Unsere Autoren: Rechtsanwalt
Wolfgang Liebeneiner und
Rechtsanwalt Dr. Steffen Böhm,
Fachanwalt für IT-Recht
|
Aus einer modernen Unternehmensführung
ist die E-Mail-Kommunikation
mit Kunden und Geschäftspartnern
nicht mehr hinweg zu denken.
Bei E-Mail-Adressen, die zumindest auch aus der
Verwendung des Namens bestehen, handelt es sich jedoch um personenbezogene
Daten im Sinne des Bundesdatenschutzgesetzes (BDSG). Gemäß § 3 Abs. 1 BDSG
sind personenbezogene Daten sämtliche Einzelangaben über
persönliche oder
sachliche Verhältnisse
einer bestimmten oder bestimmbaren
natürlichen Person.
Datenschutzrechtlich problematisch
wird die Einordnung einer E-Mail-Adresse als
personenbezogenes Datum
dann, wenn diese bspw. für die Versendung eines
allgemeinen Rundschreibens
verwandt werden. Denn werden sämtliche
E-Mail-Adressen in
das mit „An…“ gekennzeichnete Feld
des E-Mail-Programms eingetragen, hat dies zur Folge, dass alle Empfänger dieser
E-Mail wissen, an wen die E-Mail
gleichfalls verschickt
wurde. Zugleich verfügen
sämtliche Empfänger
über die E-Mail-Adressen der jeweils anderen mit der Folge, dass der Versender der E-Mail jedem Empfänger
personenbezogene Daten übermittelt
hat. Diese Übermittlung
ist
datenschutzrechtlich jedoch nur dann zulässig, wenn dies durch eine Rechtsvorschrift gestattet
ist oder jeder Betroffene (E-Mail-Adresseninhaber) hierin zuvor schriftlich eingewilligt hat, §§ 4, 4a BDSG. Das allgemeine
Prinzip der
Datenvermeidung und
der Datensparsamkeit erfordert es
aber, personenbezogene Daten zu anonymisieren oder
zu pseudonymisieren, soweit dies nach dem Verwendungszweck
möglich ist
und keinen unverhältnismäßigen
Aufwand erfordert, § 3a BDSG. Bei
einem E-Mail-Verteiler ist
es unproblematisch möglich, über die entsprechende
IT-technische Konfiguration
sämtliche E-Mail-Adressen
in das Adressfeld „Bcc…“
(Blind Carbon Copy) einzufügen. Hierdurch wird die datenschutzrechtlich problematische Übermittlung
der personenbezogenen
Daten verhindert, da eine Übermittlung
sämtlicher E-Mail-Adressen gerade nicht stattfindet. Wird diese Vorgehensweise nicht
berücksichtigt, kann dies als bußgeldbewehrte
Ordnungswidrigkeit im Sinne des § 43 Abs.
2 Nr. 1 BDSG mit einer Geldbuße bis zu € 300.000,00 geahndet
werden.
Das diese Bußgeldandrohung nicht nur theoretischer Natur
ist, sondern auch Praxis, zeigt ein Beispiel aus dem letzten Jahr. So wurde Mitte des
Jahres 2013
vom
Bayerischen Landesamtes für Datenschutz
ein Bußgeld
gegen eine Mitarbeiterin eines
Handelsunternehmens verhängt, weil diese eine E-Mail mit einem offenen Verteiler
verschickt hat, ohne dass eine Einwilligung der
Empfänger vorlag (vgl. Pressemitteilung des Bayerischen
Landesamtes für
Datenschutz Aufsicht
v. 28.06.2013).
Als „Täter“ im Sinne der Bußgeldvorschriften
des BDSG kommen sowohl die Person, welche die verbotene Handlung vorgenommen
hat (Mitarbeiter),
als auch das dahinter stehende Unternehmen
in Betracht, wenn bspw. eine Aufsichtspflicht über
die Mitarbeiter
verletzt und hierdurch die Ordnungswidrigkeit
ermöglicht wurde.
Nicht unerwähnt bleiben darf in diesem Zusammenhang, dass der Arbeitgeber gem.
§ 5 BDSG
dazu verpflichtet
ist, diejenigen Personen, welche mit der Erhebung, Verarbeitung
oder Nutzung
personenbezogener Daten betraut sind, hierüber zu belehren. Zwar enthält das BDSG keine gesonderte Sanktion
bei einer Nichtbelehrung;
jedoch könnte
sich hieraus
eine unmittelbare
Haftung des Unternehmens wegen
der Verletzung
einer Aufsichtspflicht
ergeben.
Soll eine E-Mail als Verteiler an
mehrere Empfänger
gesendet werden, sollten die maßgeblichen
E-Mail-Adressen –
soweit eine Einwilligung nicht
vorliegt –
zur Vermeidung
der Begehung
einer Ordnungswidrigkeit wegen unzulässigen Datenübermittlung immer in das Adressfeld
„BCC“ eingegeben werden.
Keine Kommentare:
Kommentar veröffentlichen
Kommentare können nur durch die Redaktion freigeschaltet werden.