Vertrauliche Daten in E-Mails

Privat musste ich den Stromanbieter wechseln. Ein neuer Anbieter war Dank der diversen Vergleichsportale schnell gefunden, ein Vertrag über einen dieser Vermittler schnell beantragt.

Der Vermittler stellte mir die Vertragsunterlagen über einen personalisierten Link zur Verfügung, bei dem ich mich mittels meines Geburtsdatums authentifizieren musste. Nicht optimal, besser wäre es gewesen beim Bestellprozess ein „Geheimnis“ zu vereinbaren, aber eine Möglichkeit.

Das Problem: E-Mail mit vertraulichen Daten im Klartext

Das böse Datenschutzerwachen kam dann, als der neue Versorger mir seine Auftragsbestätigung per E-Mail schickte: unverschlüsselt als für jeden lesbare PDF-Datei und inklusive sensibler personenbezogener Daten.

Ich dachte mir, dass in dem Unternehmen offensichtlich nicht genügend über Datenschutz, den aktuellen Stand der Technik und die notwendigen technischen und organisatorischen Maßnahmen zum Datenschutz nachgedacht worden war und schrieb den Datenschutzbeauftragten des Unternehmens an. Hierbei schlug ich als Lösungen die Vereinbarung eines Geheimnisses beim Vertragsschluss, eben die Verwendung des Geburtsdatums oder der Bankverbindung als Geheimnis zur Verschlüsselung oder zum Download der Unterlagen vor.

Die Stellungnahme des Unternehmens

Meine Anfrage wurde, das war positiv, sehr schnell vom Datenschutzbeauftragten von einer Mail-Adresse des Mutterkonzerns aus Süddeutschland aus beantwortet.

Der Inhalt lässt jedoch leider nicht auf zu geringes Nachdenken, sondern auf Ignoranz der Risiken schließen. Ich zitiere wörtlich:

[…] Nach Ziffer 6 der AGB der [Namen des Unternehmens entfernt] für Strom- oder Gaslieferverträge verpflichtet sich die [Namen des Unternehmens entfernt] zur Online-Kommunikation mit dem Kunden. Dies bedeutet u.a., dass die [Namen des Unternehmens entfernt] die vertragliche Korrespondenz dem Kunden per E-Mail sendet oder in den passwortgeschützten Online-Kundenbereich „Mein [Namen des Unternehmens entfernt]“ einstellt. Mit der Tarifauswahl entscheidet sich der Kunde freiwillig für diese Form der Kommunikation und bestätigt diese über das Einverständnis in die AGB per Opt-In.[…]

Antwort des Datenschutzbeauftragten, Firmen- und Produktnamen entfernt

Der Vollständigkeit halber sei der Passus aus den AGB hier auch aufgeführt:

(1) Wenn Sie sich für Online-Kommunikation entschieden haben, werden Rechnungen und sämtliche sonstigen Mitteilungen zur Durchführung dieses Stromvertrags Ihnen per E-Mail zugesendet oder in Ihrem persönlichen „Mein [Namen des Unternehmens entfernt]“ Bereich als PDF-Dateien zur Verfügung gestellt.
[Namen des Unternehmens entfernt] wird Sie stets über eine neue Einstellung in Ihrem „Mein [Namen des Unternehmens entfernt]“ Bereich per E-Mail informieren. Sie verzichten ausdrücklich auf den postalischen Versand von Rechnungen und sonstigen Mitteilungen durch [Namen des Unternehmens entfernt]. [Namen des Unternehmens entfernt] behält sich das Recht vor, einzelne Mitteilungen, wie z. B. Mahnungen, per Post versenden zu dürfen.
(2) [Namen des Unternehmens entfernt] stellt Ihnen zur Abwicklung des Vertrags einen passwortgeschützten persönlichen Zugang zum geschlossenen „Mein [Namen des Unternehmens entfernt]“ Bereich online zur Verfügung. Hierfür müssen Sie sich mit Ihrer E-Mail Adresse und einem Passwort registrieren. Um die Online-Vertragsabwicklung gewährleisten zu können, sind Sie verpflichtet, die technischen Voraussetzungen, wie insbesondere Zugang zu einem PC mit Internetanschluss und installiertem Browserprogramm und E-Mail-
Adresse, zu schaffen sowie zu unterhalten. Sie sind verpflichtet, [Namen des Unternehmens entfernt] stets eine aktuelle empfangsbereite E-Mail-Adresse anzugeben

relevanter Auszug aus den AGB des Versorgers, Firmen- und Produktnamen entfernt

Bewertung der Antwort des Datenschutzbeauftragten

Die Antwort des Datenschutzbeauftragten und das Verhalten des Unternehmens kranken hier gleich an zwei wichtigen Punkten:

  1. Bedeutet eine Vereinbarung zur elektronischen Kommunikation keine Vereinbarung zur unsicheren elektronischen Kommunikation. Es gibt technische Maßnahmen, auch elektronischen Kommunikation sicher zu machen und diese Maßnahmen sind von Unternehmen als Verantwortlichen zu ergreifen.
  2. Außerdem kann eine „Einwilligung in AGB“, die durch das Setzen eines Hakens stattgefunden hat, niemals eine datenschutzrechtliche Einwilligung i.S.d. Artikels 7 DSGVO sein. Es fehlen Aufklärung des Betroffenen, Hervorhebung der Erklärung etc.

Das Verhalten macht also leider deutlich, dass man sich bei dem Unternehmen entweder zu wenig Gedanken um den Schutz der sensiblen Kundendaten gemacht hat oder sich bewusst gegen den Datenschutz entschieden hat und damit die Rechte seiner Kunden bewusst verletzt oder keine Kompetenz in diesem Bereich besitzt. Ich finde keine dieser Möglichkeiten Vertrauen erweckend.

Dass der Datenschutzbeauftragte des Unternehmens offensichtlich mit dem Unternehmenshandeln übereinstimmt, stimmt mich nicht nur traurig, es lässt mich an der Aufgabenwahrnehmung zweifeln.

Fazit und Lehre

  • Wenn Sie E-Mail als Verantwortlicher als Kommunikationsform nutzen, so nutzen Sie bitte auch die Möglichkeiten, die personenbezogenen Daten zu schützen: Nutzen Sie verschlüsselte Archive. Ein Passwort / Geheimnis können Sie mit Ihren Kunden direkt beim Vertragsschluss vereinbaren oder Sie nutzen ein Geheimnis, das beim Vertragsschluss automatisch angefallen ist und nicht allgemein bekannt ist. Beispiele sind die Bankverbindung des Kunden, ggf. verknüpft mit dem Geburtsdatum etc.
  • Wenn sich Kunden bei Ihnen mit einem Datenschutzverstoß oder auch nur einem Hinweis beschweren, so überlegen Sie bitte, ob die Hinweise evtl. eine Grundlage haben. Denn seien wir ehrlich: Unsere Prozesse sind nicht fehlerfrei und durch Fehler und Hinweise können wir lernen und unsere Prozesse verbessern. Das ist auch Datenschutzmanagement und eine der Verpflichtungen, die uns die DSGVO aufgibt.
  • Und wenn Sie eine Einwilligung als Rechtsgrundlage, als Begründung heranziehen, dann achten Sie darauf, dass diese auch wirklich korrekt angefordert und erteilt worden ist, beachten Sie die Anforderungen des Artikels 7 der DSGVO.


Markierungen: ,

Antwort schreiben

Sie müssen angemeldet sein um einen Kommentar zu verfassen.