Kennzeichnung gemäß Artikel 52 Absatz 1 EU AI Act: 🌱 Rechercheunterstützung
Warum personenbezogene Daten nie in die Betreffzeile einer E‑Mail gehören
Kurzer Überblick
Die Betreffzeile wandert vom Postfach‑Vorschaubereich über Spam‑Gateways bis in Mail‑Archive – fast immer im Klartext! Selbst wenn Transport Layer Security (TLS) oder Ende‑zu‑Ende‑Verschlüsselung eingesetzt werden, bleiben Header‑Daten (Absender, Empfänger, Datum … und eben der Betreff) außen vor – sie sind also für jeden involvierten Mailserver sowie für Administrator‑ oder Gateway‑Logs einsehbar.
## Was gilt als „personenbezogen“? Die DSGVO definiert personenbezogene Daten in Art. 4 Nr. 1 als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen – von Namen, Kundennummern oder Personal-ID bis hin zu Gesundheits‑ oder Gehaltsangaben. Schon eine Kombination aus Name + Projektcode kann eine Person eindeutig zuordnen lassen.
„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person
(im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt
oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu
Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der
physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser
natürlichen Person sind, identifiziert werden kann
Rechtlicher Rahmen
Es gibt viele Punkte in der DSGVO, auf die sich ein Verstoß herleiten lässt, wenn Sie personenbezogene Daten im Betreff einer E-Mail verwenden.
Artikel 5 Abs.1 (c + f)
Demnach dürfen Daten nur in dem Umfang erhoben und verarbeitet werden, wie es unbedingt erforderlich ist. Zudem müssen die Daten angemessen geschützt sein. Ein Klartext im Betreff verletzt somit beide Grundsätze.
Personenbezogene Daten müssen
c: dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
f: in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet,
einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust,
unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen;
Hier finden wir schon den nächsten Hinweis, technische und organisatorische Maßnahmen.
Artikel 32 - Sicherheit der Verarbeitung
In Absatz 1 findet sich die relevante Definition:
Auszug:
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der
Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des
Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter
geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu
gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:
Hier ist insbesondere der Buchstabe A zu nennen:
die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
Ein offener Betreff der durch keine technische Maßnahme geschützt ist, stellt kein “angemessenes Schutzniveau” dar.
Artikel 33 & 34 - Melde‑ & Benachrichtigungspflicht
Ist es aber doch passiert, kann das versehentliche Offenlegen sensibler Daten eine meldepflichtige Datenschutzverletzung auslösen.
In Artikel 33 heißt es dazu:
Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und
möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 51 zuständigen
Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem
Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht
binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.
Weiter zu beachten sind ebenfalls:
- Artikel 33 Absatz 3 (Mindestangaben)
- Artikel 33 Absatz 4 + 5 (Lieferung der Informationen, welche zum Zeitpunkt des Bekanntwerdens nicht geliefert werden können) Dies kann insbesondere bei E-Mails der Fall sein. Es ist zumeist nicht eindeutig feststellbar, welche E-Mail-Server in den Verstoß involviert waren.
In Artikel 34 ist geregelt, wann und in welchem Umfang die betroffene Person durch den Verursacher informiert werden muss. Hier gibt es keinen Spielraum. Ausnahmebestände nach Absatz 3 kommen in diesem Fall nicht in Frage.
Bußgelder
Verstöße gegen die Einzelnormen können mit empfindlichen Bußgeldern belegt werden. Hier ist Vorsicht geboten.
Risiken und Folgeabschätzung
Was sind zu erwartende Folgen, welche Sie im Fall des Falles einplanen sollten:
- Reputations- und Vertrauensverlust
- Finanzielle Schäden
- Störungen im Geschäftsablauf
Kunden oder auch Mitarbeitende verlieren das Vertrauen, wenn Daten von Ihnen ungewollt veröffentlicht werden. Bußgelder, Schadensersatz-Ansprüche, sowie Kosten für Forensik, Anwalts- und Gerichtskosten, sowie steigende Öffentlichkeitsarbeit können die Finanzplanung negativ beeinflussen. Die zu erfüllenden Pflichten zur Meldung innerhalb von 72 Stunden, das Beschaffen der Informationen und die Unterbrechung des Betriebsablaufs für Forensik oder Aufsichtsverfahren sind einige mögliche Einschränkungen.
