Offener E-Mail-Verteiler – Datenschutzbehörde verhängt Bußgeld

Ein Klick genügt – und plötzlich sind zahlreiche E-Mail-Adressen für alle sichtbar. Offene Verteiler können schnell zum Datenschutzverstoß werden. Wir zeigen, welche Risiken bestehen und was heute nach der DSGVO gilt.

Vorab: Aktuelle Rechtslage und Einordnung (Stand 2026)

Der geschilderte Fall ist im Kern weiterhin aktuell, rechtlich jedoch heute nach der Datenschutz-Grundverordnung (DSGVO) zu beurteilen und nicht mehr nach dem früheren Bundesdatenschutzgesetz. Auch nach geltender Rechtslage gilt: E-Mail-Adressen stellen personenbezogene Daten dar. Werden sie in offenen Verteilern („An“ oder „Cc“) gegenüber anderen Empfängern offengelegt, bedarf dies einer Rechtsgrundlage nach Art. 6 DSGVO. Unzulässig ist ein solcher Versand insbesondere dann, wenn die Empfänger nicht damit rechnen müssen, dass ihre Adresse gegenüber einem größeren Personenkreis sichtbar wird. Zulässig kann ein offener Verteiler hingegen sein, wenn alle Beteiligten voneinander wissen, dass sie Teil einer bestimmten Gruppe sind, oder wenn eine entsprechende Einwilligung vorliegt.

Im Unterschied zur früheren Rechtslage steht heute stärker die Verantwortlichkeit des Unternehmens im Vordergrund. Datenschutzverstöße werden regelmäßig dem Verantwortlichen zugerechnet, sodass Bußgelder typischerweise die Organisation treffen und nicht einzelne Mitarbeiter – jedenfalls solange kein vorsätzliches Eigenverhalten vorliegt. Unternehmen müssen daher angemessene technisch-organisatorische Maßnahmen treffen und ihre Prozesse entsprechend ausgestalten, etwa durch klare interne Vorgaben zum Umgang mit E-Mail-Verteilern sowie geeignete Voreinstellungen in den eingesetzten Systemen (siehe Art. 25 und 32 DSGVO).

Ein offener Fehlversand kann zudem eine meldepflichtige Datenschutzverletzung darstellen. Eine Meldung an die Aufsichtsbehörde nach Art. 33 DSGVO ist jedoch nur erforderlich, wenn ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Bei der bloßen Offenlegung einzelner geschäftlicher E-Mail-Adressen kann das Risiko im Einzelfall auch gering sein, sodass nicht jede Fehladressierung automatisch eine Meldepflicht auslöst. Ist eine Meldung erforderlich, muss sie grundsätzlich binnen 72 Stunden nach Bekanntwerden erfolgen. Besteht ein hohes Risiko für die Betroffenen, kann darüber hinaus eine Benachrichtigung der betroffenen Personen nach Art. 34 DSGVO erforderlich sein. Aus praktischer Sicht empfiehlt es sich daher, größere Empfängerkreise nur bei bestehender Rechtsgrundlage offen zu adressieren und andernfalls auf Blindkopien („Bcc“) oder geeignete Mailing-Tools zurückzugreifen.

Der Fall

Das Problem: Der von der Mitarbeiterin verwendete E-Mail-Verteiler bestand aus E-Mail-Adressen, die vorwiegend die Vor- und Nachnamen von Personen zeigten, was ohne die erforderliche Einwilligung der Betroffenen einen Verstoß gegen das Datenschutzrecht darstellt.

Denn bei einer E-Mail-Adresse handelt es sich um ein so genanntes personenbezogenes Datum im Sinne des Bundesdatenschutzgesetzes (§ 3 Abs.1 BDSG). Eine Weiterleitung an Dritte ist nur dann zulässig, wenn zuvor eine Einwilligung abgegeben wurde oder eine gesetzliche Grundlage besteht.

In dem vom Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) geprüften Fall lagen diese Voraussetzungen nicht vor.

Wegen des Verstoßes gegen den Datenschutz verhängte die Behörde ein Bußgeld gegen die Mitarbeiterin.
Hinweis: Die Datenschutzbehörde hat angekündigt, in einem vergleichbaren Fall in Kürze einen Bußgeldbescheid nicht gegen den konkreten Mitarbeiter, der die E-Mail mit offenem Verteiler versandt hat, zu erlassen, sondern gegen die Unternehmensleitung. In manchen Unternehmen, so die Behörde, würde dieser Fragestellung nicht die entsprechende Bedeutung beigemessen. Denn die Mitarbeiter würden von der Unternehmensleitung oftmals nicht entsprechend angewiesen oder nicht entsprechend überwacht werden.

Tipp: „Bcc“ statt „An“ und „Cc“

Ein offener E-Mail-Verteiler sollte nur verwendet werden, wenn sämtliche Empfänger nachweisbar eingewilligt haben, dass ihre E-Mail-Adresse für Dritte sichtbar ist oder eine gesetzliche Grundlage besteht, was allerdings in der Regel nicht der Fall sein wird.

Das Problem kann von Vorneherein umgangen werden, indem die Empfänger nicht in die Felder „An“ oder „Cc“ eingetragen werden, sondern in das Feld „Bcc“, was für Blindkopie steht (Blind Carbon Copy). Bei einer Blindkopie kann keiner der Empfänger erkennen, an wen diese E-Mail sonst noch geschickt wurde.

Fazit

Der Fall zeigt, wie schnell sich personenbezogene Daten innerhalb eines angemailten Personenkreises verteilen können, ohne dass der Betroffene darauf Einfluss nehmen kann. Bei einem Verstoß gegen Datenschutzrecht droht dem Versender ein Bußgeld, jedenfalls wenn es sich – wie vorliegend – um eine erhebliche Anzahl an E-Mail-Adressen handelt: Während die Nachricht selbst ausgedruckt nur eine halbe Seite einnahm, kamen die E-Mail-Adressen auf neuneinhalb Seiten.

Bei einem nicht so eklatanten Verhältnis besteht bei einem Erstverstoß die Chance, dass die Datenschutzbehörde auf die Verhängung eines Bußgeldes verzichtet und lediglich, ohne weitere Rechtsfolge, die datenschutzrechtliche Unzulässigkeit feststellt.