16
Email und DSGVO
Hallo zusammen,
wir haben hier das Problem, dass wir des Öfteren unaufgefordert Emails an unsere "öffentliche" Emailadresse bekommen. Wir müssen ja auf der Homepage eine Email angeben (Telemediengesetz und DSGVO). Eine Kontaktaufnahme über ein Kontaktformular ist nicht vorgesehen. Die Emails landen im Postfach und werden dann immer schön mitgesichert etc.
Nun ist es so, einige Menschen meinen, ihre ganze Lebensgeschichte einschließlich Gesundheitsdaten per Email verbreiten zu müssen (ok, wir sind im medizinischen Bereich tätig
) Diese Daten sollten da eigentlich gar nicht ankommen. Wir weisen auf unserer Homepage auch darauf hin, dass die Email nicht für solche Zwecke gedacht ist. (DSGVO-seitig könnte man zwar argumentieren, dass der Sender sein Einverständnis zur Datenverarbeitung mit dem Absenden der Email gibt, aber das ist hier nicht Thema, und vermutlich ein heißeres juristisches Pflaster.)
Nun sind die Emails aber einmal da. Was macht man da am besten? Einfach löschen? Was ist mit den Sicherungen, die zwischenzeitlich erfolgt sind? Wie macht Ihr das?
Grüße
lcer
wir haben hier das Problem, dass wir des Öfteren unaufgefordert Emails an unsere "öffentliche" Emailadresse bekommen. Wir müssen ja auf der Homepage eine Email angeben (Telemediengesetz und DSGVO). Eine Kontaktaufnahme über ein Kontaktformular ist nicht vorgesehen. Die Emails landen im Postfach und werden dann immer schön mitgesichert etc.
Nun ist es so, einige Menschen meinen, ihre ganze Lebensgeschichte einschließlich Gesundheitsdaten per Email verbreiten zu müssen (ok, wir sind im medizinischen Bereich tätig
) Diese Daten sollten da eigentlich gar nicht ankommen. Wir weisen auf unserer Homepage auch darauf hin, dass die Email nicht für solche Zwecke gedacht ist. (DSGVO-seitig könnte man zwar argumentieren, dass der Sender sein Einverständnis zur Datenverarbeitung mit dem Absenden der Email gibt, aber das ist hier nicht Thema, und vermutlich ein heißeres juristisches Pflaster.)Nun sind die Emails aber einmal da. Was macht man da am besten? Einfach löschen? Was ist mit den Sicherungen, die zwischenzeitlich erfolgt sind? Wie macht Ihr das?
Grüße
lcer
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 588186
Url: https://administrator.de/contentid/588186
Printed on: April 18, 2024 at 18:04 o'clock
16 Comments
Latest comment
Hallo Icer,
Ihr habt doch hoffentlich einen entsprechend sensiblen ds Typen? Fragt den!
Ihr fliegt auf die Schnauze, er mit. Administrator Hey Joe ist hier keine Option, außer dein Arbeitsplatz ist dir nichts wert.
Wenn du keinen passenden ds Type hast kann ich dir einen sehr genauen empfehlen, Damir du dann auch auf der sicheren Seite bist.
Grüße
Ihr habt doch hoffentlich einen entsprechend sensiblen ds Typen? Fragt den!
Ihr fliegt auf die Schnauze, er mit. Administrator Hey Joe ist hier keine Option, außer dein Arbeitsplatz ist dir nichts wert.
Wenn du keinen passenden ds Type hast kann ich dir einen sehr genauen empfehlen, Damir du dann auch auf der sicheren Seite bist.
Grüße
Moin,
wir sichern die Mails im Mailstore und auf Tape.
So können wir zu jedem Zeitpunkt nachweisen, dass der Kunde die Mail an uns geschickt hat.
Gruß
Looser
P.S.: Wir arbeiten im Finanzsektor
wir sichern die Mails im Mailstore und auf Tape.
So können wir zu jedem Zeitpunkt nachweisen, dass der Kunde die Mail an uns geschickt hat.
Gruß
Looser
P.S.: Wir arbeiten im Finanzsektor
Der Nachweis hilft dir aber nichts, im Prinzip baut die dsgvo darauf, dass du dir die Finger bei persönlichen Daten in die Ohren stecken musst, bis der Kontakt sagt, dass du zuhören darfst, nachdem du ihn über seine Rechte aufgeklärt hast
Keine Sorge.....unser Datenschützer hat das abgesegnet.....
Ist nicht mein Problem, ich sag es nur. Frage, hat er es ordentlich geprüft abgesegnet, oder nach Schema EY bzw der Commerzialbank im Burgenland?
Hallo,
wenn das so wäre, bräuchtest Du eigentlich nur „Ich bin schwuler Scientologe und Mitglied in der Verdi“ auf die Front deines Fahrzeuges schreiben - und die Gemeinde hätte ein ernstes Problem mit den Blitzerfotos
Ernsthaft: Ihr habt ja Prozesse definiert. Insofern kann es eigentlich nur um die üblichen Daten gehen, die im Rahmen der Prozesse anfallen.
Zumal Ihr die Einsteuerung ja ausdrücklich verboten habt.
Gruß,
Jörg
wenn das so wäre, bräuchtest Du eigentlich nur „Ich bin schwuler Scientologe und Mitglied in der Verdi“ auf die Front deines Fahrzeuges schreiben - und die Gemeinde hätte ein ernstes Problem mit den Blitzerfotos
Ernsthaft: Ihr habt ja Prozesse definiert. Insofern kann es eigentlich nur um die üblichen Daten gehen, die im Rahmen der Prozesse anfallen.
Zumal Ihr die Einsteuerung ja ausdrücklich verboten habt.
Gruß,
Jörg
Du kennst doch den Witz mit der dsgvo und wogegen sie schützt.
Hallo,
Ich sehe das ziemlich ernst. Wenn die Interpretation des TO Bestand hätte, könnte ich im Grunde genommen sämtliche Gesetze konterkarieren, indem ich wissentlich einen störenden Faktor einbringe. Dieser muss ja nicht einmal die DSGVO sein.
Gruß,
Jörg
Ich sehe das ziemlich ernst. Wenn die Interpretation des TO Bestand hätte, könnte ich im Grunde genommen sämtliche Gesetze konterkarieren, indem ich wissentlich einen störenden Faktor einbringe. Dieser muss ja nicht einmal die DSGVO sein.
Gruß,
Jörg
@lcer00
Kann heissen, Ihr putzt Toiletten in Arztpraxen und Kliniken. Oder Ihr transplantiert Kleinhirne. Oder Ihre transplantiert Kleinhirne in den Toiletten, die Ihr gerade geputzt habt ...
Da gibt es keine pauschale Antwort - hängt vom Zweck der Datenverarbeitung ab. Zielführend sind hier Art. 6 und Art. 9 DSGVO-EU.
LG, Thomas
ok, wir sind im medizinischen Bereich tätig
Kann heissen, Ihr putzt Toiletten in Arztpraxen und Kliniken. Oder Ihr transplantiert Kleinhirne. Oder Ihre transplantiert Kleinhirne in den Toiletten, die Ihr gerade geputzt habt ...
Da gibt es keine pauschale Antwort - hängt vom Zweck der Datenverarbeitung ab. Zielführend sind hier Art. 6 und Art. 9 DSGVO-EU.
LG, Thomas
Hallo,
Mir geht es eher darum, dass man solchen Auseinandersetzungen vorbeugt. Ich will solche Daten nicht per Email bekommen, darauf weisen wir auf der Homepage hin. Leider implementiert das SMTP-Protokoll keine Datenschutzerklärung . Also müssen wir ein möglichst sauberes Verfahren zum Umgang mit den ungewollten Emails definieren. Das ist bei uns momentan: 1) Absender in formieren, dass das Mist war incl Datenschutzauf- und -erklärung. 2) Email im Postfach löschen. Was ich aber nicht mache, ist das rauslöschen aus der Datensicherung. Damit ist unter Umständen eine Kopie der Email immer noch eine gewisse Zeit "bei uns". Die kann keiner Lesen, wird nur im Wiederherstellungsfall relevant.
Oder nicht?
Grüße
lcer
Zitat von @117471:
Ich sehe das ziemlich ernst. Wenn die Interpretation des TO Bestand hätte, könnte ich im Grunde genommen sämtliche Gesetze konterkarieren, indem ich wissentlich einen störenden Faktor einbringe. Dieser muss ja nicht einmal die DSGVO sein.