Typische Fälle, welche bereits zu den Verstößen von Personenbezogenen Daten gehören
- HR-E-Mails: “Bewerbung Max Mustermann - Gehaltsvorstellungen zu hoch”
- Akten-E-Mail: “Kunde #4711 - Erforderliche Unterlagen nicht vor Fristablauf eingereicht - Abgelehnt”
Jeder dieser Fälle kann sensible Kategorien nach Artikel 9 DSGVO berühren. In Unternehmen kann dies auch die Verwendung der Personalnummer im Betreff sein!
Technische Hintergründe
Warum ist es aber so kritisch, diese Art der Informationen im Betreff zu verwenden? Schließlich geben Unternehmen und Provider Unsummen für Verschlüsselungen und die Einhaltung moderner Kryptografie aus.
Der primäre Grund liegt am technischen Design des Mail-Transports. Auch E-Mails, welche mit TLS verschlüsselt übermittelt werden, werden nicht an sich verschlüsselt. Es wird lediglich der Kommunikationskanal zwischen den zwei beteiligten Servern verschlüsselt. Die zwischengespeicherten E-Mails liegen jedoch (auch wenn nur kurz) unverschlüsselt auf den Systemen. Das an sich ist nicht maximal kritisch. Problematisch ist, das jeder E-Mail-Server sogenannte Meta-Daten protokolliert. Die Meta-Daten werden für die Protokollierung verwendet, oder für maschinelles Lernen für Spam-Bewertungen. Somit findet eine automatische Datenverarbeitung statt, der nicht zugestimmt wurde. Passiert das auf einem Server, der nicht Ihnen als Unternehmen gehört, ist das nochmals schlimmer. Nun handelt es sich bereits um eine Datenverarbeitung durch Dritte.
Weitere Gründe, die negative Bewertung von Personenbezogenen Daten im Betreff sind:
- Client Geräte zeigen oftmals den Betreff unmittelbar an. Dies ist z.B. bei Smartphones mit Push-Nachrichten der Fall. In bestimmten Fällen werden durch angeschlossenen Systeme (z.B. Car-Play) diese Art der Informatioen sogar laut vorgelesen.
- Backup und Archive nutzen in der Regel den Betreff als markanten Index. Hier können auch externe Dienstleister ungewollt Zugriff auf sensible Informationen erhalten.
Selbst E‑Mail‑Dienste, die die Nachricht intern verschlüsseln (z. B. ProtonMail), lassen den Betreff aus Gründen der Kompatibilität unverschlüsselt.
Technische & organisatorische Schutzmaßnahmen
- Betreff‑Policies: Interne Richtlinie, die personenbezogene Details im Betreff verbietet; statt Namen Ticket‑ oder Referenznummern verwenden
- E‑Mail‑Verschlüsselungsportale: Nachricht wird in einem Web‑Portal abgelegt, Betreff enthält nur einen neutralen Hinweis („Neue gesicherte Nachricht“)
- DLP‑Regeln & Content‑Filter: Prüfen Betrefffelder auf Begriffe wie „Geburtsdatum“, „IBAN“, „Mitarbeiter‑ID“ etc. und stoppen den Versand
- Header‑Verschlüsselung via PGP/MIME (RFC 7435) oder S/MIME „message/rfc822“ Wrapping – setzt jedoch beidseitige Unterstützung voraus
- Schulungen: Regelmäßiges Training, denn menschliche Fehler verursachen den Großteil der Vorfälle
- Logging & Review: Betreff‑Zeilen in Archiven regelmäßig stichprobenartig prüfen; Verstöße als KPI im ISMS messen
Fazit
Die Betreffzeile ist kein geeigneter Ort für personenbezogene Informationen – technisch gesehen bleibt sie fast immer ungeschützt, rechtlich drohen empfindliche Sanktionen, und organisatorisch lassen sich Missgriffe kaum zurückholen, weil Kopien in Backups, Logs und Posteingängen liegen. Wer Datenschutz ernst nimmt, minimiert den Betreff zu einem rein funktionalen Hinweis und verschiebt alles Identifizierbare in den verschlüsselten Teil der Nachricht. So schützen Sie nicht nur Betroffene, sondern auch Ihr eigenes Unternehmen vor Bußgeldern, Reputationsschäden und unnötigem Aufwand.