E-Mails und die DSGVO. 5 Tipps gegen Datenpannen

Eberhard Häcker • 30. Januar 2024

Der kleine feine Datentipp

Lesezeit: ca. 6 Minuten

Hände am Laptop


Wer eine E-Mail schreibt, kann aus Sicht der DSGVO Fehler machen. Ja, mit einer einzigen Mail kann sogar gleich eine ganze Reihe an Datenschutz-Verstößen passieren. Welche das sind, zeigt der aktuelle Datentipp – zusammen mit Hintergrundinfos und Tipps, um Datenpannen in geschäftlichen E-Mails zu verhindern.


Datenschutz bei geschäftlichen Mails


Beispiel: Wichtige Mails abarbeiten – teilweise


Da kommt eine ziemlich lange Mail herein. An der Betreffzeile sehen Sie, dass Sie die Nachricht schon erwartet haben. Super, denken Sie, darin gehts um etwas, dessen Stand Sie gerade dringend brauchen. Sie öffnen die Mail, legen los und erledigen die Sache. Damit ist die Mail abgearbeitet. Noch schnell ablegen, so, was steht als Nächstes an?

Drei Tage später. Der Absender der erhaltenen Mail fragt genervt, wann er denn mit der Antwort auf seine Mail rechnen kann. Sie wundern sich. Welche Mail? Welche Antwort? Ist doch längst beantwortet, oder? Sie sehen nach. Hoppla, in der Mail standen weiter unten noch zwei wichtige Fragen zu anderen Themen. So weit hatten Sie gar nicht gelesen. Und im Betreff stand davon auch nichts.





Eine Mail, eine Betreffzeile, fünf wichtige Themen und zehn Empfänger


Hand aufs Herz – wie oft haben Sie schon eine Mail mit einem dringend erwarteten Thema erhalten und weitere wichtige Themen darin übersehen? Eigentlich sollte man pro zu erledigender Aufgabe eine Mail erhalten, für die nächste Aufgabe eine andere Mail und so weiter. Wer die Mail einem Thema zuordnet und im entsprechenden Ordner ablegt, findet die anderen Themen sonst nicht wieder. Und wer eine Mail mit verschiedenen Themen mehrfach ablegt, verletzt damit unter Umständen den Datenschutz oder die Vertraulichkeit, wenn plötzlich Unbefugte Zugriff auf geschützte Inhalte erhalten.




Tücken beim E-Mail-Schreiben


Und umgekehrt: Wie oft ist es Ihnen so gegangen, dass Sie gerade eine wichtige Mail an jemanden geschrieben haben mit dem neuesten Stand eines Projekts und, ach ja, dem Empfänger wollten Sie doch noch Infos zu einem anderen Thema geben und ihn sowieso noch etwas fragen? Wenn Sie grade eine Mail schreiben, dann nehmen Sie das schnell mit rein, jetzt denken Sie grade dran?


Wenn Themen in Mails durcheinandergehen, ist Chaos programmiert. Und die Datenschutzverletzung in Sachen Betroffenenrecht auf Löschung leider auch.

quote

„Wer mit einem Geschäftsvorfall möglichst viele Datenpannen auslösen möchte, schreibe eine Mail mit mehreren Inhalten an mehrere Personen.“



Datenschutz-Risiken bei geschäftlichen E-Mails


Enthalten E-Mails personenbezogene Daten?


Haben Mails überhaupt mit Datenschutz zu tun? Klare Antwort: Ja. (Fast) alle Mails enthalten personenbezogene Daten. Und sehr viele Mails enthalten schützenswerte Infos. Ein verantwortungsbewusster Umgang ist also unerlässlich. Und das heißt: Erst denken, dann klicken.




Grundregeln für E-Mails


Eigentlich sollte man Mails behandeln wie SMS oder Messenger-Nachrichten: Eine Mail, eine Info – und nur an die Empfänger, die sie brauchen. Eine Mail mit verschiedenen Infos zu kopieren, löst das Problem nicht. Nachrichten mit mehreren Informationen an mehrere Empfänger bergen immer die Gefahr, dass nicht alle für alle Themen befugt sind. Einer Verletzung von Informationssicherheit oder Datenschutz sind dann Tür und Tor geöffnet.




Wenn Mail-Inhalte untergehen


Ein weiteres Risiko: Informationen können verloren gehen, Fristen können verpasst werden. Wenn in einer Mail mehrere Inhalte stehen und manche davon sind zeitkritisch, wird schnell etwas übersehen, eine Info geht unter, eine Frist wird verpasst. Und das, obwohl der Versender glaubt, alles sei angekommen. Besonders ärgerlich ist das, wenn wichtige Fristen verstreichen.




