Verraten und verkauft?

Fehlgeleitete E-Mail und Geheimhaltung

Wissen | Recht

„Falls Sie nicht mit dem oben bezeichneten Adressaten dieser E-Mail identisch sind, ist es Ihnen streng verboten, diese zu lesen.“ Solche und ähnliche Disclaimer finden sich besonders in elektronischer Korrespondenz von Unternehmen. Was sind sie rechtlich gesehen wert, und wie ist es aus juristischer Sicht überhaupt um die Geheimhaltung von E-Mail-Inhalten bestellt?

Chet Faliszek wohnt in Seattle, Washington (USA), und erhält Hunderte, mitunter sogar Tausende von E-Mails am Tag. Ein typisches Spam-Opfer, möchte man meinen, doch weit gefehlt: Die tägliche Mailflut im Hause Faliszek geht vielmehr auf eine skurrile Mischung aus Gedankenlosigkeit, Unaufmerksamkeit und technischen Selbstverständlichkeiten beim elektronischen Postverkehr zurück.

Viele Mail-Versender – auch Administratoren von Netzwerken bei großen Unternehmen oder gar Behörden – geben beim Versand von E-Mails, auf die sie keine Antwort wünschen, eine vermeintlich fiktive sprechende Adresse nach dem Muster „irgendwas@donotreply.com“ als Absender an. Dabei denken sie nicht daran, dass die Domain „donotreply.com“ tatsächlich existiert. Sie berücksichtigen auch nicht, dass der Reply-Button eines E-Mail-Programms schnell gedrückt ist und eine Antwort dann eben an den angegebenen Absender der ursprünglichen E-Mail erfolgt.

So mancher Adressat tut somit aus purer Schusseligkeit genau das, wovon der ursprüngliche Mail-Versender ihn abhalten wollte: Er antwortet, aber nun eben an eine Mail-Adresse bei der Domain „donotreply.com“. Dasselbe passiert, wenn beispielsweise ein Schreibfehler in der Adressangabe dafür sorgt, dass der Mail-Server des gewünschten Adressaten einen automatischen „Bouncer“ produziert, also ein „Zurück an den Absender“ samt der dazugehörigen Fehlermeldung.

All diese Antworten landen dann eben nicht beim Absender der ursprünglichen Mail, sondern beim Betreiber der Domain „donotreply.com“ – und das ist Chet Faliszek. Er erhält sämtliche elektronische Post, die an alle denkbaren Adressen auf seiner Domain gerichtet ist, von aaa@donotreply.com bis zynically_yours@donotreply.com. Und er macht sich einen Spaß daraus, auf seiner Website besonders delikate Beispiele digitalen Treibguts wiederzugeben.

Einen haarsträubenden Rückläufer provozierte auf diese Weise etwa eine amerikanische Bank, die ihre Kunden per E-Mail über Details zu bestimmten Transaktionen informierte. Als Absenderadresse gab sie „bank@donotreply.com“ an, aber völlig unbeeindruckt davon versuchten einige der angeschriebenen Bankkunden dennoch, auf die Mail zu antworten und schickten dabei auch den ursprünglichen Text wieder mit.

Selbst Personen, denen man in Sachen Datenschutz eine besondere Sensibilität zutrauen würde, schossen schaurig-schöne Eigentore: So berichtet Faliszek von einem Unternehmen, in dessen IT-Abteilung regelmäßig E-Mail-Listen von Computern kursierten, welche sicherheitstechnisch nicht mehr auf dem neuesten Stand waren. Als eines Tages eine Adresse in dem E-Mail-Verteiler nicht mehr stimmte, ging die Mail als „Bouncer“ automatisch an die vermeintliche Absenderadresse zurück – nämlich an „security.check@donotreply.com“. So kam sie in die Hände von Chet Faliszek.

Über die Leichtfertigkeit, mit der die Akteure dieser Gruselgeschichten ihre elektronische Korrespondenz handhaben, mag man belustigt den Kopf schütteln. Allerdings drängt sich auch die Frage auf, was Faliszek – und letztlich jeder, der eine offensichtlich nicht für ihn bestimmte Mail erhält – mit der fehlgeleiteten Nachricht eigentlich anstellen darf und was nicht. Darf man sie zum Beispiel an Freunde zur Unterhaltung weiterleiten, im Internet veröffentlichen oder der Presse zuspielen? Oder muss man den Absender über die Falschsendung informieren und die Mail danach löschen? Was ist, wenn auch noch ein Disclaimer in der betreffenden Nachricht steht, der harsche Drohungen gegen etwaige unbefugte Leser ausstößt?

Und wenn man schon einmal all diese Fragen klären will, drängt sich auch noch diejenige auf, wie es um die Geheimhaltung der Absenderadressen von fehlgeleiteten Mails bestellt ist. Darf man diese Adressen weitergeben oder gar an Adresshändler verkaufen?

Da keine speziellen gesetzlichen Regelungen zum Schutz von E-Mail existieren, lassen sich diese Fragen nicht kurz und bündig beantworten. Vielmehr muss man auf verschiedene datenschutzrechtliche Vorschriften und die allgemeinen Normen des Straf- und Zivilrechts zurückgreifen.

Rechtlich gesehen ist E-Mail ein Telekommunikationsdienst, der als solcher dem Fernmeldegeheimnis und den besonderen datenschutzrechtlichen Bestimmungen des Telekommunikationsgesetzes (TKG) unterliegt. Was die Paragrafen 88 und 91 ff. dieses Gesetzes über Geheimhaltung sagen, verpflichtet jedoch nur Anbieter beziehungsweise Erbringer von E-Mail-Diensten und nicht etwa deren Benutzer. Ein Verbot der Verbreitung oder anderweitigen Nutzung fehlgeleiteter Mails durch ihren irrtümlichen Adressaten lässt sich damit also nicht begründen.

Auch das Bundesdatenschutzgesetz (BDSG) gibt in dieser Hinsicht wenig her, da es nur die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten regelt – und selbst das nur unter der Voraussetzung, dass diese Daten nicht ausschließlich für private Zwecke verwendet werden (§ 1 Abs. 2 Nr. 3 und § 27 Abs. 1 Satz 2 BDSG). Kurzum: Sofern ein E-Mail-Irrläufer keine personenbezogenen Daten enthält, ist er telekommunikations- und datenschutzrechtlich betrachtet Freiwild.

Das gilt allerdings nicht für die Absenderadresse einer fehlgeleiteten E-Mail oder möglicherweise enthaltene Kontaktdaten. Dabei handelt es sich nämlich um personenbezogene Daten im Sinne von § 3 Abs. 1 BDSG, die grundsätzlich nur erhoben, verarbeitet oder genutzt werden dürfen, wenn eine Rechtsvorschrift das vorsieht oder der Betroffene einwilligt. Die Weitergabe oder der Verkauf von Adressen, die man aus fehlgeleiteten E-Mails gewinnt, ist daher mangels Einwilligung der Betroffenen rechtlich unzulässig [1].

Die Paragrafen 28 und 29 des BDSG enthalten spezielle Regelungen zur Verwendung personenbezogener Daten zu geschäftlichen Zwecken – insbesondere in Bezug auf Werbung oder Markt- und Meinungsforschung. Danach wäre eine ausdrückliche Einwilligung des Betroffenen nicht unbedingt nötig. Zu den personenbezogenen Daten, um die es dabei geht, gehören jedoch keine E-Mail-Adressen. Außerdem darf nach den beiden genannten Paragrafen kein Grund zu der Annahme bestehen, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung oder Nutzung seiner jeweiligen Daten hat. Ein solches Ausschluss-Interesse läge aber beim Handel mit E-Mail-Adressen angesichts der Spam-Gefahr auf der Hand.

Strafrechtlich betrachtet ist die Weiterleitung oder Veröffentlichung von fehlgeleiteten E-Mails meist unkritisch – es sei denn, der Irrläufer hätte einen strafbaren Inhalt, der den Weiterleitenden selbst zum Täter machen würde. Das kann etwa Kinderpornografie betreffen, aber auch verfassungsfeindliche Inhalte oder urheberrechtswidrige Dateianhänge.

Dass man sich durch das Weiterreichen fremder Mail grundsätzlich, also unabhängig von deren Inhalt, strafbar machen würde, etwa wegen der Verletzung des Post- und Fernmeldegeheimnisses nach Paragraf 206 des Strafgesetzbuchs (StGB), ist ein Irrtum. Dieses Delikt können nämlich nur Inhaber oder Beschäftigte eines Post- oder Telekommunikationsunternehmens (unter bestimmten Voraussetzungen auch Amtsträger) begehen.

Eine Verletzung des Briefgeheimnisses gemäß § 202 StGB liegt ebenfalls nicht vor, da diese Vorschrift nur die Öffnung beziehungsweise Kenntnisnahme von verschlossenen Briefen oder Schriftstücken unter Strafe stellt. Eine Anwendung dieser Vorschrift auf E-Mail ist aufgrund des sogenannten Analogieverbots im Strafrecht nicht möglich [2].

Schließlich könnte man noch auf die Idee kommen, dass derjenige, der eine fehlgeleitete E-Mail liest, sich wegen des „Ausspähens von Daten“ nach § 202a StGB strafbar machen könnte. Tatsächlich droht der erwähnte Paragraf demjenigen Strafe an, der sich Zugang zu Daten verschafft, die nicht für ihn bestimmt sind. Allerdings muss dieser Zugang auch unbefugt erfolgen, wobei die fraglichen Daten zudem „gegen unberechtigten Zugang besonders gesichert“ sein müssen. Beide Voraussetzungen liegen bei einer unverschlüsselten Mail, die ihr Verfasser selbst – wenn auch irrtümlich – an den Empfänger gesendet hat, nicht vor.

Wer eine Mail, die Geschäfts- oder Betriebsgeheimnisse enthält, an eine fremde Person (weiter)sendet, könnte sich eventuell nach Paragraf 17 des Gesetzes gegen den unlauteren Wettbewerb (UWG) strafbar machen. Dann müsste er jedoch „zu Zwecken des Wettbewerbs, aus Eigennutz, zugunsten eines Dritten oder in der Absicht, dem Inhaber des Unternehmens Schaden zuzufügen“, handeln.

Auch wer als Empfänger eines Irrläufers Kenntnis von Geschäfts- oder Betriebsgeheimnissen erlangt, macht sich normalerweise nicht strafbar – dazu müsste er sich diese nämlich „unbefugt verschafft“ haben, also zu diesem Zweck zumindest in irgendeiner Form aktiv geworden sein.

Ein allgemeines Verbot der Weiterleitung oder Veröffentlichung fehlgeleiteter E-Mail-Nachrichten lässt sich auch aus zivilrechtlichen Vorschriften nicht herleiten, ebenso wenig wie eine grundsätzliche Verpflichtung, dergleichen Irrläufer zu löschen beziehungsweise deren Absender zu informieren. Allerdings können im Einzelfall rechtliche Aspekte zum Tragen kommen, die einer Verbreitung oder Ausschlachtung fremder elektronischer Post Grenzen setzen.

Denkbar ist zum Beispiel, dass eine fehlgeleitete Mail urheberrechtlichen Schutz genießt, weil sie aufgrund ihrer gehobenen sprachlichen und inhaltlichen Gestaltung als persönliche geistige Schöpfung und damit als „Sprachwerk“ im Sinne von Paragraf 2 des Urheberrechtsgesetzes (UrhG) anzusehen ist [3]. Aber auch Darstellungen wissenschaftlicher oder technischer Art wie Zeichnungen, Pläne, Skizzen oder Tabellen können urheberrechtlichen Werkschutz genießen und dürfen – ebenso wie Sprachwerke – nur mit Einwilligung des Urhebers vervielfältigt, verbreitet oder öffentlich wiedergegeben werden [4].

Eine weitere Grenze wird der Ausschlachtung fremder Post durch das Allgemeine Persönlichkeitsrecht des Absenders und – sofern die fehlgeleitete Mail geschäftliche Belange eines Unternehmens berührt – unter Umständen auch durch das „Recht am eingerichteten und ausgeübten Gewerbebetrieb“ gesetzt [5]. Bei diesen Rechten handelt es sich um „sonstige Rechte“ im Sinne von Paragraf 823 Abs. 1 des Bürgerlichen Gesetzbuchs (BGB), und ihre Verletzung löst Beseitigungs- und Unterlassungsansprüche sowie gegebenenfalls auch einen Schadenersatzanspruch aus [6].

Auf diese Weise macht das Zivilrecht die unerlaubte Weiterleitung oder Veröffentlichung von E-Mails mit persönlichem, beruflichem oder geschäftlichem Inhalt, die an einen bestimmten Empfängerkreis gerichtet sind und die man nur irrtümlich erhalten hat, doch noch zu einer ziemlich heiklen Angelegenheit. Vor Zivilgerichten haben Anspruchsteller, die unbefugte Mail-Verräter wegen der Verletzung der oben genannten Rechte zur Verantwortung zogen, bereits mehrfach Erfolg gehabt [7].

Eine gewisse Diskretion ist nicht zuletzt auch dann angesagt, wenn es um Mail-Nachrichten von Absendern geht, mit denen man in laufender oder ständiger Geschäftsbeziehung steht. In Fällen dieser Art kommt es auch nicht darauf an, ob man die Mail irrtümlich erhalten hat oder als Adressat vorgesehen war, denn durch eine Weiterleitung oder Veröffentlichung der geschäftlichen Post eines Vertragspartners wird grundsätzlich die vertragliche (Neben-)Pflicht zur Vertraulichkeit verletzt, die diesem Vertragspartner gegenüber besteht [8].

Viele E-Mail-Schreiber glauben, sie könnten den Missbrauchsgefahren bei einer irrtümlichen Fehlsendung von Nachrichten dadurch entgehen, dass sie ihre elektronische Post mit einem – oft recht länglichen – Disclaimer versehen.

Irrtümlich erreichte Mail-Empfänger werden darin beispielsweise aufgefordert, die Nachricht nicht zur Kenntnis zu nehmen, was in einem gewissen Widerspruch dazu steht, dass diese Aufforderung meist erst am Ende des Texts zu finden ist. Oft verlangen solche Disclaimer auch, den Absender unverzüglich zu benachrichtigen, die Mail zu löschen, jegliche Weiterleitung zu unterlassen und dergleichen mehr. Das Ganze wird bisweilen durch die Androhung rechtlicher Konsequenzen garniert, die im Fall der Zuwiderhandlung angeblich drohen [9].

Derartige Angstklauseln sind rechtlich völlig nutzlos. Mehr als den Schutz, den das Recht dem Inhalt einer Mail ganz von selbst gewährt, kann man auch durch einen solchen Hinweis nicht bewirken: Es ist nicht möglich, jemandem durch einen Text einseitig irgendwelche Pflichten aufzuerlegen [10]. Man kann sich und anderen derartige Disclaimer also getrost ersparen. Sinnvoller als juristisch aussehende Statements ist allemal eine einfache, freundliche Bitte, doch bei einer etwaigen Fehlsendung dem Absender Bescheid zu sagen. (psz)

[1] Eine Urteilssammlung zu Fragen des Adresshandels findet sich bei www.adresshandel-und-recht.de

[2] Für das Analogieverbot im Strafrecht sind etwa Artikel 103 Abs. 2 des Grundgesetzes (GG) und § 1 StGB maßgebend

[3] Zum urheberrechtlichen Schutz persönlicher Briefe: Landgericht (LG) Berlin, Urteil vom 23. 1. 2007, Az. 16 O 908/06; zum urheberrechtlichen Schutz von Geschäftsbriefen: LG München I, Urteil vom 12. 7. 2006, Az. 21 O 22918/05

[4] Zum urheberrechtlichen Schutz von Darstellungen wissenschaftlicher oder technischer Art: § 2 Abs. 1 Nr. 7 UrhG; zu den ausschließlichen Rechten des Urhebers: § 15 UrhG

[5] Eingehend hierzu Kai Mielke, Öffentlichkeit durch Mausklick, Meinungsfreiheit und Persönlichkeitsschutz im Internet, c't 03/03, S. 162

[6] Schadenersatzpflicht: § 823 Abs. 1 BGB; Beseitigungs- und Unterlassungsanspruch: § 1004 BGB

[7] Amtsgericht (AG) Berlin-Charlottenburg, Urteil vom 27. 12. 2000, Az. 10 C 1011/00; LG Köln, Urteil vom 6. 9. 2006, Az. 28 O 178/06

[8] Oberlandesgericht (OLG) Rostock, Urteil vom 17. 4. 2002, Az. 2 U 69/01

[9] Eine Sammlung von über hundert solcher Floskeln findet sich bei www.angstklauseln.de

[10] Eingehend hierzu: Kyrill Makoski, Über den (Un-)Sinn von E-Mail-Disclaimern, in: Kommunikation und Recht 5/2007, S. 246–250

Kommentare

Anzeige
Anzeige