Wann sind E-Mail-Adressen personenbezogene Daten?

Ich bin sicher, dass die E-Mail-Adresse “Manfred.Schmid@FiktiiverFreemailer.de.de” bei allen größeren deutschen Freemailern existiert und tatsächlich einem Manfred Schmid gehört.

Ist sie deswegen ein personenbezogenes Datum?

Darf ich sie zum Beispiel als fiktive Beispieladresse für Präsentationszwecke in eiem Vorführ-CRM speichern?

Es gibt in Deutschland viele Manfred Schmid. Wie sieht es (datenschutzrechtlich) aus, wenn ich einen Namen wähle, den es in Deutschland oder vielleicht sogar weltweit nur ein einziges Mal gibt? (Davon gibt es viele!)

Nächste Stufe: Angenommen, ein Dienstleister bietet einen Service an, der die Gültigkeit von E-Mail-Adressen prüft. Weiter angenommen, das Angebot ist kostenlos, wird ohne Anmeldung angeboten und die E-Mail-Adresse wird nach Erledigung gelöscht. Ist der Dienstleister dann Auftragsverarbeiter?

Sobald der Dienstleister seine Leistung abrechnen möchte, muss er den Anwender kennen. Hat er eine Möglichkeit, seine Leistung (Beauskunftung über Gültigkeit) so zu erbringen, dass er keinen AV benötigt? Er zählt ja nur die Prüfungen, speichert die E-Mail-Adressen aber nicht über den Verarbeitungsvorgang hinaus. Und seine Anwendung sei so geschrieben, dass er von den verarbeiteten Adressen nichts erfährt - es sei denn, er manipuliert das Programm. (Hintergrund: Müsste der Unternehmer (Verantwortliche) diese Prüfung bei einem Dienstleister in seiner Datenschutzerklärung erwähnen?)

Wie will man denn die “Gültigkeit” von E-Mail-Adressen prüfen? Die meisten Server antworten doch heute gar nicht mehr bei nicht vorhandenen Namen.

Ich würde sagen Auftragsverarbeitung.

Der Auftraggeber übermittelt ja aus seiner Sicht personenbezogene /personenbeziehbare Daten an den Dienstleister (oder gibt sie bei Auftragsverarbeitung “intern” weiter). Das könnte er ähnlich wie bei der Prüfung der Kreditwürdigkeit auf Basis seiner berechtigten Interessen an… na ja, eben an der Kreditprüfung stellen.

Der Mailprüfer im Beispiel würde die erhaltenen Daten nicht für weitere /eigene Zwecke verarbeiten, also allein im Rahmen des Auftrags, was schon für Auftragsverarbeitung spricht. Für die Dauer der Prüfung würde er die erhaltenen Daten evtl. mit weiteren Angaben zu dieser Adresse (und damit meistens zu einer Person oder identifizierenden Merkmalen) zusammenbringen können, so dass es sich i. d. R. um eine Verarbeitung personenbezogener Daten handelt.

Schon um den betroffenen Personen gegenüber keine eigenen Pflichten aufkommen zu lassen (Rechtsgrundlage suchen; Benachrichtigung an die Mailadresse, von wem und zu welchen Zwecken gerade ihre Adresse verarbeitet wurde; Angabe der Datenquelle bei Fremderhebung; Betroffenenrechte nennen und umsetzen…) sollte der Dienstleister sich per Auftragsverarbeitung beauftragen lassen.

D., der ebenso wie bdsb keinen Markt sieht, weil sich das ansgestrebte Ziel allein mit einem “Ankitzeln” der Maildomain nur lückenhaft erreichen ließe.

Wer soll in diesem Fall der Auftraggeber (= Verantwortliche) sein?

Wer soll in diesem Fall der Auftraggeber sein?

Auftraggeber wäre m.E. die Person, die die Adresse abfragt?

Aber: Dürfte der Dienstleister die Auskunft überhaupt erteilen? (Die Anschlussfrage wäre: Darf der Mailserver die Auskunft überhaupt erteilen?)

Es gibt genügend, die es tun.

1a) Grundsätzlich sind E-Mail-Adressen personenbezogene Daten. Für fiktive, nicht existierende Adressen gilt das nicht. Also am besten testen: Wenn ein MailerDeamon kommt, gibt es die Adresse nicht. Falls doch ist es nur eine fahrlässige DSV.

2b) Wenn man weiß, dass es die Adresse gibt, sollte man sie nicht nutzen.

3a) Es wird eine Liste mit fiktive EMail-Adressen zur Prüfung übergeben: Kein Verantwortlicher, keine AV.
3b) Es wird eine Liste mit alten EMail-Adressen zur Prüfung übergeben, ob sie noch aktuell sind: der Bestandsführer der alten EMail-Adressen ist verantwortlich. Es ist eine AV.

4a und b) Ergebnis wie oben. Maßgeblich ist nicht, ob es etwas kostet, sondern ob Daten an den AVer gehen, für die der Auftraggeber dsrechtlich verantwortlich ist.

Insgesamt kommt mir der Fall seltsam vor. Klingt irgendwie unseriös.

Das sind doch 2 verschiedene Fragen.

Die formale Antwort zu “erfunde Adresse: geht das oder nicht?” läuft wohl über den Begriff “relativer Personenbezug”.

Zu den Postlern: Not all änimäls are equal … speziell Abschnitt 3.5:
https://www.deutschepost.de/de/a/anschriftenpruefung/so-funktionierts/agb_datei_check.html

Anmerkung zu anzolinos Frage: mit Pech ist der Typ eben selbst zusätzlicher Verantwortlicher.

1a = 2b: personenbezogene bzw. personenbeziehbare Daten. Ich sehe auch für Adressen Personenbezug, die “ins Blaue” geschätzt sind. Existieren sie, dann lassen sie sich einer Person zuordnen. Wer solche (nicht reale, sondern einstweilen äh…) realistische Daten verarbeitet (Auftraggeber oder verantwortlicher Dienstleister) muss das verantworten können. (Außer bei synthetischen Datenbeständen, die nicht “nach draußen” verwendet werden sollen.) Nicht nur bei Namensadressen, sondern auch bei Funktionsadressen wie “info@” oder “datenschutz@”, weil dahinter Personen sitzen, die anderweitig bekannt werden können.

2: Wenn den Dienst nicht interessiert, von wem er Daten bekommt bzw. an wen er sie übermittelt, bekommt er mangels Kenntnis die für “berechtigte Interessen” nötige Erforderlichkeit und auch die Abwägung nicht hin. Damit würde ich zur Notwendigkeit für eine Folgenabschätzung eskalieren. Auftragsverarbeitung könnte man auch mit Minimal-Registrierung machen. (Oh, und der Profi-Dienst sollte bei dieser Gelegenheit prüfen, ob die hinterlegte Adresse stimmt…)

3. Wenn die Zahlung nicht auf Bitcoin o. ä. beruht sind Zahlungsdaten bekannt. Es wird ein Vertrag zugrunde liegen, an den man Auftragsverarbeitung anschrauben kann.

Ich behandle mal überall die Verantwortung und Zulässigkeit:

Server: Die Mailserver nehmen Mails entweder an, oder sie lehen sie ab. Das tun sie und dürfen sie, um ihre Funktion zu erbringen. Eine Lösung des bisherigen Nicht-Problems wäre so zu tun als würden sie alles annehmen, wobei sie Mail an nicht vorhandene Empfänger sofort dem Schwarzen Loch zuleiten. Nehmen solche Zweckentfremdungen überhand, müsste man sich was einfallen lassen; z. B. äußere Ringe für alles Mögliche und innere Ringe für das tatsächliche Mail-Handling. (Eine Erneuerung des Mail-Skeletts wäre schon lange fällig, z. B. grundsätzlich Ende-zu-Ende-Verschlüsselung vorsehen.)

Dienstleister: Der Prüfdienst benötigt für seine Verarbeitung personenbezogener Daten Rechtsgrundlagen. Die bräuchte er bei Auftragsverarbeitung nicht, wenn er den Erlaubnistatbestand seines Auftraggebers mitnutzen kann. Ist er selbst verantwortlich, kommt nur “berechtigtes Interesse” des Auftraggebers in Frage; mit allen Bedingungen /Abwägungen, Widerrufsmöglichkeit usw. (Art. 6 Abs. 1 lit. f DSGVO). Zwecke und Aktivitäten wären einerseits die Prüfung gegen Mailserver, andererseits die Rückübermittlung des Ergebnsises an den Auftraggeber.

Für das Ergebniss müsste der Auftraggeber erreichbar sein; entweder wird es noch während der Sitzung mitgeteilt, oder die Mailadresse muss (vorübergehend) gespeichert werden, bzw. er erhält bei Auftragserteilung ein Token zum Abruf.

Läuft das alles voll automatisch ab und beeiflussen weitere Kriterien das Ergebnis, kann es sich um automatisierte Entscheidungsfindung handeln, was zusätzliche Klimmzüge mit sich bringen kann. Das wird nicht unbedingt beim Dienst selbst zu Folgen für die betroffenen Personen führen, wahrscheinlich aber bei seinen Auftraggebern. (Evtl. auch beim Dienst, wenn er Erfahrungen mit einzelnen Mailadressen oder Domains sammelt, um bei späteren Anfragen darauf zurückzugreifen = Profiling!) Denkbare Kriterien wären die Zuverlässigkeit von Mail-Domains, Länder, Antwortzeiten, Server- und Übertragungssicherheit etc.

Der Dienst erhebt die Daten wahrscheinlich selten bei den betroffenen Personen selbst, müsste diese neben seinen Pflichtinformationen (Art. 13 DSGVO) also auch über die Herkunft informieren (Art. 14 DSGVO). (Die anfragende Stelle wäre gleichzeitig Datenempfänger für das Ergebnis.) Die Informationspflicht lässt sich nicht abtun, weil mit funktionierenden Mailadressen eine prima Möglichkeit besteht, ihr nachzukommen. (Frisches Futter für Spamfilter.)

Ach, ja, in Deutschland dürften solche Benachrichtigungen keine Werbung enthalten (z. B. Kompetenzaussagen /Vorteile des Dienstes), weil keine Einwilligung bestehen wird (§ 7 Abs. 2 UWG).

Auftraggeber: Der Auftraggeber des Dienstes braucht für seine Übermittlung an diesen einen vertretbaren Zweck; z. B. für die Kreditprüfung, was meist auf Art. 6 Abs. 1 lit. b bzw. f gestellt wird (Vertragserfüllung bzw. berechtigtes Interesse). Die Erforderlichkeit sollte nachvollziehbar sein (s. Anforderungen an die jeweilige Rechtsgrundlage) und die Betroffenen wären über diesen Zweck und die damit einher gehende Übermittlung zu informieren (Art. 13 DSGVO).

Hängt die Prüfung mit automatisierter Entscheidungsfindung zusammen (s. o.) müsste sie zulässig und transparent (Informationspflicht) ausgestaltet sein.

D., dem das Angebot immer noch suspekt ist. (Nicht grundsätzlich, aber wegen der angedachten Umsetzungsvarianten.)

Wenn der E-Mail-Dienstleister eine Rechtsgrundlage für die Auskunft hat. Eine blinde Abfrage blind zu beantworten, dürfte dies nicht erfüllen.

Für Demo-/Testzwecke werden normalerweise keine pb Daten verwendet, sondern Testdaten generiert, weil Softwaretests mit Echtdaten regelmäßig nicht vom Zweck der Datenverarbeitung abgedeckt sind. Testdaten sind etwas wie vorname_001.nachname_001@irgend.wo oder etwas zufällig ausgewürfeltes wie Woo6aehRaiquoo7G6uW8@t.ld.

Ich finde die Idee, vor der Nutzung eines solchen Dienstes eine ADV abschließen zu müssen. sehr spannend. Ich stelle mir gerade die Gesichter der Nutzer vor, bei denen nach dem Cookie-Banner ein ADV-Banner aufpoppt, dass rechtssicher unterzeichnet werden muss, bevor auch nur eine Adresse eingegeben wird. Meine Frage oben sollte eigentlich nur auf eines hinweisen: Bei einer Prüfung ohne Anmeldung sehe ich keine Auftragsverarbeitung gem. Art.28 Abs.3. Aber mir stellt sich ohnehin die Frage, wer bei einer solchen Prüfung über die Zwecke und Mittel der Verarbeitung bestimmt und damit der Verantwortliche sein kann, der eine ADV abschließen muss. Der Entscheider scheint mir hier allein der Diensteanbieter zu sein. Inwieweit kann ein Nutzer / Unternehmen die Dienstleistung beeinflussen und über die Verarbeitung bestimmen?

Unseriös ist die Prüfung, wenn lediglich der Syntax einer Adresse (RFC) und bestimmte Eigenschaften des Mailservers geprüft werden (DNS, SMTP). Denn das lässt keine seriöse Aussage über die tatsächliche Existenz einer E-Mail-Adresse zu. Es ermöglicht jedoch die Verwendung von Testdaten.

Die Prüfung fände mittels Hashverfahren statt? So wie bei “have i been pwned”? Die Hashes kämen vom Unternehmen? Wie kann ich mir das vorstellen?
Bei pb Daten ist der Dienstleister Empfänger und der Verantwortliche muss seine Informationspflichten erfüllen.

