Hallo meine werten Datenschutzgurus,

bei uns ist in den letzten Tagen da so eine Frage aufgekommen, konkret geht es um unser Mailmodul.
Dieses überwacht einen Ordner einer Mailbox und macht dann mit den Mails Sachen. Nun stellte sich die Frage, ob es erlaubt ist die Mailadressen (die, die überwacht werden, nicht die, die in den Mails drinstehen) und Ordner im Klartext zu loggen und für Analytics zu verwenden.

Unser firmeninterner Datenschützler meinte, dass wir das dürfen, obwohl es sich hierbei um personenbezogenen Daten handelt, da:
- Wir die Logs im Supportfall benötigen um dem Kunden zu helfen. (Vertragserfüllung)
- Wir die Analytics nur benutzen um Fehler auszumerzen (Vertragserfüllung)

Allerdings ist sie nicht-technischer Natur und ich bin mir nicht sicher, ob sie verstanden hat, was wir machen wollen. Desweiteren war sie sich auch nicht ganz sicher, weswegen ich hier gerne ein paar weitere Meinung einholen würde.

Die Mails werden nicht für Marketingzwecke, Marktforschung, o.Ä. verwendet, nur für Analyse unseres Moduls und Logging.

 

Bearbeitet 28. Oktober 20204 j von 0x00

vor 9 Minuten schrieb 0x00:

bei uns ist in den letzten Tagen da so eine Frage aufgekommen, konkret geht es um unser Mailmodul.
Dieses überwacht einen Ordner einer Mailbox und macht dann mit den Mails Sachen. Nun stellte sich die Frage, ob es erlaubt ist die Mailadressen und Ordner im Klartext zu loggen und für Analytics zu verwenden.

Es geht doch um die Mailadresse der Mailbox, oder? Nicht um die Mailadressen von den Mails mit denen ihr ... "Sachen" ... macht.

Gerade eben schrieb KeeperOfCoffee:

Es geht doch um die Mailadresse der Mailbox, oder? Nicht um die Mailadressen von den Mails mit denen ihr ... "Sachen" ... macht.

Ja genau, um die Mailadressen die überwacht werden. (Nicht um die in den Mails)

am besten erläuterst du mal wie ein log eintrag aussehen soll.

wem gehört die überwachte mailbox?

Eine Webanwendung? Die UserId des angemeldeten Nutzers reicht nicht im Supportfall nicht, da dieser mehrere Adressen haben kann?

Die Frage würde mich auch einmal interessieren. Ich konnte bisher nur diesen Beitrag zu dem Thema finden.

https://www.bussgeldkatalog.org/datenschutz-e-mail/

Wahrscheinlich muss man doch noch einmal etwas tiefer hier einsteigen z.B. auch die Fragen beantworten, welche Inhalte in diesen Mails sind und ob es hier ein "berechtigtes" Interesse geben kann zum Einblick und ob ggf. in den Mails personenbezogene Daten enthalten sind, die ggf. weiterverarbeitet werden, ohne den Absender in Kenntnis zu setzen.

vor 9 Minuten schrieb _n4p_:

am besten erläuterst du mal wie ein log eintrag aussehen soll.

"Tried to connect to $mailbox $number times, but no connection could be made!"
"Tried to get emails from folder $folder for mailbox $mailbox, but no emails were present"

Zitat

wem gehört die überwachte mailbox?

Die überwachte Mailbox gehört unserem Kunden, bzw. nehmen wir das an, da der User sich für die Mailbox anmelden muss durch Mail/Passwort, OAuth, o.Ä.

vor 8 Minuten schrieb KeeperOfCoffee:

Eine Webanwendung? Die UserId des angemeldeten Nutzers reicht nicht im Supportfall nicht, da dieser mehrere Adressen haben kann?

Es ist eine Webanwendung ja. Konkret handelt es sich um ein DMS. Die UserId reicht nicht aus, da der User alle Mailboxen überwachen kann, in die er sich einloggen kann. Z.B. kann der User mit der email sepp@depp.de registriert sein, aber auch die emails sepp.depp@gmail.com, abc@def.de, it-firma@exchange.com, wenn er sich für diese anmelden kann.

vor 5 Minuten schrieb tkreutz2:

Wahrscheinlich muss man doch noch einmal etwas tiefer hier einsteigen z.B. auch die Fragen beantworten, welche Inhalte in diesen Mails sind und ob es hier ein "berechtigtes" Interesse geben kann zum Einblick und ob ggf. in den Mails personenbezogene Daten enthalten sind, die ggf. weiterverarbeitet werden, ohne den Absender in Kenntnis zu setzen.

Unsere Anwendung holt sich im Prinzip die mails vom user konfigurierten Setting (mail, passwort/oauth, folder) und legt sie bei uns im DMS ab. Der Inhalt dieser Mails kann dabei alles sein, darüber haben wir keine Kontrolle (und wir loggen auch nichts vom Inhalt, weder Absender, Betreff, noch sonst irgendwas).

Bearbeitet 28. Oktober 20204 j von 0x00

vor 7 Minuten schrieb 0x00:

Es ist eine Webanwendung ja. Konkret handelt es sich um ein DMS. Die UserId reicht nicht aus, da der User alle Mailboxen überwachen kann, in die er sich einloggen kann. Z.B. kann der User mit der email sepp@depp.de registriert sein, aber auch die emails sepp.depp@gmail.com, abc@def.de, it-firma@exchange.com, wenn er sich für diese anmelden kann.

Dennoch muss es ja eine Bindung zwischen UserId und den Verfügbaren Emails bzw. Settings für den Kunden geben? Die Informationen sind ja von einander abhängig.

Ohne jetzt die DB zu kennen schwierig zu bewerten. Aber mit genügend Informationen sollte es doch eig. möglich sein die Email zu finden und Klartext zu vermeiden, oder?

Bearbeitet 28. Oktober 20204 j von KeeperOfCoffee

Gerade eben schrieb KeeperOfCoffee:

Dennoch muss es ja eine Bindung zwischen UserId und den Verfügbaren Email für den Kunden geben? Die Informationen sind ja von einander abhängig.

Ohne jetzt die DB zu kennen schwierig zu bewerten. Aber mit genügend Informationen sollte es doch eig. möglich sein die Email zu finden und Klartext zu vermeiden, oder?

Möglich ist es schon. Es ist allerdings mit mehr Aufwand verbunden, da man bei jedem Supportfall natürlich erst in die Datenbank schauen müsste.

eure anwendung holt für euren nutzer emails aus vom nutzer definierten mailboxen, die irgendwo sein können?

Du willst loggen ob der zugriff auf dieses postfach funktioniert oder aus grund xy gescheitert ist?

speichert ihr die abgeholten emails?

vor 2 Minuten schrieb _n4p_:

eure anwendung holt für euren nutzer emails aus vom nutzer definierten mailboxen, die irgendwo sein können?

Ja.

vor 2 Minuten schrieb _n4p_:

Du willst loggen ob der zugriff auf dieses postfach funktioniert oder aus grund xy gescheitert ist?

Ja. Allerdings muss mindestens einmal eine erfolgreiche Verbindung aufgebaut werden, damit geloggt wird. Wenn keine Verbindung aufgebaut werden kann (z.B. falsches Password), dann kann die Verbindung nicht gespeichert werden und es wird auch nichts geloggt.

vor 2 Minuten schrieb _n4p_:

speichert ihr die abgeholten emails?

Die abgeholten Mails werden im von uns entwickelten Kundendms gespeichert.

vor 44 Minuten schrieb 0x00:

Unsere Anwendung holt sich im Prinzip die mails vom user konfigurierten Setting (mail, passwort/oauth, folder) und legt sie bei uns im DMS ab. Der Inhalt dieser Mails kann dabei alles sein, darüber haben wir keine Kontrolle (und wir loggen auch nichts vom Inhalt, weder Absender, Betreff, noch sonst irgendwas).

Wie machen dass denn andere Anbieter, die ähnliche Lösungen anbieten ? Kann man das denn nicht thematisch aus Sicht einer DMS Cloud in der Form trennen, dass es auch dem Datenschutz gerecht wird ?

Bearbeitet 28. Oktober 20204 j von tkreutz2

vor 3 Minuten schrieb tkreutz2:

Wie machen dass denn andere Anbieter, die ähnliche Lösungen anbieten ? Kann man das denn nicht thematisch aus Sicht einer DMS Cloud in der Form trennen, dass es auch dem Datenschutz gerecht wird ?

Ich versteh grad irgendwie nicht, was du meinst...

Die Speicherung der Daten ist bereits DSGVO konform, sie erfolgt entweder beim Kunden vor Ort, oder auf einem Cloudserver in der Region (EU, US, etc.). Verarbeiten dürfen wir die Emails auch, müssen wir ja zur Vertragserfüllung mit dem Kunden.

Falls du das Logging von Mailadresse, etc. meinst wäre es möglich, das (mit überschaubarem Aufwand) so zu realisieren, dass nur noch Guids o.Ä. verwendet wird. Die Frage ist nur: Müssen wir das? Oder können wir auch Klartext loggen?

vor 2 Minuten schrieb 0x00:

Ich versteh grad irgendwie nicht, was du meinst...

Ich meinte das aus Sicht des Geschäftsprozesses. Manchmal ist es zum Verständnis worum es geht hilfreich, das Drumherum zu erfahren. Aus datenschutzrechtlicher Sicht sagte ich ja, dass mich die Antwort auch interessieren würde.

vor 51 Minuten schrieb 0x00:

Die abgeholten Mails werden im von uns entwickelten Kundendms gespeichert.

Sind das nur interne Mails des Kunden oder auch externe Mails d.h. von Kunden, Anwendern, potentiellen Kunden o.Ä. eures Kunden?

