Konflikt mit Datenschutz und Aufbewahrungspflicht
Der rechtskonforme Umgang mit Spam
Die Abwehr von Spam ist für rigoros operierende Arbeitgeber und Administratoren riskant. An Mitarbeiter gerichtete Spam-Mails einfach zu löschen, verstößt nämlich gegen Fernmeldegeheimnis und Aufbewahrungspflichten.
Fast jeder E-Mail-Nutzer hat inzwischen erstklassige Kontakte für Viagra-Bestellungen, gekaufte
Doktortitel oder Geschäfte in Nigeria. Die Spam-Statistik unserer Kanzlei zum Beispiel meldet
zurzeit, dass über 90 Prozent der unter "kanzlei.de" empfangenen Mails durch den Spam-Filter
aussortiert werden. Die lästige Mailflut weckt bei vielen Anwendern den Wunsch nach radikalen
Abwehrmaßnahmen – aber Vorsicht ist besser, denn nicht nur der Spam-Versender, sondern auch der
Empfänger muss sich vor rechtlichen Fallstricken hüten.
Empfang privater Mails muss toleriert werden
Selbst wenn die Firma den privaten Gebrauch des Internets verbietet, kann dem Mitarbeiter aus
logischen Gründen nicht untersagt werden, private Mails zu empfangen. Der Anwender selbst hat
nämlich keine Chance, das Absenden privater Mails an seine Adresse effektiv zu unterbinden. Da die
Mails und damit auch Spam in der Regel an den Mitarbeiter persönlich und nicht an die Firma
adressiert sind, gelten somit die Regeln des Datenschutz- und Telekommunikationsgesetzes für
private Mails.
Bei virenbehafteten Mails ist es juristisch kein Problem, diese aus Sicherheitsgründen
auszufiltern, da Paragraf 109 TKG (Telekommunikationsgesetz) alle Maßnahmen erlaubt, die zur
Aufrechterhaltung des Betriebs notwendig sind. Bei anderen Mails muss aber das Fernmeldegeheimnis
beachtet werden, denn der Arbeitgeber kann nicht eigenmächtig entscheiden, welche privaten Mails
der Arbeitnehumer empfangen darf und welche nicht. Er hat ja auch keine Ahnung, ob alle seine
Mitarbeiter mit der Größe ihrer Körperteile zufrieden sind oder derartige Mails sehnsüchtig
erwarten.
Sammel-Accounts für Spam sind unzulässig
Der Arbeitgeber ist deshalb als Telekommunikationsanbieter nach Paragraf 88 TKG verpflichtet,
ohne eigene Kenntnisnahme alle Mails an den Empfänger weiterzuleiten. Dies bedeutet, dass jede
Spam-Mail zum Mitarbeiter transportiert und in einem nur ihm zugänglichen Verzeichnis gespeichert
werden muss. Sammel-Accounts für Spam-Mails, wie sie heute in vielen Unternehmen existieren, sind
unzulässig.
Auf die Rechte aus dem Fernmeldegeheimnis und dem Teledienstedatenschutzgesetz kann der
Mitarbeiter allerdings verzichten. Mit seiner Einverständnis dürfen Spam-Mails auch ausgefiltert
werden, bevor sie den Empfänger erreichen. Dazu ist jedoch meines Erachtens eine Erklärung des
Mitarbeiters selbst und nicht nur eine Betriebsvereinbarung notwendig, da es hier um einen Verzicht
auf grundrechtlich geschützte Rechte geht.
Rechtlich schwieriger wird es, wenn es um die Nichtannahme von Mails geht, also wenn die Mail
schon vor der Übermittlung anhand der Header-Daten vom Provider oder Arbeitgeber abgelehnt wird.
Dies geschieht zum Beispiel bei der Verwendung von Blacklists mit bekannten Spammern oder so
genannten Dynablock-Listen, die den Empfang von Mails verhindern, die von Mailrelays mit
dynamischen IP-Adressen versendet werden. Der rechtlich sichere Weg ist auch hier, eine Filterung
nur mit Zustimmung der Empfänger vorzunehmen und die Mails ansonsten in ein separates Verzeichnis
zuzustellen.
False Positives verletzen Aufbewahrungspflichten
Ein weiterer Punkt, den man im Zusammenhang mit der Spam-Filterung nicht vergessen sollte, sind
gesetzliche Aufbewahrungspflichten. Diese können bei allzu scharfer Einstellung des Spam-Filters
nicht mehr sicher gewährleistet werden, da möglicherweise geschäftliche Mails im Spam-Filter als so
genannte falsch-positive Filterergebnisse hängen bleiben. Damit sind die organisatorischen
Voraussetzungen für die handels- und steuerrechtlichen Archivierungspflichten nicht mehr gegeben,
deren Verletzung nach Paragraf 283b StGB bei Vorsatz auch strafrechtliche Folgen haben kann.
