> Sanktionen im Datenschutz

Versendung von E-Mails mit „An“ und „CC“ – Wieso offene E-Mail-Verteiler Datenschutz-Risiken verursachen können

E-Mail-Verteiler DatenschutzDas Versenden von E-Mails an eine Vielzahl von Empfängern erfolgt alltäglich, besonders im hektischen Büroalltag können durch offene E-Mail-Verteiler Datenschutz-Risiken entstehen.  Diese Unachtsamkeit kann dabei nicht nur Sanktionen für den Mitarbeiter bedeuten, sondern Folgen für die Unternehmensleitung mit sich bringen.

Ihr externer Datenschutzbeauftragter informiert über die datenschutzrechtlichen Risiken und erklärt, wie Sie diese vermeiden können.

Namensbezogene E-Mail-Adressen

E-Mail-Adressen aus den Bestandteilen des Namens sind in der Praxis häufig anzutreffen, vor allem im beruflichen Zusammenhang ist z.B. die Konstellation (vorname.)name@unternehmen.de üblich, da somit einerseits eine direkte Zuweisung der E-Mail auf einen Mitarbeiter möglich ist und andererseits der Absender dem Kunden/Nutzer vertrauenswürdiger erscheint, da ein direkter Bezug zu einer Person ermöglicht wird. Das Bundesdatenschutzgesetz schützt solche Informationen mit Personenbezug, unabhängig davon, ob diese eine direkte oder indirekte Zuweisung zu einer natürlichen Person ermöglichen (§ 3 Abs. 1 Bundesdatenschutzgesetz (BDSG)). Aus diesem Grund sollten auch die E-Mail-Adressen, die keine direkte Zuordnung zu einer Person ermöglichen, geschützt werden, da unter Zuhilfenahme weiterer Informationen in der Regel eine Zuordnung möglich ist.

Kriterien für die Nutzung personenbezogener Daten

Eine Nutzung, Verarbeitung oder Speicherung von personenbezogenen Daten ist öffentlichen sowie nicht öffentlichen Stellen nur dann gestattet, sofern

  • der Betroffene dem Verfahren zustimmt oder
  • eine entsprechende gesetzliche Regelung dies erlaubt (§ 4 Abs. 1 BDSG).

Wieso offene E-Mail-Verteiler Datenschutz-Risiken verursachen können

Bei E-Mails handelt es sich um personenbezogene Daten, da grundsätzlich eine Zuweisung zu einer Person möglich ist. Wird darauf nicht geachtet, kann es schnell zu einem Verstoß und zu Sanktionen führen. So verhängte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) ein Bußgeld an einen Mitarbeiter eines Handelsunternehmens. Der Mitarbeiter hatte eine E-Mail an einen größeren Empfängerkreis verschickt und die beabsichtigten Empfänger im „An:“ oder „CC:“ Feld des E-Mail-Programmes angegeben. Durch das Versenden der E-Mails waren die E-Mail-Adressen nun allen Empfängern sichtbar. Da es sich bei E-Mails – wie bereits erwähnt – um personenbezogene Daten handelt, sind diese vom Bundesdatenschutz geschützt. Aufgrund des Versendens der Mitarbeiter-E-Mails an fremde Dritte, mit denen kein Arbeitsverhältnis bestand, war auch kein interner Arbeitsbezug gegeben. Eine Zustimmung der betroffenen Mitarbeiter war folglich notwendig, da diese Dritten sichtbar waren. Weiterhin kündigte das Bayerische Landesdatenschutzamt an, in Zukunft bei ähnlich gelagerten Fällen ebenso gegen die Unternehmensleitung vorzugehen. Diese sei laut BayLDA dazu verpflichtet, entsprechende Dienstanweisungen und Überwachungsmaßnahmen zu stellen, die einen Verstoß vermeiden würden.

Kurzum hatte der Mitarbeiter des geschilderten Falles gravierende Fehler begangen, welche das Bußgeld begründeten. Diese bestanden hauptsächlich darin, die E-Mail Liste offen zu versenden, welche nicht nur Mitarbeitern des Unternehmens kenntlich war, sondern auch einem Empfängerkreis außerhalb des Unternehmens ermöglichte, von den E-Mail-Adressen Kenntnis zu nehmen.

