Weiterleitung von email an Dritte (DSGVO), erlaubt?
Wir haben einer Firma, bezüglich der Verwendung ihres Logos per email eine Anfrage gestellt. Nach Wochen kam eine Antwort eines weiteren, uns unbekannten Unternehmens. Es sind alle vertraulichen Daten komplett als eMail weitergeleitet worden, ohne unsere Willenserklärung. Stellt dies einen klaren Verstoß nach DSGVO da?
3 Antworten
Das ist paschal schwer zu beantworten.
Die DSGVO befasst sich mit dem Schutz von personenbezogenen Daten - nicht generell von Daten.
Das Cola-Rezept, die Fertigung eines bestimmten Auto-Motors oder ein internes Strategiepapier sind somit (wenn da keine Namen von Personen vorkommen) nicht von dieser Verordnung geschützt (tatsächliche Betriebsgeheimnisse darf man aufgrund anderer Gesetze aber trotzdem nicht verraten).
Kontaktdaten von Unternehmen sind im allgemeinen nicht geschützt, da Unternehmen (von ausnahmen abgesehen) keine natürlichen Personen (Menschen) sind.
Auch Daten, die problemlos in Erfahrung gebracht werden können, sind im allgemeinen nicht geschützt. Wenn also die Kontaktdaten eines Ansprechpartners auf der Unternehmenswebsite veröffentlicht wurden, darf man diese auch verwenden (sonst wäre das ganze ja sinnlos). Bei der Veröffentlichung muss sich der Arbeitgeber des Mitarbeiters allerdings an die Vorschriften der DSGVO halten.
Wenn die Daten zur Erledigung eines Auftrags oder aus gesetzlichen Gründen benötigt werden, dürfen diese auch ohne Einverständnis gespeichert/weitergegeben werden. Ein Online-Shop darf deine Adresse also einem Versanddienstleiter weitergeben und der Online-Shop darf (muss) deine Adresse im Rahmen der Steuer eine zeit lang für diesen Zweck behalten.
-------
Nun zur Frage: Vermutlich beinhaltete die Mail einen Text der Form "wir haben interesse das logo zu verwenden, damit wir damit ... machen können mfg xyz". Davon ausgehend wäre das einzige personenbezogene Datum in diesem Fall der Name am Ende der Mail (und ggf. die Mail-Adresse, wenn die personenbezogen also z.B. vorname.nachname ist). Ohne den Fall genau zu kennen gehe ich mal davon aus, dass die angeschriebene Firma nicht die Rechte an dem Logo hatte und deshalb die Anfrage an das Zuständige Unternehmen weitergeleitet hat. Auch den Namen und die Mail-Adresse des Anfragenden weiterzuleiteten wäre vermutlich nicht notwendig gewesen - dass das bei einer Beschwerde geahndet würde, halte ich aber für sehr unwahrscheinlich.
So wie ich ihre Frage verstehe, stört Sie aber auch gar nicht die Weitergabe des Namens des Ansprechpartners, sondern die Weitergabe der Beschreibung was mit dem Logo gemacht werden soll. Das sind aber wahrscheinlich keine personenbezogenen Daten und somit fällt das nicht unter die DSGVO.
Dass im Text selbst personenbezogene Daten stehen, macht die Sache möglicherweise etwas komplizierter.
Bezüglich der privaten Handynummern. Es sind sowohl private Handynummern, als auch Betriebliche Nummern, die genau einer Person zugeordnet sind als personenbezogene Daten von der DSGVO geschützt. Nicht geschützt sind lediglich nicht personenbezogene Nummern (z.B. Hotline, Empfang, ...). Man sollte im Unternehmen private Geräte allerdings nicht betrieblich nutzen, da es sonst schnell passieren kann, dass ein Mitarbeiter betriebliche Daten (z.B. Kontakte) auf seinem privaten Gerät speichert und dann unbewusst unerlaubt weitergibt (Cloud-Sicherung des Gerätes, Nutzung von Messenger-Diensten, ...)
Nun zum konkreiten Fall:
Ihr habt die Firma bezüglich der Verwendung des Logos um Erlaubnis gefragt. Offenbar wart ihr dabei der Meinung, dass die dabei im Text mitgelieferten Personenbezogenen Daten für die Beantwortung notwendig sind. Das Unternehmen hat (wahrscheinlich ohne darüber nachzudenken) die Einschätzung, dass die Daten für die Beantwortung notwendig sind, übernommen und die Daten deshalb weitergeleitet.
Sollten die Daten für die Beantwortung nicht notwendig gewesen sein, hätte das Unternehmen sie nicht weitergeben dürfen. Allerdings hättet ihr sie dann auch nicht weitergeben dürfen.
In wie weit die Daten gleich an 8 Empfänger gehen mussten, ist eine andere Frage. Erstmal sagt die Anzahl der Mail-Adressen nichts über die Anzahl der Weitergaben aus. Eine Weitergabe personenbezogener Daten liegt nur vor, wenn ein zusätzliches Unternehmen (oder eine Person in ihrer Funktion als Privatpersion) die Daten erhält. Wird die Mail an Mitarbeiter im gleichen Unternehmen weitergeleitet, liegt keine Weitergabe vor. Berater können dabei (je nach Art der Tätigkeit) wie eigene Mitarbeiter angesehen werden. Werden die Daten im Rahmen der Auftragsdatenverarbeitung an ein weiteres Unternehmen weitergeleitet, liegt ebenfalls keine Weitergabe vor. Wird die Mail an mehrere Mitarbeiter eines externen Unternehmens, dass diese noch nicht hatte, weitergeleitet, liegt lediglich eine Weitergabe an dieses Unternehmen vor.
Sollte es sich um mehrere Empfänger aus mehreren Unternehmen handeln, gäbe es dort durchaus Klärungsbedarf. Eine Kette wie z.B. erst an den Chef, dann an den Verkäufer des Logos, dann an den Designer - ggf. zwischenzeitlich an das Sekretariat, andere Mitarbeiter oder den Rechtsanwalt wäre wohl OK. Eine Weiterleitung an mehrere unabhängige Designer, die das Unternehmen alle mal beauftragt hat und bei denen man gerade zu faul war in Erfahrung zu bringen wer denn damals das Logo gemacht hat, wäre dagegen nicht korrekt.
nein nicht unbedingt:
wenn es der rechteverwalter oder die kanzlei, welche die rechte der jwlg. firma vertritt, stellt dies kein bruch / verstoß des dsgvo dar.
bsp: ein grafiker erstellt ein logo für eine firma und räumt ihr das alleinige nutzungsrecht ein, dann ist er zur rückfrage berechtigt, da er als urheber auch seine rechte wahren möchte und darf.
Das verstehe ich ja, aber dehalb muß er nicht den kompletten Datensatz von uns erhalten und der Schriftverkehr nicht an weitere unter cc. erfolgen.
ich kann deine bedenken verstehen, doch in der heutigen zeit gilt mehr denn je die regel: trau - schau - wem...
bsp: bei fa. "malewarebyte" habe ich meine software gekauft. eine fa. "2checkout" sendet mir die bestätigung mit allen vertragsangaben... (outsourcing nimmt ungeahnte wege)...
Schon klar, denke nur in unserem Fall sollte ein Unternehmen wie Beiersdorf den Anstand haben vor der Weitergabe zu fragen. Bevor man eine eMail von einem Sachbearbeiter bekommt (weil aus Datenschutz) muß man sich an zig Stellen wenden. In der Antwort stehen dann ganze externe 8 Empfänger in cc.
na dann fragt doch einfach mal bei der sachbearbeiterin nach, sie möge euch bitte den grund der einbindung dieser externen stellen offenlegen / erklären. (teilt ihr auch eure bedenken bezgl. datenschutz mit)
Da kam zurück: Für Fragen zu unseren Compliance Regeln steht ihnen .... zur Verfügung. Werde dann morgen mal diese Abteilung anschreiben. Schreibe dann die Antwort.
kommt drauf an, wer der dritte war.
Aber ohne Info an euch würde ich das zumindest als kritisch einstufen
Ein Unternehmen was nicht im direkten Bezug zu dem Empfänger unserer eMail stand. Das ist wohl ein Kooperationspartner dessen.
steht dazu etwas in den AGB? prinzipiell gehört diese Frage zum Anwalt und nicht in ein öffentliches Forum voller Halbwissen
In der besagten eMail stehen die persönlichen Daten, nebst privater Handy-Nummern mehrerer, auch externer Personen, die zu Rückfragen zur Verfügung stehen und sind auch als solche im Text gekennzeichnet. Sie haben in der Annahme recht, alles was zur Beantwortung unserer Fragestellung an den Empfänger dient ist vollkommen ok. Es wurden aber wie gesagt auch Daten von anderen Personen weitergeleitet und das gleich an mehrere (8) cc. Empfänger.