Zudem treten haftungsrechtliche Fragen für den Hersteller für die den Filter installierende
Firma und den Betreiber des Spam-Filters auf, wenn wichtige Aufträge durch falsch positiv
ausgefilterte Mails verloren gehen oder nicht fristgerecht gelesen werden können. Aus diesem Grund
sollte die Auswahl des Spam-Filters sehr sorgfältig erfolgen. Eine niedrige False-Positive-Rate ist
von großer Wichtigkeit.
Der Open-Source-Spam-Filters "Spamassassin" etwa liefert in dieser Hinsicht relativ gute
Ergebnisse. In der Phase jeweils kurz nach der Veröffentlichung einer neuen Version arbeitet er
auch sonst recht effektiv. Leider schicken aber die meisten Spammer ihren Kunden gleich eine
Version der kostenlosen Software mit, damit diese ihre Spam-Mails so lange modifizieren zu können,
bis sie von dem weit verbreiteten Spamassassin nicht mehr als Spam markiert werden. Daher können
die Erkennungsraten dieser Software einige Zeit nach Erscheinen einer neuen Version erheblich
einbrechen.
Langwieriges Ringen mit der Werbelobby
In Deutschland sind Werbemails nur an eigene Kunden erlaubt und nur für Waren oder
Dienstleistungen, die denen ähneln, für die sich der Kunde bereits interessiert hat. Verschleierte
oder gefälschte Absendeadressen sind ebenso wenig erlaubt wie Mails ohne Möglichkeit, sich auf
normalen Kommunikationswegen ohne teure Sonderrufnummern wieder von den Werbesendungen abzumelden.
Man kann auch datenschutzrechtlich der Nutzung der Mailadresse für Werbezwecke widersprechen, was
ebenfalls ein Nutzungsverbot bewirkt.
Die europäische Union hat mehrere Anläufe gebraucht, um Spam juristisch zu verbieten. In der
E-Commerce-Richtlinie, deren erster Entwurf schon ein Spam-Verbot enthielt, ist in der Endfassung
nur noch von Regeln für den Versand von kommerziellen E-Mails die Rede. Es blieb jedem
Mitgliedsstaat noch selbst überlassen, Spam zu erlauben oder zu verbieten. Auch bei der
Telekommunikations-Datenschutzrichtlinie hat die europäische Werbelobby nichts unversucht gelassen,
um ein europaweites Spam-Verbot zu verhindern. Trotz der Streichung aus mehreren Entwürfen ist die
Werbelobby letztlich am Ministerrat gescheitert, der die Richtlinie mit Spam-Verbot verabschiedete
und am 31.10.2002 mit Umsetzungsfrist für die Mitgliedsstaaten innerhalb eines Jahres
verabschiedete. Seit 8.7.2004 gilt auch in Deutschland durch das neue Gesetz gegen den unlauteren
Wettbewerb ein Verbot unerwünschter Werbung per Mail, aber auch per Fax oder Telefon.
Gesetzliche Spam-Verbote bringen wenig
Leider bringen deutsche und europäische Gesetze gegen Spammer wenig, da diese meist aus dem
Ausland kommen und zudem mit technischen Mitteln ihre Herkunft verschleiern. Über 70 Prozent der
Spam-Mails werden in USA oder Südkorea abgeschickt. Außerdem sind rein wirtschaftliche Sanktionen
wie Bußgelder und wettbewerbsrechtliche Abmahnungen auch so lange relativ wirkungslos, wie trotz
dieser rechtlichen Risiken auch unter Inkaufnahme dieser Sanktionen noch Geld verdient wird. Dies
scheint der Fall zu sein – neuere Untersuchungen besagen nämlich, dass in Europa bis zu zehn
Prozent und in den USA sogar bis zu 30 Prozent der E-Mail-Nutzer schon einmal ein Produkt bei einem
Spam-Mail-Versender bestellt haben.
Die einzig sinnvollen rechtlichen Maßnahmen zur Eindämmung von Spam sind daher die Verhängung
von strafrechtlichen Sanktionen bis hin zu Freiheitsstrafen für Massen-Spam-Versender. Solche
Maßnahmen werden in Deutschland zwar schon diskutiert, sind aber wegen des Widerstands vieler
Telemarketingfirmen kaum kurzfristig zu erwarten.
Vorsicht ist also bei Spam zurzeit leider eher für die Empfänger als für die Absender
angebracht, da letztere meist in Ländern aktiv werden, in denen sie wenig zu befürchten haben.
Info: www.kanzlei.de
Lesen Sie mehr zum Thema
