Art. 4 definiert als personenbezogene Daten, alle Daten, die sich auf eine identifiziert oder identifizierbare natürliche Person beziehen. Soweit, so klar.
Die Mailadresse datenschutz@domain.irgendwas bezieht sich einerseits auf eine Funktion im Unternehmen, andererseits ist der DSB immer eine identifizierbare natürliche Person. Also wäre die genannte Mailadresse ebenfalls personenbezogen. Wie seht Ihr das?
1 „Gefällt mir“
Entspannt.
Natürlich ist die Funktions-Mailadresse oder die Telefondurchwahl häufig mit wenig Aufwand personenbeziehbar. Nicht nur betriebsintern oder für die Aufsichtsbehörde, wo der dazu passende Name bekannt ist. Irgendwo wird der DSB-Name auch extern in Umlauf sein (Korrespondenz, AV-Verträge, Visitenkarten). Oder man war so unvorsichtig, ihn im Internetauftritt zu nennen.
D., der Funktionsadressen bis zur offensiven Verbreitung des Namens entspannt sieht. Die kriegen “weniger Datenschutz”, aber nicht gar keinen.
Schließe mich an.
Besser nicht übertreiben. Es wird unbeherrschbar granular.
Auch ich schließe mich meinen Vor-Schreiber/innen an. Und will noch ergänzen bzw. vertiefen:
die Funktionsmailadresse …
- … wendet sich an die Funktion, die (zumindest über die Zeit) von unterschiedlichen Personen wahrgenommen werden kann.
- … ist eine Pseudonymisierung und damit sogar eine Maßnahme nach GSGVO Art. 32 Abs. 1 lit. a
- … ist personenbeziehbar mit Hilfe weiterer Quellen, was aber in der Natur der Sache liegt, denn irgend jemand muss das Zeug, das dort aufläuft verarbeiten und verantworten und dafür gibt es Rechtsgrundlagen
- … ist in ihrem Risiko nach schnellem Überschlag gering, denn der oder die dahinter stehende DSB muss wissen, dass sie ggf. in der Verantwortung auch persönlich dafür einstehen muss
Damit ist das Gesamtrisiko in meiner Einschätzung für d. Betroffene Person (also =DSB) bekannt und vernünftig erwartbar.
Überdies: d. DSB ist weisungsfrei, in der Rolle als DSB beim Verantwortlichen eindeutig (es kann nur eine Person als DSB benannt werden und nicht mehrere) und damit in der Verantwortung letztlich nicht vollkommen durch die Geschäftsführung gedeckt. Die Geschäftsführung muss in ihrer Rolle als Gf und damit verantwortlich für alles in dem Laden namentlich veröffentlicht werden. Daraus ziehe ich den Schluss, dass die Rolle des DSB an sich schon weniger Schutz genießt, was die Anonymität angeht.
Was haltet Ihr davon? Mir ist klar, dass ich mit diesen Argumenten mehrere Fässer aufmache. Aber ich denke, dass das alles zu dieser Frage dazu gehört.
Grüße
Die Grundfrage ist ja erst einmal nur, ob es sich um personenbezogene Daten handelt. Am Ende ist das hier eine schlichte Auslegungsfrage. Sind die zusätzlich heranziehbaren Informationen solche, die nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden im Sinne des EG 26. Da es hierzu immer noch keine fixe Leitlinie gibt, kann man eh nur in Tendenzen antworten. Meine Erachtens geht die Tendenz Richtung “Ja, es ist ein personenbezogenes Datum”.
Die zweite Frage ist dann, was das bedeutet. Darauf wird die Antwort in der Regeln sein “Nichts”. Das Datum ist nicht sonderlich schützenswert und selbst wenn man spitzfindig sein will, um andere Verantwortliche mit einer Art. 15 DSGVO Anfrage zu ärgern, dann wird das regelmäßig an Art. 11 DSGVO scheitern, da es da nicht um die abstrakte Identifizierbarkeit geht (Art. 4 DSGVO), sondern um die konkrete.
2 „Gefällt mir“
Eine Funktionsadresse kann auch an mehrere Adressen weiterleiten. Es kann sich dahinter eine ganze Gruppe von Leuten verbergen.
Die Adresse datenschutz@firmendomain muss ja nicht zwingend die E-Mail-Adresse der:des Datenschutzbeauftragten sein. Ich kenne viele Firmen, bei denen die E-Mail-Adresse datenschutz@firmendomain die Fuktionsadresse des Datenschutzmanagementteams ist und die:der Datenschutzbeauftragte die E-Mail-Adressse datenschutzbeauftragte_r@firmendomain hat.
Wenn aber, z.B. durch den Hinweis “Unere:n Datenschutzbeauftragte:n erreichen sie unter datenschutz@firmendomain”, klar ist, dass die Adresse datenschutz@firmendomain der:dem Datenschutzbeauftragten zugeordnet ist, dann ist diese E-Mail-Adresse aus meiner Sicht eine personenbezogene E-Mail-Adresse.
1 „Gefällt mir“
Ich sehe das genauso wie die Vorredner: der Account datenschutz@XXXX.XX ist sehr häufig sogar einem größeren Personenkreis zuzuordnen. Schließlich hat der DSB auch irgendwann Urlaub, wird krank usw. In diesen Fällen müssen ja Auflagen aus dem Datenschutzrecht gewährleistet bleiben.
Zudem gibt es Aussagen von Behörden und auch Gerichten die zwangsweise veröffentlichte Informationen nicht als freiwillig veröffentlicht ansehen. Daher ist Vorsicht geboten, wenn man diese zur werblichen Kontaktaufnahme nutzt.