Allgemeine Datenschutzverordnung (GDPR/DSGVO)
Auf der 25th Mai tritt die Datenschutz-Grundverordnung (DSGVO) in Kraft. Mit der Einführung der DSGVO wird der Schutz personenbezogener Daten immer wichtiger. Unternehmen müssen beim Datenschutz immer strengere Regeln beachten. Durch die Einführung der DSGVO stellen sich jedoch verschiedene Fragen. Für Unternehmen kann es unklar sein, welche Daten als personenbezogene Daten gelten und in den Anwendungsbereich der DSGVO fallen. Dies ist bei E-Mail-Adressen der Fall: Gilt eine E-Mail-Adresse als personenbezogene Daten? Unterliegen Unternehmen, die E-Mail-Adressen verwenden, der DSGVO? Diese Fragen werden in diesem Artikel beantwortet.
Persönliche Daten
Um die Frage zu beantworten, ob eine E-Mail-Adresse als personenbezogene Daten anzusehen ist, muss der Begriff personenbezogener Daten definiert werden. Dieser Begriff wird in der DSGVO erklärt. Personenbezogene Daten sind gemäß Art. 4 lit. a DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten oder zu einer Online-Kennung identifiziert werden kann. Personenbezogene Daten beziehen sich auf natürliche Personen. Informationen über verstorbene Personen oder juristische Personen gelten daher nicht als personenbezogene Daten.
E-Mail-Adresse
Nachdem nun die Definition von personenbezogenen Daten festgelegt ist, muss beurteilt werden, ob eine E-Mail-Adresse als personenbezogene Daten gilt. Niederländischer Fall Rechtswesen weist darauf hin, dass E-Mail-Adressen möglicherweise personenbezogene Daten sein können, dies jedoch nicht immer der Fall ist. Es kommt darauf an, ob eine natürliche Person anhand der E-Mail-Adresse identifiziert oder identifizierbar ist.[1] Die Art und Weise, wie Personen ihre E-Mail-Adressen strukturiert haben, muss berücksichtigt werden, um zu bestimmen, ob die E-Mail-Adresse als personenbezogene Daten angesehen werden kann oder nicht.
Viele natürliche Personen gestalten ihre E-Mail-Adresse so, dass diese als personenbezogenes Datum anzusehen ist. Dies ist beispielsweise der Fall, wenn eine E-Mail-Adresse wie folgt aufgebaut ist: [E-Mail geschützt] . Diese E-Mail-Adresse gibt den Vor- und Nachnamen der natürlichen Person preis, die die Adresse verwendet.
Daher kann diese Person anhand dieser E-Mail-Adresse identifiziert werden. Auch E-Mail-Adressen, die für geschäftliche Aktivitäten genutzt werden, können personenbezogene Daten enthalten. Dies ist der Fall, wenn eine E-Mail-Adresse wie folgt aufgebaut ist: [E-Mail geschützt] Aus dieser E-Mail-Adresse lässt sich ableiten, welche Initialen die Person hat, die diese E-Mail-Adresse verwendet, wie ihr Nachname lautet und wo diese Person arbeitet. Somit ist die Person, die diese E-Mail-Adresse verwendet, anhand der E-Mail-Adresse identifizierbar.
Eine E-Mail-Adresse zählt nicht zu den personenbezogenen Daten, wenn sich daraus keine natürliche Person identifizieren lässt. Dies ist beispielsweise bei der Verwendung folgender E-Mail-Adresse der Fall: [E-Mail geschützt] Diese E-Mail-Adresse enthält keine Daten, anhand derer eine natürliche Person identifiziert werden kann. Allgemeine E-Mail-Adressen, die von Unternehmen verwendet werden, wie [E-Mail geschützt] , gelten ebenfalls nicht als personenbezogene Daten.
Diese E-Mail-Adresse enthält keine personenbezogenen Daten, anhand derer eine natürliche Person identifiziert werden kann. Darüber hinaus wird die E-Mail-Adresse nicht von einer natürlichen Person, sondern von einer juristischen Person verwendet. Daher gilt sie nicht als personenbezogene Daten. Aus der niederländischen Rechtsprechung lässt sich schließen, dass E-Mail-Adressen personenbezogene Daten sein können, dies ist jedoch nicht immer der Fall; es hängt von der Struktur der E-Mail-Adresse ab.
Es besteht eine große Wahrscheinlichkeit, dass natürliche Personen anhand der von ihnen verwendeten E-Mail-Adresse identifiziert werden können, was E-Mail-Adressen zu personenbezogenen Daten macht. Um E-Mail-Adressen als personenbezogene Daten einzustufen, ist es unerheblich, ob das Unternehmen die E-Mail-Adressen tatsächlich verwendet, um die Benutzer zu identifizieren. Selbst wenn ein Unternehmen die E-Mail-Adressen nicht zum Zweck der Identifizierung natürlicher Personen verwendet, gelten die E-Mail-Adressen, anhand derer natürliche Personen identifiziert werden können, dennoch als personenbezogene Daten.
