Das Versenden von E-Mails an eine Vielzahl von Empfängern erfolgt alltäglich, besonders im hektischen Büroalltag können durch offene E-Mail-Verteiler Datenschutz-Risiken entstehen.  Diese Unachtsamkeit kann dabei nicht nur Sanktionen für den Mitarbeiter bedeuten, sondern Folgen für die Unternehmensleitung mit sich bringen.

Namensbezogene E-Mail-Adressen

E-Mail-Adressen aus den Bestandteilen des Namens sind in der Praxis häufig anzutreffen, vor allem im beruflichen Zusammenhang ist z.B. die Konstellation (vorname.)name@unternehmen.de üblich, da somit einerseits eine direkte Zuweisung der E-Mail auf einen Mitarbeiter möglich ist und andererseits der Absender dem Kunden/Nutzer vertrauenswürdiger erscheint, da ein direkter Bezug zu einer Person ermöglicht wird. Das Bundesdatenschutzgesetz schützt solche Informationen mit Personenbezug, unabhängig davon, ob diese eine direkte oder indirekte Zuweisung zu einer natürlichen Person ermöglichen (§ 3 Abs. 1 Bundesdatenschutzgesetz (BDSG)). Aus diesem Grund sollten auch die E-Mail-Adressen, die keine direkte Zuordnung zu einer Person ermöglichen, geschützt werden, da unter Zuhilfenahme weiterer Informationen in der Regel eine Zuordnung möglich ist.

Kriterien für die Nutzung personenbezogener Daten

Eine Nutzung, Verarbeitung oder Speicherung von personenbezogenen Daten ist öffentlichen sowie nicht öffentlichen Stellen nur dann gestattet, sofern

  • der Betroffene dem Verfahren zustimmt oder
  • eine entsprechende gesetzliche Regelung dies erlaubt (§ 4 Abs. 1 BDSG).

Wieso offene E-Mail-Verteiler Datenschutz-Risiken verursachen können

Bei E-Mails handelt es sich um personenbezogene Daten, da grundsätzlich eine Zuweisung zu einer Person möglich ist. Wird darauf nicht geachtet, kann es schnell zu einem Verstoß und zu Sanktionen führen. So verhängte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) ein Bußgeld an einen Mitarbeiter eines Handelsunternehmens. Der Mitarbeiter hatte eine E-Mail an einen größeren Empfängerkreis verschickt und die beabsichtigten Empfänger im „An:“ oder „CC:“ Feld des E-Mail-Programmes angegeben. Durch das Versenden der E-Mails waren die E-Mail-Adressen nun allen Empfängern sichtbar. Da es sich bei E-Mails – wie bereits erwähnt – um personenbezogene Daten handelt, sind diese vom Bundesdatenschutz geschützt. Aufgrund des Versendens der Mitarbeiter-E-Mails an fremde Dritte, mit denen kein Arbeitsverhältnis bestand, war auch kein interner Arbeitsbezug gegeben. Eine Zustimmung der betroffenen Mitarbeiter war folglich notwendig, da diese Dritten sichtbar waren. Weiterhin kündigte das Bayerische Landesdatenschutzamt an, in Zukunft bei ähnlich gelagerten Fällen ebenso gegen die Unternehmensleitung vorzugehen. Diese sei laut BayLDA dazu verpflichtet, entsprechende Dienstanweisungen und Überwachungsmaßnahmen zu stellen, die einen Verstoß vermeiden würden.

Kurzum hatte der Mitarbeiter des geschilderten Falles gravierende Fehler begangen, welche das Bußgeld begründeten. Diese bestanden hauptsächlich darin, die E-Mail Liste offen zu versenden, welche nicht nur Mitarbeitern des Unternehmens kenntlich war, sondern auch einem Empfängerkreis außerhalb des Unternehmens ermöglichte, von den E-Mail-Adressen Kenntnis zu nehmen.

Wie diese Umstände vermieden werden können und worauf bei der Versendung von E-Mails an mehrere Empfänger zu achten ist, wird in den folgenden Abschnitten näher erläutert.

Interne und externe Versendung von E-Mails – datenschutzrechtlich konforme Vorgehensweise beim Versenden von E-Mails an mehrere Empfänger

Eine entsprechende gesetzliche Regelung, welche den Zustimmungsvorbehalt des Betroffenen aushebeln könnte, findet sich im § 28 BDSG. Hiernach ist die Verarbeitung, Nutzung, Übermittelung und Speicherung personenbezogener Daten öffentlichen Stellen des Bundes und nicht öffentlichen Stellen gestattet, sofern es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen überwiegt. Dies könnte beispielweise vorliegen, wenn eine Rund-E-Mail an die Arbeitskollegen versendet werden soll und die E-Mail-Adressen der Kollegen intern bekannt sind oder wenn eine E-Mail an einen Kunden versendet wird und der Kollege ebenfalls an dem Projekt beteiligt ist.

Versendungsmöglichkeiten von E-Mail – „CC“, „An:“ und „BCC:“

Wird eine E-Mail nur an einen Empfänger versendet, werden nur zwei Adressen angegeben: die des Versenders und des Empfängers. Dies ändert sich jedoch, wenn die E-Mail an eine Vielzahl von Empfängern gerichtet ist. In diesem Fall gibt es drei alternative Adressfelder. Diese sind:

  • „An:“
  • „CC:“ (Carbon Copy = Kopie)
  • „BCC:“ (Blind Copy = nicht sichtbare Kopie)

Wird dabei eine Empfänger-Adresse in „BCC:“ eingetragen und versendet, ist diese Adresse nicht in der E-Mail-Liste vermerkt. Die anderen E-Mail-Adressen, welche in „An:“ und „CC:“ eingetragen wurden, sind hingegen in der E-Mail-Liste vermerkt und allen Empfängern der E-Mail sichtbar. Wie bereits im oberen Abschnitt erläutert ist eine offene E-Mail-Adressenliste datenschutzrechtlich unbedenklich, solange der E-Mail-Verkehr innerhalb der verantwortlichen Stelle stattfindet oder die Mitarbeiter des Unternehmens mit dem Dritten vertraut sind und Kenntnis über dessen E-Mail-Adresse haben. Soll die E-Mail auch an Personen außerhalb der verantwortlichen Stelle weitergeleitet werden, welche den Mitarbeitern unbekannt sind, so ist von diesen für die Haftungsvermeidung entweder

  • eine Zustimmung der Weiterleitung der E-Mail-Adresse via offener E-Mail-Verteiler erforderlich oder
  • die betroffenen Mitarbeiter sind in „BCC:“ zu setzen.

Fazit

Aufgrund der Haftungsmöglichkeit bei einer datenschutzverletzenden Versendung offener E-Mail-Adresslisten an fremde Dritte sollte sich die Unternehmensleitung um datenschutzrechtliche Vorkehrungen bemühen, um möglichen Bußgeldern zu entgehen. Eine sinnvolle Maßnahme wäre, die Mitarbeiter über datenschutzrechtliche Risiken in Form einer Datenschutz-Schulung aufzuklären, um den Mitarbeitern die Möglichkeit zu geben, Datenschutzrisiken zu erkennen und zu vermeiden. Datenschutzrechtliche Schulungen fallen dabei in der Regel in den Aufgabenbereich des Datenschutzbeauftragten. Ferner kann es sinnvoll sein, klare Vorgaben in Betriebsvereinbarungen, Richtlinien und Arbeitsanweisungen zum Datenschutz zu erlassen / zu schließen. Auch in diesem Zusammenhang unterstützen wir Sie sehr gerne mit fachkundigem Rat.

Ähnliche Beiträge

Datenschutz durch Datenvermeidung und Datensparsamkeit – Die Pflicht zur Pseudonymisierung und Anonymisierung von Kundendaten

Datenschutz durch Datenvermeidung und Datensparsamkeit – Die Pflicht zur Pseudonymisierung und Anonymisierung von Kundendaten

Veröffentlicht auf

In unserer heutigen Zeit ist es ein Leichtes, gesammelte Personendaten zu analysieren und entsprechende Personenprofile zu erstellen und endlos zu verknüpfen. Die gewonnenen und…