Falls das auch externe Mails sind, trifft m.E. die Rechtsgrundlage Vertragserfüllung zur Verarbeitung der personenbezogenen Daten nicht immer zu. Es gibt ja nicht immer unbedingt zwischen eurem Kunden und potentiellem Mailabsendern einen Vertrag. Und nur weil es einen Vertrag zwischen euch und eurem Kunden gibt, dürft ihr nicht x-beliebige personenbezogene Daten verarbeiten (speichern ist auch gleich verarbeiten) bzw. er darf nicht alle an euch weitergeben. D.h. hier ist ggf. mehr als eine Rechtsgrundlage zu definiere. 

Bearbeitet 28. Oktober 20204 j von OkiDoki

vor 4 Stunden schrieb OkiDoki:

Sind das nur interne Mails des Kunden oder auch externe Mails d.h. von Kunden, Anwendern, potentiellen Kunden o.Ä. eures Kunden?

Falls das auch externe Mails sind, trifft m.E. die Rechtsgrundlage Vertragserfüllung zur Verarbeitung der personenbezogenen Daten nicht immer zu. Es gibt ja nicht immer unbedingt zwischen eurem Kunden und potentiellem Mailabsendern einen Vertrag. Und nur weil es einen Vertrag zwischen euch und eurem Kunden gibt, dürft ihr nicht x-beliebige personenbezogene Daten verarbeiten (speichern ist auch gleich verarbeiten) bzw. er darf nicht alle an euch weitergeben. D.h. hier ist ggf. mehr als eine Rechtsgrundlage zu definiere. 

Das sind teilweise auch externe Mails des Kunden. Aber das ist bereits geklärt, das geht in Ordnung (weiß nicht mehr Aufgrund welcher Grundlage). Mir ging es jetzt rein um das Logging.

Trotzdem danke für deinen Einwand

Wenn ihr also die Inhalte der eingehenden Mails im DMS speichern und verarbeiten dürft, also laut eueres DSBs, warum solltet ihr dann die Empfangsmailadresse (sollte doch Teil der sowieso gespeicherten Inhalte sein) nicht in Logdateien haben dürfen? Die Daten sollten gerade in Logdateien natürlich nicht ewig vorgehalten werden und es sollten auch nur die wirklich notwendigen Daten sein. Das könnt ihr ja aber in verschiedenen Konzepten definieren.

 

Ich würde, gemeinsam mit dem DSB, das Folgende dokumentieren:

- Daten (Inhalt und Umfang) 

- Zweck und Rechtmäßigkeiten

- Art der Auswertung

- Löschkonzept

- Berechtigungen auf die Daten

- Pseudonymisierung und Anonymisierung ... im Zweifel eben begründen, warum ihr etwas nicht pseudo- oder anonymisieren könnt.

 

Solange ihr euch nachvollziehbare und dokumentierte Gedanken dazu gemacht habt und nicht offensichtlich gegen die DSGVO verstoßt, wird euch daraus vermutlich, wenn es zur Prüfung kommt, niemand einen Strick drehen.

Im Zweifel sollte euer DSB ja aber wissen, was konkret benötigt wird.

 

Was mir noch nicht ganz klar ist: Stellt ihr die Software nur her und der Kunde hostet diese, hat also die Datenhoheit oder vertreibt ihr die Software auch als SaaS-Produkt?

Bearbeitet 28. Oktober 20204 j von OkiDoki

vor 9 Stunden schrieb 0x00:

Unser firmeninterner Datenschützler meinte, dass wir das dürfen, obwohl es sich hierbei um personenbezogenen Daten handelt, da:

zuwenig Futter um das genau zu sagen.

Erste Idee: wer sind denn Kunden ? Gewerbliche Ansprechpartner oder natürliche Personen ?

Zweite Idee: "Analytics" .... eigene ? Guschl Analytics ??

vor 9 Stunden schrieb 0x00:

ob es erlaubt ist die Mailadressen (die, die überwacht werden, nicht die, die in den Mails drinstehen) und Ordner im Klartext zu loggen und für Analytics zu verwenden

Grundsätzlich ist das denkbar. Gruss an den internen Datenschützer: Der Betrieb und damit ER muss das im Verfahren belegen aufgrund welcher Rechtsgrundlage er das vorhat. ICH würde das NICHT wegen Vertragserfüllung, sondern auf DSGVO 6.1 Lit F und dann behelfsweise mit Lit B begründen ....

ER muss dann aber auch darlegen wielange die Daten gespeichert werden, was die Weitergabekontrolle angeht etc ...

Ein pauschales "geht" ist nicht des Datenschützers Arbeit

Danke an @OkiDoki und @charmanta, ihr habt mir beide wirklich weitergeholfen. 

Ich werd mir das morgen nochmal in Ruhe durchlesen und dann die entsprechenden Schritte durchgehen. 

 

vor 3 Stunden schrieb OkiDoki:

Was mir noch nicht ganz klar ist: Stellt ihr die Software nur her und der Kunde hostet diese, hat also die Datenhoheit oder vertreibt ihr die Software auch als SaaS-Produkt?

Sowohl als auch. Wir vertreiben unser DMS sowohl als On-Premise als auch als SaaS Lösung.