Beim Versenden einer E-Mail an mehrere Personen schleicht sich schnell ein kleiner Fehler mit großer Wirkung ein: Die Empfänger werden alle ins Adressfeld („an“) oder in Kopie („cc“) übernommen. So kann jeder Empfänger sehen, wer außer ihm die E-Mail bekommen hat. Entweder passiert das aus Unwissenheit, aus Nachlässigkeit oder mit Absicht. Tritt dies im geschäftlichen Verkehr auf, können unter Umständen Bußgelder, Vertragsstrafen und Schadensersatzansprüche drohen.
Der Inhalt im Überblick
Grundsatz
E-Mail-Adressen sind personenbezogene Daten gemäß § 3 Absatz 1 BDSG. Diese dürfen an Dritte nur übermittelt werden, wenn entweder eine gesetzliche Grundlage oder die Einwilligung des Betroffenen besteht. Beides wird im Fall des offenen E-Mail-Verteilers in der Regel nicht gegeben sein. Werden die E-Mail-Adressen nun in der E-Mail offengelegt, handelt es sich um eine unbefugte Datenübermittlung.
Außerdem: Da es sich bei dem geschäftlichen E-Mail-Verkehr um eine automatisierte Datenverarbeitung handelt, muss die verantwortliche Stelle ein Verfahrensverzeichnis erstellen. Diese Aufgabe wird oft auf den/die Datenschutzbeauftragte/n übertragen.
Vorbeugende Maßnahmen
Empfehlenswert wäre die Erstellung eines Datenschutzkonzepts in Form von Arbeitsanweisungen oder Richtlinien für die Mitarbeiter, wie mit personenbezogenen Daten umzugehen ist. In diesem Rahmen sollte auf den korrekten E-Mail-Versand hingewiesen werden – nämlich den Versand von E-Mails mit mehreren Empfängern nur in bcc!
Wichtig ist das vor allem für die Frage, wer im Zweifelsfall Adressat eines Bußgeldes oder einer Schadenersatzforderung ist:
- Hat die Unternehmensleitung nicht klar gegenüber den Mitarbeiter kommuniziert, dass verschiedene Empfänger einer E-Mail in bcc zu setzen sind, ist sie der Empfänger des Bußgeldbescheids.
- Handelt ein Mitarbeiter entgegen der klar formulierten und kontrollierten Anweisung, mehrere Empfänger immer in bcc zu setzen, wird der einzelne Mitarbeiter, der dagegen verstößt, zur Verantwortung gezogen.
E-Mail bereits verschickt? Schadensbegrenzung
Ist nun trotz allem der Fall eingetreten, dass eine E-Mail (versehentlich) mit mehreren Empfängern im Adressfeld oder als Kopie verschickt wurde, müssen Maßnahmen ergriffen werden, um größeren Schaden abzuwenden.
Unbedingt und unverzüglich sollte der/die Vorgesetzte und der/die Datenschutzbeauftragte informiert werden.
Diese können prüfen, ob spezielle Geheimhaltungsklauseln mit den jeweiligen Vertragspartnern geschlossen wurden, die gegebenenfalls verletzt sein könnten. Weiterhin können sie gemeinsam mit der Unternehmensleitung über den weiteren Umgang mit den betroffenen Geschäftspartnern und Kunden beraten und die Reaktionsmöglichkeiten auf eine mögliche Anfrage der Aufsichtsbehörde prüfen.
Hier ist juristisches und unternehmenerisches Fingerspitzengefühl gefragt. Eine Pauschallösung anzubieten, verbietet sich bei derartigen Sachlagen. Vielmehr muss die Vorgehensweise in jedem Einzelfall geprüft werden. Kriterien, die bei der Beurteilung einfließen sollten, sind u.a. der Kreis und die Anzahl der Betroffenen, bestehende Vertragsverhältnisse und die Sensibilität der Informationen.
Was Sie auf keinen Fall tun sollten:
- die Angelegenheit unter den Teppich kehren und hoffen, dass es niemandem auffällt. Durch verschiedene Datenschutzskandale in der jüngsten Vergangenheit und die nicht endende Debatte um den Schutz der Privatsphäre ist mit einer erhöhten Sensibilität bei Kunden und Geschäftspartnern zu rechnen, wenn es um Datenschutzaspekte geht. Werden nach einem solchen Fauxpas keine weiteren Schritte ergriffen, könnte sich das äußerst negativ auf die Reputation Ihres Unternehmens auswirken.
- sofort an alle Empfänger eine weitere E-Mail hinterherschicken, in der Sie um Entschuldigung für das Malheur bitten. Alle weiteren Schritte sollten wohlüberlegt sein.
@ Dr. Datenschutz
Welche Fallkonstellationen schweben Ihnen hierbei vor?
Wenn Mitarbeiter eines Unternehmens mit Mitarbeitern eines anderen Unternehmens im Rahmen von Projekten, Beratung oder Prüfungen kommunizieren, wäre vom Eintragen der Empfänger in die Felder „an“ oder „cc“ abzuraten? Das erscheint mir zweifelhaft. Die handelnden Personen stehen schließlich meist in engem und wiederholtem Kontakt und wissen voneinander.
Oder beziehen Sie sich auf Fälle, wo ein Unternehmen z.B. Privatkunden anmailt oder ein Newsletter an Geschäftspartner/berufliche Kontakte versandt wird?
Selbstverständlich dürfen Personen, die in Kontakt miteinander stehen, wie z.B. in einer Arbeitsgruppe, die anderen Teilnehmer in cc setzen. In dem Artikel geht es um E-Mails, die an viele verschiedene Personen, die untereinander nicht in Verbindung stehen, gesendet werden. Ob es sich dabei um Privat- oder Geschäftskunden handelt, spielt keine Rolle.
@Doc Datenschutz:
Und wie sähe es aus bei einem Sportverein? Die Mail mit offenem Verteiler ist hier die Einladung zur Weihnachtsfeier. Darf dieser Verteiler z.B. dazu benutzt werden, die Mitglieder über fragwürdige Geschäfte des Vorstands aufzuklären?
nein!
„Was Sie auf keinen Fall tun sollten: sofort an alle Empfänger eine weitere E-Mail hinterherschicken, in der Sie um Entschuldigung für das Malheur bitten.“
Das wird aber relative häufig gemacht. Warum genau sollte man das nicht tun?
Wenn man eine E-Mail wieder an alle Empfänger hinterher schicken würde, würde man den Datenschutzverstoß wiederholen, also verdoppeln. Außerdem ist eine Entschuldigung keine Schutzmaßnahme; die Empfänger das Schadensrisiko würde dadurch nicht verringert. Vielmehr würden alle Empfänger noch einmal auf die eben erhaltenen E-Mail-Adressen hingewiesen. Eine Person, die die erste Mail möglicherweise nicht bemerkt hatte, würde dadurch erst darauf aufmerksam gemacht.