Anspruch auf Löschung der E-Mail-Adresse bei Spam?
Freitag, 12. Februar 2010, von Adrian Schneider
Stephan Hansen-Oest hat sich beim „Datenschutz Guru” mit der Frage beschäftigt, ob ein datenschutzrechtlicher Anspruch auf die Löschung von E-Mail-Adressen aus den Listen von Spammern besteht. Dabei kommt er zu einem erstaunlichen Ergebnis: Ein Anspruch besteht nicht unbedingt.
Problem: Der Negativabgleich
Verkürzt dargestellt (ausführlich hier) ist das Problem § 35 Abs. 3 Nr. 2 BDSG. Danach sind personenbezogene Daten nicht zu löschen, sondern nur zu sperren, wenn andernfalls „schutzwürdige Interessen des Betroffenen” beeinträchtigt würden.
Die Argumentation der Versender von Werbemails: Würde man die E-Mail-Adresse löschen, könnte man beim nächsten Einkauf von Adressen nicht sicherstellen, dass die E-Mail-Adresse erneut eingekauft wird. Deshalb müsse ein Negativabgleich mit einer Blacklist vorgenommen werden, um die dort gelisteten Adressen nicht erneut in den Verteiler aufzunehmen.
Gibt der Spammer zusätzlich eine Unterlassungserklärung ab, sieht Hansen-Oest außerdem § 28 Abs. 1 Nr. 1 BDSG als Rechtfertigung für die Speicherung erfüllt:
„Mit der Abgabe der Unterlassungserklärung und damit einer der Unterwerfung entsteht ein rechtsgeschäftliches Schuldverhältnis i.S.d. § 28 Abs. 1 Nr. 1 BDSG. [...] Für die Begründung und Durchführung dieses rechtsgeschäftlichen Schuldverhältnisses ist aber die Speicherung der E-Mail-Adresse zwingend erforderlich und die Verarbeitung der E-Mail-Adresse des Empfängers somit zulässig. Wegen des Grundsatzes der Erforderlichkeit darf die Verwendung der E-Mail-Adresse über die reine Nutzung für den Abgleich im Rahmen eines Sperrfilters nicht hinausgehen.”
Datenvermeidung und Datensparsamkeit?
Die Argumentation ist weit verbreitet, wenn auch nicht immer so sauber dargestellt und hergeleitet, wie von Stephan Hansen-Oest. Meines Wissens vertreten sogar viele Datenschutzbehörden diese Auffassung. Und in der Tat sieht auch alles danach aus, als ob genau dieses Vorgehen vom Bundesdatenschutzgesetz vorgesehen ist. Denn das BDSG versucht den schwierigen Spagat, den Handel mit (E-Mail-)Adressen grundsätzlich zu dulden, gleichzeitig aber auch das Selbstbestimmungsrecht der Betroffenen zu wahren. Das geht allerdings oft schief.
Ich habe jedenfalls Zweifel, ob dieses Modell des Negativabgleichs mit dem Grundsatz der Datenvermeidung und Datensparsamkeit aus § 3a BDSG vereinbar ist. Dieser lautet:
„Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.”
Hervorhebung nicht im Original
Der Negativabgleich mit Blacklists ist eine Paradebeispiel, wo man diesem Grundsatz gerecht werden könnte. Zum Beispiel wäre es möglich, die Adressen nachträglich zu anonymisieren und nicht im Klartext, sondern als Hash-Wert zu speichern.
Dabei handelt es sich um (größtenteils) eindeutige Prüfsummen, die nur mit unverhältnismäßig großem Aufwand in den Klartext zurück gerechnet werden können. Anstatt zum Beispiel die Adresse test@example.com in die Blacklist aufzunehmen, könnte man nur den (fiktiven) Hashwert „567159d622ff” speichern. Eine Rückberechnung ist nicht möglich – jedenfalls nicht innerhalb der nächsten Jahrzehnte. Ein Abgleich mit neuen Adressen wäre aber trotzdem möglich: Man berechnet von den neu angekauften Adressen einfach ebenfalls den Hash-Wert und vergleicht ihn mit der Blacklist.
Gleichzeitig wäre aber der Datenschutz der Betroffenen gewahrt. Denn ein Missbrauch der Adressen ist damit ausgeschlossen. Dass es (je nach Hash-Algorithmus) in einem vom 269 Fällen theoretisch zu einer fälschlichen Erkennung einer E-Mail-Adresse auf der Blacklist kommen kann, halte ich für hinnehmbar.
Nicht ausdrücklich vorgesehen
Ich sehe allerdings ein, dass eine solche nachträgliche Anonymisierung vom Gesetz nicht direkt vorgesehen ist. Nimmt man den Grundsatz der Datenvermeidung und Datensparsamkeit aber ernst, halte ich sie für einen gangbaren Weg, der dem Schutz der Betroffenen dient. Ich sehe jedenfalls nicht ein, warum ich ohne Not die Speicherung meiner E-Mail-Adresse hinnehmen soll, um eine rechtswidrige Verwendung derselben zu verhindern.
