Der Versand von E-Mails gehört heute sowohl in der privaten Kommunikation als auch im unternehmerischen Geschäftsverkehr zum Alltag. Doch gerade beim Versenden von E-Mails kann es recht schnell zu einer Datenpanne kommen. Bereits ein Tippfehler im Adressfeld kann dazu führen, dass die Nachricht an eine falsche Person zugestellt wird. Aber auch beim Versenden vom Massen-E-Mails kann das Eintragen der Empfänger-Adressen in das falsche Feld einen Datenschutzverstoß begründen. In diesem Zusammenhang führte erst kürzlich die Versendung einer solchen Massen-E-Mail an einen größeren Personenkreis durch ein Impfzentrum zu einer schwerwiegenden Datenschutzpanne.
Das Wichtigste in Kürze
- Impfzentrum veröffentlichte in einer Massen-E-Mail versehentlich knapp 1.500 Mailadressen
- Nutzung offener E-Mail-Verteiler für das Versenden von Rundmails kann einen Verstoß gegen die DSGVO begründen
- Eine Ausnahme offener E-Mail-Verteiler ist nur für den privaten Bereich vorgesehen
- Für den datenschutzkonformen Versand von Rundmails sollte das Feld für die Blindkopie „Bcc“ verwendet werden
Personenbezogene Daten nach Impfterminabsage einsehbar
Nachdem im Kampf gegen das Corona-Virus das Impfen mit dem Vakzin AstraZeneca in Deutschland vorübergehend ausgesetzt wurde, verursachte eine Mitarbeiterin des Impfzentrums im Ennepe-Ruhr-Kreis bei der kurzfristigen Absage der Impftermine eine schwerwiegende Datenpanne.
Im Rahmen der Terminabsagen wurde eine Rundmail an alle knapp 1500 Impfkandidaten versendet. In der E-Mail waren für alle Empfänger neben dem Kommunikationsinhalt die Mailadressen sämtlicher Impfkandidaten, die bereits einen Impftermin vereinbart hatten, sichtbar. Die Mitarbeiterin hatte sämtliche Adressen in das falsche Feld des Mailprogramms kopiert.
Auch bei E-Mail-Adressen handelt es sich regelmäßig um personenbezogene Daten. Somit stellt dieser Sachverhalt einen klaren Datenschutzverstoß dar, auch wenn keinerlei Gesundheitsdaten offengelegt wurden.
Nutzung offener E-Mail-Verteiler
Immer wieder kommt es auch im geschäftlichen Alltag vor, dass Rundmails, beispielsweise im Rahmen vom Newslettern versandt werden und zahlreiche E-Mail-Adressen offengelegt werden, weil der Absender die Adressen in das An- oder Cc-Feld des E-Mail-Programms einfügt. In einem solchen Fall ist für Empfänger erkennbar, welche E-Mail-Adressen dieselbe Nachricht erhalten haben.
Die Nutzung offener E-Mail-Verteiler für das Versenden von Massen-E-Mails kann grundsätzlich immer einen Verstoß gegen die DSGVO begründen.
Gemäß der Datenschutzgrundverordnung handelt es sich bei Vernichtung, Verlust oder, wie im vorliegenden Fall, der unbefugten Offenlegung von Daten um eine Verletzung des Schutzes personenbezogener Daten.
Sofern die Mail-Adressen mit dem Namen personalisiert sind, kann unter Umständen mit geringem Aufwand die Identität der dazugehörigen Person ermittelt werden. Enthalten demnach die im Verteiler aufgelisteten E-Mail-Adressen den eindeutigen Namen einer Person, liegen personenbezogene Daten vor. Wird die E-Mail-Adresse, die einen Namen enthält und somit einer natürlichen Person zuordenbar ist an Dritte weitergegeben, liegt darin ein meldepflichtiger Verstoß gegen die DSGVO vor. Denn personenbezogene Daten dürfen nur dann an Dritte übermittelt werden, wenn eine Einwilligung des Betroffenen vorliegt oder aber eine gesetzliche Grundlage gegeben ist.
Da im vorliegenden Fall keine Einwilligung der Betroffenen für die Offenlegung ihrer E-Mail-Adresse vorlag, wäre eine andere gesetzliche Grundlage erforderlich gewesen, die ebenso wenig vorhanden war.
Eine Ausnahme offener E-Mail-Verteiler ist nur für den privaten Bereich vorgesehen.
Datenschutzkonformer Versand von Rundmails
Grundsätzlich dürfen personenbezogene E-Mail-Adressen bei mehreren E-Mail-Empfängern nicht ohne deren Einwilligung in die Felder „An“ oder „Cc“ der E-Mail-Programme eingegeben werden. Insoweit sollte das Feld für die Blindkopie „Bcc“ verwendet werde. Adressen die in „Bcc“ aufgeführt sind, sind für andere Empfänger nicht sichtbar.
Sanktionen
Da es sich bei dem Impfzentrum um eine behördliche Einrichtung handelt, gegen die gem. § 43 Abs. 3 BDSG grundsätzliche kein Bußgeld verhängt werden kann, werden die Verantwortlichen lediglich auf den vorliegenden Datenschutzverstoß hingewiesen.
Demgegenüber kann der Versand von E-Mails mit offenen Verteilerlisten durch Privatpersonen oder Unternehmen schwerwiegende Folgen haben und mit empfindlichen Bußgeldern sanktioniert werden.
Grundsätzlich werden Bußgelder der Behörden lediglich gegenüber Unternehmen als für die Datenverarbeitung Verantwortliche ergehen. Kommt es trotz Schulungsmaßnahmen, Richtlinien und klarerer Vorgaben der Unternehmensleitung dennoch durch Verhalten eines Mitarbeiters zu einer Datenpanne, kann ausnahmsweise auch dieser mit einem Bußgeld belegt werden.
Ausblick
Derartige Fehler beim Versand von E-Mails, wie sie dem Impfzentrum unterlaufen sind, sind unbedingt zu vermeiden. Aus diesem Grund sollten Unternehmen ihre Mitarbeiter auch in diesem Bereich für den Datenschutz sensibilisieren. Dies gilt vor allem für Angestellte, die häufig per E-Mail nach außen kommunizieren, um beispielsweise Angebote oder Newsletter an Kunden zu versenden. Insoweit bedarf es der Schaffung klar definierter Prozesse sowie der Anweisung und Schulung sämtlicher Mitarbeiter, die im geschäftlichen Verkehr E-Mails versenden.
