Was muss eine E-Mail-Signatur nach der DSGVO enthalten?

Aufgrund der DSGVO stellen sich viele Unternehmen die Frage, welche Informationen zum Datenschutz in einer E-Mail-Signatur zu geben sind und ob nicht vielleicht eine Verlinkung auf die Datenschutzerklärung der eigenen Website reicht.

Wie genau der Betroffene bei Erhebung der Daten über die Datenerhebung und seine daraus resultierenden Rechte informiert werden muss, dazu enthält Artikel 13 der DSGVO keine Angaben. Die Rede ist dort und in Erwägungsgrund 60 lediglich vom Grundsatz der fairen und transparenten Verarbeitung. Um den Nutzer darüber zu unterrichten, dass ein Verarbeitungsvorgang stattfindet und zu welchem Zweck, wäre es eine Möglichkeit, entsprechende Informationen direkt standartmäßig mit in die E-Mail-Signatur aufzunehmen. Dies würde E-Mails nicht nur für einen Leser verlängern, man stelle sich nur einmal vor, es werden mehrere E-Mails hin und her geschrieben in einer Konversation, sondern würde im Falle des Ausdruckens auch unnötige Ressourcen beanspruchen. Ein Link auf die Website scheint daher die bessere Option.

Verlinkt man nun am Ende der E-Mail auf die Datenschutzerklärung der eigenen Website und ist diese sehr lang (nicht selten sieht man 8 DIN A4-Seiten und mehr), fehlen dazu noch Überschriften und Absätze, so ist der Transparents-Grundsatz nicht umgesetzt, denn der Betroffene möchte vermutlich lediglich wissen, was mit seinen Daten passiert, wenn er mit Ihrem Unternehmen per E-Mail kommuniziert. Damit er dafür nicht durch die gesamte Datenschutzerklärung scrollen muss, ist eine Möglichkeit, in der E-Mail „Datenschutzhinweise“ zu verlinken, anstatt der vollständigen Datenschutzerklärung. Wenn man sich dafür entscheidet, sollte es sich dabei jedoch um einen sogenannten Deep-Link handeln, also einen direkten Link zu den entsprechenden Hinweisen, ohne dass sich der Betroffenen durch die ganze Website klicken muss. Diese Unterseite sollte jedoch weder über die Website auffindbar sein, ohne dass der exakte Link eingetippt wird, noch über Google (Stichwort: robots.txt), da bei den beiden Optionen die Möglichkeit gegeben ist, dass die Datenschutzhinweise mit der Datenschutzerklärung verwechselt wird. Dies sollte vermieden werden, da die Datenschutzhinweise ja gerade nicht die vollständigen Informationen über die Datenverarbeitungsvorgänge enthalten. Andererseits sollte die Datenschutzerklärung auch auffindbar sein, wenn man sich auf der Seite der Datenschutzhinweise befindet.

Geht das nicht auch einfacher?

Wir denken schon. Wenn eine Datenschutzerklärung so übersichtlich ist, dass für den Betroffenen das, was er sucht, problemlos zu finden ist, kann man sich ein separates Dokument sparen.

Fazit: mit einer übersichtlichen Datenschutzerklärung, die nicht überladen ist, Absätzen und einer lesbaren Schriftart, ist allen geholfen. Betroffene finden was sie suchen und Verantwortliche ersparen es sich, das Erstellen eines weiteren Dokumentes, sowie das (für den ein oder anderen möglicherweise etwas komplizierte) Implementieren des Deep-Links.

Für welche Variante man sich auch entscheidet, zumindest einen Link sollte man in die eigene E-Mail-Signatur einpflegen.