Es ging nicht ums Outsourcen der Auftragsdatenverarbeitung, sondern es ging ums Lesen der Mail.
Dein Mailscanner liest die EMail nicht, er verarbeitet die. Nach diesem Argument wäre das blosse Übertragen einer Email nämlich illegal von, zur und innerhalb der EU da jeder Mailserver zwischen Absender und Empfänger die Email im Klartext verarbeitet und teilweise überträgt. Das unterscheidet nämlich Emails stark vom hinkenden Vergleich mit dem Postboten welcher bei Briefen generell und mit Ausnahme von Postkarten oder offenen Werbebriefen die Briefe zum Lesen öffnen müsste.
Davon abgesehen gibt es übrigens mit dem "Deutsche Post Briefankündigung" sogar soweit dass der Postbote die Header der Briefe und damit stark schützenswerte Daten nach DSGVO digital verarbeitet . Und das ganz ohne Erlaubnis des Absenders, oh schreck!
Wenn wir aber von Datenverarbeitung ausgehen und nicht dem zwecklosen Lesen durch Ditte:
Die Auftragsverarbeitung ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Auftragsverarbeiter gemäß den Weisungen des für die Datenverarbeitung Verantwortlichen auf Grundlage eines Vertrages.
Hier liegt eine Vertragsform (Bereitstellung des Emailkontos mit Antispam), eine Weisung (Spamfilterung) und ein Auftragsverbeiter (Email-Hoster) vor.
alsch, es ist nicht plötzlich der Privatbesitz des Empfängers, das verhindert schon allein das Urheberrecht.
Das Urheberrecht schliesst nicht den Besitz eines Dritten aus, sondern begrenzt was dieser damit machen darf. Darüber hinaus sind bei weitem nicht alle Emails urheberrechtlich schützenswert. "Hey, wir gehen Pizza essen. Kommst du mit" ist keineswegs urheberrechtlich schützenswert. Also ausser eventuell es kommt von einem grossen Künstler welcher leere Bilder als Kunst verkaufen kann... aber ich schweife ab.
Wenn es vom BGB oder per Vertrag nicht anders vorgeschrieben ist, dann spätestens per DE-Mail oder Gerichtsbeschluss.
Da das BGB nicht auf mich zutrifft kenne ich es nicht in allen Feinheiten, aber meines Wissens ist DE-Mail nicht Bestandteil des BGB sondern lediglich eine kommerzielle Plattform welche darauf ausgerichtet ist BGB 126 Absatz 4 und BGB 126a Absatz 1 "garantiert" zu erfüllen. Technisch müsste eine Email signiert mit
meinen ausländisches Personalausweis-Zertifikat und ein Freemail-Konto bei einem Hinterhofanbieter in Timbuktu genau so als QES akzeptiert werden wie eine DE-Mail.
Aber muss man den Absender (der ja extern ist und abgesehen von Kontaktformularen keine Möglichkeit hat vorab zu zustimmen) nicht zumindest informieren, daß die Transportdaten seiner gesendeten Emails in einer (Redis-)DB (von RSPAMD) sitzen
Da Antispam ein universelles technisches Mittel zur Abwehr von offensichtlichen Straftaten (Spam, Fraud, Viren, ...) mit gesellschaftlicher Akzeptanz ist, sehe ich Erwägungsgrund 47.3 insbesondere zutreffend:
"Auf jeden Fall wäre das Bestehen eines berechtigten Interesses besonders sorgfältig abzuwägen, wobei auch zu prüfen ist, ob eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird."
Ich würde argumentieren dass dies hier der Fall ist da man bei jedem Email-Benutzer vernünftigerweise davon ausgehen kann dass er weiß dass Spamschutz-Filterung existiert und diese eine Art Kontaktliste verwendet, technische Details dahinter sind unerheblich.
Aber.... prüfen wir mal die Grundprinzipien um alles ab zu decken:
Prinzip der Rechtmässigkeit: Sehe ich als gegeben da legitimes Interesse des Schutzes Dritter (Kunden) besteht, die Kunden einwilligen (gehen wir hier einfach mal aus) und Dritte davon ausgehen können dass Spamschutz existiert.
Zweckbindung: Dass die Datenbank nicht für andere ZWecke benutzt werden darf ist ja wohl klar und hier "out of scope".
Datenminimierung: Crash & burn. Es gibt keinen direkt ersichtlichen logischen Grund warum personenbezogene Daten und nicht pseudonymisierte (Einweg-Hash, ...) Einträge verwendbar wären um die Funktion zu erfüllen. Meines Wissens kann rspamd dies aber nicht.
Richtigkeit: Bei Hinweisen auf Spoofing der Absender-Adresse dürfte diese nicht in die Datenbank aufgenommen werden.
Speicherbegrenzung: Hier könnte eine ganze Diskussion entstehen wie lange technisch notwendig ist. Reichen 7 Tage nicht schon um 99% der Funktionalität zu erhalten. Und wenn ja, 2 Tage? 24h? 4h?
Integrität: Sehe mal als gegeben an
Rechenschaftspflicht: Das Setup ist natürlich dokumentiert und es ist klar ersichtlich wie DSGVO-Anfragen behandelt werden. Anmerkung: Diese ist zumal für den Anbieter relevant
Und einen Paragraphen zur Rechtsgrundlage nennen ?
Ein einziger Paragraph reicht hier bei weitem nicht aus. Wenn du wirklich sicher sein willst bleibt dir wirklich nur die Beratung durch einen Fachanwalt für Onlinerecht und auch dann gibt es in allen Gesetzen, Rechtssprechnungen, Reglementierungen, Begleitdokumenten noch genug Freiraum für Ansichten... Tut mir leid
st der Betzreiber des Mailservers nicht verpflichtet zumindest Transportdaten eine gewisse Zeit vorzuhalten falls der Empfänger aufgrund illegalem SPAM den Rechtsweg anstreben möchte ? Stichwort: Pflicht des Speicherns von Transportdaten zum Zwecke einer eventuellen Strafverfolgung ?
Vorratsdatenspeicherung. Auweia das ist ein ganz eigenes Thema
Aktuell wartet Deutschland auf den EUGH-Rechtsspruch um die entsprechende Reformierung durch zu führen, der kommt voraussichtlich diesen September nach nur 8 Jahren der Schwebe.
PS: Natürlich ist dieser ganze Thread keine Rechtsberatung sondern Laienmeinungen und Interpretationen.
