Termineinladungen DSGVO-konform versenden

Björn Holeschak, Leiter Datenschutz EIKONA Systems GmbH
Mitarbeiter verschickt einen Termineinladung über seinen Laptop, welche DSGVO-konform is

Wer hat es im Berufsalltag nicht schon einmal erlebt: Ich muss mit verschiedenen externen Teilnehmern EINEN Termin vereinbaren. Das geht am schnellsten mit einigen Terminvorschlägen in einer E-Mail an alle potenziellen Teilnehmer. Der Termin mit den meisten Rückläufern wird gewählt, doch wie versende ich die Einladungsmail? Müssen die Teilnehmer ins BCC oder reicht auch das CC?


Worauf ist zu achten?

Prinzipiell besteht bei einer Termineinladung, die per E-Mail versendet wird, nicht die Notwendigkeit, dass jeder Teilnehmer in CC steht und somit die z.T. namensbezogenen Mailadressen der Teilnehmer gegenseitig offenbart werden. Auch wenn alle Teilnehmer an diesem Gespräch wahrscheinlich an einem gemeinsamen Projekt beteiligt sind, entbindet uns das noch nicht davon den Datenschutz einzuhalten.

Natürlich kann es auch sein, dass sich einige der Teilnehmer schon kennen, aber das weiß man oft nicht mit Bestimmtheit. Außerdem ist nicht immer klar, ob z.B. Herr Huber aus Firma A gar nicht will, dass seine namensbezogene Mailadresse Herrn Meyer aus Firma B bekannt ist. Vielleicht soll Herr Meyer nur mit der Disposition der Firma A kommunizieren.

Wie kann ich eine Termineinladung per E-Mail verschicken, ohne, dass ich personenbezogene Daten der Teilnehmer unnötigerweise weitergebe? Hier gibt es ein „milderes Mittel“ der Datenverarbeitung, nämlich das BCC und nicht CC. Die DSGVO sagt, wenn du Daten verarbeitest, dann tue dies geschützt und datenminimiert und nur mit den Daten, die für den Zweck notwendig sind.

Es spricht nichts dagegen die Teilnehmer beim ersten Meeting (z.B. einem Kick-Off) zu fragen, ob sie mit einer offenen E-Mailkommunikation einverstanden sind. Das ist, wenn Sie z.B. Termineinladungen per Outlook versenden, auch gar nicht mehr anders möglich. Aber voraussetzen können Sie diese Einwilligung nicht. Bitte vergessen Sie nicht, die namensbezogene E-Mailadresse ist ein „eineindeutiges personenbezogenes Datum“. Eine bestimmte E-Mailadresse gibt es nur einmal auf dieser Welt.


Datenschutzrechtliche Grundlage

Natürlich können Sie mit Projektbeteiligten Akteuren über E-Mail und Outlook-Termineinladungen kommunizieren und können hierbei auch im CC (bei E-Mail) bzw. „erforderlich/optional“ (bei Kalendereinladungen) nutzen.

Dies kann datenschutzrechtlich dann dahingehend ausgelegt werden, dass das „Schutzinteresse“ der beteiligten Personen hinter dem gemeinsamen wirtschaftlichen Interesse „Umsatz zu generieren“ zurücksteht und somit es im Interesse ALLER Beteiligter ist, sowohl ablauforganisatorisch als auch betriebswirtschaftlich an einer offenen Kommunikation teilzunehmen.

Doch nur, weil es andere Firmen auch so machen, heißt es nicht, dass es datenschutzrechtlich auch sauber gehandhabt wird. Ohne Einwilligung zur offenen Kommunikation begehen sie einen Datenschutzverstoß, der nur solange „funktioniert“ bis sich einer der Akteure dagegen beschwert.


Björn Holeschak
Björn Holeschak
Teamlead Datenschutz

Mit seiner tiefgehenden Datenschutzexpertise stellt er sich jeden Tag aufs Neue den Herausforderungen des Datenschutzes. Er kennt die Gefahren und Stolpersteine ganz genau und berät seine Kunden praxisnah.


Einen Kommentar schreiben

Was ist die Summe aus 7 und 9?