Datenschutz und der E-Mail-Verteiler

Datenschutz und das BCC

Der Datenschutz und der E-Mail-Verteiler: Es ist ein Fehler, der schnell zu einem Datenschutzvorfall führen kann, wenn das BCC doch mal nicht genutzt wird, auch wenn es die bessere Variante wäre. Was hat es damit auf sich und wo liegt das Problem? Lesen Sie weiter für mehr Informationen.

„BCC“ und „CC“

Die Abkürzung „BCC“ steht beim Versand von E-Mails für „Blind Carbon Copy“. Das bedeutet also, dass mehrere Personen eine E-Mail samt Inhalt und eventuellen Anhängen erhalten. Die Empfänger können aber nicht einsehen, wer diese E-Mail außer ihnen noch erhalten hat.

Im Gegensatz dazu steht das „An“- oder auch das „CC“-Adressfeld: Setzt ein Absender die E-Mail-Adressen in eines dieser Felder, so kann jeder Empfänger sehen, wer die E-Mail erhalten hat und wie die kompletten E-Mail-Adressen der Empfänger lauten.

Wer gerade bei größeren E-Mail-Verteilern wie beim Newsletter-Versand die Funktionen der drei Felder nicht kennt oder auch nur versehentlich nicht richtig anwendet, kann schnell einen Datenschutzverstoß begehen.

Verarbeitung personenbezogener Daten

Nun mag sich so Mancher fragen, wo da Problem liegt, da der Absender doch die E-Mail-Adressen benötigt, um eine E-Mail überhaupt versenden zu können . Dass der Absender für den E-Mail-Versand eine Rechtsgrundlage hat und nicht gegen Wettbewerbsrecht verstößt, setzen wir voraus (wir gehen in diesem Beitrag also nicht auf die möglichen Rechtsgrundlagen für den E-Mail-Versand ein). Erinnern wir uns aber dabei kurz an die Definition von „Verarbeitung“ gemäß Art. 4 Nr. 2 DSGVO: „[…] jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung […]“.

Der Fokus bei dieser Verarbeitung liegt also in der Offenlegung von personenbezogenen Daten durch Übermittlung – zuallererst der E-Mail-Adressen selbst.

Da E-Mail-Adressen im Geschäftsverkehr typischerweise aus Vorname.Nachname@Unternehmensdomain.com gebildet werden, wird aus der E-Mail-Adresse deutlich, welche Person Empfänger der E-Mail ist. So erkennt ein Empfänger dann auch, ob dieser Person mit dem Absender in einem geschäftlichen Kontakt steht und bei welchem Unternehmen diese Person arbeitet. Es handelt sich bei der E-Mail-Adresse also in der Regel um personenbezogene Daten, sofern nicht funktionsbezogene E-Mail-Adressen, wie beispielsweise Einkauf@Firma.de, verwendet werden.

Es ist also zu betrachten, ob die Personen ihre Einwilligung in einen offenen E-Mail-Verteiler gegeben haben und folglich die E-Mail-Adressen im CC-Feld unproblematisch sind. Derartige Einwilligungen sind beispielsweise in einem (Sport-)Verein oder in einer Arbeitsgruppe nicht unüblich.

Datenschutzprobleme bei einem offenen E-Mail-Verteiler

Liegt keine Einwilligung aller Empfänger in einen offenen E-Mail-Verteiler vor, so ist eine E-Mail mit offenem Verteiler eine Übermittlung aller E-Mail-Adressen an alle Empfänger rechtswidrig. Dies ist unabhängig vom Inhalt der E-Mail, der aber erschwerend hinzukommen kann. Dadurch kann jeder Empfänger auf persönliche oder geschäftliche Kontakte zum Absender schließen, aber auch aus dem möglichen Inhalt Rückschlüsse auf beispielsweise die politische Meinung, den Gesundheitszustand oder Sonstiges ziehen. Zudem kann das Gerät des Empfängers mit einer Schad-Software befallen sein, die den E-Mail-Verteiler sogleich nutzt, um sich an alle Adressaten weiter zu verbreiten. Des Weiteren verstößt der Absender eventuell gegen interne Arbeitsanweisungen und legt möglicherweise auch Geschäftsgeheimnisse (Kundenstamm) offen, was arbeitsrechtlich sanktioniert werden kann.