Zeitspartipp beim E-Mail-Schreiben


Und noch ein Risiko: Die Speicherung einzelner Informationen gerät durcheinander, in der Folge lassen sich Themen nicht mehr oder nur unter erschwerten Bedingungen wiederfinden. Es soll ja Menschen geben, die nicht voll ausgelastet sind, sich manchmal sogar langweilen. Die suchen gerne mal nach mysteriösen Mailinhalten. Oder sind das nur Gerüchte? Tatsache ist, die meisten von uns sind froh, wenn sie mit ihrer knappen Zeit hinkommen (ist schließlich einer der Gründe, warum wir gerne mehrere Infos in eine Mail schreiben – um Zeit zu sparen). Aber wie war das mit dem schönen Spruch: „Wenn du es eilig hast, gehe langsam.“ Das kann man leicht abwandeln: „Wenn du Zeit sparen willst, schreibe pro Thema eine eigene Mail.“




Versehentlich Vertrauliches verraten


Und ein letztes großes Risiko: unerlaubte Weiterleitung vertraulicher Inhalte oder personenbezogener Daten an unbefugte Personen. Ja, man kann eine Mail mit mehreren Inhalten mehrfach speichern oder kopieren und mehrfach versenden. Aber gerade dann kann es bei Weiterleitung zu einer Data Breach kommen, sprich einer Schutzverletzung, wenn nicht alle Inhalte für alle Empfänger gedacht waren.


Halten wir fest: Wenn eine Mail mehrere Inhalte enthält und mehrere Empfänger sie bekommen, entstehen Risiken für Datenschutz und Informationssicherheit. Wenn nicht geklärt ist, wo Mails gespeichert werden müssen, wann sie zu löschen sind und wer sie lesen darf, ist Chaos programmiert. Strukturiertes Prozessmanagement geht anders.






Was gehen Mails den Datenschutz an?


Im Geschäftsverkehr gibts es keine E-Mails ohne Personenbezug. Mindestens die Kommunikationspartner lassen sich identifizieren. Mails gehen den Datenschutz also immer etwas an. Das gilt umso mehr, wenn versehentlich oder aus Unachtsamkeit Fehler passieren und eine Datenpanne auslösen. Dann gelten die Pflichten das Datenschutzgesetzes wie Einhalten des Meldeweges, Prüfung der Meldepflicht sowie gegebenenfalls Meldung an die Aufsichtsbehörde.




E-Mails und die DSGVO


Was gibt es in Sachen Mails beim Datenschutz zu beachten? Einige Hinweise, was es zu bedenken gilt:


  • Liegt eine Mail im falschen Ordner, wie will man die Löschfrist für die anderen Themen einhalten?

  • Die DSGVO fordert Datenverfügbarkeit. Wie steht es damit, wenn Inhalte unauffindbar sind, weil eine Mail mit mehreren Themen nur in einem Ordner liegt?

  • Datenpanne? Eine Mail mit weiteren Inhalten, an die man gerade nicht denkt, die aber nicht für die empfangende Person bestimmt sind, bedeutet bereits eine Schutzverletzung im Zusammenhang mit personenbezogenen Daten.


Man kann es auch umgekehrt ausdrücken: Wer mit einem Vorgang möglichst viele Datenpannen auslösen möchte, schreibe eine Mail mit mehreren Inhalten an mehrere Personen.




Geschäftliche E-Mails und die Grundsätze der Datenverarbeitung



Die Datenschutz-Grundverordnung nennt in Artikel 5 die Grundsätze, die Sie bei der Verarbeitung personenbezogener Daten berücksichtigen müssen. Welche sind das und wie halten Sie sie beim Mailen ein?


Datenverarbeitung auf rechtmäßige Weise

Mailinhalte dürfen nur an Befugte gehen. Für andere Weiterleitungen gibt es keine Rechtsgrundlage.


Datenverarbeitung nach Treu und Glauben:

Personen dürfen davon ausgehen, dass sie betreffende Inhalte nicht bei Unbefugten landen.


Transparenz

Damit ist nicht gemeint, dass Sie Daten transparent mit anderen teilen sollen. Der Grundsatz bedeutet, betroffene Personen müssen erfahren, wo und wie Sie ihre Daten verarbeiten.


Datenverarbeitung gemäß Zweckbindung

Eine Mail dient manchem Zweck – aber nicht dem, möglichst viele vertrauliche Inhalte mit möglichst vielen Menschen zu teilen.


Datenminimierung

Ebenso werden Sie dem Grundsatz der Datenminimierung nicht gerecht, wenn Sie Inhalte maximal verteilen.


Richtigkeit

Wer Personendaten verarbeitet, hat ihre Richtigkeit sicherzustellen. Wen Inhalte nichts angehen, für den sind sie auch nicht richtig.


Speicherbegrenzung

Die DSGVO fordert, Daten zu löschen, wenn sie nicht mehr gebraucht werden oder die gesetzliche Aufbewahrungsfrist erfüllt ist. Je mehr Inhalte eine Mail hat, desto schwerer lässt sich das einhalten.


Integrität und Vertraulichkeit

Sehen Unbefugte Inhalte, die sie nichts angehen, ist die Vertraulichkeit verletzt.


Fällt Ihnen spontan ein, wo Sie mehr Datenschutzverstöße begehen können als bei einer Mail mit mehreren Inhalten an verschiedene Personen?



Tipps für E-Mails ohne Datenpannen


Zum Glück lassen sich Datenschutzverstöße beim Mailen vermeiden. Hier einige Tipps und Maßnahmen.


Tipp Nr. 1

Legen Sie fest, dass im Unternehmen je Inhalt eine Mail geschrieben wird.

Tipp Nr. 2

Stellen Sie sicher, dass jede Mail tatsächlich nur empfängt, wer für die Inhalte und personenbezogenen Daten befugt ist.

Tipp Nr. 3

Legen Sie fest, wann Mailinhalte zu löschen sind. Treffen Sie alle nötigen Vorbereitungen, damit Mails dann auch wirklich gelöscht werden.

Tipp Nr. 4

Stellen Sie sicher, das Thema regelmäßig in Datenschutz-Schulungen zu berücksichtigen.

Tipp Nr. 5

Sensibilisieren Sie die Mitarbeitenden, eine Mail vor dem Abschicken noch einmal durchzulesen und zu prüfen, dass wirklich nur ein Inhalt in der Mail enthalten ist oder nur solche Inhalte, die dieselbe Person und denselben Vorgang betreffen.



Und die Kernfrage: Ist sichergestellt, dass Versehen beim Mailverkehr nicht ein Maximum an Datenschutzverstößen nach sich zieht?



Wir wünschen viel Erfolg dabei, E-Mails sicher zu regeln.



Sie wünschen sich Unterstützung?

Die Experten von Team Datenschutz sind für Sie da.

Bei Datenschutz-Fragen Team Datenschutz fragen.


Kontakt aufnehmen Kontakt aufnehmen

Hat Ihnen der Datentipp gefallen? Empfehlen Sie ihn weiter!

Der VVT-Check

Passgenaue Analyse. Klare Empfehlungen.

Endlich Sicherheit beim Verzeichnis der Verarbeitungstätigkeiten.


Jetzt unverbindlich kennenlernen:

zum VVT-Check

15. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 14. Dezember 2025
Dieses Türchen verbindet Alltag, Risiko und Weihnachtszauber und zeigt, warum Datenschutz in Behörden nicht nur Pflicht ist – sondern Menschenschutz.

14. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 13. Dezember 2025
Das heutige Adventskalender-Türchen ist für alle, die wissen wollen, wie Datenschutz auch auf vier Rädern funktioniert.

13. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 12. Dezember 2025
In dieser warm erzählten Adventsgeschichte zeigt ein Fuhrparkleiter, wie man mit Ruhe, Respekt und Know-how eine stille Datenpanne verhindert und gleichzeitig das gesamte Unternehmen verbessert.

12. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 11. Dezember 2025
VPN, Verschlüsselung und richtige Reihenfolge entscheiden, ob ein Angreifer nur bunte Datenpakete sieht oder ob ein echtes Risiko entsteht.

11. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 10. Dezember 2025
Nicht jeder Held trägt einen Umhang. Diese Geschichte erzählt von einem Kollegen, der mehr Sicherheit schafft als jede technische Maßnahme.

10. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 9. Dezember 2025
Was tun, wenn ein externer Partner einen Datenschutzfehler verursacht? Ein spannendes Türchen über Krisenkompetenz, Vertrauen und echtes Projekt-Leadership.

9. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 8. Dezember 2025
Wie gewinnt man Kunden, wenn Budgets wie dünne Eiszapfen wirken? Indem man zeigt, dass Datenschutz nicht nur Ressourcen kostet, sondern sich auszahlen kann.

8. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 7. Dezember 2025
Das 8. Türchen zeigt humorvoll, wie ein unscheinbarer Router zum Risiko wird und wie ein IT-Kollege mit viel Fachkenntnis (und etwas Übermut) eine kritische Situation sichtbar macht.

7. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 6. Dezember 2025
Was passiert, wenn ein Team erkennt, dass ein Kollege unterzugehen droht? In dieser warmen Adventsgeschichte wird aus Stress eine stille, liebevolle Rettungsaktion.
Mehr anzeigen