1a = 2b: personenbezogene bzw. personenbeziehbare Daten. Ich sehe auch für Adressen Personenbezug, die “ins Blaue” geschätzt sind. Existieren sie, dann lassen sie sich einer Person zuordnen. Wer solche (nicht reale, sondern einstweilen äh…) realistische Daten verarbeitet (Auftraggeber oder verantwortlicher Dienstleister) muss das verantworten können. (Außer bei synthetischen Datenbeständen, die nicht “nach draußen” verwendet werden sollen.) Nicht nur bei Namensadressen, sondern auch bei Funktionsadressen wie “info@” oder “datenschutz@”, weil dahinter Personen sitzen, die anderweitig bekannt werden können.
2: Wenn den Dienst nicht interessiert, von wem er Daten bekommt bzw. an wen er sie übermittelt, bekommt er mangels Kenntnis die für “berechtigte Interessen” nötige Erforderlichkeit und auch die Abwägung nicht hin. Damit würde ich zur Notwendigkeit für eine Folgenabschätzung eskalieren. Auftragsverarbeitung könnte man auch mit Minimal-Registrierung machen. (Oh, und der Profi-Dienst sollte bei dieser Gelegenheit prüfen, ob die hinterlegte Adresse stimmt…)
- Wenn die Zahlung nicht auf Bitcoin o. ä. beruht sind Zahlungsdaten bekannt. Es wird ein Vertrag zugrunde liegen, an den man Auftragsverarbeitung anschrauben kann.
Ich behandle mal überall die Verantwortung und Zulässigkeit:
Server: Die Mailserver nehmen Mails entweder an, oder sie lehen sie ab. Das tun sie und dürfen sie, um ihre Funktion zu erbringen. Eine Lösung des bisherigen Nicht-Problems wäre so zu tun als würden sie alles annehmen, wobei sie Mail an nicht vorhandene Empfänger sofort dem Schwarzen Loch zuleiten. Nehmen solche Zweckentfremdungen überhand, müsste man sich was einfallen lassen; z. B. äußere Ringe für alles Mögliche und innere Ringe für das tatsächliche Mail-Handling. (Eine Erneuerung des Mail-Skeletts wäre schon lange fällig, z. B. grundsätzlich Ende-zu-Ende-Verschlüsselung vorsehen.)
Dienstleister: Der Prüfdienst benötigt für seine Verarbeitung personenbezogener Daten Rechtsgrundlagen. Die bräuchte er bei Auftragsverarbeitung nicht, wenn er den Erlaubnistatbestand seines Auftraggebers mitnutzen kann. Ist er selbst verantwortlich, kommt nur “berechtigtes Interesse” des Auftraggebers in Frage; mit allen Bedingungen /Abwägungen, Widerrufsmöglichkeit usw. (Art. 6 Abs. 1 lit. f DSGVO). Zwecke und Aktivitäten wären einerseits die Prüfung gegen Mailserver, andererseits die Rückübermittlung des Ergebnsises an den Auftraggeber.
Für das Ergebniss müsste der Auftraggeber erreichbar sein; entweder wird es noch während der Sitzung mitgeteilt, oder die Mailadresse muss (vorübergehend) gespeichert werden, bzw. er erhält bei Auftragserteilung ein Token zum Abruf.
Läuft das alles voll automatisch ab und beeiflussen weitere Kriterien das Ergebnis, kann es sich um automatisierte Entscheidungsfindung handeln, was zusätzliche Klimmzüge mit sich bringen kann. Das wird nicht unbedingt beim Dienst selbst zu Folgen für die betroffenen Personen führen, wahrscheinlich aber bei seinen Auftraggebern. (Evtl. auch beim Dienst, wenn er Erfahrungen mit einzelnen Mailadressen oder Domains sammelt, um bei späteren Anfragen darauf zurückzugreifen = Profiling!) Denkbare Kriterien wären die Zuverlässigkeit von Mail-Domains, Länder, Antwortzeiten, Server- und Übertragungssicherheit etc.
Der Dienst erhebt die Daten wahrscheinlich selten bei den betroffenen Personen selbst, müsste diese neben seinen Pflichtinformationen (Art. 13 DSGVO) also auch über die Herkunft informieren (Art. 14 DSGVO). (Die anfragende Stelle wäre gleichzeitig Datenempfänger für das Ergebnis.) Die Informationspflicht lässt sich nicht abtun, weil mit funktionierenden Mailadressen eine prima Möglichkeit besteht, ihr nachzukommen. (Frisches Futter für Spamfilter.)
Ach, ja, in Deutschland dürften solche Benachrichtigungen keine Werbung enthalten (z. B. Kompetenzaussagen /Vorteile des Dienstes), weil keine Einwilligung bestehen wird (§ 7 Abs. 2 UWG).
Auftraggeber: Der Auftraggeber des Dienstes braucht für seine Übermittlung an diesen einen vertretbaren Zweck; z. B. für die Kreditprüfung, was meist auf Art. 6 Abs. 1 lit. b bzw. f gestellt wird (Vertragserfüllung bzw. berechtigtes Interesse). Die Erforderlichkeit sollte nachvollziehbar sein (s. Anforderungen an die jeweilige Rechtsgrundlage) und die Betroffenen wären über diesen Zweck und die damit einher gehende Übermittlung zu informieren (Art. 13 DSGVO).
Hängt die Prüfung mit automatisierter Entscheidungsfindung zusammen (s. o.) müsste sie zulässig und transparent (Informationspflicht) ausgestaltet sein.
D., dem das Angebot immer noch suspekt ist. (Nicht grundsätzlich, aber wegen der angedachten Umsetzungsvarianten.)