Nach einer Entscheidung des österreichischen Bundesverwaltungsgerichts (Entscheidung vom 24.7.2023, Az. W137 2255219-1/2E) dürfen öffentlich verfügbar gemachte geschäftliche E-Mail-Adressen allenfalls zur Kontaktaufnahme mit dem Inhaber der E-Mai-Adresse, nicht aber zu anderen Zwecken verwendet werden. Geschieht das, wenn auch versehentlich, liegt darin ein Datenschutzverstoß.
Der Irrläufer und der Datenschutz…
Bei der österreichischen Datenschutzbehörde hatte sich jemand beschwert, der im Cc: einer von einem Krankenhausträger versandten E-Mail an einen Patienten stand. Dies geschah aufgrund eines Fehlers einer Mitarbeiterin des Krankenhauses – warum ist unklar. Der Beschwerdeführer erhielt also ein an eine andere Person adressiertes Schreiben. Zum Problem wurde aber nicht die Übermittlung des für den Patienten bestimmten Schreibens an den Beschwerdeführer, sondern dass der Patient Kenntnis von der E-Mail-Adresse des Beschwerdeführers erlangte.
Die österreichische Datenschutzbehörde stellte formell fest, dass das Krankenhaus den Beschwerdeführer in dessen „Recht auf Geheimhaltung verletzt habe“. Weitere Maßnahmen, etwa eine formelle Rüge oder gar ein Bußgeld verhängte die Behörde nicht. Dennoch wollte der Krankenhausträger das nicht auf sich sitzen lassen und ging gegen den Bescheid er Behörde gerichtlich vor.
Geschäftliche E-Mail-Adressen können Personenbezug haben
Nach Ansicht des Krankenhausträger lag kein Datenschutzverstoß vor, weil der Beschwerdeführer die E-Mail-Adresse auf seiner Website selbst öffentlich gemacht hatte. Es handelte sich noch dazu um eine office@unternehmensname.at-Adresse, so dass schon fraglich sei, ob überhaupt Personenbezug bestehe. Wenn eine solche Adresse durch ein Versehen oder durch einen Zufall einem Dritten bekannt gemacht werde, liege darin kein Datenschutzverstoß.
Das Bundesverwaltungsgericht sah das aber anders: Weil der Unternehmensname dem Nachnamen des Beschwerdeführers entsprach, nahm das Gericht ohne Weiteres Personenbezug an. Ganz selbstverständlich ist das nicht: Offensichtlich nutzte der Beschwerdeführer die Domain (und auch die office@-Adresse) für sein Baugeschäft. Soll jede E-Mail-Adresse unter dieser Domain ein personenbezogenes Datum des Beschwerdeführers sein. Sind mail@haerting.de und schirmbacher@haerting.de personenbezogene Daten von Niko Härting, nachdem unsere Kanzlei benannt wurde. Einmal mehr zeigt sich, dass differenziert werden muss: Werden Adressen geschäftlich genutzt, ist für Personenbezug nur Raum, wenn die Adressen wirklich auf eine natürliche Person hindeuten. Während schirmbacher@haerting.de ein personenbezogenes Datum von mir ist, hat mail@haerting.de gar keinen Personenbezug. Bei Kleinstunternehmen mag das anders zu beurteilen sein. Der Fall zeigt aber, dass bei der Verarbeitung von E-Mail-Adressen im Zweifel davon ausgegangen werden sollte, dass es sich um Daten mit Personenbezug handelt.
Auch für öffentlich verfügbare Daten gilt die DSGVO
Auch das zweite Argument des Krankenhausträgers überzeugte das Bundesverwaltungsgericht nicht: Dass die Adresse auf der Website des Unternehmens öffentlich gemacht wurde, rechtfertige die Nutzung dieser Adresse zur geschäftlichen Kontaktaufnahme bezüglich des Unternehmens. Eine Verarbeitung zum Zwecke der Übermittlung von Patienteninformationen sei damit nicht gerechtfertigt. Auch für öffentlich verfügbare personenbezogene Daten gelte das Datenschutzrecht. Gegen diese Argumentation ist wohl nichts einzuwenden. Entscheidend ist der Verarbeitungszweck. Der stand hier offenbar nicht im Zusammenhang mit dem Grund für die Veröffentlichung.
Fehler schützt vor Strafe nicht
Dass es sich im konkreten Fall um einen Fehler handelte, half dem Krankenhaus nicht. Im Gegenteil: Gerade weil es sich um ein Fehler handelte, kämen zulässige Verarbeitungszwecke nicht in Betracht.
Keine Meldepflicht
Mit der Entscheidung nicht verbunden ist im Übrigen eine Aussage dazu, ob hier ein meldepflichtiger Datenschutzverstoß vorliegt. Nach Art. 33 DSGVO muss ein Datenschutzverstoß der zuständigen Aufsichtsbehörde gemeldet werden, es sei denn, dass die „Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“. Hier ist ein Risiko für den späteren Beschwerdeführer nicht erkennbar. Auch deshalb war ein Bußgeld oder eine andere Sanktion des Krankenhausträgers nicht angezeigt.