Wieso offene E-Mail-Verteiler Datenschutz-Risiken verursachen können
Bei E-Mails handelt es sich um personenbezogene Daten, da grundsätzlich eine Zuweisung zu einer Person möglich ist. Wird darauf nicht geachtet, kann es schnell zu einem Verstoß und zu Sanktionen führen. So verhängte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) ein Bußgeld an einen Mitarbeiter eines Handelsunternehmens. Der Mitarbeiter hatte eine E-Mail an einen größeren Empfängerkreis verschickt und die beabsichtigten Empfänger im „An:“ oder „CC:“ Feld des E-Mail-Programmes angegeben. Durch das Versenden der E-Mails waren die E-Mail-Adressen nun allen Empfängern sichtbar. Da es sich bei E-Mails – wie bereits erwähnt – um personenbezogene Daten handelt, sind diese vom Bundesdatenschutz geschützt. Aufgrund des Versendens der Mitarbeiter-E-Mails an fremde Dritte, mit denen kein Arbeitsverhältnis bestand, war auch kein interner Arbeitsbezug gegeben. Eine Zustimmung der betroffenen Mitarbeiter war folglich notwendig, da diese Dritten sichtbar waren. Weiterhin kündigte das Bayerische Landesdatenschutzamt an, in Zukunft bei ähnlich gelagerten Fällen ebenso gegen die Unternehmensleitung vorzugehen. Diese sei laut BayLDA dazu verpflichtet, entsprechende Dienstanweisungen und Überwachungsmaßnahmen zu stellen, die einen Verstoß vermeiden würden.
Kurzum hatte der Mitarbeiter des geschilderten Falles gravierende Fehler begangen, welche das Bußgeld begründeten. Diese bestanden hauptsächlich darin, die E-Mail Liste offen zu versenden, welche nicht nur Mitarbeitern des Unternehmens kenntlich war, sondern auch einem Empfängerkreis außerhalb des Unternehmens ermöglichte, von den E-Mail-Adressen Kenntnis zu nehmen.
Wie diese Umstände vermieden werden können und worauf bei der Versendung von E-Mails an mehrere Empfänger zu achten ist, wird in den folgenden Abschnitten näher erläutert. In Zweifelsfällen können Sie sich immer an Ihren Datenschutzbeauftragten wenden.
Eine entsprechende gesetzliche Regelung, welche den Zustimmungsvorbehalt des Betroffenen aushebeln könnte, findet sich im § 28 BDSG.
Hiernach ist die Verarbeitung, Nutzung, Übermittelung und Speicherung personenbezogener Daten nicht öffentlichen Stellen gestattet, sofern es zur Wahrung berechtigter Interessen des Vereins erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen überwiegt. Dies könnte beispielweise vorliegen, wenn eine Rund-E-Mail an die Vereinskollegen versendet werden soll und die E-Mail-Adressen intern bekannt sind.
Wird eine E-Mail nur an einen Empfänger versendet, werden nur zwei Adressen angegeben: die des Versenders und des Empfängers. Dies ändert sich jedoch, wenn die E-Mail an eine Vielzahl von Empfängern gerichtet ist.
Wird dabei eine Empfänger-Adresse in „BCC:“ eingetragen und versendet, ist diese Adresse nicht in der E-Mail-Liste vermerkt. Die anderen E-Mail-Adressen, welche in „An:“ und „CC:“ eingetragen wurden, sind hingegen in der E-Mail-Liste vermerkt und allen Empfängern der E-Mail sichtbar. Wie bereits im oberen Abschnitt erläutert ist eine offene E-Mail-Adressenliste datenschutzrechtlich unbedenklich, solange der E-Mail-Verkehr innerhalb der verantwortlichen Stelle stattfindet oder die Mitarbeiter des Unternehmens mit dem Dritten vertraut sind und Kenntnis über dessen E-Mail-Adresse haben. Soll die E-Mail auch an Personen außerhalb der verantwortlichen Stelle weitergeleitet werden, welche den Mitarbeitern unbekannt sind, so ist von diesen für die Haftungsvermeidung entweder
eine Zustimmung der Weiterleitung der E-Mail-Adresse via offener E-Mail-Verteiler erforderlich oder
die betroffenen Adressaten sind unbedingt in „BCC:“ zu setzen.
Ich empfehle aus aktuellem Anlass jede Email an die eigene Adresse zu schicken und den E-Mailverteiler in BCC zu setzen.
Dann kann uns keiner was. Und beachten der Nutzung einer E-Mail Adresse kann widersprochen werden.
Klaus-Dieter :cursing::evil: