Guten Tag
Wir befassen uns aktuell mit dem neuen Datenschutzgesetz.
Aktuell haben wir in unserer Signatur einen E-Mail-Disclaimer:
"Der Informationsaustausch im Internet ist nur bedingt sicher. Internetadressen werden auch missbräuchlich verwendet. Wenn Sie von der [unsere Organisation] ein Email erhalten, das Sie aufgrund des Inhaltes verunsichert, nehmen Sie mit uns Kontakt auf. Wir danken für Ihr Verständnis."
Dieser wurde uns bei unserem Rebranding vor 5 Jahren von unserer Kommunikationsagentur so eingefügt.
Gemäss meinen Recherchen haben diese Disclaimer rechtlich keine Wirkung und sind für einen Haftungsausschluss o.ä. untauglich und entbehrlich. Teilen Sie diese Meinung?
Und: welche Pflicht (im Sinne von Informationspflicht) für einen Disclaimer oder einen weiterführenden Link haben wir im Hinblick auf das neue Datenschutzgesetz? Können wir den Disclaimer ersatzlos streichen oder braucht es etwas in der Art?
Besten Dank für Ihre Einschätzung und freundliche Grüsse
Frage beantwortet am
Peter Mösch Payot
Expert*in Datenschutz, Persönlichkeitsschutz und Haftung
Guten Tag
1. Mit solchen Disclaimern kann durch den E-Mail-Absender die Absicht verfolgt werden, eine Haftung auszuschliessen für verursachte Schädigungen, die dadurch entstehen könnten, dass vertrauliche oder geschützte Informationen durch eine unberechtigte Person zur Kenntnis genommen werden könnten.
Häufig enthalten Sie zudem die Aufforderung für die Empfängerin der E-Mail, Zudem werden Empfänger darin häufig aufgefordert, die E-Mail sofort zu löschen.
2. E-Mail-Disclaimer dürfen grundsätzlich verwendet werden. Solche Disclaimer können die Verantwortung (und somit eventuell die Haftung) des E-Mail-Absenders aber nicht ausschliessen, dass hinsichtlich Datensicherheit die Regeln des Datenschutzes zu beachten sind.
Zudem hat der Disclaimer im Prinzip für den E-Mail-Empfänger keine rechtliche Verpflichtung zur Folge. Dass er verbindlich würde, müsste ihm der Empfänger ausdrücklich zustimmen. Disclaimer können darüber hinaus Selbstverpflichtungen für den Absender enthalten.
Die Wirkung kann eventuell aber trotzdem faktisch wirken und das Verhalten der Empfangenden beeinflussen. Insoweit kann er nur, aber immerhin, allenfalls einen allfälligen Schaden mindern.
3. Unabhängig von Disclaimern sollten vertrauliche oder geheime Informationen nicht über herkömmliche E-Mails, sondern verschlüsselt (z.B. Versendung über sichere Dienste wie Incamail) oder mit Hilfe sicherer Datenübertragung versendet werden, um eine unberechtigte Kenntnisnahme auszuschliessen oder jedenfalls deutlich zu erschweren.
Wer solche E-Mail-Nachrichten verletzt die Persönlichkeit der betroffenen Personen. Haftungsfolgen wie Schadenersatz- und Genugtuungsansprüche sind möglich. Zudem gilt:
Wer vorsätzlich geheime, besonders schützenswerte Personendaten (mit Daten zu Religion, Weltanschauung, Gesundheit, Intimsphäre, Sozialen Hilfemassnahmen, strafrechtlichen Massnahmen etc.) bewusst oder eventualvorsätzlich unverschlüsselt versendet, oder Persönlichkeitsprofile unbefugt bekannt gibt, von denen er bei der Ausübung seines Berufes, der die Kenntnis solcher Daten erfordert, erfahren hat, wird auf Antrag mit Busse bestraft (Art. 35 DSG). Im Datenschutzgesetz spricht man von Einsichtgewähren, Weitergeben oder Veröffentlichen (Art. 3 DSG).
Im neuen, 2022 in Kraft tretenden Datenschutzgesetz ändern sich diesbezüglich die Pflichten nicht, aber Sanktionen primär für die Datenschutzverantwortlichen im Betrieb (Geschäftsführer oder Verwaltungsrat) werden erweitert (Bussen bis 250000); vgl. Art. 60ff rev. DSG).
Im Rahmen von Art. 321 StGB kann überdies bei bestimmten Berufen eine Verletzung des strafrechtlichen Berufsgeheimnisses vorliegen.
4. Möglich ist es in gewissen Fällen, die Zulässigkeit der unverschlüsselten E-Mail-Kommunikation zu ermöglichen durch ein gültiges Einverständnis des Empfängers in die unverschlüsselte E-Mail- Kommunikation. Das setzt allerdings ein Bewusstsein des/der Betroffenen voraus, in welches Risiko er/sie einwilligt.
Davon kann gerade bei KlientInnen der Sozialberatung nicht ohne Weiteres ausgegangen werden. Die Fachpersonen trifft hier eine Aufklärungspflicht und im Zweifel ist Vorsicht geboten. Das gilt auch dann, wenn die E-Mail- Kommunikation von der Klientschaft ausgeht. Gerade in solchen Fällen ist es ratsam in der E-Mail-Antwort, im persönlichen Gespräch und eventuell auf der allfälligen Website deutlich und klar auf die fehlende Vertraulichkeit der unverschlüsselten E-Mail-Kommunikation hinzuweisen. Wo eine andere Kommunikation faktisch nicht möglich erscheint, ist mindestens eine gültige Vollmacht für den unverschlüsselten E-Mail-Einsatz einzuholen.
Die konsequente Verschlüsselung von vertraulichen Nachrichten ist dem aber vorzuziehen.
5. Übrigens: Wer Informationen in einer fälschlich erhaltenen E-Mail verwendet kann sich haftbar oder strafbar machen, unabhängig von Disclaimern. Die bewusste missbräuchliche Verwendung von Informationen verstösst auch so gegen das Datenschutzgesetz oder ev. strafrechtliche Normen.
Ich hoffe, das dient Ihnen.
Peter Mösch Payot