Die Gefahr des offenen E-Mail-Verteilers

Unternehmen, die ihre Werbe-E-Mails über einen Standard-E-Mail-Client wie etwa Outlook versenden, haben das mindestens einmal erlebt: Nachdem der Newsletter raus gegangen ist, kommen empörte Reaktionen zurück, weil alle Empfänger-E-Mail-Adressen sichtbar sind. Der zuständige Mitarbeiter hatte (versehentlich) nicht ausreichend zwischen dem CC-Feld und dem BCC-Feld differenziert. Dies hatte kürzlich ein Bußgeld für den Mitarbeiter zur Folge. Auf diesen muss jenes jedoch nicht beschränkt sein. Von Rechtsanwalt Daniel Schätzle, HÄRTING Rechtsanwälte, Berlin, http://www.haerting.de

 

Vom Kohlepapierdurchschlag (Carbon Copy)

 

Sie sind seltener geworden, aber es gibt sie noch: Newsletter die über einen Standard–E-Mail-Client wie Outlook versendet werden. Dabei wird der Newsletter an eine eigene E-Mail-Adresse und als Blindkopie an die Empfänger versendet. Der jeweilige Empfänger kann dadurch nicht erkennen, an welche E-Mail-Adressen der Newsletter noch versandt wurde.

Anders verhält es sich, wenn man die Empfänger-Adressen nicht in das BCC-Feld (Blind Carbon Copy) sondern versehentlich in das CC-Feld (Carbon Copy) einträgt. Dann erhalten die Empfänger nicht nur eine E-Mail, die einen deutlich längeren Header aufweist, als der eigentliche Werbetext. Sie bekommen auch einen vollständigen Einblick in den gesamten Verteiler. Noch schlimmer wirkt es, wenn man sich über diesen Umstand gar keine Gedanken macht und den Verteiler sogar direkt in das AN-Feld aufnimmt.

So lag es in einem Fall, der kürzlich das Bayerische Landesamt für Datenschutzaufsicht (BayLDS) auf den Plan gerufen hatte. Im Hinblick auf die erhebliche Anzahl an verwendeten E-Mail-Adressen blieb es nicht bei einer sonst folgenlosen Feststellung der datenschutzrechtlichen Unzulässigkeit. Der zuständigen Mitarbeiterin wurde ein Bußgeld auferlegt.

 

Die E-Mail-Adresse als personenbezogenes Datum

Hintergrund ist, dass E-Mail-Adressen als ein personenbezogenes Datum angesehen werden können. Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (§ 3 Abs. 1 Bundesdatenschutzgesetz – BDSG). Dies ist ganz klar der Fall, wenn eine E-Mail-Adresse aus Vorname und Nachname gebildet wird. Da es für den Personenbezug ausreichend ist, dass die E-Mail-Adresse einer bestimmbaren Person zugeordnet werden kann, ist der Personenbezug auch bei vielen anderen E-Mail-Adressen anzunehmen.

Handelt es sich bei einer E-Mail-Adresse um ein personenbezogenes Datum, bedarf jede Speicherung, Verarbeitung und Nutzung einer gesetzlichen Erlaubnis oder der Einwilligung des Betroffenen (§ 4 Abs. 1 BDSG). Hierunter fällt auch die Übermittlung der E-Mail-Adresse an Dritte. Genau das passiert aber, wenn der Verteiler nicht in das BCC-Feld eingetragen wird.

 

Unzulässigkeit und Folgen

Eine gesetzliche Erlaubnis hierfür existiert nicht. Man wird auch kaum annehmen können, dass der Newsletter-Empfänger mit seiner datenschutzrechtlichen Einwilligung in den Newsletterempfang gleichzeitig eingewilligt hat, dass alle Angehörigen des Verteilers seine E-Mail-Adresse erfahren dürfen bzw. den Umstand, dass er sich überhaupt in den Verteiler eingetragen hat. Damit ist der (auch nur versehentliche) Versand an einen offenen E-Mail-Verteiler datenschutzrechtlich unzulässig. Es handelt sich dabei um eine Ordnungswidrigkeit, die nach § 43 Abs. 3 BDSG mit bis zu 300.000,00 EUR Geldbuße geahndet werden kann.

 

Fazit

Unternehmen, die einen Standard-E-Mail-Client wie Outlook für den Newsletterversand verwenden, tun gut daran, den entsprechenden Mitarbeiter über den richtigen Umgang mit den verschiedenen Adressfeldern aufzuklären. Dazu gehört auch die Sensibilisierung dafür, vor jedem Versand zu überprüfen, ob tatsächlich das BBC-Feld verwendet wurde. Dieses ist nicht selten verborgen.

So vermeiden sie nicht nur Bußgelder für die eigenen Mitarbeiter. Das BayLDA hat es sich nehmen lassen, in seiner Presseerklärung darauf hinzuweisen, dass in Kürze in einem vergleichbarem Fall ein Bußgeldbescheid nicht gegen den konkreten Mitarbeiter erlassen wird, sondern gegen die Unternehmensleitung, da in manchen Unternehmen der Problematik offensichtlich nicht die entsprechende Bedeutung beigemessen wird.

 

Daniel Schätzle ist Rechtsanwalt in der auf Medien und Technologie spezialisierten Kanzlei HÄRTING Rechtsanwälte. Näheres zu seiner Person finden Sie hier.

Hat Ihnen der Beitrag gefallen? Dann teilen Sie ihn doch mit anderen:
Der RSS-Feed für Kommentare zu diesem Artikel. Die TrackBack URI dieses Artikel.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Hat Ihnen der Beitrag gefallen? Dann teilen Sie ihn doch mit anderen: