Im Zusammenhang mit E-Mails und der DSGVO denken die meisten Menschen zunächst an die Herausforderungen, denen E-Mails im Marketing-Bereich gegenüberstehen. Es gilt jedoch auch weitere Aspekte, wie die Aufbewahrung von E-Mails und die E-Mail-Sicherheit, die für die Einhaltung der DSGVO ebenso wichtig sind, zu beachten.
E-Mails und DSGVO: Datenlöschung
Die Datenlöschung ist ein wichtiger Teil der DSGVO. Die Speicherbegrenzung ist einer der sechs Datenschutzgrundsätze der DSGVO. Art. 5 Abs. 1 lit. e) DSGVO besagt, dass personenbezogene Daten nur so lange gespeichert werden dürfen, wie es für die Zwecke, für die die sie erhoben und verarbeitet werden, erforderlich ist. Das Recht auf Löschung, bzw. das berühmte „Recht auf Vergessenwerden“, ist auch ein Betroffenenrecht, das durch Art. 17 DSGVO geschützt wird. Er besagt: „Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass die betreffenden personenbezogene Daten unverzüglich gelöscht werden“.
Natürlich gibt es einige Ausnahmen von dieser Verpflichtung, wie z.B. das öffentliche Interesse. Aber im Allgemeinen sind Unternehmen und Organisationen verpflichtet, personenbezogene Daten, die nicht mehr benötigt werden, zu löschen.
Die meisten E-Mail-Nutzer löschen ihre Mails nur selten bis nie. Dafür gibt es aus Sicht der Nutzer sicher viele gute Gründe: vielleicht müssen sie eines Tages als Tätigkeitsnachweis oder sogar für mögliche Rechtsstreitigkeiten herangezogen werden, je mehr Daten Sie jedoch aufbewahren, desto größer ist Ihre Mitschuld, sollte es zu einer Datenpanne kommen. Zudem ist die Löschung nicht benötigter personenbezogener Daten mittlerweile nach europäischem Recht vorgeschrieben.
Aufgrund der DSGVO sollten Unternehmen die E-Mail-Aufbewahrungsrichtlinien regelmäßig überprüfen mit dem Ziel, die Datenmengen, die Mitarbeitende in ihren Postfächern speichern, zu reduzieren. Die DSGVO verlangt von Unternehmen und Organisationen nachweisbare Richtlinien, die ihre legitimen Geschäftsinteressen mit den Datenschutzverpflichtungen gemäß der DSGVO in Einklang bringen.
DSGVO: E-Mail-Sicherheit
Es existiert noch ein weiterer Aspekt in der DSGVO, der E-Mails betrifft: die E-Mail-Sicherheit. Art. 5 Abs. 1 lit. f) DSGVO besagt, dass Unternehmen personenbezogene Daten „vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen“ (sog. TOMs) schützen müssen. Eine solche technische Maßnahme im Falle von E-Mails ist beispielsweise die E-Mail-Verschlüsselung. Organisatorische Maßnahmen beziehen sich hingegen auf interne Richtlinien, das Management und Training.
Die meisten Cyber-Angriffe beginnen mit einer Phishing-E-Mail, in der Hacker versuchen, durch Täuschung oder Malware Zugang zu einem Konto oder Gerät zu erhalten. Links und Anhänge von unbekannten Konten sollten daher niemals angeklickt oder heruntergeladen werden. Sobald ein Angreifer Zugriff auf ein Konto oder Gerät erlangt hat, ist es für ihn meist einfach, auf etwaige Daten zuzugreifen. Das bedeutet, die Nachlässigkeit eines Mitarbeitenden kann große Datenmengen gefährden.
Wenn Unternehmen den Aufsichtsbehörden gegenüber nicht nachweisen können, dass sie die richtigen technischen und organisatorischen Maßnahmen ergriffen haben, drohen hohe Bußgelder und eventuelle Entschädigungszahlungen für die betroffenen Personen. Um diese zu vermeiden ist es daher wichtig, geeignete technische und organisatorische Maßnahmen zu treffen und die Mitarbeiter regelmäßig über die E-Mail-Sicherheit zu schulen.
Wir unterstützen Sie gerne bei der Erfüllung dieser Pflichten, indem wir die Schulung Ihrer Angestellten für Sie übernehmen oder geeignete technische und organisatorische Maßnahmen für Sie konzipieren. Kommen Sie für ein unverbindliches Beratungsgespräch gerne auf uns zu.
Autor: Ovidiu Coman