01/26: Vorsicht, Auto-Responder!

HMDATA Datenschutz-Newsletter 01/2026, Autor: Dipl.-Ing. (FH) Harald Müller-Delius, MBA, ©HMD 2025

Auto-Responder, also eine automatisierte Antwort an den Absender beim Eingang von Mails sind eine praktische Sache.
Allerdings kommt es - wie so oft liegt der Unterschied im Detail - darauf an, ob der Auto-Responder korrekt konfiguriert ist.
Im Zweifelsfall kann ein falsch eingerichteter Auto-Responder auch fortlaufend Datenpannen produzieren oder als Einfallstor für Spear-Phishing-Attacken oder weitere kriminelle Aktivitäten dienen.

Konfliktursache

Grundsätzlich liegt die Problematik daran, dass man unbewusst möglicherweise ein unnötiges "zu viel" an Daten im Autoresponder an den Absender zurücksendet. Das kann Anlass für Social Hacking werden, eine Datenpanne verursachen oder den Absender diskreditieren.

Gerade die voreingestellten einfach zu verwendenden Vorlagen der gängigsten E-Mail-Programme senden sehr detaillierte Informationen zurück, hier wäre ein manuelles oder zentralisiertes Vorgehen mit neutralen Vorlagen vorzuziehen.

Autoresponder werden gerne verwendet bei
- Abwesenheit (Urlaub, Krankheit, Stellvertretung)
- Eingangsbestätigung / Erhalt
- Offboarding
- Feststellung der Konnektivität

Problematik von Autorespondern

Die Problematik lässt sich wie folgt beschreiben:

• Abwesenheit
  Es werden Gründe der Abwesenheit angegeben. Bei Abwesenheit durch Krankheit können arbeitsrechtliche Konsequenzen entstehen, bspw. durch Angabe des Krakheitsgrundes. Stellvertretung lässt Rückschlüsse auf die Positionen der Beteiligten zu, ein Stellvertreter ist meist nicht exakt in die aktuellen Fälle eingearbeitet und kann somit leichter über Social-Hacking zum gezielten Angriff für Spear-Phishing-Angriffe kontaktiert werden. Urlaub lässt Rückschluss zu ob ein Arbeitnehmer aktuell zu Hause oder verreist ist, was Auslöser für Einbrüche sein kann.
• Eingangsbestätigung
  Grundsätzlich eine gute Lösung um bei zeitkritischen oder haftungsmäßig relevanten Inhalten zu geben. Problematik ist, in der Eingangsbestätigung Informationen über den Anlass zu geben, also bspw. Zurücksenden des Betreffs oder Bezug auf Inhalt.
• Offboarding
  Bei Mitarbeiter, die das Unternehmen verlassen haben, ist es entscheidend, ob generell eine Privatnutzung gestattet oder verboten war. Sollte Privatnutzung erlaubt gewesen sein, muss das Konto deaktiviert zum Empfang von E-Mails konfiguriert werden. Ein weiterer Empfang wäre nicht mehr erlaubt. Bei Verbot der Privatnutzung kann das E-Mail-Konto noch zum Empfang weiterer Korrespondenz genutzt werden.
• Feststellung Konnektivitä
  Bei einem Auto-Responder kann darauf hingewiesen werden, dass ein Konto nicht mehr existiert oder nur gerade aktuell nicht abgerufen wird. Alleine die Tatsache, dass ein E-Mail-Konto noch aktiv ist, hebt den Wert des Kontos für kriminelle Zwecke ungleich an.

Wie oben beschrieben, kommt es ganz auf Inhalte und Art des Auto-Responders an. Sind zu viele Informationen enthalten, wird das E-Mail-Konto anfällig für

• Spam und Spear-Phishing
• Identifizierbar für ein aktives, passives, gelöschtes oder automatisiertes Konto
• Offenlegung personenbezogener Daten zur Person oder Stellvertretung
• Offenlegung personenbezogener Daten des Absenders

Fazit

Kurz und einfach: je neutraler der Auto-Responder, desto besser. Folgende Kriterien sollten beachtet werden:

• Datenpanne vermeiden: keine Nennung von Betreff oder Inhalt, nur Angabe von Eingang mit Zeitstempel
• Phishing-Attacken vermeiden: keine persönliche Nennung von Kontaktpersonen oder deren Stellvertretung
• Arbeitsrechtliche Konsequenzen vermeiden: keine Nennung von Abwesenheitsgrund

Wie immer werde ich Sie auch in 2026 laufend und vor allem kurz und knapp mit Empfehlungen für die Praxis informieren und auch zu o.a. Themen den Markt für Sie beobachten und Entscheidendes zusammenfassen.

Sehr geehrte Damen und Herren,


vielen Dank für Ihre E-Mail vom dd.mm.jjj.

[Option1]
Dieser Account wird aktuell nicht abgerufen, bitte wenden Sie sich für Ihr Anliegen an zentrale@muster.de.
[Option2]
Wir bestätigen den Erhalt Ihrer Nachricht und bearbeiten schnellstmöglich Ihr Anliegen.

Mit freundlichen Grüßen,
Musterfirma GmbH
Anschrift / Telefon-Zentrale / E-Mail-Zentrale