Stellt ein Dienstleister ein verschlüsseltes Kontaktformular seinen Kunden zur Verfügung, sollte die automatisiert generierte Eingangsbestätigung per E-Mail ohne Mitteilung personenbezogener Daten erfolgen, da nicht sichergestellt werden kann, dass der Anbieter des E-Mail-Dienstes des Kunden eine Transportverschlüsselung ermöglicht.
Ein Bürger machte auf ein datenschutzrechtliches Problem bei der Verwendung des Kontaktformulars auf der Homepage der Deutschen Bahn aufmerksam. Bei der Nutzung des Kontaktformulars gab der Kunde seine personenbezogenen Daten insbesondere in Form von Kontaktdaten wie Name, Adresse, Telefonnummer etc. an. Diese Informationen wurden über das Kontaktformular verschlüsselt an die Deutsche Bahn übertragen. Anschließend erhielt der Kunde jedoch eine automatisiert generierte Eingangsbestätigung per E-Mail, die alle im Formular angegebenen personenbezogenen Daten beinhaltete.
Der Versand von E-Mails mit personenbezogenen Daten birgt die Gefahr, dass bei einer fehlenden Verschlüsselung Dritte die Kommunikation abgreifen und so Zugang zu den Daten erhalten können.
Zwar haben die führenden E-Mail-Dienste-Anbieter in Deutschland bekanntgegeben, eine Transportverschlüsselung bei der Kommunikation untereinander durchgehend einzusetzen („E-Mail made in Germany“), jedoch kann eine vollständige Umsetzung, vor allem bei der Nutzung ausländischer (insbesondere außereuropäischer) Anbieter nicht garantiert werden. Nutzerinnen und Nutzer eines E-Mail-Dienstes sind somit darauf angewiesen, dass Anbieter eine Transportverschlüsselung bei der E-Mail-Kommunikation einsetzen.
Nachdem der Konzerndatenschutz der Deutschen Bahn auf dieses Problem hingewiesen wurde, ist eine Änderung im technischen Prozess vorgenommen worden. Seitdem sind in der automatisiert generierten Rückmail an den Kunden bei Nutzung des Kontaktformulars keine Daten aus dem Kontaktformular mehr enthalten. Dem Kunden wird lediglich eine Eingangsbestätigung mit der Vorgangsnummer per E-Mail zugesandt.
Da mit dieser Anpassung die im Formular durch den Kunden angegebenen Kontaktdaten (Name, Telefonnummer etc.) in der E-Mail nicht mehr übermittelt werden, wurde die Vorgehensweise für datenschutzrechtlich zulässig erachtet.
Quelle: HBDI
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks