Bußgeld für offenen E-Mail-Verteiler mit vielen Empfängern

News

Das Bayrische Landesamt für Datenschutz hat gegen eine Mitarbeiterin eines Unternehmens ein Bußgeld verhängt, weil diese mit einem offenen E-Mail-Verteiler E-Mail-Adressen einem großen Empfängerkreis übermittelt hat.

Sachlage

Wie schnell kann es passieren – ich möchte etwas Wichtiges (oder auch weniger Wichtiges) ganz vielen von meinen Freunden gleichzeitig mitteilen. Statt die E-Mail-Adressen zu verbergen, schicke ich die E-Mail mit einem offenen E-Mail-Verteiler los. Das heißt, ich trage alle E-Mail-Adressen in das Feld „AN“ ein, sodass jeder Empfänger sehen kann, wer außer ihm die E-Mail bekommen hat. Entweder passiert das aus Versehen oder dann mit Absicht. Denn es ist doch so schön, wenn alle sehen können, wen ich alles noch so kenne oder eingeladen habe.

Das Gleiche kann einem auch im geschäftlichen Verkehr passieren. So hatte eine Mitarbeiterin eines Unternehmens in Bayern an Kunden eine E-Mail verschickt, in dem sie den Kunden kurz mitteilte, dass sie alsbald um die Anliegen der Kunden kümmern werde. Das Problem dabei war, dass die E-Mail ausgedruckt 10 Seiten lang war, wobei davon alleine neuneinhalb Seiten mit E-Mail-Adressen der Empfänger.

Was ist denn das Problem?

E-Mail-Adressen sind als personenbezogenen Daten im Sinne des § 3 Abs. 1 BDSG anzusehen. Um eine E-Mail-Adresse als personenbezogenes Datum einzuordnen, ist nicht mal erforderlich, dass die E-Mail-Adresse aus Vor- und Nachnamen besteht. Es reicht aus, wenn die E-Mail-Adresse einer bestimmten natürlichen Person zugeordnet werden kann oder diese Zuordnung zumindest mittelbar erfolgen kann.

Personenbezogenen Daten dürfen aber an Dritte nur dann übermittelt werden, wenn eine Einwilligung vorliegt oder eine gesetzliche Grundlage gegeben ist, vgl. § 4 Abs. 1 BDSG. Da eine gesetzliche Grundlage nicht ersichtlich ist, bedarf es einer Einwilligung der betroffenen Personen, d.h. der Inhaber der E-Mail-Adressen. Liegt eine Einwilligung nicht vor, ist die Verwendung des offenen E-Mail-Verteilers datenschutzrechtlich nicht zulässig und kann mit einem Bußgeld geahndet werden.

Bußgeld droht!

Das Bayrische Landesamt für Datenschutz hatte in dem oben genannten Fall einen Bußgeldbescheid gegen die Mitarbeiterin erlassen. In einem vergleichbaren Fall hat die Aufsichtsbehörde einen Bußgeldbescheid nicht gegen einen Mitarbeiter, sondern gegen die Unternehmensleitung erlassen. Begründet wurde dies damit,

dass in manchen Unternehmen dieser Fragestellung offensichtlich nicht die entsprechende Bedeutung beigemessen wird, d.h. von Seiten der Unternehmensleitung die Mitarbeiter entweder nicht entsprechend angewiesen oder überwacht werden.

Was ist zu tun?

Die Nutzung von offenen E-Mail-Verteilern ist zu unterlassen, es sei denn, die Inhaber der E-Mail-Adressen haben dazu ihre Einwilligung erteilt.

Statt in das „AN-Feld“ oder „CC-Feld“ sind die E-Mail-Adressen in das „BCC-Feld“ einzutragen. Denn nur bei der Eintragung der E-Mail-Adressen in das „BCC-Feld“ wird die Übertragung der E-Mail-Adressen an die Empfänger unterdrückt, sodass keiner erkennen kann, an wen diese E-Mail sonst noch geschickt wurde.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Datenschutzkonformes E-Mail-Marketing (Newsletter-Versand)
  • Rechtssichere Erhebung und Verwendung von Adressdaten (z.B. aus Gewinnspielen oder Ankauf)
  • Bearbeitung etwaiger Widersprüche gegen Werbesendungen

Informieren Sie sich hier über unser Leistungsspektrum: Newsletter und E-Mail-Marketing

16 Kommentare zu diesem Beitrag

  1. Hallo,

    ich bin noch neu im Geschäft des Datenschutzbeauftragten. Mir fällt da gleich eine Frage ein: und zwar muss für den ganzen E-Mail Verkehr eine Verfahrensbeschreibung erstellt werden? Lt. dem Beitrag handelt es sich ja um personenbezogene Daten.

  2. Pingback: der offene E-Mail-Verteiler und was daran verboten ist | Blog für Gewerbetreibende
  3. Dazu hätte ich auch eine Frage. Ich habe von einem Hotel Post bekommen. In dem Brieffenster an mich als Privatperson war unter meinem Namen und der Adresse meine persönliche Emailadresse sichtbar. Ist das erlaubt? Find es eigentlich eine Frechheit.

  4. Ich habe auf eine Rund- Email „allen antworten“ benutzt und werde nun beschuldigt, nicht rechtens gehandelt zu haben. Ist nicht derjenige, der den Verteiler zur Verfügung stellt, dafür verantwortlich? Da das in der Mail angesprochene Thema alle betraf, ging ich von einem Meinungsaustausch aus.

  5. Ist es richtig, dass im E-Mailverkehr die E-Mail-Adressen abgefischt werden, wenn mehr als 10 offene E-Mail-Adressen im Empfänger oder CC stehen? Eine E-Mail ist ja wie eine Postkarte, die von jedem gelesen werden kann. Ich ärgere mich deshalb, wenn immer wieder Mails kommen, bei denen meine Adresse unter mehr als 20 offenen Empfängern steht.

  6. Wird eine Liste mit Name, Vorname, Adresse, Telefonnummer, E-Mail-Adresse, die für einen definierten Zweck erstellt wurde (jeder trägt seine Daten in die gemeinsame Liste zwecks gegenseitiger Kontaktaufnahme ein) an einen Verteiler geschickt, der wesentlich über die auf der Liste aufgeführten Personen hinausgeht (Faktor 10) und hierfür auch nicht die Erfordernis vorliegt, wie ist diese Weitergabe (erfolgte nicht zu Werbezwecken, sondern als „Info für alle“) zu bewerten? Bereich Schule, Personen volljährig, Daten sonst weitestgehend nicht veröffentlicht (z. B. Telefonbuch)

    • Der von Ihnen genannte Fall ist in rechtlicher Hinsicht genauso zu bewerten, wie der in dem Artikel dargestellte. In Ihrem Fall liegt aber eine (noch) größere Schadenstiefe vor, da eine größere Anzahl personenbezogener Daten weitergegeben wurden (neben der E-Mail-Adresse auch Name, Vorname, Adresse, Telefonnummer). Im Übrigen gilt das im Artikel Gesagte: Da eine gesetzliche Grundlage zur Weitergabe der Daten nicht ersichtlich ist, bedarf es einer Einwilligung der betroffenen Personen, um Ihre Kontaktdaten weitergeben zu dürfen. Soweit eine solche Einwilligung nicht vorliegt, ist die Weitergabe datenschutzrechtlich nicht zulässig und kann mit einem Bußgeld geahndet werden.

  7. Habe ich als Geschädigter auch etwas von diesem Bußgeld oder steckt sich das der Landesdatenschutzbeauftragte/Behörde in die Tasche?
    Ich vermute fast dem wird so sein, zumindest wenn ich es der Behörde melde. Wenn ich es privat über einen Anwalt mache dann nicht.

    • In den gesetzlichen Bestimmungen zum Datenschutz finden sich hierzu keine Angaben. Daher muss auf das Verwaltungsrecht zurückgegriffen werden.

      Dabei gilt: Empfänger der Geldbußen ist die öffentliche Hand, und zwar die allgemeine Finanzkasse. Als Regel kann dienen: Das Geld bekommt die staatliche Institution, der die Behörde angehört, die den Bußgeldbescheid erlassen hat.

      Vorliegend hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) das Bußgeld verhängt. Das Geld fließt also an die bayerische Landeskasse.

  8. Was heißt denn „viele Empfänger“ und ein „großer Verteilerkreis“? Das sind doch ganz unpräzise Angaben. Ab wieviel Empfänger soll man denn BCC verwenden?

    Die Unterschrift „Dr. Datenschutz“ ist ja ganz wichtig – aber riecht das nicht nach Erschleichung eines Titels?

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.