Dienstag, 7. Juli 2015

Der „offene“ E-Mail-Verteiler als datenschutzrechtlicher Fallstrick

Unsere Autoren: Rechtsanwalt 
Wolfgang Liebeneiner und 
Rechtsanwalt Dr. Steffen Böhm, 
Fachanwalt für IT-Recht
Aus einer modernen Unternehmensführung ist die E-Mail-Kommunikation mit Kunden und Geschäftspartnern nicht mehr hinweg zu denken. Bei E-Mail-Adressen, die zumindest auch aus der Verwendung des Namens bestehen, handelt es sich jedoch um personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes (BDSG). Gemäß § 3 Abs. 1 BDSG sind personenbezogene Daten sämtliche Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.

Datenschutzrechtlich problematisch wird die Einordnung einer E-Mail-Adresse als personenbezogenes Datum dann, wenn diese bspw. für die Versendung eines allgemeinen Rundschreibens verwandt werden. Denn werden sämtliche E-Mail-Adressen in das mit An…“ gekennzeichnete Feld des E-Mail-Programms eingetragen, hat dies zur Folge, dass alle Empfänger dieser E-Mail wissen, an wen die E-Mail gleichfalls verschickt wurde. Zugleich verfügen sämtliche Empfänger über die E-Mail-Adressen der jeweils anderen mit der Folge, dass der Versender der E-Mail jedem Empfänger personenbezogene Daten übermittelt hat. Diese Übermittlung ist datenschutzrechtlich jedoch nur dann zulässig, wenn dies durch eine Rechtsvorschrift gestattet ist oder jeder Betroffene (E-Mail-Adresseninhaber) hierin zuvor schriftlich eingewilligt hat, §§ 4, 4a BDSG. Das allgemeine Prinzip der Datenvermeidung und der Datensparsamkeit erfordert es aber, personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen unverhältnismäßigen Aufwand erfordert, § 3a BDSG. Bei einem E-Mail-Verteiler ist es unproblematisch möglich, über die entsprechende IT-technische Konfiguration sämtliche E-Mail-Adressen in das Adressfeld „Bcc…“ (Blind Carbon Copy) einzufügen. Hierdurch wird die datenschutzrechtlich problematische Übermittlung der personenbezogenen Daten verhindert, da eine Übermittlung sämtlicher E-Mail-Adressen gerade nicht stattfindet. Wird diese Vorgehensweise nicht berücksichtigt, kann dies als bußgeldbewehrte Ordnungswidrigkeit im Sinne des § 43 Abs. 2 Nr. 1 BDSG mit einer Geldbuße bis zu € 300.000,00 geahndet werden.

Das diese Bußgeldandrohung nicht nur theoretischer Natur ist, sondern auch Praxis, zeigt ein Beispiel aus dem letzten Jahr. So wurde Mitte des Jahres 2013 vom Bayerischen Landesamtes für Datenschutz ein Bußgeld gegen eine Mitarbeiterin eines Handelsunternehmens verhängt, weil diese eine E-Mail mit einem offenen Verteiler verschickt hat, ohne dass eine Einwilligung der Empfänger vorlag (vgl. Pressemitteilung des Bayerischen Landesamtes für Datenschutz Aufsicht v. 28.06.2013).

Als „Täter“ im Sinne der Bußgeldvorschriften des BDSG kommen sowohl die Person, welche die verbotene Handlung vorgenommen hat (Mitarbeiter), als auch das dahinter stehende Unternehmen in Betracht, wenn bspw. eine Aufsichtspflicht über die Mitarbeiter verletzt und hierdurch die Ordnungswidrigkeit ermöglicht wurde.

Nicht unerwähnt bleiben darf in diesem Zusammenhang, dass der Arbeitgeber gem. § 5 BDSG dazu verpflichtet ist, diejenigen Personen, welche mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten betraut sind, hierüber zu belehren. Zwar enthält das BDSG keine gesonderte Sanktion bei einer Nichtbelehrung; jedoch könnte sich hieraus eine unmittelbare Haftung des Unternehmens wegen der Verletzung einer Aufsichtspflicht ergeben.

Praxistipp: 
Soll eine E-Mail als Verteiler an mehrere Empfänger gesendet werden, sollten die maßgeblichen E-Mail-Adressen soweit eine Einwilligung nicht vorliegt zur Vermeidung der Begehung einer Ordnungswidrigkeit wegen unzulässigen Datenübermittlung immer in das Adressfeld „BCC“ eingegeben werden.


Daneben sollten sämtliche Mitarbeiter, die mit derartigen Aufgaben betraut sind, über das Datengeheimnis gem. § 5 BDSG belehrt werden. Zwar schreibt das Gesetz für die Belehrung keine besondere Form vor; zu Dokumentations- und Beweiszwecken sollte jedoch die Schriftform gewählt werden.