Vertretung bei Betroffenenrechten, E-Mail-Sicherheit (technisch), Unterstützung DSB

HMDATA Datenschutz-Newsletter 08/2025, Autor: Dipl.-Ing. (FH) Harald Müller-Delius, MBA, ©HMD 2025

Wenn Wissensartefakte aus kausalem Zusammenhang entrissen zur faktischen Wahrheit erklärt werden, spricht man im Allgemeinen von Halbwissen, generative KI hat diesen Trend durchaus beschleunigt. Umso mehr prallen oft Kundenaussaugen auf Unternehmen ein, die den Sachbearbeitenden unter Druck setzen oder eine aufwändige faktische Analyse zur Bewertung der Aussagen nach sich ziehen.
Mit anderen Worten: es wird gerne mal einfach was rausgehauen und das Unternehmen muss sich damit auseinandersetzen.
So beispielsweise bei den datenschutzrechtlichen Betroffenenrechten und insbesondere bei der Auskunft nach Art. 15 DSGVO trifft man auf viel Unkenntnis.

Vertretung bei Betroffenenrechten

Was ist nun Sache?
Die Betroffenenrechte nach Art. 12 bis 23 DSGVO sind juristisch gesehen sog. "höchstpersönliche Rechte" und damit nicht abtretbar. Damit bleibt als einzig in Frage kommende Regelung der Stellvertretung eine zivilrechtlich korrekte Bevollmächtigung, benötigt also auch Schriftformerfordernis.
Allerdings darf diese nicht allgemeiner Natur sein, sondern muss im Wortlaut auch eine Vertretung der datenschutzrechtlichen Betroffenenrechte ausdrücklich umfassen.
Zudem müssten dann sowohl Bevollmächtigter als auch Betroffener eindeutig identifiziert werden.

Was ist zu tun?
Unternehmen müssen demnach vor Ausführung eines Betroffenenrechtes durch einen Vertreter prüfen

• die Identität von Betroffenen und Bevollmächtigtem
• ob aus der Vollmacht hervorgeht, dass diese auch für die datenschutzrechtlichen Betroffenenrechte gilt
• die Glaubwürdigkeit der Vollmacht im Allgemeinen

Zu beachten dabei wäre noch:

• es gibt keine sonstige gesetzliche Regelung oder Stellung (bspw. Großeltern, Ehepartner, Kind / Enkel, Anwalt ohne Mandat) des Auskunftsersuchenden zum Betroffenen, die eine Vertretung auf andere Art gewährleisten würde.
• gesetzliche Auskunftsansprüche durch Behörden sind möglich, diese jedoch nur bei Vorliegen eines Aktenzeichens mit Sachbearbeiters und gesetzliche Grundlage bzw. richterlichem Beschluss

In jedem Fall hat das Unternehmen Prüfpflicht und bei Zweifeln weitere Informationen einzuholen.
Es gibt also kein "Ich habe ein Recht auf Auskunft, weil …" sondern einzig und alleine eine formal korrekte vollständige Vollmacht, aus der ausdrücklich die Vertretungsberechtigung für Datenschutzrechte des Betroffenen hervorgeht. Ist dies nicht zweifelsfrei zu erkennen, ist eine Auskunft (oder ein anderes Betroffenenrecht) zu verweigern.
Das Vorlegen ausreichend qualifizierter Dokumente zum Nachweis der Bevollmächtigung obliegt dem in Stellvertretung Auskunftsersuchenden.

E-Mail datenschutzrechtlich möglich?

Auch hier ist viel Halbwissen unterwegs, die kurze Antwort lautet: ja.
Man muss es wie immer einfach nur richtig machen, wozu folgende Impulse zur Nachfrage bei Ihrem IT-Administrator dienen sollen, um "E-Mail-Risiken" einzuhegen, die im Folgenden aus technischer Sicht beschrieben werden.

Was tun?
Transportverschlüsselung ist ohne weitere Ausnahme verpflichtend, das ist aber mittlerweile nach TLS Standard.
Entsprechend dem Risiko der Exfiltration sind weitere Maßnahmen empfehlenswert:

• In Zusammenhang mit der Pflicht zur Richtigkeit nach Art. 5 Abs. 1 lit. d DSGVO wäre eine per OptIn bestätigte Kommunikations-E-Mail sinnvoll, die technisch geeignet und nur vom Empfänger einsehbar ist
• Entsprechend dem Risiko der Verarbeitung weitere technische Maßnahmen senderseits einzuführen

Es muss nicht zwingend eine Inhaltsverschlüsselung sein, diese hat auch andere Nachteile, insb. die fehlende Indizierbarkeit und Aufwand zur Entschlüsselung, es gibt aber Alternativen.
Fragen Sie insofern bitte Ihren E-Mail-Dienstleister oder IT-Administrator nach weiteren technischen Möglichkeiten, die nur impulshalber kurz aufgeführt sein sollen und die Sie serverseits ohne große Umstände installieren können:

• DKIM: schützt vor Veränderungen auf dem Transportweg
• SPF: sichert zu, dass nur von festgelegten Servern E-Mails mit Ihrem Account versandt werden dürfen
• DANE: zwingende Verschlüsselung mit Zustellgarantie beim richtigen Empfänger
• DNSSEC: sichere Zustellung ohne Manipulationsmöglichkeiten

Sie müssen dabei nur dafür sorgen, dass Ihr E-Mail-System technisch die dem Risiko der Verarbeitung erforderlichen Sicherheitsmaßnahmen vorhält. Für den Empfänger sind Sie nicht verantwortlich, dieser hat seine eigene Compliance gemäß der eigenen Risikobewertung durchzuführen.

Unterstützung des Datenschutzbeauftragten

Der DSB hat seine Pflichten und Tätigkeiten gem. Art. 39 DSGVO auszuführen. Aber auch das Unternehmen hat gegenüber dem DSB nach Art. 38 DSGVO Verpflichtungen, insb. die rechtzeitige Einbeziehung bei allen Verfahren der Verarbeitung personenbezogener Daten, die Unterstützung bei den Aufgaben gem. Art. 39 DSGVO, die Sicherstellung der Weisungsfreiheit bei der Ausführung der Tätigkeiten und der Weiterleitung aller Anfragen betroffener Personen zu datenschutzrelevanten Themen.
Dies dankt Ihnen Ihr Datenschutzbeauftragter mit der Gewährleistung der Geheimhaltung und Vertraulichkeit und mit der tatkräftigen Unterstützung zu Ihrem Unternehmenserfolg.