Das Problem ist, dass Gesetze nie alle Fallvarianten vorab berücksichtigen können. Deshalb gibt es ja Gerichte, die dann abwägen müssen, ob der Tatbestand X vorliegt oder nicht. Bzw. bei der DSGVO erst mal den Landesdatenschutzbeauftragten, der für sei Revier solche Abwägungen trifft. Das brauchen wir ja auch nicht zu diskuiteren ... "Vor Gericht und Auf hoher See .."Ich sehe das ziemlich ernst. Wenn die Interpretation des TO Bestand hätte, könnte ich im Grunde genommen sämtliche Gesetze konterkarieren, indem ich wissentlich einen störenden Faktor einbringe. Dieser muss ja nicht einmal die DSGVO sein.
Mir geht es eher darum, dass man solchen Auseinandersetzungen vorbeugt. Ich will solche Daten nicht per Email bekommen, darauf weisen wir auf der Homepage hin. Leider implementiert das SMTP-Protokoll keine Datenschutzerklärung
. Also müssen wir ein möglichst sauberes Verfahren zum Umgang mit den ungewollten Emails definieren. Das ist bei uns momentan: 1) Absender in formieren, dass das Mist war incl Datenschutzauf- und -erklärung. 2) Email im Postfach löschen. Was ich aber nicht mache, ist das rauslöschen aus der Datensicherung. Damit ist unter Umständen eine Kopie der Email immer noch eine gewisse Zeit "bei uns". Die kann keiner Lesen, wird nur im Wiederherstellungsfall relevant.Oder nicht?
Grüße
lcer
Hallo,
Siehst Du denn noch weitere Möglichkeiten, derartige Daten:
- vorab zu unterbinden
- automatisiert zu erkennen und zu löschen
Nein? Dann hast Du, vom rein technischen Ablauf her, erst einmal alles "menschenmögliche" getan. Die Prozesse sind mit einer Arbeitsanweisung abgefrühstückt und was die Datensicherung betrifft, enthält die DSGVO natürlich(!) den Grundsatz der Zumutbarkeit. Sprich: Niemand erwartet, dass Du einen einzelnen Namen nachträglich aus sämtlichen Backups pulst. Das wurde von Anfang an betrachtet, war nie vorgesehen und ist auch gar nicht möglich (z.B. bei Backups auf WORM-Medien).
Gruß,
Jörg
Zitat von @lcer00:
Mir geht es eher darum, dass man solchen Auseinandersetzungen vorbeugt. Ich will solche Daten nicht per Email bekommen, darauf weisen wir auf der Homepage hin.
Mir geht es eher darum, dass man solchen Auseinandersetzungen vorbeugt. Ich will solche Daten nicht per Email bekommen, darauf weisen wir auf der Homepage hin.
Siehst Du denn noch weitere Möglichkeiten, derartige Daten:
- vorab zu unterbinden
- automatisiert zu erkennen und zu löschen
Nein? Dann hast Du, vom rein technischen Ablauf her, erst einmal alles "menschenmögliche" getan. Die Prozesse sind mit einer Arbeitsanweisung abgefrühstückt und was die Datensicherung betrifft, enthält die DSGVO natürlich(!) den Grundsatz der Zumutbarkeit. Sprich: Niemand erwartet, dass Du einen einzelnen Namen nachträglich aus sämtlichen Backups pulst. Das wurde von Anfang an betrachtet, war nie vorgesehen und ist auch gar nicht möglich (z.B. bei Backups auf WORM-Medien).
Gruß,
Jörg
1
Moin,
Sehe ich genauso! Zudem hat die DSGVO nicht die oberste, gesetzliche Priorität. Gibt es andere, höhergewichtete Gesetze (eine GoBD wäre so ein Fall), haben diese Vorrang. Denn pauschal das "info@" Postfach von der Archivierung auszuschließen geht nicht. wenn ihr darüber - warum auch immer - eine Rechnung erhaltet, so muss diese archiviert und gesichert werden. Und wen vor der Archivierung gefiltert wird, was ist, wenn da mal die falsche Mail rausgefiltert wird!?
Ansonsten: Wenn man sich unsicher ist, den dahinterliegenden Prozess formalisieren (= schriftlich fixieren), mit dem bestellten DSB besprechen und absegnen lassen, bzw. nachjustieren. Wenn der es nicht weiß, gäbe es ja noch den Landes-DSB.
Du musst das alles nur sauber dokumentieren. Also, dass du dich informiert hast, wie du zu verfahren hast. Hast du von allen besagten Stellen am Ende ein i.O. erhalten, passt das. Wenn nicht: nachjustieren.
Und wer soll euch denn anschwärzen?
Der, der seine ganze Lebensgeschichte per Mail an ein allgemeines Postfach gesendet hat, bei dem ihr offensichtlich vorher darauf hingewiesen habt, dass dies eine allgemeine Mail-Adresse ist und konkrete Informationen/ Auskünfte mit einem konkreten Ansprechpartner zu besprechen sind?
Unwahrscheinlich, denn der hat ja dann VOR dem absenden seiner Mail gewusst, auf was er sich einlässt.
Gruß
em-pie
P.S.: bin kein Jurist, daher keine Gewähr auf meine obige Aussage
Zitat von @117471:
Hallo,
Siehst Du denn noch weitere Möglichkeiten, derartige Daten:
- vorab zu unterbinden
- automatisiert zu erkennen und zu löschen
Nein? Dann hast Du, vom rein technischen Ablauf her, erst einmal alles "menschenmögliche" getan. Die Prozesse sind mit einer Arbeitsanweisung abgefrühstückt und was die Datensicherung betrifft, enthält die DSGVO natürlich(!) den Grundsatz der Zumutbarkeit. Sprich: Niemand erwartet, dass Du einen einzelnen Namen nachträglich aus sämtlichen Backups pulst. Das wurde von Anfang an betrachtet, war nie vorgesehen und ist auch gar nicht möglich (z.B. bei Backups auf WORM-Medien).
Gruß,
Jörg
Hallo,
Zitat von @lcer00:
Mir geht es eher darum, dass man solchen Auseinandersetzungen vorbeugt. Ich will solche Daten nicht per Email bekommen, darauf weisen wir auf der Homepage hin.
Mir geht es eher darum, dass man solchen Auseinandersetzungen vorbeugt. Ich will solche Daten nicht per Email bekommen, darauf weisen wir auf der Homepage hin.
Siehst Du denn noch weitere Möglichkeiten, derartige Daten:
- vorab zu unterbinden
- automatisiert zu erkennen und zu löschen
Nein? Dann hast Du, vom rein technischen Ablauf her, erst einmal alles "menschenmögliche" getan. Die Prozesse sind mit einer Arbeitsanweisung abgefrühstückt und was die Datensicherung betrifft, enthält die DSGVO natürlich(!) den Grundsatz der Zumutbarkeit. Sprich: Niemand erwartet, dass Du einen einzelnen Namen nachträglich aus sämtlichen Backups pulst. Das wurde von Anfang an betrachtet, war nie vorgesehen und ist auch gar nicht möglich (z.B. bei Backups auf WORM-Medien).
Gruß,
Jörg
Sehe ich genauso! Zudem hat die DSGVO nicht die oberste, gesetzliche Priorität. Gibt es andere, höhergewichtete Gesetze (eine GoBD wäre so ein Fall), haben diese Vorrang. Denn pauschal das "info@" Postfach von der Archivierung auszuschließen geht nicht. wenn ihr darüber - warum auch immer - eine Rechnung erhaltet, so muss diese archiviert und gesichert werden. Und wen vor der Archivierung gefiltert wird, was ist, wenn da mal die falsche Mail rausgefiltert wird!?
Ansonsten: Wenn man sich unsicher ist, den dahinterliegenden Prozess formalisieren (= schriftlich fixieren), mit dem bestellten DSB besprechen und absegnen lassen, bzw. nachjustieren. Wenn der es nicht weiß, gäbe es ja noch den Landes-DSB.
Du musst das alles nur sauber dokumentieren. Also, dass du dich informiert hast, wie du zu verfahren hast. Hast du von allen besagten Stellen am Ende ein i.O. erhalten, passt das. Wenn nicht: nachjustieren.
Und wer soll euch denn anschwärzen?
Der, der seine ganze Lebensgeschichte per Mail an ein allgemeines Postfach gesendet hat, bei dem ihr offensichtlich vorher darauf hingewiesen habt, dass dies eine allgemeine Mail-Adresse ist und konkrete Informationen/ Auskünfte mit einem konkreten Ansprechpartner zu besprechen sind?
Unwahrscheinlich, denn der hat ja dann VOR dem absenden seiner Mail gewusst, auf was er sich einlässt.
Gruß
em-pie
P.S.: bin kein Jurist, daher keine Gewähr auf meine obige Aussage
@em-pie
Gewagte Feststellung. Grundsätzlich schlägt eine EU-Verordnung jedes nationales Recht.
Im Falle der DSGVO ist das etwas anders - in diese hat die EU explizit das Recht nationaler Gesetzgebung formuliert, abweichende Datenschutzregeln zu erlassen ... ein sehr seltenes Moment. In Deutschland ist dies über die Neufassung des BDSG erfolgt, die die DSGVO an einigen wenigen Stellen korrigiert. Bei der GoBD würde ich da aber meine Zweifel anmelden ...
LG, Thomas
Zudem hat die DSGVO nicht die oberste, gesetzliche Priorität. Gibt es andere, höhergewichtete Gesetze (eine GoBD wäre so ein Fall), haben diese Vorrang
Gewagte Feststellung
. Grundsätzlich schlägt eine EU-Verordnung jedes nationales Recht.Im Falle der DSGVO ist das etwas anders - in diese hat die EU explizit das Recht nationaler Gesetzgebung formuliert, abweichende Datenschutzregeln zu erlassen ... ein sehr seltenes Moment. In Deutschland ist dies über die Neufassung des BDSG erfolgt, die die DSGVO an einigen wenigen Stellen korrigiert. Bei der GoBD würde ich da aber meine Zweifel anmelden ...
LG, Thomas
Ach OK. Bei der GoBD ist dann dann doch etwas „dünn“.
Defakto ist es aber so, dass die DSGVO dann hinten ansteht, wenn andere Gesetze eine Verarbeitung zwingend erfordern. Dann gilt weiterhin aber das Prinzip der Sparsamkeit.
Und, auch wenn ich kein Rechtsverdreher bin, bin ich mir ziemlich sicher, dass der Fiskus wenig begeistert ist, wenn die per Mail eingegangene Rechnung nicht archiviert wurde... im Einzelfall ggf. OK, betrifft das mehrere...
Egal, in Summe bleibt es bei obigem. Prozess beschreiben, absegnen lassen und die Doku in den Datenschutzordner aufnehmen.
Defakto ist es aber so, dass die DSGVO dann hinten ansteht, wenn andere Gesetze eine Verarbeitung zwingend erfordern. Dann gilt weiterhin aber das Prinzip der Sparsamkeit.
Und, auch wenn ich kein Rechtsverdreher bin, bin ich mir ziemlich sicher, dass der Fiskus wenig begeistert ist, wenn die per Mail eingegangene Rechnung nicht archiviert wurde... im Einzelfall ggf. OK, betrifft das mehrere...
Egal, in Summe bleibt es bei obigem. Prozess beschreiben, absegnen lassen und die Doku in den Datenschutzordner aufnehmen.
Nun, deswegen musst du eine zwei klappen Lösung implementieren. Ggf eben doch ein Kontaktformular, welches entsprechende Daten abfragt oder den Umgang damit regelt. Offensichtlich ist es ja kein 1x Problem.
Sicherungen bzw. Backups sind OK. Denn im Gegensatz zu Archivierungen geht man bei Backups in der Regel nicht davon aus, dass man sofort auf die Daten zugreifen kann. Normalerweise ist es auch so, dass sich die Daten über die Zeit aus dem Backup "rausschleichen", wenn sie im Original nicht mehr vorhanden sind.
Wenn Dir jemand ungefragt, unaufgefordert, unverschlüsselt und unerwartet Mails mit "besonderen Kategorien von Daten" zusendet, dann kannst Du da nichts zu. Informationelle Selbstbestimmung (die u.a. auch in der EU-Menschrechtscharta festgeschrieben wurde) bedeutet, dass ICH mit MEINEN Daten machen kann, was ich will - natürlich immer im Rahmen der anderen Rechtsnormen. Wer's also mit seiner Freizügigkeit zu weit treibt, könnte auf Unterlassung verklagt werden. Ist aber ein anderes Thema.
Den Ansatz, den Ihr gewählt habt, würde ich auch wählen: Mails werden gesichert und landen im Backup. Aus Höflichkeit wird der Absender informiert, dass er unverlangt und unverschlüsselt personenbezogene Daten von sich offen gelegt hat. Aus noch mehr Höflichkeit könnte man ihn jetzt noch darüber informieren, wer alles die Mails an die "öffentlichen" Mailpostfächer alles gelesen haben könnte und dass man die aktuelle Mail gelöscht hat. Vielleicht hat der Absender die Mail irrtümlich geschickt, dann wäre es schon mal schön, dass er/sie weiß, wo die Mail angekommen ist.
Auf den Mailinhalt selbst würde ich auf keinen Fall Bezug nehmen und auf keinerererern Fall würde ich im Mailprogramm einfach "Antwort an" klicken und die Mail zitieren (dann würde der ganze Inhalt ja wieder durch die Welt geschickt werden).
Leider muss sich jemand irgendwie die Mühe machen, die Mail zumindest in Augenschein zu nehmen, weil sie eventuell eine Anfrage gem. Artikel 15 DSGVO enthalten könnte, also jemand Auskunft über seine/ihre gespeicherten Daten haben möchte. Ob man auf solche Mails, wo DSGVO-Anfragen sehr gut versteckt sind, reagieren muss - darüber gibt's noch keine Urteile. Ist wahrscheinlich wie immer: "es kommt drauf an".
Fazit: ich würd's genauso machen wie bei Euch: Mail kommt ins Backup, wird ansonsten gelöscht und der Absender informiert, dass man "vertrauliche Daten" über ihn/sie erhalten hat und er/sie prüfen möge, ob das so beabsicht war und dass diese Mailadresse dafür weder gedacht noch zweckmäßig ist.
Wenn Dir jemand ungefragt, unaufgefordert, unverschlüsselt und unerwartet Mails mit "besonderen Kategorien von Daten" zusendet, dann kannst Du da nichts zu. Informationelle Selbstbestimmung (die u.a. auch in der EU-Menschrechtscharta festgeschrieben wurde) bedeutet, dass ICH mit MEINEN Daten machen kann, was ich will - natürlich immer im Rahmen der anderen Rechtsnormen. Wer's also mit seiner Freizügigkeit zu weit treibt, könnte auf Unterlassung verklagt werden. Ist aber ein anderes Thema.
Den Ansatz, den Ihr gewählt habt, würde ich auch wählen: Mails werden gesichert und landen im Backup. Aus Höflichkeit wird der Absender informiert, dass er unverlangt und unverschlüsselt personenbezogene Daten von sich offen gelegt hat. Aus noch mehr Höflichkeit könnte man ihn jetzt noch darüber informieren, wer alles die Mails an die "öffentlichen" Mailpostfächer alles gelesen haben könnte und dass man die aktuelle Mail gelöscht hat. Vielleicht hat der Absender die Mail irrtümlich geschickt, dann wäre es schon mal schön, dass er/sie weiß, wo die Mail angekommen ist.
Auf den Mailinhalt selbst würde ich auf keinen Fall Bezug nehmen und auf keinerererern Fall würde ich im Mailprogramm einfach "Antwort an" klicken und die Mail zitieren (dann würde der ganze Inhalt ja wieder durch die Welt geschickt werden).
Leider muss sich jemand irgendwie die Mühe machen, die Mail zumindest in Augenschein zu nehmen, weil sie eventuell eine Anfrage gem. Artikel 15 DSGVO enthalten könnte, also jemand Auskunft über seine/ihre gespeicherten Daten haben möchte. Ob man auf solche Mails, wo DSGVO-Anfragen sehr gut versteckt sind, reagieren muss - darüber gibt's noch keine Urteile. Ist wahrscheinlich wie immer: "es kommt drauf an".
Fazit: ich würd's genauso machen wie bei Euch: Mail kommt ins Backup, wird ansonsten gelöscht und der Absender informiert, dass man "vertrauliche Daten" über ihn/sie erhalten hat und er/sie prüfen möge, ob das so beabsicht war und dass diese Mailadresse dafür weder gedacht noch zweckmäßig ist.