Ist das eine Projektarbeit?

Danke für Deine Erläuterungen.

Ich bin zwar kein Jurist und auch kein Datenschutzexperte, aber (oder vielleicht deswegen!?) habe ich doch ein Problem mit der E-Mail-Adresse als pD:

In der DSGVO sind pD als personenbezogene “Informationen” definiert. Ist eine reine E-Mail-Adresse bereits eine Information? Für mich setzt die Information irgend eine Aussage voraus, etwa “die Adresse a@b.de ist gültig” oder “die Adresse a@b.de liegt auf dem Mailserver xyz”. Aber nur die E-Mail-Adresse alleine als reine Zeichenfolge in der Syntax einer E-Mail-Adresse?

Welches Schutzbedürfnis könnte der tatsächliche Inhaber dieser Adresse - abgesehen vom Namensrecht (BGB § 12) - haben? (Der Ex-BuKa “Gerhard Schröder” könne etwas dagegen haben, dass ich meine Demodatenbank mit seinem Namen aufhübsche. Aber ist es auch DSGVO-mäßig relevant?

Suspekt: Vielleicht ist Dir alles, was mit Marketing und Vertrieb zusammenhängt, suspekt. Auf jeden Fall gehört dazu, dass man die Daten pflegt, und damit auch E-Mail-Adressen. Es gibt für alle möglichen Daten Prüfangebote, von der Gültigkeit einer Anschrift, der Aktualität (Abgleich gegen “Umzugsdateien”, “Sterbedateien”), der Gültigkeit von IBANs und USt-IDs bis hin zur Prüfung, ob eine E-Mail-Adresse syntaktisch OK ist und ob sie (noch) gültig ist. Die meisten Anbieter solcher Leistungen bieten im Internet Testanwendungen an. E-Mail hat den Gout von SPAM, muss aber nicht.

Unabhängig davon ist mein Interesse akademisch. Mich interessiert die Ausgangsfrage, ob die reine E-Mail-Adresse ohne Bezug, also ohne Einbindung in irgend eine Aussage (= “Information”) ein pD sein kann.

Ich denke an eine Lösung in einer “Black-box”, die automatisch läuft und nichts protokolliert (die Adresse also nur während der Verarbeitung temporär im Hauptspeicher hält). Im Nachhinein können keine Daten festgestellt werden. Ist der Anbieter dieser Black-box im Rahmen der DSGVO irgendwie verantwortlich (nach welcher Norm)? Oder bleibt die Verantwortung über den rechtmäßigen Gebrauch allein beim Nutzer? Diese Black-box ist ja nicht weit entfernt von einer Anwendung, die als fertige Lösung zur Installation und Verwendung beim Käufer installiert und eingesetzt wird.

Aber auch in der Blackbox werden (personenbezogene!) Daten verarbeitet. Wer die Blackbox betreibt ist Verantwortlicher. Muss den Datenschutzvorschriften nachkommen (Grundsätze, Rechtsgrundlage, Informationspflichten, Betroffenenrechte, Sicherheit…).

D., der keinen billigen Ausweg sieht. (Ganz ohne Datenschutz wird es nicht gehen. Außer der Anbieter taucht ab; ist in der EU nicht greifbar, z. B. weil er Google heißt oder seinen Sitz von Polen auf die Seychellen verlegt…)

Ich bin der Meinung(en), dass

1. zufällig erzeugte Mailadressen, die tatsächlich existieren eine konkrete Angabe zur dahinter stehenden Person sind, auch wenn der Verantwortliche bis dahin nichts mit dieser Person zu tun hatte (elisabeth-mueller @t-online.com = Lieschen Müller, die es wahrscheinlich dort geben wird, aber auch otto-von@gmx.de, die es nur vielleicht gibt, aber man steckt nicht drin, und dann hätte ich Angaben zu dieser Person, und wie erfülle ich jetzt meine Pflichten, wenn ich vorhabe, diese reale Adresse für irgendwas zu verarbeiten…).
2. das auch für nicht bestehende Adressen gilt, wenn sie fälschlicherweise einer bestimmte Person zugerechnet werden (schroeder.gerhard@ehemaligebundeskanzlerverein.tv wäre im Fall der tatsächlichen Zuordnung eine (falsche) Angabe zu dieser Person).

D., dem vieles, was mit Marketing und Vertrieb zusammenhängt erfahrungsgemäß suspekt sein wird und der den Fachleuten ihre spezifischen Vorschriften außerhalb des Datenschutzes nicht heraussuchen möchte (typischerweise § 7 UWG), weil die normalerweise mit gar nix kommen.

