Datenschutz: Weitergabe an Dritte E-Mail-Hosting - Was ist legitim?!

sini

Lieutenant
Registriert
Dez. 2012
Beiträge
799
Hallo zusammen,

mir wachsen gerade graue Haare im Zusammenhang mit dem Datenschutz. Folgender Fall: wenn ich einem Geschäftspartner schriftlich bestätige, dass ich die erhaltenen Daten nicht an Dritte weitergebe wie muss ich das im Bezug auf E-Mails handhaben?!

Fall 1
E-Mail Adressen sowie Postfächer liegen beim Hoster der Website, diese werden von einem lokalen Exchange Server regelmäßig abgeholt und aus den Postfächern des Webhosters gelöscht. Die Postfächer sowie die Daten liegen somit lokal bei mir auf meinem internen Server. Also ist der Pfad wie folgt:

E-Mail wird verschickt => E-Mail wird beim Webhoster angenommen => E-Mail liegt im Postfach => Wird abgeholt und lokal auf dem Exchange gespeichert

Lediglich eine kurze Zeit zwischen Eingang und Abruf liegt die E-Mail beim Hoster im Postfach.

Fall 2
Ich möchte jetzt nun gerne den lokalen Exchange durch einen HostedExchange ablösen. Dies ist preislich wesentlich attraktiver und deren Sicherheitsstandards sind wesentlich höher als die in meinem internen Netzwerk je möglich wären!

Beim Webhoster würden die relevanten Postfächer eine Weiterleitung zum HostedExchange bekommen. Dieser speichert nun die Daten und die Clients greifen auf diesen zu.

E-Mail wird verschickt => E-Mail wird vom Webhoster weitergeleitet => E-Mail wird vom HostedExchange angenommen => E-Mail verbleibt auf dem HostedExchange

Meine Frage:
Führt nun diese Änderung dazu, dass ich meine Verschwiegenheitserklärungen breche?! Gilt die Weiterleitung an einen anderen Hoster als "Weitergabe der Daten an Dritte" (der Hoster selbst hat keinen Zugriff auf die Postfächer, außer durch technische Maßnahmen welche man selbst bemerken würde - durch setzen eines neuen Passwortes wäre dies möglich => dies würde bemerkt da der eigentliche Nutzer ausgesperrt würde). Die Sicherheitsstandards des HostedExchange-Anbieters sind zudem um längen besser als in lokales Hosting je wäre.

Zudem ist die Übertragung zwischen Mail-Servern eh unverschlüsselt. Weicht das die ganze Sache nicht eh auf, da bereits hier die Daten mitgehört werden könnten?!

Online habe ich jetzt nicht viel zu dem Thema gefunden (na wer hätte das erwartet), hat hier jemand bereits Erfahrungen damit gemacht?! Bzw. vielleicht hat ja hier ein Datenschutzbeauftragter mal Lust Licht ins Dunkel zu bringen =)
 
Normal versteht man unter "Weitergabe an Dritte" dass man die Daten bewusst weitergibt und die dort zur Verarbeitung genutzt werden.

Sonst les doch mal im Header der Mail wieviele SMTP Server die Mail besucht hat... dann wäre jede Mail an Dritte weitergegeben worden.
 
Richtig, genau das ist ja auch mein Gedanke. E-Mail ist eben ein Medium welches "offen" ist.

Die wichtige Frage ist halt die "dauerhafte" Speicherung der E-Mails bei einem Hoster. Und was die Gesetzeslage dazu sagt ;D

Und ob eine Weiterleitung als "Bewusste Weitergabe" ausgelegt werden könnte (Juristen eben ...).
 
Hm.. Das ist leider eine Thematik oder eine Frage die ich mir selbst noch nie gestellt habe. Aber wenn du die "Weitergabe" an Dritte vermeiden möchtest, sorge doch einfach dafür das deine Mails verschlüsselt sind die du mit dem Geschäftspartner hin und her sendest.

Was die Hosting Geschichte angeht, mit dem Satz "der hoster hat keinen Zugriff darauf", dass würde ich so nicht unterschreiben. Denn wenn ich es wollen würde, komme ich ohne mit der Wimper zu zucken und ohne etwas zu tun, an die auf dem Server gespeicherten Mails dran die von meinen Kunden dort liegen.

Somit würde ich jetzt mal sagen, dass DU dich selbst einfach dazu verpflichtest, diese Daten nicht an dritte weiter zu geben. Wie das nun mit dem Hoster dazwischen aussieht, ist immer eine fragliche Sache. Nächster Aspekt wäre dann auch noch, wenn du einen IT'ler in der Firma hast der das ganze administriert. Willst du dafür dann auch den Kopf hin halten und sagen "der kommt dort nie dran"?

