Das Bayrische Landesamt für Datenschutz hat gegen eine Mitarbeiterin eines Unternehmens ein Bußgeld verhängt, weil diese mit einem offenen E-Mail-Verteiler E-Mail-Adressen einem großen Empfängerkreis übermittelt hat.
Der Inhalt im Überblick
Sachlage
Wie schnell kann es passieren – ich möchte etwas Wichtiges (oder auch weniger Wichtiges) ganz vielen von meinen Freunden gleichzeitig mitteilen. Statt die E-Mail-Adressen zu verbergen, schicke ich die E-Mail mit einem offenen E-Mail-Verteiler los. Das heißt, ich trage alle E-Mail-Adressen in das Feld „AN“ ein, sodass jeder Empfänger sehen kann, wer außer ihm die E-Mail bekommen hat. Entweder passiert das aus Versehen oder dann mit Absicht. Denn es ist doch so schön, wenn alle sehen können, wen ich alles noch so kenne oder eingeladen habe.
Das Gleiche kann einem auch im geschäftlichen Verkehr passieren. So hatte eine Mitarbeiterin eines Unternehmens in Bayern an Kunden eine E-Mail verschickt, in dem sie den Kunden kurz mitteilte, dass sie alsbald um die Anliegen der Kunden kümmern werde. Das Problem dabei war, dass die E-Mail ausgedruckt 10 Seiten lang war, wobei davon alleine neuneinhalb Seiten mit E-Mail-Adressen der Empfänger.
Was ist denn das Problem?
E-Mail-Adressen sind als personenbezogenen Daten im Sinne des § 3 Abs. 1 BDSG anzusehen. Um eine E-Mail-Adresse als personenbezogenes Datum einzuordnen, ist nicht mal erforderlich, dass die E-Mail-Adresse aus Vor- und Nachnamen besteht. Es reicht aus, wenn die E-Mail-Adresse einer bestimmten natürlichen Person zugeordnet werden kann oder diese Zuordnung zumindest mittelbar erfolgen kann.
Personenbezogenen Daten dürfen aber an Dritte nur dann übermittelt werden, wenn eine Einwilligung vorliegt oder eine gesetzliche Grundlage gegeben ist, vgl. § 4 Abs. 1 BDSG. Da eine gesetzliche Grundlage nicht ersichtlich ist, bedarf es einer Einwilligung der betroffenen Personen, d.h. der Inhaber der E-Mail-Adressen. Liegt eine Einwilligung nicht vor, ist die Verwendung des offenen E-Mail-Verteilers datenschutzrechtlich nicht zulässig und kann mit einem Bußgeld geahndet werden.
Bußgeld droht!
Das Bayrische Landesamt für Datenschutz hatte in dem oben genannten Fall einen Bußgeldbescheid gegen die Mitarbeiterin erlassen. In einem vergleichbaren Fall hat die Aufsichtsbehörde einen Bußgeldbescheid nicht gegen einen Mitarbeiter, sondern gegen die Unternehmensleitung erlassen. Begründet wurde dies damit,
dass in manchen Unternehmen dieser Fragestellung offensichtlich nicht die entsprechende Bedeutung beigemessen wird, d.h. von Seiten der Unternehmensleitung die Mitarbeiter entweder nicht entsprechend angewiesen oder überwacht werden.
Was ist zu tun?
Die Nutzung von offenen E-Mail-Verteilern ist zu unterlassen, es sei denn, die Inhaber der E-Mail-Adressen haben dazu ihre Einwilligung erteilt.
Statt in das „AN-Feld“ oder „CC-Feld“ sind die E-Mail-Adressen in das „BCC-Feld“ einzutragen. Denn nur bei der Eintragung der E-Mail-Adressen in das „BCC-Feld“ wird die Übertragung der E-Mail-Adressen an die Empfänger unterdrückt, sodass keiner erkennen kann, an wen diese E-Mail sonst noch geschickt wurde.
Ist du Höhe des Bußgeldes bekannt?
Bisher leider nicht.
Hallo,
ich bin noch neu im Geschäft des Datenschutzbeauftragten. Mir fällt da gleich eine Frage ein: und zwar muss für den ganzen E-Mail Verkehr eine Verfahrensbeschreibung erstellt werden? Lt. dem Beitrag handelt es sich ja um personenbezogene Daten.
@ Datenspezi
Ja, es handelt sich um ein automatisiertes Verfahren, sodass ein Verfahrensverzeichnis angefertigt werden muss.
Dazu hätte ich auch eine Frage. Ich habe von einem Hotel Post bekommen. In dem Brieffenster an mich als Privatperson war unter meinem Namen und der Adresse meine persönliche Emailadresse sichtbar. Ist das erlaubt? Find es eigentlich eine Frechheit.
Ja, denn der Brief wurde ja an dich adressiert. Post-Bedienstete können in diesem Fall zwar die E-Mail-Adresse sehen, müssen sie aber vertraulich behandeln, denn das gesetzliche Briefgeheimnis umfasst die gesamte Sendung. Sogar Postkarten darf die Post niemals offen herumliegen lassen, veröffentlichen oder anderweitig nutzen, auch wenn sie faktisch ungeschützt sind.
Wie verhält man sich richtig, wenn dieser Fehler im Unternehmen passiert ist?
Problem offener E-Mail-Verteiler: Vorbeugung und Nachsorge
Ich habe auf eine Rund- Email „allen antworten“ benutzt und werde nun beschuldigt, nicht rechtens gehandelt zu haben. Ist nicht derjenige, der den Verteiler zur Verfügung stellt, dafür verantwortlich? Da das in der Mail angesprochene Thema alle betraf, ging ich von einem Meinungsaustausch aus.
Ist es richtig, dass im E-Mailverkehr die E-Mail-Adressen abgefischt werden, wenn mehr als 10 offene E-Mail-Adressen im Empfänger oder CC stehen? Eine E-Mail ist ja wie eine Postkarte, die von jedem gelesen werden kann. Ich ärgere mich deshalb, wenn immer wieder Mails kommen, bei denen meine Adresse unter mehr als 20 offenen Empfängern steht.
Die E-Mail-Adressen sind in einem offenen Verteiler für alle sichtbar unabhängig von der Anzahl der Empfänger.
Wird eine Liste mit Name, Vorname, Adresse, Telefonnummer, E-Mail-Adresse, die für einen definierten Zweck erstellt wurde (jeder trägt seine Daten in die gemeinsame Liste zwecks gegenseitiger Kontaktaufnahme ein) an einen Verteiler geschickt, der wesentlich über die auf der Liste aufgeführten Personen hinausgeht (Faktor 10) und hierfür auch nicht die Erfordernis vorliegt, wie ist diese Weitergabe (erfolgte nicht zu Werbezwecken, sondern als „Info für alle“) zu bewerten? Bereich Schule, Personen volljährig, Daten sonst weitestgehend nicht veröffentlicht (z. B. Telefonbuch)
Der von Ihnen genannte Fall ist in rechtlicher Hinsicht genauso zu bewerten, wie der in dem Artikel dargestellte. In Ihrem Fall liegt aber eine (noch) größere Schadenstiefe vor, da eine größere Anzahl personenbezogener Daten weitergegeben wurden (neben der E-Mail-Adresse auch Name, Vorname, Adresse, Telefonnummer). Im Übrigen gilt das im Artikel Gesagte: Da eine gesetzliche Grundlage zur Weitergabe der Daten nicht ersichtlich ist, bedarf es einer Einwilligung der betroffenen Personen, um Ihre Kontaktdaten weitergeben zu dürfen. Soweit eine solche Einwilligung nicht vorliegt, ist die Weitergabe datenschutzrechtlich nicht zulässig und kann mit einem Bußgeld geahndet werden.
Wenn die Liste zwecks gegenseitiger Kontaktaufnahme freiwillig von den Teilnehmern ausgefüllt wurde, schließt das die Einwilligung zur Weitergabe der Liste an alle auf der List doch wohl automatisch ein, oder?
Das kann man so sehen, ja.
Habe ich als Geschädigter auch etwas von diesem Bußgeld oder steckt sich das der Landesdatenschutzbeauftragte/Behörde in die Tasche?
Ich vermute fast dem wird so sein, zumindest wenn ich es der Behörde melde. Wenn ich es privat über einen Anwalt mache dann nicht.
In den gesetzlichen Bestimmungen zum Datenschutz finden sich hierzu keine Angaben. Daher muss auf das Verwaltungsrecht zurückgegriffen werden.
Dabei gilt: Empfänger der Geldbußen ist die öffentliche Hand, und zwar die allgemeine Finanzkasse. Als Regel kann dienen: Das Geld bekommt die staatliche Institution, der die Behörde angehört, die den Bußgeldbescheid erlassen hat.
Vorliegend hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) das Bußgeld verhängt. Das Geld fließt also an die bayerische Landeskasse.
Was heißt denn „viele Empfänger“ und ein „großer Verteilerkreis“? Das sind doch ganz unpräzise Angaben. Ab wieviel Empfänger soll man denn BCC verwenden?
