Zum Inhalt springen Zur Navigation springen
Erfüllung von Auskunftsersuchen per E-Mail

Erfüllung von Auskunftsersuchen per E-Mail

Reicht es aus, eine E-Mail zu versenden, um ein Auskunftsersuchen gemäß der DSGVO zu erfüllen? Oder ist es notwendig, sicherzustellen, dass der Empfänger die Information tatsächlich erhält? In diesem Artikel werfen wir einen Blick die rechtlichen Anforderungen bei der Erfüllung von Auskunftsersuchen per E-Mail.

Pflicht erfüllt oder nur versendet?

Manchmal kann die Beantwortung eines Auskunftsersuchens eines Betroffenen nervenaufreibend sein. Der Auskunftsersuchende macht gleich in seiner ersten E-Mail Anfrage unmissverständlich deutlich, dass mit ihm nicht zu spaßen ist und droht bei Versäumen der Frist und bei dem kleinsten Anzeichen einer fehlerhaften Auskunft, die Aufsichtsbehörde einzuschalten. Und das hätte ja gerade noch gefehlt.

Also macht sich der pflichtbewusste Verantwortliche daran, das Auskunftsersuchen „unverzüglich“ zu erfüllen und hierbei alle Fallstricke zu vermeiden. Aber kaum ist die E-Mail an den Auskunftssuchenden abgeschickt, kommen Zweifel auf. Reicht der Versand der E-Mail aus? Und was passiert, wenn der Betroffene von der E-Mail keine Kenntnis erlangt?

Die Aufsichtsbehörden sind bei der Nichteinhaltung der Frist bekanntermaßen nicht sonderlich zimperlich. Es drohen zum Teil gepfefferte Bußgelder. Je länger die Verspätung, desto teurer. Gesunde Paranoia oder unnötiges Kopfzerbrechen?

Form des Auskunftsersuchens

Grundsätzlich hat der Verantwortliche dem Auskunftsersuchenden die Daten sowie die Informationen in schriftlicher oder anderer Form, gegebenenfalls auch elektronisch, mitzuteilen. In der Regel werden Auskunftsersuchen über den elektronischen Weg angefragt. Sollte die Anfrage auf elektronischem Wege gesendet worden sein, sollte gem. Art. 12 Abs. 3 S. 4 und Art. 15 Abs. 3 S.3 DSGVO auch per elektronischem Kommunikationsweg die Datenkopie übermittelt werden. So sieht es auch der Europäische Datenschutzausschuss EDSA und das Bayerisches Landesamt für Datenschutzaufsicht:

„Wenn das Auskunftsbegehren elektronisch, z. B. per E-Mail gestellt wird, ist die Auskunft grundsätzlich elektronisch zu erteilen.“

Zugang von E-Mails

Die Beantwortung des Auskunftsersuchens per E-Mail ist also völlig ausreichend, sofern nicht explizit anderes gefordert. Aber spätestens, wenn der Betroffene bestreitet, die E-Mail erhalten zu haben, wird die rechtliche Realität etwas komplexer. Dann stellt sich die Frage, ob der Verantwortliche die Beweislast dafür trägt, dass die Auskunft tatsächlich beim Betroffenen angekommen ist.

Nachweis des Zugangs

Der Nachweis des Zugangs einer E-Mail richtet sich nach § 130 Abs. 1 S. 1 BGB. Danach wird eine ggü. einem Abwesenden abgegebene Erklärung in dem Zeitpunkt wirksam, in dem sie ihm zugeht. Dabei ist nach der ständigen Rechtsprechung des BGH von einem Zugang auszugehen, wenn diese so in den Bereich des Empfängers gelangt ist, dass eine Kenntnisnahme durch den Empfänger möglich und nach der Verkehrsanschauung zu erwarten ist.

Während weitgehend Einigkeit darüber besteht, dass eine E-Mail dann in den Machtbereich des Empfängers gelangt ist, wenn sie auf dessen Server eingeht, ist umstritten, welche Bedeutung dem Erfordernis der Möglichkeit zur Kenntnisnahme zukommt.

Nachweis des Absendens der E-Mail nicht ausreichend

Für den geschäftlichen E-Mail-Verkehr hat der BGH entschieden, dass jedenfalls E-Mails, die während üblicher Geschäftszeiten abrufbereit auf dem Empfängerserver eingehen, (in der Regel) bereits zu diesem Zeitpunkt zugehen; auch wenn diese automatisch in den Spam-Ordner verschoben werden sollten.

Die h. M. geht rechtswegübergreifend weitgehend einhellig davon aus, dass allein durch den Nachweis des Absendens einer E-Mail der Nachweis des Zugangs (auf dem Server des Empfängers) nicht erbracht werden kann.

Das OLG Rostock führte hierzu erst letztes Jahr aus, dass in einem solchen Fall insbesondere kein Anscheinsbeweis für den Zugang streiten würde, weil bei einem E-Mail-Versand die Gefahr bestehe, dass die Nachricht den Empfänger wegen einer technischen Störung bei der Übermittlung nicht erreicht.

Nachweis durch Empfangs- und Lesebestätigung?

Neben dem i. d. R. nicht erbringbaren Nachweis über die Server-Protokolle des Adressaten kann nach überwiegender Ansicht des Zugangsnachweises bei einer E-Mail durch eine Empfangs- und Lesebestätigung geführt werden. Das setzt aber voraus, dass diese vom Empfänger auch angenommen wird.

Nachweis durch eingerichteter Abwesenheitsnotiz?

Ebenfalls in Betracht kommt als Zugangsnachweis die Vorlage einer automatischen E-Mail-Antwort von der Empfängeradresse (wie etwa eine Abwesenheitsnotiz). Automatisierte Antwort-E-Mails werden – sofern vom Empfänger eingerichtet – vom Empfangsserver versendet, sobald eine E-Mail eingeht. Der Erhalt einer solchen Nachricht erlaubt daher den Rückschluss, dass die Ursprungs-E-Mail auf dem Server des Empfängers eingegangen ist.

Aber genauso wie bei der Empfangsbestätigung hängt hier die Nachweisbarkeit vom Zufall ab. Nimmt der Empfänger die Lesebestätigung nicht an oder hat keine automatische Antwort eingerichtet, kann der Nachweis des Zugangs nicht erbracht werden.

Der Weg über die sekundäre Darlegungslast

Als zusätzliche Absicherung einer etwaigen Nachweisführung besteht die Möglichkeit, nicht nur eine Empfangs- und Lesebestätigung anzufordern, sondern die E-Mail auch in Blindkopie an die Absender-Adresse zu schicken.

Dies dürfte für den Empfänger zumindest eine sekundäre Darlegungslast auslösen, um zu erklären, warum der Versand an seine E-Mail-Adresse nicht erfolgreich war, jedoch der Versand an die BCC-Adresse.

Informationsübermittlung i.S.d. DSGVO allein durch Versenden

Ungeachtet der Zugangsproblematik bei E-Mails stellt sich jedoch die Frage, ob bei der Erfüllung von Auskunftsersuchen durch Informationsübermittlung implizit der Zugang vorausgesetzt werden kann.

Die Formulierung des Art. 12 Abs.1 DSGVO könnte zwar darauf schließen lassen, dass die Informationen tatsächlich beim Betroffenen ankommen müssen. Ansonsten könnte dieser schließlich seine Rechte nicht effektiv wahrnehmen.

Andererseits ist der einschlägigen Kommentarliteratur nicht ohne weiteres zu entnehmen, dass für die Übermittlung der einfache Versand per E-Mail nicht ausreicht. Denn der Zugang der E-Mail beim auskunftsersuchenden Empfänger könnte nach der oben dargelegten Thematik durch den Verantwortlichen nie wirklich sichergestellt werden.

Auch die Formulierung des § 3 Abs. 4 S. 2 Nr. 3 BDSG a.F. lässt darauf schließen, dass das Versenden einer E-Mail für die Annahme einer Übermittlung i.S.d. DSGVO ausreichend sein dürfte. Demnach war Übermitteln als das Bekanntgeben von Daten durch Weitergeben, Einsehen oder Abrufen definiert. Weitergeben ist jede Handlung, durch die die in den Daten enthaltene Information in den Bereich eines Adressaten gelangt. Und dies kann nach der Kommentarliteratur durch das Versenden einer E-Mail erfolgen.

Erfüllung der Rechenschaftspflicht

Der Verantwortliche muss zwar nach der ihm obliegenden Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO (ggf. gegenüber der Aufsichtsbehörde) nachweisen können, dass er die Auskunftspflichten ordnungsgemäß erfüllt hat.

Dies sollte aber in aller Regel dadurch gelingen, indem nachgewiesen wird, dass der Auskunftsersuchende die Anfrage per E-Mail gestellt hat und auf die ersuchten Informationen an dessen E-Mail (mit Anforderung einer Empfangsbestätigung und gleichzeitigem Versand an die Absender-Adresse) versendet wurden. Bei einem derartigen Nachweis dürfte das Bußgeldrisiko letztendlich äußerst gering ausfallen.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2025B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2025.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Zwei Anmerkungen:
    1. „… bei einem E-Mail-Versand die Gefahr bestehe, dass die Nachricht den Empfänger wegen einer technischen Störung bei der Übermittlung nicht erreicht.“ – das ist total realitätsfern. Soetwas gibt es vielleicht in einem von 100.000.000.000 Fällen. Das sind meist nur Ausreden von schludrigen Leuten: „ich hab die Mail nicht bekommen“.