Aber ich lasse mich da gerne eines besseren beraten und bleibe gespannt und verfolge das mit :)
Gruß, Domi

Nachtrag: Hm.. doof.. Sannyboy111985 hat genau das reflektiert oder wiedergegeben, wie ich es auch aussagen wollte :D
 
Der Admin eines System hat in der Regel immer Mittel und Wege an die Daten dran zu kommen. Aber er darf es nicht.
Gleiches gilt auch für einen Hoster. Hier muss ganz klar unterschieden werden, zwischen dem was technisch möglich ist und dem was im Rahmen der normalen Tätigkeit getan werden darf / soll.

Als Admin einer Mailumgebung kann ich sehr wohl die Vorstandsmails lesen, wenn ich das will. Das ist aber verboten. Gleiches gilt für Kundendaten als Admin des CRMs oder Personaldaten beim HR System.

Sollte jemand wiederrechtlich auf die Daten Zugreifen, ist es das Fehlverhalten der Mitarbeiter. Und geben diese die Daten weiter ist das Diebstal / Spionage. Eine Weitergabe an Dritte im eigentlichen Sinne erfolgt nur, wenn der normale Peozess das vorsieht.

Und wenn du es geklärt haben willst, es gibt garantiert Freiberufler/IT-Systemhäuser/Juristen/Datenschutzbeauftrage die dir diese Frage für ein kleines Geld beantworten können.
 
Also mit dem Hoster selbst habe ich schon telefoniert. Es ist mir natürlich klar, dass die einen administrativen Zugriff haben ;), es wurde mir aber glaubhaft versichert, dass der Zugriff auf den Inhalt der Postfächer auf für deren Administratoren nur über die Änderung des Benutzer-Passwortes erfolgen kann!

Klar als Admin kann ich lokal ALLES auf dem Server machen ;) ist ja beim lokalen Exchange mit einem IT-Dienstleister nicht anders ;) Da brauchen wir gar nichts schönschreiben ;)

Klar die "Bewusste Weitergabe der Daten" ist logisch und definiert. Man verpflichtet sich meist aber auch gleich dazu die Daten sicher zu lagern. Soll heißen, sollte es mal relevant werden, wäre es gut wenn man beweisen könnte alles dafür getan zu haben die Sicherheit zu gewährleisten.

Prinzipiell wäre das nun ja wieder Auslegungssache. Gibt es hierfür so was wie eine feste Definition?! oder ein Best-Practise ;D

Genau, wenn mir ein Geschäftspartner super geheime Unterlagen per Mail schickt, dann muss er ja auch in Kauf nehmen, dass diese einen unbestimmten Pfad nehmen (je nach dem wie man es halt umgesetzt hat). Wenn ihm die Datensicherheit dieser Daten so viel bedeutet könnte er diese auch verschlüsselt verschicken. Diese würde dann auch verschlüsselt bei mir auf dem Server landen und ebenso im Postfach liegen, bis ich diese mit dem passenden Zertifikat entschlüssel (auf dem CLIENT!!!).

Naja immerhin versteht ihr was ich meine; ich bin auch auf kompetente Antworten gespannt =D
 
sini schrieb:
...Man verpflichtet sich meist aber auch gleich dazu die Daten sicher zu lagern. ...

Hier gibt es doch bestimmt ein Zertifikat nach DIN Norm oder sonst was. Wenn ein Anbieter sowas hat könntest du dich darauf berufen und sagen du hast alles in deiner macht getan hast.
 
p.s. Hey super danke für den Link, da werde ich das mal posten und das hier querverlinken!

Hier gibt es doch bestimmt ein Zertifikat nach DIN Norm oder sonst was. Wenn ein Anbieter sowas hat könntest du dich darauf berufen und sagen du hast alles in deiner macht getan hast.

Ja der Hosting-Anbieter kann mir Zertifikate zuschicken, ist aber nichts nach DIN-Norm, da es halt nichts dazu gibt :D

Aber ein großer Pluspunkt ist, dass er eine von mir erstellte Datenschutzerklärung unterschreiben würde =)

Hier aber wieder die Frage, reicht das um glaubhaft versichern zu können "alles für den Schutz der Daten getan zu haben"? Wie gesagt, deren Sicherheitsstandards sind in keinster Weise mit dem eines internen Hostings gleichzusetzen ;D

Übrigens finde ich super, dass hier so viel Interesse an dem Thema gezeigt wird und ich nicht allein wie ein Ochs vorm Berg sitze :D
 
Zuletzt bearbeitet:
Also wenn wirklich jemand darauf erpicht ist, diese Daten geheim oder unter Verschluss zu halten, aufgrund dessen, das Dritte diese Daten mitlesen könnten, sollte man sich schon von vornherein Gedanken über Verschlüsselung der Nachrichten machen.

Ich administriere auch eigene Mailsysteme, von daher weiß ich das ich kein Kennwort verändern müsste um die Mails einsehen zu können. Wenn ich das ganze sogar weiter spinnen möchte, kann ich die Mail (im Klartext) umschreiben / verändern und wenn der Empfänger der diese Mail dann bekommen soll sieht, kann da dort auch "müllers kuh macht muh" drin stehen ;)

Bei einem Exchange kann ich nichts genaueres sagen... Es mag echt mächtig sein und viele Funktionen haben, ich mag ihn aber nicht :D

Gruß, Domi
 
Verschwiegenheitserklärung gebrochen??? Aber: Wenn der Verlauf der Daten sich ändert als gegenüber dem vorherigen Verfahren könnte ein Bruch der Vereinbarung / des (mündlichen/schriftlichen) Vertrages vorliegen. Eine Verschwiegenheitserklärung ist ein Vertrag für den es keine gesetzlichen Regelungen gibt. Es besteht Vertragsfreiheit. Zuwiderhandlungen sind Vertragsbruch ggf. mit entsprechenden Folgen wie Schadensersatz usw.

Daraus ergibt sich was wurde wie (mündlich / schriftlich) vereinbart. Wie präsise? Welche Regelungen und wie getroffene Regelungen beweisbar? Usw....

ABER (private) Verschwiegenheitserklärung nicht mit der Weitergabe von Betriebsgeheimnissen verwechseln! Dies ist strafgesetzlich verfolgbar.

Sicherste Weg: Den Geschäftspartner um "offizielle" Zustimmung zum geänderten Verfahren / Arbeitsablauf bitten.


Gegenstand des Datenschutzes gem. Datenschutzgesetz sind personenbezogenen Daten wie Name, Anschrift, Familienstand, Beruf, Hobby, Verhalten, Äußerungen, Beurteilungen, Einkommen, Kreditwürdigkeit und Vermögensverhältnisse. HIER>>> Problem ev.eMail-Adresse gleich Anschrift.
Die Erhebung, Verarbeitung, Übermittlung und Nutzung von personenbezogenen Daten ist zulässig u.a. zu "gesetzlichen" Zwecken aber auch z.B. wenn es zur Wahrung berechtigter Interessen der verantwortlichen Stelle (Unternehmen, Verein, Freiberufler usw.) oder eines Dritten erforderlich ist UND die Daten allgemein zugänglich sind, z. B. in Zeitungen, Telefonbüchern oder im Handelsregister .

DESHALB NOCHMAL UND GAAANZ DEUTLICH: Sicherste Weg>>> Den Geschäftspartner um "offizielle" Zustimmung zum geänderten Verfahren / Arbeitsablauf bitten.

Dieser mein Kommentar ist KEINE rechtsverbindiche Auskunft oder Rechtsberatung! Er stellt lediglich meine persönliche Meinung als Teilnehmer dieses Forums dar! Bitte um Beachtung!
 
Naja, man muss hier ganz klar differenzieren um was es geht.

Sobald dir der Partner die Daten per E-Mail schickt, ist es doch gar nicht dein Problem.
Wenn es z.B. geheime Rüstungs- oder Forschungsdaten sind dann dürfen die auf keine Fall deine Firma (also von dir kontrollierbare Systeme) verlassen. Die werden dir dann aber auch nicht per E-Mail geschickt und deine Partner würden dich schon darüber aufklären was du damit darfst und was nicht.

Wenn es z.B. Daten sind wie Firmen- oder Produktpräsentationen unter NDA dann sieht das anders aus. Die Daten bekommt man ja eh meistens per e-Mail rein. Und wenn die Daten nicht per e-mail kommen haben sie auf deinem Exchange nix verloren. Sowas leitet man dann auch intern nicht per Mail weiter.

Ergo: Mach dir keinen Kopf, kannst bedenkenlos wechseln.
 
sini schrieb:
Führt nun diese Änderung dazu, dass ich meine Verschwiegenheitserklärungen breche?! Gilt die Weiterleitung an einen anderen Hoster als "Weitergabe der Daten an Dritte"

Imho und ohne jegliche rechtliche Kompetenz: "an Dritte" != "über Dritte"

Empfänger der Email bleibst Du, der Webhoster darf nicht darauf (auf den Inhalt) zugreifen ohne sich strafbar zu machen. (was T-Online nicht daran hindert sich Kenntnis über Emails zu verschaffen "um sie auf Viren zu scannen")
 
So hier mal ein kleines Update ... da beide Threats ja scheinbar tot sind ...

Eine Weitergabe an Dritte findet nicht statt (gilt nur für echte Personen). Über die beiden Zertifikate:
+ Security Management Zertifikat nach ISO/IEC 27001:2005 für das Rechenzentrum
+ TOMs Gemäß § 11 Abs. 2 S. 2 Nr. 3 BDSG für das Hosting selbst

kann man schon gut argumentieren, dass eine externe Aufbewahrung sicherer ist, als intern. Die TOMs sind wesentlich schärfer als bei einem lokalen Hosting und werden regelmäßig von extern auditiert.

Für eine Firma die nun zwar Verschwiegenheitserklärungen unterzeichnet hat, in denen aber keine expliziten technischen Maßnahmen definiert sind (wie z.B. eine verschlüsselte Speicherung der Daten), sollte dies gänzlich egal sein. Sollten Maßnahmen definiert sein, werden diese üblicherweise auch vom Vertragspartner auditiert.
 
Zurück
Oben