Telemedicus

, von

Anspruch auf Löschung der E-Mail-Adresse bei Spam?

Stephan Hansen-Oest hat sich beim „Datenschutz Guru” mit der Frage beschäftigt, ob ein datenschutzrechtlicher Anspruch auf die Löschung von E-Mail-Adressen aus den Listen von Spammern besteht. Dabei kommt er zu einem erstaunlichen Ergebnis: Ein Anspruch besteht nicht unbedingt.
Problem: Der Negativabgleich

Verkürzt dargestellt (ausführlich hier) ist das Problem § 35 Abs. 3 Nr. 2 BDSG. Danach sind personenbezogene Daten nicht zu löschen, sondern nur zu sperren, wenn andernfalls „schutzwürdige Interessen des Betroffenen” beeinträchtigt würden.

Die Argumentation der Versender von Werbemails: Würde man die E-Mail-Adresse löschen, könnte man beim nächsten Einkauf von Adressen nicht sicherstellen, dass die E-Mail-Adresse erneut eingekauft wird. Deshalb müsse ein Negativabgleich mit einer Blacklist vorgenommen werden, um die dort gelisteten Adressen nicht erneut in den Verteiler aufzunehmen.

Gibt der Spammer zusätzlich eine Unterlassungserklärung ab, sieht Hansen-Oest außerdem § 28 Abs. 1 Nr. 1 BDSG als Rechtfertigung für die Speicherung erfüllt:

„Mit der Abgabe der Unterlassungserklärung und damit einer der Unterwerfung entsteht ein rechtsgeschäftliches Schuldverhältnis i.S.d. § 28 Abs. 1 Nr. 1 BDSG. […] Für die Begründung und Durchführung dieses rechtsgeschäftlichen Schuldverhältnisses ist aber die Speicherung der E-Mail-Adresse zwingend erforderlich und die Verarbeitung der E-Mail-Adresse des Empfängers somit zulässig. Wegen des Grundsatzes der Erforderlichkeit darf die Verwendung der E-Mail-Adresse über die reine Nutzung für den Abgleich im Rahmen eines Sperrfilters nicht hinausgehen.”

Datenvermeidung und Datensparsamkeit?

Die Argumentation ist weit verbreitet, wenn auch nicht immer so sauber dargestellt und hergeleitet, wie von Stephan Hansen-Oest. Meines Wissens vertreten sogar viele Datenschutzbehörden diese Auffassung. Und in der Tat sieht auch alles danach aus, als ob genau dieses Vorgehen vom Bundesdatenschutzgesetz vorgesehen ist. Denn das BDSG versucht den schwierigen Spagat, den Handel mit (E-Mail-)Adressen grundsätzlich zu dulden, gleichzeitig aber auch das Selbstbestimmungsrecht der Betroffenen zu wahren. Das geht allerdings oft schief.

Ich habe jedenfalls Zweifel, ob dieses Modell des Negativabgleichs mit dem Grundsatz der Datenvermeidung und Datensparsamkeit aus § 3a BDSG vereinbar ist. Dieser lautet:

„Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.”
Hervorhebung nicht im Original

Der Negativabgleich mit Blacklists ist eine Paradebeispiel, wo man diesem Grundsatz gerecht werden könnte. Zum Beispiel wäre es möglich, die Adressen nachträglich zu anonymisieren und nicht im Klartext, sondern als Hash-Wert zu speichern.

Dabei handelt es sich um (größtenteils) eindeutige Prüfsummen, die nur mit unverhältnismäßig großem Aufwand in den Klartext zurück gerechnet werden können. Anstatt zum Beispiel die Adresse [email protected] in die Blacklist aufzunehmen, könnte man nur den (fiktiven) Hashwert „567159d622ff” speichern. Eine Rückberechnung ist nicht möglich – jedenfalls nicht innerhalb der nächsten Jahrzehnte. Ein Abgleich mit neuen Adressen wäre aber trotzdem möglich: Man berechnet von den neu angekauften Adressen einfach ebenfalls den Hash-Wert und vergleicht ihn mit der Blacklist.

Gleichzeitig wäre aber der Datenschutz der Betroffenen gewahrt. Denn ein Missbrauch der Adressen ist damit ausgeschlossen. Dass es (je nach Hash-Algorithmus) in einem vom 269 Fällen theoretisch zu einer fälschlichen Erkennung einer E-Mail-Adresse auf der Blacklist kommen kann, halte ich für hinnehmbar.

Nicht ausdrücklich vorgesehen

Ich sehe allerdings ein, dass eine solche nachträgliche Anonymisierung vom Gesetz nicht direkt vorgesehen ist. Nimmt man den Grundsatz der Datenvermeidung und Datensparsamkeit aber ernst, halte ich sie für einen gangbaren Weg, der dem Schutz der Betroffenen dient. Ich sehe jedenfalls nicht ein, warum ich ohne Not die Speicherung meiner E-Mail-Adresse hinnehmen soll, um eine rechtswidrige Verwendung derselben zu verhindern.

Allerdings bleibt auch in diesem Fall das Ergebnis identisch: Ein Anspruch auf Löschung besteht nicht. Wohl aber auf eine Anonymisierung und Sperrung.

Stephan Hansen-Oest, Datenschutzrechtlicher Anspruch auf Löschung der E-Mail-Adresse bei unverlangter Werbung (SPAM).

  • Adrian Schneider ist Mitbegründer, Vorstand und Hausnerd von Telemedicus sowie Rechtsanwalt bei Osborne Clarke in Köln.

, Telemedicus v. 12.02.2010, https://tlmd.in/a/1647

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Newsletter

In Kooperation mit

Kommunikation & Recht

Hosting

Domainfactory