    2. Sie suggerieren im Artikel als ob es gleich am 31. Tag ein „gepfeffertes Bußgeld“ gäbe. Das ist ebenso realitätsfern. Leider! In der Regel wird der Betroffene irgendwann nachfragen, wenn er keine Antwort bekommen hat und dann kann man die Mail einfach nochmal schicken oder die Sache anders klären.

    • 1. Die Feststellung, dass zur heutigen Zeit eine E-Mails den Empfänger wegen einer technischen Störung nicht erreicht, mag erst einmal irritierend sein. Dennoch hat sich das OLG Rostock erst letztes Jahr bei der Beantwortung der Frage zur Nachweisbarkeit des E-Mail-Zugangs auf die gefestigte Rechtsprechung und h.M. berufen und eben dies festgestellt:

      „Es entspricht in der (insbesondere auch obergerichtlichen) Rechtsprechung sowie im Kommentarschrifttum nahezu einhelliger Auffassung, dass für den Zugang einer (im vorbezeichneten Sinne einfachen) E-Mail allein aufgrund des Feststehenden Absendens, auch in Verbindung mit dem feststehenden Nichterhalt einer Unzustellbarkeitsnachricht auf Seiten des Absenders, kein Anscheinsbeweis streitet […] Diese Auffassung teilt auch der Senat. Der Zugang mag unter den genannten Voraussetzungen – sofern sie ihrerseits unbestritten oder erwiesen sind und damit prozessual feststehen – „die Regel“ darstellen, ist aber letztlich jedenfalls unter den gegenwärtigen technischen Bedingungen (noch) nicht in einem Maße typisch, dass die Bejahung einer prima-facie-Beweiserleichterung gerechtfertigt wäre.“

      Auch wenn es sich bei dem Bestreiten vielleicht um eine Schutzbehauptung des Empfängers handelt, so muss nach der vorstehenden Rechtsansicht dennoch der Absender den Beweis für den Zugang der E-Mail erbringen, da bei diesem die Beweislast liegt. Der Nachweis des Absendens genügt nach der ständigen Rechtsprechung nicht den Anforderungen des Anscheinsbeweis.

      2. Sicherlich wird nicht jeder Betroffene nach Ablauf der Frist ohne weitere Nachfrage die Aufsichtsbehörde kontaktieren. Zudem sollte die Verhängung eines Bußgeldes grundsätzlich nur als ultima ratio betrachtet werden, auch wenn das (vermeintliche) Ausbleiben des Auskunftsersuchen sicherlich schwerer wiegt als eine verspätete Auskunft (sofern diese vollständig ist). Hierbei kommt es auf den Einzelfall an. Die Monatsfrist sollte aber dennoch nicht routinemäßig ausgeschöpft oder knapp überschritten werden. Denn neben dem Bußgeld kann auch je nach Dauer des erlittenen Kontrollverlustes Schadensersatz drohen. Erst Ende 2023 wurde durch ein Gericht die Auffassung vertreten, das Unternehmen hätte „unverzüglich“ die Auskunftsanfrage beantworten müssen, da es sich bei der Monatsfrist nur um eine Höchstfrist handele, welche nur in schwierigeren Fällen auszuschöpfen sei. Auf dieser Grundlage sprach das Gericht dem Kläger eine Geldentschädigung in Höhe von 750 Euro zu, obwohl die Auskunft nach 19 Tagen erteilt worden war.

      • Auf dieser Basis könnte ich doch auch als Verantwortlicher argumentieren, dass ich nie eine Mail mit einem Auskunftsersuchen bekommen habe. Demnach muss der Betroffene beweisen, dass der Verantwortliche die Mail tatsächlich auch bekommen hat. Oder gilt das nur im umgekehrten Fall?
        So oder so ist das eine, meiner Meinung nach, sehr realitätsfremde Auslegung des Gerichts. Kann aber auch am „Neuland“ liegen. Manchmal hat man das Gefühl, dass das Technikverständnis noch nicht bis zu jedem in der Justiz vorgedrungen ist.

  • Vielen Dank für das Ernstnehmen auch der kleinen Probleme rund um den Auskunftsantrag, die in der Praxis mehr Sorgen machen können, als der Gesetzgeber sich so vorgestellt hat.
    Noch so eine Sache:
    Wie ist vorzugehen, wenn der Antragsteller nur mit seiner E-Mail-Adresse, die Vor- und Nachname enthält, anfragt, ob personenbezogene Daten von ihm ihr vorhanden sind und die angefragte Stelle Datenbestände im 7-stelligen Bereich hat und im Fall von Treffern vielleicht Gesundheitsdaten übermitteln müsste?
    1. Möglichkeit: Weitere Angaben zur besseren Identifikation erheben? In diesem Fall dürfte es nötig sein, die Informationen nach Art 13 beizufügen.
    2. Möglichkeit: Die Datenbestände nur nach Namen durchsuchen und nur bei Treffern mit dem Namen (und ggf. der E-Mail) um weitere Angaben bitten? einschließlich Informationen nach Art 13

    • Vielen Dank für das Feedback. Grundsätzlich soll die auskunftssuchende Person entscheiden, wie ihr Auskunftsersuchen zu beantworten ist. Sofern das Auskunftsersuchen per E-Mail gestellt und keine weiteren Angaben dazu gemacht werden, wie der Versand der Information erfolgen soll, ist anzunehmen, dass die Übermittlung per E-Mail erfolgen soll. Insbesondere, wenn sensible Informationen übermittelt werden, sollte dies per verschlüsselter E-Mail erfolgen bzw. der sensible Inhalt als verschlüsselter (passwortgeschützter) Anhang versendet werden. Falls die Datenmengen dies nicht zulassen oder eine sichere Übermittlung per E-Mail nicht gewährleistet werden kann, sollte dem Antragstellenden u.U. eine andere Möglichkeit angeboten werden, die Information zur Verfügung zu stellen (z.B. mittels Fernzugang zu einem sicheren System).

      Natürlich sollte der Verantwortliche vor der Beantwortung der Auskunftsanfrage „alle vertretbaren Mittel“ nutzen, die Identität der antragstellenden Person zu überprüfen (vgl. auch Erwägungsgrund 64 DSGVO).

  • Bei Antworten auf Betroffenrechtsanfragen handelt es sich ja – bis auf eine Fehlanzeige – immer um aggregierte personenbezogene Daten des Auskunftsersuchenden.

    Daher ist aus meiner Sicht ein Versand der Antwort in einer „normalen“ (unverschlüsselten) E-Mail ein Verstoß gegen Art. 5 Abs. 1 lit f) i.V.m. Art. 32 DSGVO, da hierbei zum Einen um aggegierte Daten des Betroffenen versandt werden, die zum Zweiten u.U. auch besonders schützenswerte Daten nach Art. 9 DSGVO umfassen können.

    Daher ist aus meiner Sicht hier die Nutzung eines sicheren, verschlüsselte Downloadportals (z.B. Cryptshare, FTAPI, nextcloud, owncloud o.ä.) für die Zurverfügungstellung der angeforderten Informationen angezeigt, wofür die Zugangsdaten am Besten auf einem anderen sicheren Übermittlungskanal dem Betroffenen zur Kenntnis gegeben werden sollten.

    Alternativ kann natürlich auch mit einer Ende-zu-Ende-verschlüsselten E-Mail (OpenPGP oder S/MIME) geantwortet werden, dies setzt aber die technischen Hürden deutlich höher als ein sicheres Downloadportal.

    Eine reine TLS-Transportverschlüsselung reicht aus meiner Sicht nur in den wenigsten Fällen!

    … und nein, ich möchte hier nicht die Diskussion lostreten, ob mit einer rechtskonformen Einwilligung nach Art. 7 DSGVO ein Verzicht auf die in Art. 5 Abs. 1 lit. f) i.V.m. Art. 32 Abs. 1 lit a) DSGVO geforderte Verschlüsselung bei hohem Risiko verzichtet werden könnte – da gibt es ja leider auch unter den Aufsichtsbehörden und Gerichten keine einheitliche Meinung.

  • „Wenn das Auskunftsbegehren elektronisch, z. B. per E-Mail gestellt wird, ist die Auskunft grundsätzlich elektronisch zu erteilen.
    “ Wo steht, dass der übermittlingsWEG elektronisch sein muss? Eine elektronische Erteilung kann auch auf einem digitalen Medium (per Post) sein. Mir ist mindestens eine Aufsichtsbehörde bekannt, die es auch so sieht.

  • Sonderfall: Auskunftspflichtiger ist eine Behörde
    Die E-Mail ist in unverschlüsselter Form kein sicheres Kommunikationsmittel.
    Als Behörde darf ich deshalb eine solche E-Mail mit Auskünften überhaupt nicht versenden, auch wenn der Kunde das wünscht oder sich damit einverstanden erklärt: Begründung: Gegenüber Behörden kann man nicht auf Datenschutz verzichten.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.