Email und DSGVO
Hallo zusammen,
wir haben hier das Problem, dass wir des Öfteren unaufgefordert Emails an unsere "öffentliche" Emailadresse bekommen. Wir müssen ja auf der Homepage eine Email angeben (Telemediengesetz und DSGVO). Eine Kontaktaufnahme über ein Kontaktformular ist nicht vorgesehen. Die Emails landen im Postfach und werden dann immer schön mitgesichert etc.
Nun ist es so, einige Menschen meinen, ihre ganze Lebensgeschichte einschließlich Gesundheitsdaten per Email verbreiten zu müssen (ok, wir sind im medizinischen Bereich tätig
) Diese Daten sollten da eigentlich gar nicht ankommen. Wir weisen auf unserer Homepage auch darauf hin, dass die Email nicht für solche Zwecke gedacht ist. (DSGVO-seitig könnte man zwar argumentieren, dass der Sender sein Einverständnis zur Datenverarbeitung mit dem Absenden der Email gibt, aber das ist hier nicht Thema, und vermutlich ein heißeres juristisches Pflaster.)
Nun sind die Emails aber einmal da. Was macht man da am besten? Einfach löschen? Was ist mit den Sicherungen, die zwischenzeitlich erfolgt sind? Wie macht Ihr das?
Grüße
lcer
wir haben hier das Problem, dass wir des Öfteren unaufgefordert Emails an unsere "öffentliche" Emailadresse bekommen. Wir müssen ja auf der Homepage eine Email angeben (Telemediengesetz und DSGVO). Eine Kontaktaufnahme über ein Kontaktformular ist nicht vorgesehen. Die Emails landen im Postfach und werden dann immer schön mitgesichert etc.
Nun ist es so, einige Menschen meinen, ihre ganze Lebensgeschichte einschließlich Gesundheitsdaten per Email verbreiten zu müssen (ok, wir sind im medizinischen Bereich tätig
Nun sind die Emails aber einmal da. Was macht man da am besten? Einfach löschen? Was ist mit den Sicherungen, die zwischenzeitlich erfolgt sind? Wie macht Ihr das?
Grüße
lcer
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 588186
Url: https://administrator.de/forum/email-und-dsgvo-588186.html
Ausgedruckt am: 02.04.2025 um 16:04 Uhr
16 Kommentare
Neuester Kommentar
Hallo Icer,
Ihr habt doch hoffentlich einen entsprechend sensiblen ds Typen? Fragt den!
Ihr fliegt auf die Schnauze, er mit. Administrator Hey Joe ist hier keine Option, außer dein Arbeitsplatz ist dir nichts wert.
Wenn du keinen passenden ds Type hast kann ich dir einen sehr genauen empfehlen, Damir du dann auch auf der sicheren Seite bist.
Grüße
Ihr habt doch hoffentlich einen entsprechend sensiblen ds Typen? Fragt den!
Ihr fliegt auf die Schnauze, er mit. Administrator Hey Joe ist hier keine Option, außer dein Arbeitsplatz ist dir nichts wert.
Wenn du keinen passenden ds Type hast kann ich dir einen sehr genauen empfehlen, Damir du dann auch auf der sicheren Seite bist.
Grüße

Hallo,
wenn das so wäre, bräuchtest Du eigentlich nur „Ich bin schwuler Scientologe und Mitglied in der Verdi“ auf die Front deines Fahrzeuges schreiben - und die Gemeinde hätte ein ernstes Problem mit den Blitzerfotos
Ernsthaft: Ihr habt ja Prozesse definiert. Insofern kann es eigentlich nur um die üblichen Daten gehen, die im Rahmen der Prozesse anfallen.
Zumal Ihr die Einsteuerung ja ausdrücklich verboten habt.
Gruß,
Jörg
wenn das so wäre, bräuchtest Du eigentlich nur „Ich bin schwuler Scientologe und Mitglied in der Verdi“ auf die Front deines Fahrzeuges schreiben - und die Gemeinde hätte ein ernstes Problem mit den Blitzerfotos
Ernsthaft: Ihr habt ja Prozesse definiert. Insofern kann es eigentlich nur um die üblichen Daten gehen, die im Rahmen der Prozesse anfallen.
