von RAin Yvonne A. E. Schulten und Stella Pötzl

Offener E-Mail-Verteiler – Datenschutzbehörde verhängt Bußgeld

News vom 24.07.2013, 14:24 Uhr | 1 Kommentar 

Was immer wieder in Unternehmen passiert, wurde einer Mitarbeiterin zum Verhängnis: Sie versandte per E-Mail eine kurze Nachricht an einen großen Kundenkreis, wobei der E-Mail-Verteiler fast 10 Seiten umfasste – und für jeden Empfänger sämtliche Mail-Adressen sichtbar waren. Da sämtliche E-Mail-Adressen unter „An“ eingetragen waren, konnte jeder Adressat von den anderen Empfängern Kenntnis nehmen…

1. Der Fall

Das Problem: Der von der Mitarbeiterin verwendete E-Mail-Verteiler bestand aus E-Mail-Adressen, die vorwiegend die Vor- und Nachnamen von Personen zeigten, was ohne die erforderliche Einwilligung der Betroffenen einen Verstoß gegen das Datenschutzrecht darstellt.

Denn bei einer E-Mail-Adresse handelt es sich um ein so genanntes personenbezogenes Datum im Sinne des Bundesdatenschutzgesetzes (§ 3 Abs.1 BDSG) . Eine Weiterleitung an Dritte ist nur dann zulässig, wenn zuvor eine Einwilligung abgegeben wurde oder eine gesetzliche Grundlage besteht.

In dem vom Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) geprüften Fall lagen diese Voraussetzungen nicht vor.

Wegen des Verstoßes gegen den Datenschutz verhängte die Behörde ein Bußgeld gegen die Mitarbeiterin.
Hinweis: Die Datenschutzbehörde hat angekündigt, in einem vergleichbaren Fall in Kürze einen Bußgeldbescheid nicht gegen den konkreten Mitarbeiter, der die E-Mail mit offenem Verteiler versandt hat, zu erlassen, sondern gegen die Unternehmensleitung. In manchen Unternehmen, so die Behörde, würde dieser Fragestellung nicht die entsprechende Bedeutung beigemessen. Denn die Mitarbeiter würden von der Unternehmensleitung oftmals nicht entsprechend angewiesen oder nicht entsprechend überwacht werden.

Starterpaket

2. Tipp: „Bcc“ statt „An“ und „Cc“

Ein offener E-Mail-Verteiler sollte nur verwendet werden, wenn sämtliche Empfänger nachweisbar eingewilligt haben, dass ihre E-Mail-Adresse für Dritte sichtbar ist oder eine gesetzliche Grundlage besteht, was allerdings in der Regel nicht der Fall sein wird.

Das Problem kann von Vorneherein umgangen werden, indem die Empfänger nicht in die Felder „An“ oder „Cc“ eingetragen werden, sondern in das Feld „Bcc“, was für Blindkopie steht (Blind Carbon Copy). Bei einer Blindkopie kann keiner der Empfänger erkennen, an wen diese E-Mail sonst noch geschickt wurde.

3. Fazit

Der Fall zeigt, wie schnell sich personenbezogene Daten innerhalb eines angemailten Personenkreises verteilen können, ohne dass der Betroffene darauf Einfluss nehmen kann. Bei einem Verstoß gegen Datenschutzrecht droht dem Versender ein Bußgeld, jedenfalls wenn es sich – wie vorliegend – um eine erhebliche Anzahl an E-Mail-Adressen handelt: Während die Nachricht selbst ausgedruckt nur eine halbe Seite einnahm, kamen die E-Mail-Adressen auf neuneinhalb Seiten.

Bei einem nicht so eklatanten Verhältnis besteht bei einem Erstverstoß die Chance, dass die Datenschutzbehörde auf die Verhängung eines Bußgeldes verzichtet und lediglich, ohne weitere Rechtsfolge, die datenschutzrechtliche Unzulässigkeit feststellt.

Tipp: Über diesen Beitrag können Sie gerne in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook diskutieren.

Bildquelle:
© Ainoa - Fotolia.com
Autor:
Yvonne A. E. Schulten
Rechtsanwältin und Fachanwältin für Informationstechnologierecht

Besucherkommentare

Bedeutung der Entscheidung des BayLDa

28.11.2013, 16:41 Uhr

Kommentar von Mailer

Mich würde in diesem Zusammenhang interessieren, welche Bedeutung diese Entscheidung in anderen Bundesländern hat. Kann man davon ausgehen, dass andere Datenschutzbehörden in der BRD ähnlich...

© 2005-2019 ·IT-Recht Kanzlei Keller-Stoltenhoff, Keller