Datenschutz vs. offener e-Mailverteiler? Risiken und Möglichkeiten für Unternehmen!

Sichtbare e-Mailadressen in einem offenen e-Mailverteiler sind als personenbezogene Daten vom Datenschutz erfasst. Verstöße, etwa in Form von Rundmails können entsprechende Bußgelder begründen. Selbst eine fahrlässige Missachtung kann erhebliche Konsequenzen für das Unternehmen, für die Geschäftsleitung und für den Mitarbeiter nach sich ziehen. Und dies nicht nur finanziell, sondern auch das Image leidet in diesem sensiblen Bereich erheblich!

Hintergrund

Jedes Unternehmen muss den Datenschutz beachten. Hierbei spielt es keine Rolle wie groß das Unternehmen ist. Haben mehr als 9 Personen (nicht zwingend auch Arbeitnehmer!) Zugriff auf personenbezogene Daten, muss zudem ein betrieblicher Datenschutzbeauftragter bestellt werden. Kontrolliert wird dies durch die Datenschutzbehörden, die erhebliche Kontrollbefugnisse haben und jederzeit und ohne Vorankündigung auftreten können.

Werden personenbezogene Daten unrechtmäßig erhoben, verarbeitet und/ oder genutzt, kann das neben erheblichen Geldbußen auch zu Rufschädigungen des Unternehmens führen, die oftmals noch viel einschneidender sind, insbesondere im Hinblick auf die Veröffentlichungspflicht von Verstößen. Ggf. müssen die Verantwortlichen auch persönlich haften.


Offener e-Mailverteiler

Das Versenden von e-Mails gehört mittlerweile zum Standard. Ohne übermäßigen Aufwand und Kosten können so Informationen an eine Vielzahl potenzieller oder vorhandener Kunden und Geschäftspartner versendet werden. Unabhängig von der wettbewerbsrechtlichen Bewertung, stellt sich die datenschutzrechtliche Frage: Welche Folgen hat es, wenn jeder einzelne Empfänger sichtbar in der Adresszeile ist?


In einem bayrischen Unternehmen hatte eine Mitarbeiterin, entsprechend den Anweisungen, einem Kunden Informationen per e-Mail zugesandt. Diese Informationen sollten zugleich auch noch weitere Kunden erhalten, sodass sie sämtliche e-Mailadressen in das „An“-Feld des Verteilers einfügte. Folge: Jeder Empfänger konnte die gesamten e-Mailadressen lesen! Die Datenschutzbehörde verhängte daraufhin eine Bußgeld.


E-Mailadressen bestehen oftmals aus Vor- und Zunamen und stellen somit personenbezogene Daten im Sinne des BDSG dar. Aber auch ohne solchen konkreten Angaben, können e-Mailadressen personenbezogene Daten sein, nämlich dann wenn bereits die Möglichkeit besteht, die entsprechende Person anhand der Mail-Adresse zu erkennen. Es muss also nicht ausdrücklich aus der e-Mail hervorgehen, wer dahinter steckt. Es genügt bereits die bloße Möglichkeit der Identifizierung! Personenbezogene Daten dürfen nur mit Einwilligung oder aufgrund gesetzlicher Ermächtigung an Dritte weitergegeben werden. Beides war im Fall der bayrischen Mitarbeiterin nicht gegeben. Da zudem auch eine erhebliche Anzahl an Adressdaten für Dritte ersichtlich waren, war eine bloße Ermahnung oder Feststellung der Unzulässigkeit nicht ausreichend.


Fazit

Bei e-Mailverteilern, sollten die Adressdaten in das „BCC“ Feld eingegeben werden, da nur in diesem Fall die einzelnen Daten für die Empfänger nicht zu erkennen sind. Unternehmen sollten ihre Mitarbeiter auf diese Problematik hin schulen (lassen) um sowohl Geldbußen, als auch etwaigen Rufschädigungen in diesem sensiblen Bereich vorzubeugen. Der Datenschutz ist von jedem Unternehmen zu beachten, egal ob ein Datenschutzbeauftragter zu bestellen ist oder nicht.
Die Problematik dürfte sich aufgrund des Gesetzesentwurfs der Bundesregierung, zur Verbesserung des Verbraucherschutzes bei der Durchsetzung von Datenschutzrechten durch Verbraucherverbände in Zukunft noch weiter verschärfen!


Bei Rückfragen stehe ich Ihnen gerne zur Verfügung! Beachten Sie auch meine Inhouse-Schulungsangebote!

Kommentar schreiben

Kommentare: 0