DSGVO-konforme Sperrlisten für E-Mailadressen

Sperrlisten im Falle eines Werbe-Widerrufs

Widerruft ein Verbraucher die Einwilligung nach Art. 7 Abs. 3 der EU-Datenschutz-Grundverordnung (DSGVO) zur Nutzung seiner persönlichen Daten zum Zwecke des Direktmarketings, ist das Unternehmen verpflichtet, dem Ersuchen des Betroffenen nachzukommen und das Verarbeiten von personenbezogenen Daten zu diesem Zwecke einzustellen.

Wird die Nutzung der E-Mailadresse untersagt, ist es naheliegend, diese in einer unternehmenseigenen Sperrliste (Blacklist) einzutragen. Bei jedem massenhaften Versand einer E-Mail werden dabei alle vorgesehenen Empfänger mit den Einträgen der Sperrliste abgeglichen. Kommt es beim Abgleich zu einer Übereinstimmung, so wird durch technische Vorkehrungen ein Versand an die eigentlich gesperrte E-Mailadresse verhindert.

Interessensabwägung von Betroffenen und Unternehmen

Fraglich ist jedoch, ob ein solches Anlegen und Führen einer Sperrliste von der DSGVO gedeckt ist. Das Eintragen und Speichern einer E-Mailadresse ist zweifelsohne eine Verarbeitung personenbezogener Daten im Sinne von Art. 4 Abs. 2 DSGVO. Da die zuvor erteilte Einwilligung widerrufen wurde, scheidet Art. 6 Abs. 1 lit. a) DSGVO als Rechtsgrundlage aus. Allenfalls ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f) DSGVO scheint diskutabel.

Beruft man sich auf das berechtigte Interesse, geht dies immer mit einer Interessenabwägung einher. Widerruft ein Betroffener seine Einwilligung um künftig keine Werbung, Zufriedenheitsbefragungen oder ähnliches mehr zu erhalten, so ist es wohl anzunehmen, dass sein Interesse der Werbevermeidung dient. Das Interesse des Unternehmens ist es, zu vermeiden, dass die E-Mailadresse erneut für werbetechnische Zwecke genutzt wird. Insofern sind die Interessen beider Parteien mehr oder weniger deckungsgleich, so dass kein Konflikt vorliegt. Das Eintragen der E-Mailadresse in eine eigene Sperrliste lässt sich somit – nach dem Widerruf der Einwilligung – über die Berufung auf das berechtigte Interesse durchaus rechtfertigen. Diese Ansicht vertritt auch der Bayerische Landesbeauftragte für Datenschutz.

Sperrlisten beim Recht auf Löschung

Problematischer wird es hingegen, wenn sich ein Betroffener explizit auf sein Recht auf Löschung nach Art. 17 DSGVO beruft. Dies führt unweigerlich dazu, dass alle gespeicherten personenbezogenen Daten, für deren Verarbeitung keine Rechtsgrundlage mehr einschlägig ist, umgehend gelöscht werden müssen. Dazu zählt zweifelsfrei auch die E-Mailadresse.

Wie sieht es nun hier mit der Berufung auf das berechtigte Interesse aus? Dem oben aufgeführten Interesse des Unternehmens steht hier ganz klar die Aufforderung des Betroffenen entgegen, welcher eine Löschung verlangt. Wägt man beide Interessen gegeneinander ab, wird man freilich zu dem Ergebnis kommen, dass das Interesse des Betroffenen an der Löschung seiner Daten größer und dementsprechend schutzwürdiger ist, als das des Unternehmens die Daten weiterhin zu verarbeiten.

Pseudonymisierung der Daten nicht ausreichend

Doch auch für dieses Problem gibt es eine technische Lösungsmöglichkeit. Hierzu werden nicht die E-Mailadressen selbst, sondern deren Hashwert gespeichert. Ein Hashwert ist eine Prüfsumme, die durch einen Algorithmus aus allen Zeichenfolgen, wie einzelnen Wörtern, Sätzen oder eben auch E-Mailadressen errechnet werden kann. Durch den Einsatz einer Hashfunktion werden die E-Mailadressen zunächst pseudonymisiert. Pseudonymisiert deshalb, weil es je nach eingesetztem Hashverfahren möglich sein kann, aus dem Hashwert die ursprüngliche E-Mailadresse wieder zu rekonstruieren. Eine solche Pseudonymisierung dürfte deswegen regelmäßig zunächst nicht ausreichend sein, um eine hashbasierte Sperrliste anzulegen.

Anonymisierung der Daten durch kryptografische Verfahren

Vielmehr muss dafür gesorgt werden, dass durch den Einsatz von Hashalgorithmen eine Anonymisierung erreicht wird, so dass keine Rückschlüsse auf die dem Hashwert zugrunde liegende E-Mailadresse gezogen werden können. Dies wird technisch so gelöst, dass der Hashwert um eine kryptografische Maßnahme bereichert wird: das sogenannte Salt. Das Salt, stellt eine zufallsbasierte Zeichenfolge dar, welche vor der Berechnung des Hashwertes an die E-Mailadresse angehängt wird. Durch die hinzugefügte zufällige Zeichenfolge wird die Errechnung der ursprünglichen E-Mailadresse aus dem Hashwert aufgrund des enorm hohen Aufwandes so unpraktikabel, dass eine tatsächliche Anonymisierung angenommen werden kann. Durch die Anonymisierung entfällt beim Hashwert nun die Eigenschaft des personenbezogenen Datums. Somit entfällt auch eine etwaige Rechtsgrundlage für die Verarbeitung, da der Anwendungsbereich der DSGVO nicht eröffnet ist.

Generell ist es beim Rückgriff auf Hashverfahren wichtig, sicherzustellen, dass nur als sicher geltende Verfahren eingesetzt werden. Verfahren wie MD5 und SHA-1 sind dabei längst veraltet und gelten als sicherheitstechnisch überholt. Auch eingesetzte aktuell sichere Verfahren wie SHA-3 müssen regelmäßig überprüft und mit dem Stand der Technik abgeglichen werden.

Wendet man ein sicheres Verfahren an und versendet nun E-Mails im Rahmen des Direktmarketings, so werden die Empfängeradressen mit den Hashsummen und den dazugehörigen Salts abgeglichen. Bei einer Übereinstimmung wird die E-Mailadresse für den Versand geblockt. Die erneute Verwendung einer E-Mailadresse, für die keine Rechtsgrundlage mehr vorliegt, ist somit ausgeschlossen.

Fazit: Form der Sperrliste ist wichtig

Konkret bedeutet das für Unternehmen: Beruft sich ein Betroffener auf Art. 17 DSGVO und fordert die Löschung all seiner personenbezogenen Daten, so darf das Unternehmen keine Sperrliste mit E-Mailadressen in Klartext führen, wohl aber mit deren Hashwerten, insofern sichergestellt ist, dass diese anonymisiert wurden.