Blacklist: Daten-Sperrung statt -Löschung…? Oder: Anonymisierte Negativliste?

Hat Ihr Newsletter-Empfänger einen uneingeschränkten Anspruch auf Löschung seiner Daten in Ihrer Datenbank? Wenn ja: wie sollten Sie dann ohne Negativliste zusichern können, dass er in Zukunft nicht doch noch einmal in den Verteiler gelangt und einen unverlangt zugesandten Newsletter erhält?

Diesem Thema widmet sich die Kanzlei Dr. Bahr im aktuellen Law Vodcast vom 11.3.09. Fazit des Beitrags: Der Listeigner hat (unter “bestimmten Voraussetzungen”) gem. § 35 Abs.3 Nr.2, 3 BDSG das Recht, eine E-Mail-Blacklist zu führen und somit die E-Mail-Adresse bloß zu sperren statt zu löschen.

Einspruch, Euer Ehren!

Der angesprochenen Entscheidung des OLG Bamberg aus dem Jahr 2005, nach der die Sperrung – sinngemäß – mit der Begründung zulässig ist, da es sonst technischen nicht möglich ist, eine erneute E-Mail-Zusendung zu 100% auszuschließen möchte ich allerdings widersprechen; dies ist technisch sehr wohl möglich. Beispielsweise kann in der Negativliste statt der E-Mail ein so genannter Hash-Wert der E-Mail-Adresse hinterlegt werden. Hierbei handelt es sich um einen eindeutigen Code, der sich – nach bestimmten Algorithmen, wie z. B. MD5 – aus einer E-Mail-Adresse errechnen ließe. Der Clue: es kann aus eine E-Mail-Adresse jederzeit der eindeutige Code errechnet werden, andersrum kann aber nicht aus dem Code ein Rückschluss auf die zugrundeliegende E-Mail-Adresse gezogen werden.

Die technische Implementierung einer solchen “anonymisierten Blacklist” wäre simpel. Die E-Mail-Adresse wäre faktisch gelöscht und zugleich könnte einer erneuten Eintragung effektiv vorgebeugt werden. Einziges (mathematisches) Problem wären so genannte Kollisionen. Demnach können zwei verschiedene E-Mail-Adressen unter Umständen den gleichen Hashwert erzeugen. Beispiel: A beschwert sich über einen zugesandten Newsletter. Folglich landet die Prüfsumme über seine E-Mail-Adresse (= Hashwert) auf der Negativliste des Verteilers. Später möchte sich B eintragen, dessen E-Mail-Adresse zufällig die gleiche Prüfsumme wie die von A ergibt, die sich ja auf der Negativliste befindet. B kann somit keinen Newsletter erhalten…

Nebenbei: durch eine derartige Hash-Lösung wäre für einen Listeigner/Versender theoretisch auch der Abgleich mit externen Negativlisten eines Werbetreibenden bei Insertion vor dem Versand möglich. Schließlich werden über die Negativliste dann keine E-Mail-Adressen vom Werbetreibenden zum Versender übermittelt, was vor dem Hintergrund des Datenschutzrechts “problematisch” wäre, sondern nur die entsprechenden anonymisierten Hash-Prüfsummen der E-Mail-Adressen.

Hmmmmm…

Enjoyed this one? Subscribe for my hand-picked list of the best email marketing tips. Get inspiring ideas from international email experts, every Friday: (archive♞)
Yes, I accept the Privacy Policy
Delivery on Fridays, 5 pm CET. You can always unsubscribe.
It's valuable, I promise. Subscribers rate it >8 out of 10 (!) on average.

5 Responses to Blacklist: Daten-Sperrung statt -Löschung…? Oder: Anonymisierte Negativliste?

  1. in österreich wurde dieses konzept schon vor ca. 2 jahren umgesetzt und zwar von der regulierungsbehörde RTR.
    wortlaut aus dem ecommerce-gesetz “Die RTR-GmbH ist gemäß § 7 E-Commerce-Gesetz (ECG) dazu verpflichtet, eine Liste zu führen, in die sich diejenigen Personen und Unternehmen kostenlos eintragen können, die keine Werbe-E-Mails erhalten möchten. ”
    nähere info und verwendung siehe http://www.rtr.at/de/tk/NutzenECG

    lg roland

  2. interessant: ich bin am wochenende darüber gestolpert, als ich mir den newsletter manager von der österreichischen onelogin angeschaut habe; vor dem versand wird hier automatisch mit besagter liste abgeglichen. die RTR-liste war mit persoenlich bis dato gar nicht bekannt. es gibt in deutschland ebenfalls eine (email-)robinson-liste, die allerdings – so zumindest mein eindruck – keine praktische relevanz hat..

  3. … und eine hashing-lösung wird ebenfalls genutzt sehe ich gerade – danke für den link. tja so sollte das idealerweise aussehen. am besten halt auch bei der firmeninternen blacklist der beschwerer (gibt’s ja immer mal…)

  4. ich habs mir nochmal genauer angesehen:
    diese ECG-liste muss nur von massenemail-versendern beachtet werden, die vorher keine einstimmung von den kunden angefordert haben.

  5. Pingback: ESPC: MD5-Pflicht bei Austausch von E-Mail-Sperrlisten « Email Marketing Tipps

Leave a Reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

All information is voluntary. Your email address will not be published. When commenting, you agree that your IP address will be processed and stored by Askimet in the U.S. for the purpose of recognizing comment-spam.