Empfehlungen

Folglich ist es dringend zu empfehlen, das BCC-Feld für die E-Mail-Adressen zu wählen, wenn man mehrere Personen adressiert und keine Rechtsgrundlage (insbesondere keine Einwilligung) vorliegt, den E-Mail-Verteiler allen Empfängern offen zu legen.

Bei einem Newsletter-Versand kann eine Maßnahme sein, einen rechtswidrigen offenen E-Mail-Verteiler zu vermeiden, einen Dienstleister für den Versand zu nutzen, der alle Empfänger standardmäßig ins BCC setzt. – Übrigens ist in solch einem Fall ein Auftragsverarbeitungsvertrag gemäß Art 28 Abs. 3 DSGVO abzuschließen. Des Weiteren ist auch auf die Problematik zu achten, eine Übermittlung von personenbezogenen Daten in ein unsicheres Drittland zu vermeiden. –

Bußgelder

Während sich ein Absender beim Versand einer E-Mail hauptsächlich auf den Inhalt und die Formulierungen konzentriert, ist es tatsächlich keine Seltenheit, dass Datenschutzaufsichtsbehörden Bußgelder verhängen, weil E-Mail-Adressen unbefugt verarbeitet werden, also für alle Empfänger sichtbar sind, anstelle das BCC-Feld zu benutzen. Folgend ein paar Beispiele für bisher verhängte Bußgelder:

1) 2.000 Euro Bußgeld für eine Person, die mehrere E-Mails mit Bezug zu Beschwerden, Verunglimpfungen und Strafanzeigen gegen Personen an eine Gruppe von u. a. bis zu 1.600 Personen gesendet hatte, wobei jeder Empfänger die E-Mail-Adressen der anderen Empfänger einsehen konnte (Link).

2) 1.500 Euro Bußgeld für eine Person, die eine E-Mail an mehrere Personen versandte, ohne die BCC-Funktion zu nutzen (Link).

3) 4.000 Euro Bußged für einen Verband von Hafenlotsen, weil er u. a. die privaten E-Mail-Adressen aller Verbandsmitglieder so versendet hatte, dass jeder Empfänger sehen konnte, wer die E-Mail erhalten hat (Link).

4) Ungefähr 2.984 Euro (14.827 RON) Bußgeld, weil ein Unternehmen Werbe-E-Mails versandte und die so, dass die Empfänger-Adressen für alle einsehbar waren (Link).

5) 5.000 Euro Bußgeld für das Universitätskrankenhaus Padua, da ein Mitarbeiter versehentlich alle E-Mail-Adressen der Empfänger im CC- anstelle im BCC-Feld eintrug. Es handelte sich dabei um eine Bitte zur Einwilligung zur Teilnahme an einer klinischen Studie zu chirurgischen Eingriffen am Herzen (Link).

Passiert Ihnen die Datenpanne des Versendens einer E-Mail mit einem offenen Verteiler ohne Rechtsgrundlage zur Offenlegung der E-Mail-Adresse, dann besteht die Pflicht, diesen Datenschutzvorfall binnen 72 Stunden der Datenschutzaufsichtsbehörde zu melden. Diese Meldung kann vor einem Bußgeld schützen (siehe § 43 Abs. 4 BDSG).

Fazit

Ein Verantwortlicher kann natürlich Vorgaben in der Richtlinie zum Umgang beim Versand von E-Mails festlegen. Sofern es technische Optionen gibt, solche Fehler zu vermeiden, empfiehlt sich die Umsetzung solcher Maßnahmen. Ansonsten ist die bekannteste Variante, alle Beschäftigten beständig, beispielsweise im Zuge der regelmäßigen Sensibilisierungsmaßnahmen zum Datenschutz („Schulungen“), auf solche versehentlichen Fehler, die zu hohen Bußgeldern führen können, hinzuweisen.

Die Durchführung besagter Sensibilisierungen zum Datenschutz sind Bestandteil unseres Angebotes genauso wie die Beratung, falls Ihnen solch ein Datenschutzvorfall unterlaufen ist und Sie nun Unterstützung bei etwaigen Meldepflichten gemäß Artt. 33 und 34 DSGVO benötigen. Kontaktieren Sie uns gern für weitere Informationen.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.