Zustellungsnachweis bei Ausführung von Betroffenenrechten?

HMDATA Datenschutz-Newsletter 02/2025, Autor: Dipl.-Ing. (FH) Harald Müller-Delius, MBA, ©HMD 2025

Betroffenenrechte sind unabdingbar, soweit das Gesetz und die Theorie. Auf welche Feinheiten darauf bei den jeweiligen Arten (wie bspw. Auskunft, Löschung, Sperrung, Widerruf, usw. nach Art. 15 bis 22) zu achten ist, war schon Gegenstand von anderen Newslettern. Als Wiederholung: einfach rechtzeitig Datenschutzbeauftragten involvieren und gut ist's.
Dabei gilt aber zu beachten: ein Betroffenenrecht sollte fristgerecht (max. 4 Wochen) und generell auf dem Kommunikationsweg bearbeitet werden, auf dem es eingegangen ist - solange nichts anderes vom Kunden gewünscht.
Also Eingang per E-Mail, Antwort per E-Mail - selbst bei Löschung, bei der schon der ein oder andere sich beschwert hat, wie man ihm den antworten könne, wenn doch alles gelöscht sei.

Die Sphäre des gefühlten Datenschutzes

Aber genau darum geht es in diesem Newsletter: die Details und Spitzfindigkeiten gekonnt zu beherrschen und zu umgehen. Aktueller Trend: das Leugnen des Eingangs, da die Beweispflicht bzw. Rechenschaftspflicht beim Unternehmen liegt und eine weitere Eskalationsstufe die Aussicht auf eine höhere Schadenersatzzahlung - ggf. auch mit behördlicher Unterstützung - erhöht.

Wie kann also eine Zustellung per E-Mail nachgewiesen werden?

Gegenstand mehrerer gerichtlicher Auseinanderstzung war immer wieder die Nachweisbarkeit der fristgerechten Zustellung unter Betrachtung der verarbeiteten Datenarten und -umfangs.
Die Fälle wurden kontrovers diskutiert, die einen sahen es als erwiesen an, dass der Sendebericht des sendenden Mail-Servers (der noch in der Kontrolle des Unternehmens liegt) genüge, die anderen vertraten die Ansicht, dass erst mit Abruf des Betroffenen von seinem empfangenden Mail-Server die Zustellung in das Postfach als zugestellt gilt. Andere gingen noch einen Schritt weiter (bspw. bei Nutzung populären Mail-Diensten) und verlangten einen Nachweis der Öffnung als Zustellung. Insb. der Unterschied zwischen Nachweis des Zugangs und der Kenntnisnahme scheint auch von Bedeutung.
Die übliche "Lesebestätigung" spielt indes keine Rolle, da diese nicht grundsätzlich vom E-Mail-Protokoll beherrscht wird und nicht durchgängig zur Verfügung steht.

Kurz: verschiedene Meinungen, die einerseits vom Unternehmen nicht nachweisbar sind und andererseits vom Betroffenen manipulierbar wären. Also keine befriedigende Situation.

Aber, in was man sich einigen konnte: sollte ein ebenso per CC eingebundener weiterer Empfänger, insb. mit externer Domain, den Empfang per CC bestätigen können, galt als sicher, dass auch die technische Zustellung an den Hauptempfänger als gesichert gilt.

Was heißt das für mein Unternehmen?

Wenn Sie also sicherstellen wollen, dass Sie den Nachweis der Zustellung der Auskunft oder Ausführung eines Betroffenenrechtes führen können, ist es hilfreich, als CC-Empfänger zusätzlich die E-Mail-Adresse des (externen) Datenschutzbeauftragten anzugeben.
Und bitte auch hier wieder der Apell: Versand nur an verifizierte E-Mail-Adressen, vom Kunden als allein und persönlich zugänglich zum Erhalt besonderer personenbezogener Daten bestätigt.