Hast Du für diese Meinung irgend einen Beleg/eine Referenz?

Ich meine das jetzt nicht hämisch, sondern frage mich, ob das wirkich das Ziel der DSVGO sein kann. Deren Zweck ist doch der Schutz berechtigter Interessen des Betroffenen. Wenn aber seine E-Mail-Adresse nur zufällig und ohne jedem Zusammenhang zu seiner Person verwendet wird, gibt es doch kein Schutzbedürfnis. Außer ggf. wegen des Namens selbst, das ist dann aber eine andere Baustelle (§ 12 BGB).

Nach Definition ist ein pD eine “Information”. Nach meinem Verständnis muss eine Information eine Aussage sein, die wahr oder falsch sein kann. Nur für Aussagen kann man auch eine Berichtigung verlangen! Was soll an der E-Mail-Adresse allein berichtigt werden!?

Stimmt, habe berichtigt.

Warum sollte man das tun? Warum nicht einfach “foobar@example.org”? Ich kenne ein Unternehmen, bei dem es wegen so einem Quatsch mal eine Datenpanne gegeben hat.

Als Zusatz zu example.org - weil ich’s ausprobieren musste… (Alternativ eigene Beispielsdomain aufsetzen).

" As described in RFC 2606 and RFC 6761, a number of domains such as example.com and example.org are maintained for documentation purposes. These domains may be used as illustrative examples in documents without prior coordination with us. They are not available for registration or transfer."

aus https://www.iana.org/domains/reserved

Genau das Beispiel mit example.xyz zeigt, wie Beispiels- oder Testadressen aussehen müssen. Vergleichbar gibt es zumindest in D eine Liste mit Telefonnummern, die niemanden zugeordnet werden und für Beispiele oder Filmszenen genutzt werden können.
Bezüglich der Prüfung von Emailadressen ist das dann doch etwas anders. Man muss immer den Zweck und die Ziele der DSGVO im Kopf haben. Wir empfehlen schon seit sehr langer Zeit unseren Kunden und Mitgliedern, im geschäftlichen Bereich Funktionsadressen zu verwenden, da damit immer klar ist, dass damit keine private Nutzung verbunden werden kann und dahinter zwar natürliche Personen stehen können, aber eine persönliche Zuordnung im Sinne des Schutzes persönlicher Daten nicht möglich ist.
Dahinter steht noch ein anderer Aspekt: Schon in den Rechtsvorgängern der DSGVO war die Speicherung persönlicher Daten z.B. im Rahmen der Archivierung von Emails (mit geschäftlichem Inhalt nach HGB notwendig) in Unternehmen nicht zulässig. Die Rechtsprechung hat auch bestätigt, dass mit persönlich zuordenbarem Namen zugeteilte Emailadressen im Unternehmen auch (passiv) privat genutzt werden können, denn der Versand eigener privater Nachrichten kann vertraglich abbedingt werden, nicht aber der Empfang. Im Briefverkehr war hier die Unterscheidung möglich im Sinne von “Herrn Vorname Nachname, Firma”, was ohne Funktionsangabe des Empfängers als privat eingestuft werden musste, während eine Angabe “Frau Dezernentin Vorname Name, Firma” oder “Vorname Name, Abt 1a, Firma” als geschäftlich eingestuft wurde.
Wer also wissen will, ob eine erkennbar einem Namen zuordenbare Emailadresse (z.B. auch name123@ u. ä) besteht, muss sich also an die Regeln der DSGVO halten, wer eine erkennbare Funktionsadresse Adresse ohne Namensbezug verarbeitet, kann dies ohne DSGVO-Bezug tun. Eine Grauzone bleiben Adressen, die eine zuordenbare ID-Kennung sein könnten.
Unter diesen Prämissen braucht es keinen Dienstleister, denn wenn das berechtigte Interesse besteht (Kreditvergabe, begründetes Anschreiben), kann man die zu prüfende Adresse ja direkt anschreiben und um eine Antwort mit Begründung bitten. Da gibt es drei Antwortmöglichkeiten:
Der Angeschriebene antwortet als Bezugsperson oder als nicht Betroffener,
der Angeschriebene antwortet nicht (weil es diese Adresse gibt) oder
der Mailerdaemon antwortet, weil es diese Adresse nicht gibt.
Nicht alles an Dritte auszulagern, ist z.B. auch Datenschutz durch Design.