrer Zustimmung oder aus unserer (vor)vertraglichen Geschäftsbeziehung. Verantwortliche Person ist <Verantwortlicher>, die sie unter verantwortlicher@company.com erreichen können. Ihre Daten werden nicht an Dritte weitergegeben. Weitere Details finden Sie in unserer Datenschutzerklärung unter <Link>, die wir Ihnen auf Anfrage gerne auch per E-Mail zusenden.

Nach DSGVO braucht man diese Informationen nicht mehr zu übermitteln, wenn die betroffene Person sie bereits kennt. Aber in der Praxis ist es wohl zu aufwändig, darüber Buch zu führen, wem man die Infos schon geschickt hat und wem nicht…

Ergänzung: die DSGVO gilt nicht im engen persönlichen und familiären Umfeld. Daher kann man auch weiterhin private E-Mails mit Freunden und Verwandten austauschen, ohne das oben erklärte Prozedere einhalten zu müssen. Sobald es sich aber um Kontakte handelt, die nicht mehr als rein privat einzustufen sind, zB um E-Mail-Verkehr im Rahmen von Vereinstätigkeiten, auch wenn sie unentgeltlich sind, gilt wiederum die DSGVO.


Textbeispiele in diesem Beitrag stehen unter einer CC0 Lizenz und dürfen ohne weiteres frei verwendet werden.