Offener E-Mail-Verteiler – Datenschutzbehörde verhängt Bußgeld
Was immer wieder in Unternehmen passiert, wurde einer Mitarbeiterin zum Verhängnis: Sie versandte per E-Mail eine kurze Nachricht an einen großen Kundenkreis, wobei der E-Mail-Verteiler fast 10 Seiten umfasste – und für jeden Empfänger sämtliche Mail-Adressen sichtbar waren. Da sämtliche E-Mail-Adressen unter „An“ eingetragen waren, konnte jeder Adressat von den anderen Empfängern Kenntnis nehmen…
Inhaltsverzeichnis
1. Der Fall
Das Problem: Der von der Mitarbeiterin verwendete E-Mail-Verteiler bestand aus E-Mail-Adressen, die vorwiegend die Vor- und Nachnamen von Personen zeigten, was ohne die erforderliche Einwilligung der Betroffenen einen Verstoß gegen das Datenschutzrecht darstellt.
Denn bei einer E-Mail-Adresse handelt es sich um ein so genanntes personenbezogenes Datum im Sinne des Bundesdatenschutzgesetzes (§ 3 Abs.1 BDSG). Eine Weiterleitung an Dritte ist nur dann zulässig, wenn zuvor eine Einwilligung abgegeben wurde oder eine gesetzliche Grundlage besteht.
In dem vom Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) geprüften Fall lagen diese Voraussetzungen nicht vor.
Wegen des Verstoßes gegen den Datenschutz verhängte die Behörde ein Bußgeld gegen die Mitarbeiterin.
Hinweis: Die Datenschutzbehörde hat angekündigt, in einem vergleichbaren Fall in Kürze einen Bußgeldbescheid nicht gegen den konkreten Mitarbeiter, der die E-Mail mit offenem Verteiler versandt hat, zu erlassen, sondern gegen die Unternehmensleitung. In manchen Unternehmen, so die Behörde, würde dieser Fragestellung nicht die entsprechende Bedeutung beigemessen. Denn die Mitarbeiter würden von der Unternehmensleitung oftmals nicht entsprechend angewiesen oder nicht entsprechend überwacht werden.
2. Tipp: „Bcc“ statt „An“ und „Cc“
Ein offener E-Mail-Verteiler sollte nur verwendet werden, wenn sämtliche Empfänger nachweisbar eingewilligt haben, dass ihre E-Mail-Adresse für Dritte sichtbar ist oder eine gesetzliche Grundlage besteht, was allerdings in der Regel nicht der Fall sein wird.
Das Problem kann von Vorneherein umgangen werden, indem die Empfänger nicht in die Felder „An“ oder „Cc“ eingetragen werden, sondern in das Feld „Bcc“, was für Blindkopie steht (Blind Carbon Copy). Bei einer Blindkopie kann keiner der Empfänger erkennen, an wen diese E-Mail sonst noch geschickt wurde.
3. Fazit
Der Fall zeigt, wie schnell sich personenbezogene Daten innerhalb eines angemailten Personenkreises verteilen können, ohne dass der Betroffene darauf Einfluss nehmen kann. Bei einem Verstoß gegen Datenschutzrecht droht dem Versender ein Bußgeld, jedenfalls wenn es sich – wie vorliegend – um eine erhebliche Anzahl an E-Mail-Adressen handelt: Während die Nachricht selbst ausgedruckt nur eine halbe Seite einnahm, kamen die E-Mail-Adressen auf neuneinhalb Seiten.
Bei einem nicht so eklatanten Verhältnis besteht bei einem Erstverstoß die Chance, dass die Datenschutzbehörde auf die Verhängung eines Bußgeldes verzichtet und lediglich, ohne weitere Rechtsfolge, die datenschutzrechtliche Unzulässigkeit feststellt.
Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
Beiträge zum Thema
1 Kommentar
Kann man davon ausgehen, dass andere Datenschutzbehörden in der BRD ähnlich geurteilt hätten?
Bzw. wissen wir das immer nur ganz bestimmte Datenschutzbehörden in der BRD mit "offensiven" Entscheidungen von sich hören lassen. Ist also diese Entscheidung auf eine sehr enge Auslegung der Datenschutzrechtslage zurück zuführen?