Datenschutz im Service-Bereich

Hallo liebe DSGVO-Wissende,

stellt Euch mal folgenden völlig fiktiven Fall vor. Da geht doch die Susi wegen der Reparatur eines mobilen Endgeräts (Spider-App installiert) zu einem großen roten Elektrofachmarkt. Bei der Reparatur geht so in etwa alles schief was nur schief gehen kann - zumindest das, was die Mitarbeiter in der Service-Annahme so hingekriegt haben.

Nun möchte die Susi gerne die Kontaktdaten vom Teamleiter bekommen. Den Namen sagt ihr das Service-Lehr-Plappermäulchen bevor der erfahrene Kollege eingreifen kann, aber die Mailaddi bekommt Susi „wegen der neuen Datenschutzverordnung“ nicht. Sie solle an die offizielle Service-Mail-Add schreiben. Gut, das ist nicht das Problem, der Post-Brief ist ja bereits erfunden, und mit bekanntem Namen und Adresse des Fachmarktes ist ja eine Kontaktaufnahme jederzeit möglich (wenn auch etwas old school), darum soll es nicht gehen.

Die Frage, die ich mir so stellte: ist das wirklich so, dass wegen der DSGVO (um die geht es, nehme ich an) nichtmal auf Nachfrage geschäftliche Mailadresse rausgegeben werden dürfen? Oder hat der freundliche und kompetente Mitarbeiter hier nur versucht, eine mögliche Beschwerde zu erschweren?

Wenn die Mailadresse den Namen enthält, ist es auch eine personenbezogene Information und unterliegt den entsprechenden Vorschriften zum Datenschutz, d.h. wenn der MA nicht einverstanden ist, darf sie nicht herausgegeben werden…

Beatrix

Hi Baerbel,

das heisst, wenn die Mailaddi lautet "[email protected]" dann darf man nicht weitergeben, aber wenn sie lautet "[email protected]" dann darf man?

Vielen Dank, wenn das auch nicht das ist, was ich zu hören erwartet hätte

Ja, so in etwa.

Man darf sie nur weitergeben, wenn der MA eingewilligt hat oder es unerlässlich für seine Arbeit/Funktion ist.

Beatrix

Nein, darf man auch nicht. Die E-Mail-Adresse ist als personenbezogenes Datum geschützt - ganz egal, ob sie einen Namen oder Teile davon enthält oder nicht.

ich bin mir ziemlich sicher, dass leiter.service@… keine personenbezogene Angabe ist, außer wenn der Mensch „Leiter Service“ heißt…

Beatrix

[email protected] ist ein Funktionspostfach und insoweit nicht personenbezogen, weil kein Dritter weiß wer (und das kann ja ein ganzes Team sein), tatsächlich konkret als Person hierüber erreichbar ist. Der Sinn und Zweck von Funktionspostfächern ist ja gerade der, dass die dauerhaft benötigte Funktion so immer erreichbar ist, vollkommen egal, ob eine konkrete Person ggf. das Unternehmen verlassen hat, sich im Urlaub oder in Krankheit befindet, …

Schon alleine deshalb gibt es in vielen Firmen die Anweisung extern nur Funktionspostfächer zu verwenden, damit unabhängig von einzelnen Personen und deren Vertreterregelung immer sichergestellt ist, dass die Mails von weiteren Kollegen mit Zugriff auf dieses Postfach bearbeitet werden können.

Das ist ein weit verbreiteter Trugschluß. Es geht nicht darum, ob ein Dritter weiß bzw. erkennen kann, wer sich hinter der E-Mail-Adresse befindet, sondern darum, daß sich die E-Mail-Adresse EINER Person zugeordnet ist. Sogenannte Gruppenbriefkästen sind dementsprechend nicht betroffen, aber Adressen, die einer Person zugeordnet sind, schon. Egal, ob hans.meier@… oder leiter.elektromarkt@… oder süssesusanne@…

Nachzulesen etwas verklausuliert in der DSGVO (Abs. 1 S. 1 2. HS):

Oder gerne auch hier:

Da auch eine Mail-Adresse zu den personenbezogenen Daten gehört, unterliegt sie dem Datenschutz. Dabei ist es unerheblich, ob diese beispielsweise den vollen Namen des Adressaten beinhaltet oder es sich um eine E-Mail-Adresse ohne weitere persönliche Daten handelt. Das bedeutet auch, dass nach dem Datenschutz die E-Mail-Adresse vor einer Weitergabe ohne bestimmte rechtliche Grundlagen geschützt ist.

Und ich bin mir absolut sicher, daß es sich eben doch um ein personenbezogenes Datum handelt. Der Gesetzgeber hat die fraglichen Daten bewußt „personenbezogen“ genannt und nicht „personenbeziehbar“. Weiteres siehe dazu meine Antwort an Wiz.

Nota bene: wenn nur das geschützt wäre, aus dem sich auf eine bestimmte Person rückschließen ließe, dann wäre das einzige personenbezogene Datum der Name oder meinetwegen noch eine E-Mail-Adresse die hugo.meier@xxx lautet. Und selbst dann wäre es noch egal, so lange es mehrere Hugo Meier weltweit gäbe.

Das ist offensichtlich Quatsch.

Du gehst davon aus, dass einer Adresse, nur weil sie „leiter.service“ heißt zwingend tatsächlich genau eine konkrete Person zugeordnet sein muss.

leiter.service kann, muss aber nicht einer konkreten Person zugeordnet sein, und wird es normalerweise auch nicht. Viele Firmen nutzen „pseudopersonalisierte“ Postfächer gerade im B2C-Bereich um einen persönlichen Service vorzuspiegeln, der tatsächlich gar nicht gegeben ist. Eines unserer Au-Pair arbeitet z.B. jahrelang als „Frau Mann“ im Endkundensupport eines IT-Anbieters - neben x weiteren „Frau Mann“ mit einheitlicher Mailadresse, …

BTW: In jedem halbwegs anständigen Unternehmen, in dem man entsprechende Funktionspostfächer verwendet, gibt es natürlich auch Regelungen mit den ggf. einzeln dahinter stehenden MA, dass diese Adressen - gerade weil sie besser als eine Adresse mit konkretem Namen schützen und gerade im Gegensatz zu persönlichen Adressen - rausgegeben werden dürfen.

Die Wahrscheinlichkeit, dass hier tatsächlich die Adresse des Funktionspostfachs aus Gründen des Datenschutzes nicht herausgegeben werden durfte, halte ich für minimal. ME geht es hier mit nahezu 100%iger Sicherheit nur um eine Schutzbehauptung, um dem Kunden eine berechtigte Beschwerde zu erschweren.

In der Tat gehe ich davon aus und es scheint sich ja nach Auskunft des Mitarbeiters in Bezug auf den Teamleiter auch so zu verhalten. Nun kann man natürlich dreiundzwölfzig Unternehmen benennen, in denen Hinz und Kunz oder zumindest eine Handvoll Mitarbeiter Zugriff auf das fragliche Konto hat. Das ändert aber nichts daran, daß es sich in dem Fall, in dem das Konto einer Person zugeordnet ist, um ein personenbezogenes Datum handelt.

Es ging in der Frage um die E-Mail-Adresse des Teamleiters, die nicht herausgegeben werden durfte, und eben nicht des Gruppen- oder Funktionspostfaches.

Mir ist nicht ganz klar, wieso man es dem Kunden erschwert, wenn man die Service-Adresse herausgibt und nicht die dienstliche Adresse des Teamleiters. Tatsächlich erleichtert das doch die Kontaktaufnahme, weil man sich bei einem Namen eher verschreiben kann als bei Service@… UND weil der Teamleiter auch mal in Urlaub oder krank ist oder schlichtweg keine Zeit hat, jede E-Mail zu beantworten, die ein erboster Kunde mal schnell verschickt. Für solche Zwecke gibt es aus gutem Grund eine zentrale E-Mail-Adresse, die man dem Kunden ja auch mitgeben wollte.

Erstmal vielen Dank für Eure Diskussion, ich lerne grad sehr viel

Nun, die Bedenken von Susi gehen dahin, dass eine allenfalls böse Beschwerdemail in den Händen des Service-Mitarbeiters „verschwindet“ und gar nicht zum Teamleiter kommt.

Da mögen sich die Juristen drum streiten, möglicherweise stimmt es aber:

1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser Person sind, identifiziert werden kann;

Wobei ehrlicherweise auch kaum jemand eine allgemeine E-Mail-Adresse einrichtet und diese dann nur von einer Person verwaltet wird.

Im Ergebnis ist diese Frage aber hier nicht von Belang (siehe meine Antwort unten).

Es gibt allerdings für deine ganze Problemstellung gar keinen Ansatz, der deinen Wunsch zu einem Erfolg verhelfen könnte. Denn das Unternehmen selbst ist eine Person, namentlich eine juristische Person. Es entscheidet selbst, wen es zur Vertretung nach außen berechtigt und auf welchen Kommunikationswegen Kunden an es herantreten können. Einen Anspruch auf Kontaktaufnahme mit einem bestimmten Mitarbeiter oder mit Personen einer bestimmten Leitungsebene gibt es nicht. Wenn der Kunde Ansprüche hat, hat er die gegenüber dem Unternehmen und kann im Fall der Fälle gegen es Klage einreichen.

Einziger Trick wäre, den Namen der Person herauszufinden und einen Brief zu schicken, der von der Adressierung her nur von ihm geöffnet werden kann. Doch auch in diesem Fall könnte der Mitarbeiter die Sache nach Öffnen einfach abgeben.

Hi,

Aber das schrob ich doch: