Wer kennt und hat es nicht schon mehrfach gesehen: Sie bekommen eine E-Mail und sehen darin neben Ihrer eigenen E-Mail-Adresse auch die Adressen sämtlicher anderer Empfänger. Sicherlich passiert so etwas im privaten Bereich häufig. Da allerdings kennen sich die Personen meistens untereinander, beziehungsweise kommunizieren ohnehin eher über diverse Messenger auf dem Smartphone, anstatt per E-Mail.
Häufig geschieht dies aber auch in E-Mail-Verteilern von Vereinen. Je nach Größenordnung vermischen sich hier private und geschäftliche Mailadressen und eventuell kennen sich die Empfänger nicht alle persönlich.
In den meisten Fällen kommt es bei so einem Ereignis dazu, dass anhand der E-Mail-Adresse der Inhaber eindeutig identifizierbar ist. Und je nach Inhalt der E-Mail, kann die Bekanntgabe - wer ebenfalls dieselben Informationen übermittelt bekommen hat - mehr oder weniger kritisch sein.
Zum Beispiel wenn alle Empfänger angeschrieben werden da Sie mit Ihren Mitgliedbeiträgen im Rückstand sind. Eine offene Einladung an Mitglieder mit einem Alkholproblem.
Oder einfach der Sexshop welcher alle seine Kunden (offen) anschreibt. Im geschäftlichen Umfeld passiert dies sehr häufig.
Beispielsweise beim Versand von Newslettern oder Preislisten. Auch wenn es nicht immer ein pikanter oder kritischer Inhalt ist wird hier Kundenliste unter Umständen an die Mitbewerber weitergegeben. Oder im Fall von Studien, weitere vom Thema betroffene Personen offengelegt.
Aber was bedeutet das nun?
In jedem Fall haben wir es hier mit einem Datenschutzvorfall zu tun! Sogar einem, der unter Umständen an die Aufsichtsbehörde gemeldet werden muss.
Einen derartigen Fall musste die spanische Datenschutzaufsichtsbehörde kürzlich bewerten. Ein Unternehmen hat eine Werbe-E-Mail an mehrere Empfänger versendet und dabei nicht die BCC-Funktion des E-Mail-Programmes berücksichtigt. In diesem Verhalten sah die Aufsichtsbehörde, ohne weitere Begründung, einen Verstoß gegen Art. 5 Abs. 1 lit. f der DSGVO.
Hiernach müssen personenbezogene Daten:
in einer Weise verarbeitet werden, die eine angemessene Sicherheit von personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter und unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).
Es wurde unter Berücksichtigung der konkreten Umstände des Einzelfalles ein Bußgeld in Höhe von 2.500 Euro verhängt.
Die Entscheidung der spanischen Aufsichtsbehörde (jedoch in spanischer Sprache), finden Sie hier.
Derartige Fälle wurden jedoch auch schon in Deutschland geprüft, und mit Strafen in ähnlicher Höhe belegt.
Als Fazit gilt: Der Versand einer E-Mail an mehrere Empfänger - ohne Verwendung der BCC-Funktion - ist immer dann problematisch, wenn sich die Empfänger untereinander nicht kennen und die Offenlegung nicht erforderlich ist.
Normalerweise ist das bei Werbe- oder allgemeinen Rund-E-Mails an Kunden oder Lieferanten immer der Fall. Betreffen kann es jedoch auch E-Mails in Vereinen oder sonstigen Institutionen, die über aktuelle Ereignisse informieren sollen.
Werden derartige E-Mails über einen offenen Verteiler versendet ist immer von einer meldepflichtigen Datenpanne auszugehen.
Stellen Sie daher vor dem Versand unbedingt sicher, dass Sie alle Adressdaten ausschließlich im BCC-Feld eingetragen haben.
Besonders tückisch ist dies allerdings bei Outlook. Hier muss das BCC-Feld zunächst aktiviert werden, da es standardmäßig deaktiviert ist. Sie finden hier eine Anleitung zum Aktivieren des BCC-Feldes in Outlook.
Sollte es trotz aller Vorsicht dennoch dazu kommen, dass versehentlich eine E-Mail mit einem offenen Verteiler versendet wurde, ist der Datenschutzbeauftragte beziehungsweise der Datenschutzkoordinator umgehend zu benachrichtigen. Weiterhin sollte - entsprechend der Vorgaben - eine interne Störung erfasst werden. Je nach Einzelfall ist abzuwägen, ob die Datenpanne der Aufsichtsbehörde gemeldet werden muss - was innerhalb von 72 Stunden nachen bekanntwerden des Vorfalls gzu erfolgen hat.
Wir stehen hier unterstützend und beratend zur Seite. Fern helfen wir Ihnen bei der Abwägung des Einzelfalles und sprechen unsere Empfehlungen dazu aus.
Die endgültige Entscheidung, ob gemeldet wird oder nicht, liegt aber immer beim jeweiligen Unternehmen. Die Geschäftsführung entscheidet. Und final würde diese den Datenschutzvorfall der Aufsichtsbehörde melden. Diesen Teil können wir Ihnen leider nicht abnehmen.