…
Die Unterschrift „Dr. Datenschutz“ ist ja ganz wichtig – aber riecht das nicht nach Erschleichung eines Titels?
ich würde mal allgemein sagen dass es em besten ist wenn mehr oder weniger geschäftliche verteiler indem zueinander wildfremde leute drinstehen können (bspw alle kunden eines unternehmens o.ä.) man egal wie viele leute man hat, man einfach BCC nutzt.
… wir haben Sorgen! Im Mittelmeer krepieren tausende Menschen, da gehen wir zur Tagesordnung über. Aber die Nennung einer Mail-Adresse, da laufen unsere Bürokraten zur Höchstform auf! Traurig!
Ich sage immer: wir brauchen nur 2 Gesetze, um Deutschland lahm zu legen: Brandschutz und Datenschutz …
dem kann ich nur voll und ganz zustimmen !!!
Ich nehme an, dass es v.a. um nach außen kommunizierte eMailadressen geht, nicht interne? Ich sehe schon die Kolleginnen bei uns, die sich davon verunsichern lassen. Irgendwie wäre es schon gut, wenn solche Angaben präzise formuliert werden.
Der diesem Blogbeitrag zugrundeliegende Sachverhalt wird gleich zu Beginn beschrieben. „So hatte eine Mitarbeiterin eines Unternehmens in Bayern an Kunden eine E-Mail verschickt (…)“ Es geht also um die Übermittlung von E-Mail-Adressen an Dritte, ohne entsprechende Rechtsgrundlage.
Gibt es inzwischen Informationen über die Höhe des Bußgeldes?
Bitte beachten Sie das Datum des Artikels. Die konkrete Höhe wurde damals unseres Wissens nicht veröffentlicht, diese dürfte angesichts des viel höheren Bußgeldrahmens der in zwischen anwendbaren DSGVO heute aber auch irrelevant sein. Wir vermuten, dass Sie die Höhe zu einer aktuellen Risikoeinschätzung interessiert. Dabei hilft evtl. dieser golem Artikel vom 14.02.2019 weiter. Hier wird berichtet, dass der Landesdatenschutzbeauftragte von Sachsen-Anhalt mehrere DSGVO-Bußgelder wegen wiederholter Versendung von Mails mit hunderten Adressen im offenen Verteiler gegen eine Privatperson verhängt hat. Die Gesamthöhe betrug 2.628,50 €.
Wie ist es mit info@ E-Mail-Adressen, bzw. E-Mail-Adressen, die auf Unternehmens-Websites stehen?
Was genau meinen Sie?
Guten Abend,
bei der Anmeldung in einem Kindergarten wird die Mailadresse der Eltern abgefragt. Zu Weihnachten gibt es eine Mail mit Weihnachtsgrüßen und offenem Verteiler an die Eltern. Ist das rechtens oder müssen hier ebenfalls die Empfänger in den BCC? Wäre es mit einer Einwilligung der Eltern bei der Anmeldung möglich mit offenem Verteiler zu schicken wenn es ohne Einwilligung nicht möglich sein sollte?
Vielen Dank!
Die generelle Offenlegung aller Mailadressen der Eltern ist ohne eine vorhergehende Einwilligung grundsätzlich nicht zulässig, da dies weder für die Anmeldung zum Kindergarten selbst, noch zur Wahrnehmung der berechtigten Interessen des Kindergartens (also bspw. für das Versenden von Weihnachtsgrüßen) erforderlich ist. Es ist hier ohne weiteres möglich, die Empfänger in BCC zu setzen. Sofern zuvor eine ordnungsgemäße Einwilligung entsprechend den Vorgaben der DSGVO eingeholt wird, scheint es generell möglich, einen offenen Verteiler für die Weihnachtsgrüße zu nutzen. Im Hinblick auf das Prinzip der Datenminimierung wäre jedoch generell zu überlegen, worin hier der tatsächliche Mehrwert bestehen soll.
Hallo,
ich habe mehrere Emailadressen aus einer öffentlich zugänglichen Webseite einer Plattform, auf der mit Hilfe der Emails geworben wird.
Unterliegen solche öffentlich gemachten Email Adressen auch diesem Persönlichkeitsschutz?
Die kann doch sowieso jeder sehen, weil öffentlich, oder?
Grundsätzlich ist die werbliche Ansprache über E-Mail ohne Einwilligung des Adressaten nach § 7 Abs. 2 Nr. 3 UWG unzulässig. Eine Ausnahme davon besteht nur, wenn zwischen Absender und Empfänger bereits eine Geschäftsbeziehung bestand. Mehr zu den Voraussetzungen dieser Ausnahme und der Folgen unzulässiger Werbemails können Sie unserem Beitrag „E-Mail-Werbung nach DSGVO und UWG: Was ist erlaubt?“ entnehmen.