Wie diese Umstände vermieden werden können und worauf bei der Versendung von E-Mails an mehrere Empfänger zu achten ist, wird in den folgenden Abschnitten näher erläutert. In Zweifelsfällen können Sie sich immer an Ihren Datenschutzbeauftragten wenden.

Interne und externe Versendung von E-Mails – datenschutzrechtlich konforme Vorgehensweise beim Versenden von E-Mails an mehrere Empfänger

Eine entsprechende gesetzliche Regelung, welche den Zustimmungsvorbehalt des Betroffenen aushebeln könnte, findet sich im § 28 BDSG. Hiernach ist die Verarbeitung, Nutzung, Übermittelung und Speicherung personenbezogener Daten öffentlichen Stellen des Bundes und nicht öffentlichen Stellen gestattet, sofern es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen überwiegt. Dies könnte beispielweise vorliegen, wenn eine Rund-E-Mail an die Arbeitskollegen versendet werden soll und die E-Mail-Adressen der Kollegen intern bekannt sind oder wenn eine E-Mail an einen Kunden versendet wird und der Kollege ebenfalls an dem Projekt beteiligt ist.

Versendungsmöglichkeiten von E-Mail – „CC“, „An:“ und „BCC:“

Wird eine E-Mail nur an einen Empfänger versendet, werden nur zwei Adressen angegeben: die des Versenders und des Empfängers. Dies ändert sich jedoch, wenn die E-Mail an eine Vielzahl von Empfängern gerichtet ist. In diesem Fall gibt es drei alternative Adressfelder. Diese sind:

  • „An:“
  • „CC:“ (Carbon Copy = Kopie)
  • „BCC:“ (Blind Copy = nicht sichtbare Kopie)

Wird dabei eine Empfänger-Adresse in „BCC:“ eingetragen und versendet, ist diese Adresse nicht in der E-Mail-Liste vermerkt. Die anderen E-Mail-Adressen, welche in „An:“ und „CC:“ eingetragen wurden, sind hingegen in der E-Mail-Liste vermerkt und allen Empfängern der E-Mail sichtbar. Wie bereits im oberen Abschnitt erläutert ist eine offene E-Mail-Adressenliste datenschutzrechtlich unbedenklich, solange der E-Mail-Verkehr innerhalb der verantwortlichen Stelle stattfindet oder die Mitarbeiter des Unternehmens mit dem Dritten vertraut sind und Kenntnis über dessen E-Mail-Adresse haben. Soll die E-Mail auch an Personen außerhalb der verantwortlichen Stelle weitergeleitet werden, welche den Mitarbeitern unbekannt sind, so ist von diesen für die Haftungsvermeidung entweder

  • eine Zustimmung der Weiterleitung der E-Mail-Adresse via offener E-Mail-Verteiler erforderlich oder
  • die betroffenen Mitarbeiter sind in „BCC:“ zu setzen.

Fazit

Aufgrund der Haftungsmöglichkeit bei einer datenschutzverletzenden Versendung offener E-Mail-Adresslisten an fremde Dritte sollte sich die Unternehmensleitung um datenschutzrechtliche Vorkehrungen bemühen, um möglichen Bußgeldern zu entgehen. Eine sinnvolle Maßnahme wäre, die Mitarbeiter über datenschutzrechtliche Risiken in Form einer Datenschutzschulung aufzuklären, um den Mitarbeitern die Möglichkeit zu geben, Datenschutzrisiken zu erkennen und zu vermeiden. Datenschutzrechtliche Schulungen fallen dabei in der Regel in den Aufgabenbereich des Datenschutzbeauftragten. Ferner kann es sinnvoll sein, klare Vorgaben in Betriebsvereinbarungen, Richtlinien und Arbeitsanweisungen zum Datenschutz zu erlassen / zu schließen. Auch in diesem Zusammenhang unterstützen wir Sie sehr gerne mit fachkundigem Rat.

Haben Sie noch Fragen zum Thema „ E-Mail-Verteiler Datenschutz “ oder möchten Sie sich im Datenschutz dauerhaft besser positionieren?  Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

 Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Bußgelder, Geld- und Freiheitsstrafen – Zu erwartende Sanktionen im Datenschutz

Sanktionen im DatenschutzDie Frage nach Sanktionen im Datenschutz beschäftigt sowohl Arbeitgeber als auch Mitarbeiter. Schließlich war in der Vergangenheit von erheblichen Bußgeldern, die unter anderem für die Überwachung von Mitarbeitern und Kunden sowie aufgrund von Datenpannen verhängt worden sind, die Rede.

Ihr externer Datenschutzbeauftragter informiert Sie über mögliche Sanktionen im Datenschutz und erklärt, welche Änderungen die EU-Datenschutzgrundverordnung bezüglich der Sanktionen vorsieht.

Sanktionen, Ordnungswidrigkeiten, Bußgelder, Geld- und Freiheitstrafen – Was ist darunter zu verstehen?

Mit dem Oberbegriff „Sanktionen“ sind die Rechtsfolgen bei Datenschutz-Verstößen gemeint, dabei fallen unter Sanktionen sowohl Ordnungswidrigkeiten als auch strafrechtlich relevante Verstöße. Des Weiteren ist auch bei arbeitsrechtlichen Folgen, wie der Abmahnung oder Kündigung, von Sanktionen die Rede.

Ordnungswidrigkeiten sind Verstöße gegen geltendes Recht, die in der Regel – anderes als Straftaten – mit einer Geldbuße (Bußgeld) bestraft werden.  Im Bundesdatenschutzgesetz (BDSG) werden Ordnungswidrigkeiten und die damit verbundenen Bußgelder im § 43 BDSG erfasst, wobei Straftaten in § 44 BDSG erläutert werden. Straftaten werden mit einer Freiheitsstrafe oder eine Geldstrafte geahndet.

Mit welchen Sanktionen im Datenschutz gerechnet werden sollte

Die sogenannten „Verantwortliche Stellen“, zu denen insbesondere Unternehmen, Behörden, Vereine und Köperschaften gehören, müssen bei Bekanntwerden von Datenschutzverstößen nicht, wie auf dem Bild dargestellt, zur Strafe viele Male „Ich muss mich an den Datenschutz halten!“ schreiben, die möglichen Folgen sind natürlich weitaus schlimmer. So muss bei Verstößen mit hohen Bußgeldern oder sogar einer Geld- oder Freiheitsstrafe gerechnet werden.

Gemäß § 43 Abs. 3 Bundesdatenschutzgesetz (BDSG) können Ordnungswidrigkeiten aus § 43 Abs. 1 BDSG mit einer Geldbuße von bis zu 50.000 Euro und Ordnungswidrigkeiten aus § 43 Abs. 2 BDSG sogar mit einer Geldbuße bis zu 300.000 Euro bestraft werden, wobei die benannten Beträge überschritten werden können, wenn der wirtschaftliche Vorteil aus der Ordnungswidrigkeit höher ist als die Geldbuße.

Gemäß § 43 Abs. 1 BDSG handelt man ordnungswidrig, wenn unter anderem vorsätzlich oder fahrlässig

  • der Meldepflicht nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig nachgegangen wird,
  • die Bestellung des Datenschutzbeauftragten nicht, nicht in der vorgeschriebenen Weise oder nicht rechtzeitig erfolgt,
  • die Erteilung eines Auftrags nicht richtig, nicht vollständig, nicht in der vorgegebenen Weise erfolgt oder vor Beginn der Datenverarbeitung keine Kontrolle der technischen und organisatorischen Maßnahmen stattfindet,
  • auf ein Auskunftsersuchen nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig reagiert wird.

Gemäß § 43 Abs. 2 BDSG handelt man ordnungswidrig, wenn unter anderem vorsätzlich oder fahrlässig

  • personenbezogene Daten, die nicht allgemein zugänglich sind, erhoben oder verarbeitet werden,
  • der Abschluss eines Vertrages von der Einwilligung des Betroffenen abhängig gemacht wird,
  • die Mitteilung bei einer Datenpanne nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erfolgt.

Werden die in § 43 Abs. 2 BDSG benannten Ordnungswidrigkeiten gegen Entgelt oder in der Absicht, sich bzw. einen anderen zu bereichern oder zu schädigen, begangen, so handelt es sich um eine Straftat. Strafrechtlich relevante Verstöße können im Sinne des § 44 Abs. 1 BDSG mit einer Geldstrafe oder mit einer Freiheitsstrafe von bis zu zwei Jahren bestraft werden.

Des Weiteren sollten verantwortliche Stellen nicht außer Acht lassen, dass sie, gemäß § 7 BDSG zum Schadensersatz verpflichtet sind, wenn die unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung personenbezogener Daten dem Betroffenen einen Schaden zufügt. Kann sie allerdings beweisen, dass sie erforderliche Maßnahmen zur ordnungsgemäßen Erhebung, Verarbeitung und Nutzung getroffen hat, so haftet sie nicht. Es geht hierbei also um die Einhaltung der Sorgfaltspflichten.

Sanktionen im Datenschutz – Wieso Ordnungswidrigkeiten bereits mit Bußgeldern in Millionenhöhe gezahlt wurden

Zusätzlich sollte bei Sanktionen im Datenschutz beachtet werden, dass die benannten Bußgelder pro Vergehen verhängt werden und bei mehreren Vergehen die Bußgelder aufsummiert werden können. In der Folge kam es bereits zu  Bußgelder in Millionenhöhe. Ist beispielsweise kein interner/externer Datenschutzbeauftragter bestellt und es wird nicht auf Auskunftsersuchen reagiert, so können direkt für beide Vergehen Sanktionen verhängt werden.

Wer haftet für Datenschutzverstöße?

Haftung DatenschutzGrundsätzlich können sowohl die Geschäftsführung bzw. der Vorstand als auch die Mitarbeiter einer verantwortlichen Stelle haften. Auch ein Haftungstatbestand des Datenschutzbeauftragten kann bei Vorsatz oder grober Fahrlässigkeit nicht ausgeschlossen werden.

Übernimmt zunächst zwar die Geschäftsführung die Gesamtverantwortung, so kann unter anderem die Verletzung des Datengeheimnisses gemäß § 5 BDSG für den Mitarbeiter zu arbeitsrechtlichen Konsequenzen (Abmahnung oder Kündigung), zu Bußgeldern oder zu strafrechtlichen Konsequenzen führen.

Die Hinwirkungspflicht verpflichtet den Datenschutzbeauftragten auf die Einhaltung des Datenschutzes hinzuwirken. Der Datenschutzbeauftragte kann somit keine Weisungen erteilen, wodurch in der Regel die verantwortliche Stelle die Verantwortung und Haftung trägt, allerdings ist die Haftung des Datenschutzbeauftragten, wie bereits erläutert, nicht vollumfänglich auszuschließen.

Welche Auswirkungen hat die EU-Datenschutzgrundverordnung auf die Sanktionen im Datenschutz?

Die im Mai 2016 verabschiedete EU-Datenschutzgrundverordnung (DSGVO), die nach einer zweijährigen Übergangsfrist 2018 wirkt und bis dahin schon – sofern nicht bereits geschehen – umgesetzt werden sollte, sieht neben weiteren Rechten für Betroffene höhere Sanktionen im Datenschutz vor.

Die Bußgelder werden mit der kommenden EU-DSGVO erheblich steigen und bis zu 20 Millionen oder vier Prozent des weltweiten Jahresumsatzes aus dem Vorjahr betragen, wobei bei Konzernen der Vorjahresumsatz des Konzerns als Grundlage genommen wird.

Neue strafrechtliche Konsequenzen sieht die EU-DSGVO nicht vor, allerdings bleibt abzuwarten, wie die Datenschutzgrundverordnung in den einzelnen Ländern umgesetzt wird. Artikel 84 der EU-DSGVO sieht vor, dass die Mitgliedsstaaten insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 EU-DSGVO unterliegen, andere Sanktionen festlegen. Auch hier laufen bereits die Verhandlungen zur Anpassung des Bundesdatenschutzgesetzes.

Fazit

Die Nichtbeachtung von Datenschutzvorschriften kann neben erheblichen Sanktionen im Datenschutz, die zukünftig aufgrund der EU-DSGVO höher ausfallen könnten, zu einem enormen Imageverlust führen.

Umso wichtiger ist es, dass sich „verantwortliche Stellen“, wie Unternehmen und Behörden, an Datenschutzvorschriften halten und sich Unterstützung in Form eines Datenschutzbeauftragten oder Datenschutzberaters holen.

Haben Sie noch Fragen zu den Sanktionen im Datenschutz oder zur EU-DSGVO? Dann holen Sie sich ein unverbindliches Datenschutz-Angebot ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.