print logo

Valentinstag-Mailing ohne Sperrlisten-Ärger

Pseudonymisiert oder anonymisiert? Die DSGVO stellt hohe Anforderungen an E-Mail-Sperrlisten, die Versender auch am Valentinstag beachten sollten.
Alexander Zeh | 04.02.2019
© Pexels / freestocks.org
 

Eigentlich hatte der Online-Shop-Betreiber es nur gut gemeint und wollte im Vorfeld des 14. Februars Verliebten die Chance auf ein romantisches Geschenk geben. Das entsprechende Mailing ging an viele Kunden, Fast-Kunden, Newsletter-Empfänger und Geschäftspartner. Leider hatte die Mail auch einige Adressaten erreicht, die keine elektronische Post des Shops mehr bekommen wollten. Obwohl dieser in der Vergangenheit den eigenen Verteiler immer sorgfältig gepflegt und alle Unsubscriber entfernt hatte, ist die eine oder andere Adresse irrtümlich wieder im Verteiler gelandet – Stichwort Reimport. Das sorgt beim ungewollt Angeschriebenen eher für Ärger als für Liebe. Es schadet der Reputation des Versenders und damit auf lange Sicht auch dem eigenen Umsatz.

Damit das nicht passiert, führen die E-Mail Service Provider, auf deren Service Online-Shops beim Versand von Massenmailings setzen, in der Regel sogenannte Sperrlisten. Die sollen verhindern, dass darin enthaltene Adressen entweder nur von bestimmten Kunden oder generell nicht mehr angemailt werden. Die Speicherung personenbezogener Daten ist nach der seit rund einem halben Jahr geltenden EU-Datenschutzgrundverordnung allerdings nicht ganz unproblematisch, auch wenn es nur dem oben genannten Zweck dient.

Hash-Werte verhindern Reimport gesperrter Adressen


Die Situation ist verzwickt: einerseits darf man eine Mailadresse wegen eines Löschersuchens nicht mehr anmailen, andererseits darf man die Mailadresse ebenso wenig speichern, um genau das zu gewährleisten. Aber es gibt eine Lösung. Über sogenannte Hash-Algorithmen werden aus E-Mail-Adressen Hash-Werte generiert, die sich nicht ohne Weiteres wieder in die Mailadresse zurückführen lassen. Die Hash-Werte werden dann in der Sperrliste gespeichert und mit dem Hash-Wert jeder zu importierenden Mailadresse abgeglichen. Gibt es eine Übereinstimmung, ist die entsprechende Mailadresse gesperrt und darf nicht angemailt werden.

Das System funktioniert, hat aber Tücken: Erstens werden die Algorithmen, die die Hashs erzeugen, von der technischen Entwicklung eingeholt und gelten irgendwann als nicht mehr sicher. Zweite Schwachstelle sind die sogenannten Rainbow Tables: Findige Geister erzeugen mit Hilfe gängiger Hash-Algorithmen riesige Listen von Eingabewerten mit den daraus erzeugten Hash-Werten. In diesen Listen kann man dann Hash-Werte wie in einem Lexikon nachschlagen und die dahinter liegenden Eingaben - sprich Maildressen - rekonstruieren.

Für beide Probleme gibt es Abhilfe. Hashes, die mit einem nicht mehr sicheren Algorithmus generiert wurden, kann man mit einem modernen, sicheren Algorithmus erneut hashen. Und gegen die Rainbow Tables hilft ein „Salt“, ein Wert, der dem zu verschlüsselnden Wert, also der Mailadresse, angehängt wird, bevor der Hash erzeugt wird. Dann müsste zu jedem möglichen Salt ein eigener Rainbow Table erzeugt werden, um die Mailadressen zu knacken. Das ist theoretisch möglich, aber praktisch nicht einmal ansatzweise praktikabel.

Chiffrierte Daten unterliegen nicht der DSGVO


So viel zur technischen Praxis. Wie sieht es mit der juristischen Theorie aus? Die EU-Datenschutzgrundverordnung (DSGVO) ist nur auf personenbezogene Daten anzuwenden. E-Mail-Adressen zählen zu den personenbezogenen Daten, aber was ist mit gehashten E-Mail-Adressen? Kommt drauf an, sagt der Gesetzgeber, nämlich darauf, ob es sich bei der Verschlüsselung von (personenbezogenen) E-Mail-Adressen mittels Hash-Algorithmen um eine Pseudonymisierung oder eine Anonymisierung handelt.

Pseudonymisierung
Bei der erstgenannten Methode mit einfachen Hashes ist die Rückführung in die personenbezogene Mailadresse relativ einfach und ohne erheblichen Aufwand möglich. Daher handelt es sich bei diesem Verfahren lediglich um eine Pseudonymisierung, die so generierten Hashes gelten deshalb weiterhin als personenbezogene Daten und unterliegen damit auch der DSGVO.

Anonymisierung
Anders bei Methode zwei: Personenbezogene Daten, die mit modernen, sicheren Algorithmen im besten Fall mehrfach gehasht und mit einem „Salt“ versehen wurden, sind, wenn überhaupt, nur mit einem erheblichen Aufwand einer Mailadresse zuzuordnen. Auf diese Art chiffrierte Daten gelten deshalb als anonymisiert und sie unterliegen nicht der DSGVO.

Die Mail-Experten der Certified Senders Alliance (CSA) empfehlen daher bei der Implementierung von Sperrlisten das zweite, etwas aufwändigere Verfahren, damit die EU-DSGVO nicht zum Tragen kommt.

Hier gibt es ausführliche Informationen zum Thema Sperrlisten.


DSGVO und ähnliche Rechtsfragen werden auch in einem Rechtsworkshop am 12. April erörtert. Der Workshop ist Teil des CSA Summit 2019 vom 10. – 12. April 2019 in Köln.

Die Certified Senders Alliance CSA ist ein gemeinsames Whitelisting-Projekt des Internetverbandes eco e.V. und des Deutschen Dialogmarketing Verbandes (DDV).