Allerdings bleibt auch in diesem Fall das Ergebnis identisch: Ein Anspruch auf Löschung besteht nicht. Wohl aber auf eine Anonymisierung und Sperrung.
Stephan Hansen-Oest, Datenschutzrechtlicher Anspruch auf Löschung der E-Mail-Adresse bei unverlangter Werbung (SPAM).
Trackbacks
Trackback-URL für diesen Eintrag
Keine Trackbacks
Kommentare
Dein Vorschlag, mit verhashten E-Mail-Adressen ist sehr gut. Und da liegst du m.E. ganz richtig, da § 3a BDSG als Zielvorgabe einschlägig ist.
In der datenschutzrechtlichen Praxis spielt § 3a BDSG nachwievor ein eher stiefmütterliches Dasein. So ist das wohl, wenn gesetzliche Regelungen keine Pflicht, sondern lediglich "Zielvorgabe" sind. Das ist aber ein grundlegendes systematisches Problem der Norm.
In der anwaltlichen Praxis werde ich das Beispiel mit den verhashten E-Mail-Adressen mal einsetzen und schauen, wie die Reaktionen sind.
In der datenschutzrechtlichen Praxis spielt § 3a BDSG nachwievor ein eher stiefmütterliches Dasein. So ist das wohl, wenn gesetzliche Regelungen keine Pflicht, sondern lediglich "Zielvorgabe" sind. Das ist aber ein grundlegendes systematisches Problem der Norm.
In der anwaltlichen Praxis werde ich das Beispiel mit den verhashten E-Mail-Adressen mal einsetzen und schauen, wie die Reaktionen sind.
Danke für das Feedback. Wäre spannend zu hören, wie die Erfahrungen in der Praxis dann aussehen.
Der Ansatz mit dem Hash-Wert ist ein uralter Hut., hat sich in der Praxis aber nicht durchgesetzt. Durch die Anonmyisierung ist bei der späteren Filterung stets immer nur ein 1:1-Abgleich möglich. Ein Teil-Vergleich, bei dem Neu-Anmeldungen auf Hold gesetzt werden und die einer manuellen Nachkontrolle unterzogen werden, ist dann nicht machbar,
Und: 2 Hoch 69 mag ja mathematisch unwahrscheinlich sein, aber an dem Argument eine Vertragsstrafe aufhängen lassen?
Und: 2 Hoch 69 mag ja mathematisch unwahrscheinlich sein, aber an dem Argument eine Vertragsstrafe aufhängen lassen?
Durch die Anonmyisierung ist bei der späteren Filterung stets immer nur ein 1:1-Abgleich möglich. Ein Teil-Vergleich, bei dem Neu-Anmeldungen auf Hold gesetzt werden und die einer manuellen Nachkontrolle unterzogen werden, ist dann nicht machbar.
In welchen Fällen ist es denn notwendig, die E-Mail-Adressen auf Teilpattern zu prüfen? Mir fällt da spontan eigentlich nur ein Anwendungsbereich ein: Nämlich der, dass eine Betroffener sämtliche E-Mail-Adressen seiner Domain gesperrt haben möchte. In diesem Fall könnte man einfach eine zweite Hash-Tabelle für den Domain-Part anlegen.
Ich habe auch nichts dagegen, in Sonderfällen ausnahmsweise die Speicherung im Klartext als gerechtfertigt anzusehen. Nämlich dann, wenn es wirklich notwendig ist, die berechtigten Interessen des Betroffenen zu wahren.
Ich störe mich ja nur daran, dass behauptet wird, die Speicherung der E-Mail-Adresse sei per se notwendig, um Blacklists zu erstellen.
Und: 2 Hoch 69 mag ja mathematisch unwahrscheinlich sein, aber an dem Argument eine Vertragsstrafe aufhängen lassen?
Bei einem von 2 hoch 69 Fällen kann es bei SHA1 vorkommen, dass zwei Strings den selben Hash-Wert haben (mit Hilfe anderer Algorithmen ist das Risiko sogar noch deutlich geringer). Die Fehlerkennung bezieht sich also auf E-Mail-Adressen, die fälschlicherweise als "geblockt" erkannt werden - nicht auf eine Fehlerkennung, dass eine geblockte E-Mail-Adresse als zulässig erkannt wird. Eine Vertragsstrafe droht durch die Fehlerkennung also nicht.
@Teilpattern: Das ist spätestens dann notwendig geworden, seitdem ein Teil der Rechtsprechung einen unbeschränkten, nicht auf einzelne E-Mail-Adresse bezogenen Anspruch bejaht.
@Blocking: Ja, stimmt, war ein Gedankenfehler. Im worst case wird "nur" eine richtige Mail-Adresse geblockt, mehr passiert nicht.
@Blocking: Ja, stimmt, war ein Gedankenfehler. Im worst case wird "nur" eine richtige Mail-Adresse geblockt, mehr passiert nicht.
Haben Sie ein Beispiel, wo ein Anspruch zugesprochen wurde, der nicht auf einzelne E-Mail-Adressen beschränkt ist? Ich bin mir nämlich nicht ganz sicher, ob ich verstehe, was Sie meinen.