Zumal Ihr die Einsteuerung ja ausdrücklich verboten habt.
Gruß,
Jörg

Hallo,
Ich sehe das ziemlich ernst. Wenn die Interpretation des TO Bestand hätte, könnte ich im Grunde genommen sämtliche Gesetze konterkarieren, indem ich wissentlich einen störenden Faktor einbringe. Dieser muss ja nicht einmal die DSGVO sein.
Gruß,
Jörg
Ich sehe das ziemlich ernst. Wenn die Interpretation des TO Bestand hätte, könnte ich im Grunde genommen sämtliche Gesetze konterkarieren, indem ich wissentlich einen störenden Faktor einbringe. Dieser muss ja nicht einmal die DSGVO sein.
Gruß,
Jörg
@lcer00
Kann heissen, Ihr putzt Toiletten in Arztpraxen und Kliniken. Oder Ihr transplantiert Kleinhirne. Oder Ihre transplantiert Kleinhirne in den Toiletten, die Ihr gerade geputzt habt ...
Da gibt es keine pauschale Antwort - hängt vom Zweck der Datenverarbeitung ab. Zielführend sind hier Art. 6 und Art. 9 DSGVO-EU.
LG, Thomas
ok, wir sind im medizinischen Bereich tätig
Kann heissen, Ihr putzt Toiletten in Arztpraxen und Kliniken. Oder Ihr transplantiert Kleinhirne. Oder Ihre transplantiert Kleinhirne in den Toiletten, die Ihr gerade geputzt habt ...
Da gibt es keine pauschale Antwort - hängt vom Zweck der Datenverarbeitung ab. Zielführend sind hier Art. 6 und Art. 9 DSGVO-EU.
LG, Thomas

Hallo,
Siehst Du denn noch weitere Möglichkeiten, derartige Daten:
- vorab zu unterbinden
- automatisiert zu erkennen und zu löschen
Nein? Dann hast Du, vom rein technischen Ablauf her, erst einmal alles "menschenmögliche" getan. Die Prozesse sind mit einer Arbeitsanweisung abgefrühstückt und was die Datensicherung betrifft, enthält die DSGVO natürlich(!) den Grundsatz der Zumutbarkeit. Sprich: Niemand erwartet, dass Du einen einzelnen Namen nachträglich aus sämtlichen Backups pulst. Das wurde von Anfang an betrachtet, war nie vorgesehen und ist auch gar nicht möglich (z.B. bei Backups auf WORM-Medien).
Gruß,
Jörg
Zitat von @lcer00:
Mir geht es eher darum, dass man solchen Auseinandersetzungen vorbeugt. Ich will solche Daten nicht per Email bekommen, darauf weisen wir auf der Homepage hin.
Mir geht es eher darum, dass man solchen Auseinandersetzungen vorbeugt. Ich will solche Daten nicht per Email bekommen, darauf weisen wir auf der Homepage hin.
Siehst Du denn noch weitere Möglichkeiten, derartige Daten:
- vorab zu unterbinden
- automatisiert zu erkennen und zu löschen
Nein? Dann hast Du, vom rein technischen Ablauf her, erst einmal alles "menschenmögliche" getan. Die Prozesse sind mit einer Arbeitsanweisung abgefrühstückt und was die Datensicherung betrifft, enthält die DSGVO natürlich(!) den Grundsatz der Zumutbarkeit. Sprich: Niemand erwartet, dass Du einen einzelnen Namen nachträglich aus sämtlichen Backups pulst. Das wurde von Anfang an betrachtet, war nie vorgesehen und ist auch gar nicht möglich (z.B. bei Backups auf WORM-Medien).
Gruß,
Jörg
Moin,
Sehe ich genauso! Zudem hat die DSGVO nicht die oberste, gesetzliche Priorität. Gibt es andere, höhergewichtete Gesetze (eine GoBD wäre so ein Fall), haben diese Vorrang. Denn pauschal das "info@" Postfach von der Archivierung auszuschließen geht nicht. wenn ihr darüber - warum auch immer - eine Rechnung erhaltet, so muss diese archiviert und gesichert werden. Und wen vor der Archivierung gefiltert wird, was ist, wenn da mal die falsche Mail rausgefiltert wird!?
Ansonsten: Wenn man sich unsicher ist, den dahinterliegenden Prozess formalisieren (= schriftlich fixieren), mit dem bestellten DSB besprechen und absegnen lassen, bzw. nachjustieren. Wenn der es nicht weiß, gäbe es ja noch den Landes-DSB.
Du musst das alles nur sauber dokumentieren. Also, dass du dich informiert hast, wie du zu verfahren hast. Hast du von allen besagten Stellen am Ende ein i.O. erhalten, passt das. Wenn nicht: nachjustieren.
Und wer soll euch denn anschwärzen?
Der, der seine ganze Lebensgeschichte per Mail an ein allgemeines Postfach gesendet hat, bei dem ihr offensichtlich vorher darauf hingewiesen habt, dass dies eine allgemeine Mail-Adresse ist und konkrete Informationen/ Auskünfte mit einem konkreten Ansprechpartner zu besprechen sind?
Unwahrscheinlich, denn der hat ja dann VOR dem absenden seiner Mail gewusst, auf was er sich einlässt.
Gruß
em-pie
P.S.: bin kein Jurist, daher keine Gewähr auf meine obige Aussage
Zitat von @117471:
Hallo,
Siehst Du denn noch weitere Möglichkeiten, derartige Daten:
- vorab zu unterbinden
- automatisiert zu erkennen und zu löschen
Nein? Dann hast Du, vom rein technischen Ablauf her, erst einmal alles "menschenmögliche" getan. Die Prozesse sind mit einer Arbeitsanweisung abgefrühstückt und was die Datensicherung betrifft, enthält die DSGVO natürlich(!) den Grundsatz der Zumutbarkeit. Sprich: Niemand erwartet, dass Du einen einzelnen Namen nachträglich aus sämtlichen Backups pulst. Das wurde von Anfang an betrachtet, war nie vorgesehen und ist auch gar nicht möglich (z.B. bei Backups auf WORM-Medien).
Gruß,
Jörg
Hallo,
Zitat von @lcer00:
Mir geht es eher darum, dass man solchen Auseinandersetzungen vorbeugt. Ich will solche Daten nicht per Email bekommen, darauf weisen wir auf der Homepage hin.
Mir geht es eher darum, dass man solchen Auseinandersetzungen vorbeugt. Ich will solche Daten nicht per Email bekommen, darauf weisen wir auf der Homepage hin.
Siehst Du denn noch weitere Möglichkeiten, derartige Daten:
- vorab zu unterbinden
- automatisiert zu erkennen und zu löschen
Nein? Dann hast Du, vom rein technischen Ablauf her, erst einmal alles "menschenmögliche" getan. Die Prozesse sind mit einer Arbeitsanweisung abgefrühstückt und was die Datensicherung betrifft, enthält die DSGVO natürlich(!) den Grundsatz der Zumutbarkeit. Sprich: Niemand erwartet, dass Du einen einzelnen Namen nachträglich aus sämtlichen Backups pulst. Das wurde von Anfang an betrachtet, war nie vorgesehen und ist auch gar nicht möglich (z.B. bei Backups auf WORM-Medien).
Gruß,
Jörg
Sehe ich genauso! Zudem hat die DSGVO nicht die oberste, gesetzliche Priorität. Gibt es andere, höhergewichtete Gesetze (eine GoBD wäre so ein Fall), haben diese Vorrang. Denn pauschal das "info@" Postfach von der Archivierung auszuschließen geht nicht. wenn ihr darüber - warum auch immer - eine Rechnung erhaltet, so muss diese archiviert und gesichert werden. Und wen vor der Archivierung gefiltert wird, was ist, wenn da mal die falsche Mail rausgefiltert wird!?
Ansonsten: Wenn man sich unsicher ist, den dahinterliegenden Prozess formalisieren (= schriftlich fixieren), mit dem bestellten DSB besprechen und absegnen lassen, bzw. nachjustieren. Wenn der es nicht weiß, gäbe es ja noch den Landes-DSB.
Du musst das alles nur sauber dokumentieren. Also, dass du dich informiert hast, wie du zu verfahren hast. Hast du von allen besagten Stellen am Ende ein i.O. erhalten, passt das. Wenn nicht: nachjustieren.
Und wer soll euch denn anschwärzen?
Der, der seine ganze Lebensgeschichte per Mail an ein allgemeines Postfach gesendet hat, bei dem ihr offensichtlich vorher darauf hingewiesen habt, dass dies eine allgemeine Mail-Adresse ist und konkrete Informationen/ Auskünfte mit einem konkreten Ansprechpartner zu besprechen sind?
Unwahrscheinlich, denn der hat ja dann VOR dem absenden seiner Mail gewusst, auf was er sich einlässt.
Gruß
em-pie
P.S.: bin kein Jurist, daher keine Gewähr auf meine obige Aussage
@em-pie
Gewagte Feststellung
. Grundsätzlich schlägt eine EU-Verordnung jedes nationales Recht.
Im Falle der DSGVO ist das etwas anders - in diese hat die EU explizit das Recht nationaler Gesetzgebung formuliert, abweichende Datenschutzregeln zu erlassen ... ein sehr seltenes Moment. In Deutschland ist dies über die Neufassung des BDSG erfolgt, die die DSGVO an einigen wenigen Stellen korrigiert. Bei der GoBD würde ich da aber meine Zweifel anmelden ...
LG, Thomas
Zudem hat die DSGVO nicht die oberste, gesetzliche Priorität. Gibt es andere, höhergewichtete Gesetze (eine GoBD wäre so ein Fall), haben diese Vorrang
Gewagte Feststellung
Im Falle der DSGVO ist das etwas anders - in diese hat die EU explizit das Recht nationaler Gesetzgebung formuliert, abweichende Datenschutzregeln zu erlassen ... ein sehr seltenes Moment. In Deutschland ist dies über die Neufassung des BDSG erfolgt, die die DSGVO an einigen wenigen Stellen korrigiert. Bei der GoBD würde ich da aber meine Zweifel anmelden ...
LG, Thomas
Ach OK. Bei der GoBD ist dann dann doch etwas „dünn“.
Defakto ist es aber so, dass die DSGVO dann hinten ansteht, wenn andere Gesetze eine Verarbeitung zwingend erfordern. Dann gilt weiterhin aber das Prinzip der Sparsamkeit.
Und, auch wenn ich kein Rechtsverdreher bin, bin ich mir ziemlich sicher, dass der Fiskus wenig begeistert ist, wenn die per Mail eingegangene Rechnung nicht archiviert wurde... im Einzelfall ggf. OK, betrifft das mehrere...
Egal, in Summe bleibt es bei obigem. Prozess beschreiben, absegnen lassen und die Doku in den Datenschutzordner aufnehmen.
Defakto ist es aber so, dass die DSGVO dann hinten ansteht, wenn andere Gesetze eine Verarbeitung zwingend erfordern. Dann gilt weiterhin aber das Prinzip der Sparsamkeit.
Und, auch wenn ich kein Rechtsverdreher bin, bin ich mir ziemlich sicher, dass der Fiskus wenig begeistert ist, wenn die per Mail eingegangene Rechnung nicht archiviert wurde... im Einzelfall ggf. OK, betrifft das mehrere...
Egal, in Summe bleibt es bei obigem. Prozess beschreiben, absegnen lassen und die Doku in den Datenschutzordner aufnehmen.

Sicherungen bzw. Backups sind OK. Denn im Gegensatz zu Archivierungen geht man bei Backups in der Regel nicht davon aus, dass man sofort auf die Daten zugreifen kann. Normalerweise ist es auch so, dass sich die Daten über die Zeit aus dem Backup "rausschleichen", wenn sie im Original nicht mehr vorhanden sind.
Wenn Dir jemand ungefragt, unaufgefordert, unverschlüsselt und unerwartet Mails mit "besonderen Kategorien von Daten" zusendet, dann kannst Du da nichts zu. Informationelle Selbstbestimmung (die u.a. auch in der EU-Menschrechtscharta festgeschrieben wurde) bedeutet, dass ICH mit MEINEN Daten machen kann, was ich will - natürlich immer im Rahmen der anderen Rechtsnormen. Wer's also mit seiner Freizügigkeit zu weit treibt, könnte auf Unterlassung verklagt werden. Ist aber ein anderes Thema.
Den Ansatz, den Ihr gewählt habt, würde ich auch wählen: Mails werden gesichert und landen im Backup. Aus Höflichkeit wird der Absender informiert, dass er unverlangt und unverschlüsselt personenbezogene Daten von sich offen gelegt hat. Aus noch mehr Höflichkeit könnte man ihn jetzt noch darüber informieren, wer alles die Mails an die "öffentlichen" Mailpostfächer alles gelesen haben könnte und dass man die aktuelle Mail gelöscht hat. Vielleicht hat der Absender die Mail irrtümlich geschickt, dann wäre es schon mal schön, dass er/sie weiß, wo die Mail angekommen ist.
Auf den Mailinhalt selbst würde ich auf keinen Fall Bezug nehmen und auf keinerererern Fall würde ich im Mailprogramm einfach "Antwort an" klicken und die Mail zitieren (dann würde der ganze Inhalt ja wieder durch die Welt geschickt werden).
Leider muss sich jemand irgendwie die Mühe machen, die Mail zumindest in Augenschein zu nehmen, weil sie eventuell eine Anfrage gem. Artikel 15 DSGVO enthalten könnte, also jemand Auskunft über seine/ihre gespeicherten Daten haben möchte. Ob man auf solche Mails, wo DSGVO-Anfragen sehr gut versteckt sind, reagieren muss - darüber gibt's noch keine Urteile. Ist wahrscheinlich wie immer: "es kommt drauf an".
Fazit: ich würd's genauso machen wie bei Euch: Mail kommt ins Backup, wird ansonsten gelöscht und der Absender informiert, dass man "vertrauliche Daten" über ihn/sie erhalten hat und er/sie prüfen möge, ob das so beabsicht war und dass diese Mailadresse dafür weder gedacht noch zweckmäßig ist.
Wenn Dir jemand ungefragt, unaufgefordert, unverschlüsselt und unerwartet Mails mit "besonderen Kategorien von Daten" zusendet, dann kannst Du da nichts zu. Informationelle Selbstbestimmung (die u.a. auch in der EU-Menschrechtscharta festgeschrieben wurde) bedeutet, dass ICH mit MEINEN Daten machen kann, was ich will - natürlich immer im Rahmen der anderen Rechtsnormen. Wer's also mit seiner Freizügigkeit zu weit treibt, könnte auf Unterlassung verklagt werden. Ist aber ein anderes Thema.
Den Ansatz, den Ihr gewählt habt, würde ich auch wählen: Mails werden gesichert und landen im Backup. Aus Höflichkeit wird der Absender informiert, dass er unverlangt und unverschlüsselt personenbezogene Daten von sich offen gelegt hat. Aus noch mehr Höflichkeit könnte man ihn jetzt noch darüber informieren, wer alles die Mails an die "öffentlichen" Mailpostfächer alles gelesen haben könnte und dass man die aktuelle Mail gelöscht hat. Vielleicht hat der Absender die Mail irrtümlich geschickt, dann wäre es schon mal schön, dass er/sie weiß, wo die Mail angekommen ist.
Auf den Mailinhalt selbst würde ich auf keinen Fall Bezug nehmen und auf keinerererern Fall würde ich im Mailprogramm einfach "Antwort an" klicken und die Mail zitieren (dann würde der ganze Inhalt ja wieder durch die Welt geschickt werden).
Leider muss sich jemand irgendwie die Mühe machen, die Mail zumindest in Augenschein zu nehmen, weil sie eventuell eine Anfrage gem. Artikel 15 DSGVO enthalten könnte, also jemand Auskunft über seine/ihre gespeicherten Daten haben möchte. Ob man auf solche Mails, wo DSGVO-Anfragen sehr gut versteckt sind, reagieren muss - darüber gibt's noch keine Urteile. Ist wahrscheinlich wie immer: "es kommt drauf an".
Fazit: ich würd's genauso machen wie bei Euch: Mail kommt ins Backup, wird ansonsten gelöscht und der Absender informiert, dass man "vertrauliche Daten" über ihn/sie erhalten hat und er/sie prüfen möge, ob das so beabsicht war und dass diese Mailadresse dafür weder gedacht noch zweckmäßig ist.