Nicht jede technische oder zufällige Verbindung zwischen einer Person und Daten genügt, um die Daten als personenbezogene Daten zu benennen. Besteht jedoch die Möglichkeit, dass die E-Mail-Adressen dazu genutzt werden können, die Nutzer zu identifizieren, etwa um Betrugsfälle aufzudecken, gelten die E-Mail-Adressen als personenbezogene Daten. Dabei spielt es keine Rolle, ob das Unternehmen die E-Mail-Adressen zu diesem Zweck nutzen wollte oder nicht. Das Gesetz spricht von personenbezogenen Daten, wenn die Möglichkeit besteht, dass die Daten zu einem Zweck genutzt werden können, der eine natürliche Person identifiziert.[2]
Besondere personenbezogene Daten
Obwohl E-Mail-Adressen in den meisten Fällen als personenbezogene Daten gelten, handelt es sich dabei nicht um besondere personenbezogene Daten. Besondere personenbezogene Daten sind personenbezogene Daten, die die ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Berufszugehörigkeit offenbaren, sowie genetische oder biometrische Daten. Dies ergibt sich aus Artikel 9 DSGVO. Außerdem enthält eine E-Mail-Adresse weniger öffentliche Informationen als beispielsweise eine Startseite Adresse.
Es ist schwieriger, die E-Mail-Adresse einer Person herauszufinden als ihre Privatadresse, und es hängt in hohem Maße vom Benutzer der E-Mail-Adresse ab, ob diese öffentlich gemacht wird oder nicht. Darüber hinaus hat die Entdeckung einer E-Mail-Adresse, die verborgen hätte bleiben sollen, weniger schwerwiegende Folgen als die Entdeckung einer Privatadresse, die verborgen hätte bleiben sollen. Es ist einfacher, eine E-Mail-Adresse zu ändern als eine Privatadresse, und die Entdeckung einer E-Mail-Adresse könnte zu digitalem Kontakt führen, während die Entdeckung einer Privatadresse zu persönlichem Kontakt führen könnte.[3]
Verarbeitung personenbezogener Daten
Wir haben festgestellt, dass E-Mail-Adressen in den meisten Fällen als personenbezogene Daten gelten. Die DSGVO gilt jedoch nur für Unternehmen, die personenbezogene Daten verarbeiten. Die Verarbeitung personenbezogener Daten umfasst jede Handlung mit personenbezogenen Daten. Dies ist in der DSGVO näher definiert. Verarbeitung personenbezogener Daten gemäß Art. 4 Abs. 2 DSGVO ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten. Beispiele sind das Erheben, Erfassen, Organisieren, Strukturieren, Speichern und Verwenden von personenbezogenen Daten. Wenn Unternehmen die oben genannten Aktivitäten in Bezug auf E-Mail-Adressen durchführen, verarbeiten sie personenbezogene Daten. In diesem Fall unterliegen sie der DSGVO.
Fazit
Nicht jede E-Mail-Adresse ist ein personenbezogenes Datum. E-Mail-Adressen sind jedoch dann personenbezogene Daten, wenn sie Informationen über eine natürliche Person enthalten, die identifiziert werden können. Viele E-Mail-Adressen sind so aufgebaut, dass die natürliche Person, die die E-Mail-Adresse verwendet, identifiziert werden kann. Dies ist beispielsweise der Fall, wenn die E-Mail-Adresse den Namen oder den Arbeitsplatz einer natürlichen Person enthält. Daher sind viele E-Mail-Adressen personenbezogene Daten.
Für Unternehmen ist es schwierig, zwischen E-Mail-Adressen zu unterscheiden, die als personenbezogene Daten gelten, und E-Mail-Adressen, die dies nicht sind, da dies vollständig von der Struktur der E-Mail-Adresse abhängt. Daher kann man mit Sicherheit sagen, dass Unternehmen, die personenbezogene Daten verarbeiten, auf E-Mail-Adressen stoßen werden, die als personenbezogene Daten gelten. Dies bedeutet, dass diese Unternehmen der DSGVO unterliegen und eine Datenschutzrichtlinie implementieren sollten, die konform mit der DSGVO.
[1] ECLI:NL:GHAMS:2002:AE5514.
[2] Kammerstukken II 1979/80, 25 892, 3 (MvT).
[3] ECLI:NL:GHAMS:2002:AE5514.