E-Mail-Verteiler und der Datenschutz

Datenschutz für E-Mail-Verteiler

Eine der häufigsten Datenschutzverletzung, die sowohl in Unternehmen als auch bei Privatpersonen vorkommt, stellt den Versand von E-Mails mittels einer offenen Empfängerliste dar. Wenn E-Mails im „CC“-Feld (Kopie) versendet werden, können die dort aufgeführten Personen – ebenso wie die Hauptempfänger – die E-Mail-Adressen aller Empfänger einsehen. Darüber hinaus ist der gesamte Nachrichtenverlauf für alle sichtbar. Dies kann problematisch werden, insbesondere wenn Empfänger untereinander die E-Mail-Adressen der anderer nicht kennen sollten oder wenn diese personenbezogene Informationen aus dem Verlauf erhalten.

E-Mail-Adressen sind meist personenbezogene Daten

E-Mail-Adressen bestehen in der Regel aus den Vornamen und/oder Nachnamen von Personen. Aus datenschutzrechtlicher Perspektive werden solche E-Mail-Adressen gemäß Art. 4 Nr. 1 DSGVO als personenbezogene Daten betrachtet. Diese dürfen nur an Dritte weitergegeben werden, wenn eine ausdrückliche Einwilligung vorliegt oder eine gesetzliche Grundlage besteht. In den meisten Fällen ist eine solche Grundlage für den Verfasser nicht gegeben. Insbesondere kann das Grundrecht auf freie Meinungsäußerung hier nicht zur Anwendung kommen.

Meldepflicht bei Datenschutzverletzungen

Im Falle einer Verletzung der Vorschriften zum Schutz personenbezogener Daten im Sinne des Art. 4 Nr. 12 DSGVO, ist der Verantwortliche gemäß Art. 33 DSGVO verpflichtet, dies umgehend der zuständigen Aufsichtsbehörde zu melden.

Der Verantwortliche muss die zuständige Aufsichtsbehörde gemäß Art. 55 DSGVO innerhalb von 72 Stunden informieren, nachdem diesem die Verletzung bekannt wurde, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen. Die Einschätzung, ob diese Bedingungen erfüllt sind, kann im Einzelfall herausfordernd sein. Wichtige Kriterien für diese Beurteilung sind die Art der betroffenen personenbezogenen Daten (beispielsweise sensible Gesundheitsdaten oder Kontoinformationen), die Anzahl der betroffenen Personen sowie die Schwere möglicher Schäden (wie beispielsweise unbefugte Kontoabbuchungen).

Information der Betroffenen bei hohem Risiko durch Datenschutzverletzung

Zusätzlich zur Meldepflicht gegenüber der Aufsichtsbehörde verpflichtet Art. 34 Abs. 1 DSGVO den Verantwortlichen, die betroffenen Personen unverzüglich zu informieren, wenn ein hohes Risiko für sie festgestellt wird. Diese Benachrichtigungspflicht entfällt, wenn der Verantwortliche geeignete technische und organisatorische Sicherheitsmaßnahmen getroffen hat (zum Beispiel durch effektive Datenverschlüsselung) oder auf andere Weise sichergestellt hat, dass das Risiko für die Rechte der betroffenen Personen mit hoher Wahrscheinlichkeit nicht besteht.

Datenschutzverletzung: Am Umsatz orientierte Bußgelder

Für Datenschutzverletzungen sowie für Verstöße gegen die Informationsvorschriften können erhebliche Bußgelder verhängt werden. Bei Verstößen gegen die Informationspflicht gemäß Artikel 83 Absatz 4a der DSGVO können Bußgelder von bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes eines Unternehmens drohen. Für besonders schwerwiegende Verstöße, die in Artikel 83 Absatz 5 der DSGVO aufgeführt sind, sieht das Gesetz einen Bußgeldrahmen von bis zu 20 Millionen Euro oder bis zu 4 % des weltweit erzielten Jahresumsatzes eines Unternehmens oder Konzerns vor.

Die Datenschutzbehörden richten hierbei ihr Augenmerk hauptsächlich auf Unternehmen, die mit besonders sensiblen Daten arbeiten. Allerdings wird auch das Verhalten von Privatpersonen bestraft, wenn es zu hartnäckigen und wiederholten Verstößen kommt, es sei denn, es handelt sich ausschließlich um persönliche oder familiäre Aktivitäten gemäß Art. 2 Abs. 2c DSGVO. Im Falle, dass beispielsweise eine Privatperson einen Beschwerdebrief zu politischen Themen per E-Mail an viele Empfänger sendet, dürfen diese Empfänger – sofern es sich nicht um allgemein bekannte Unternehmen oder öffentliche Einrichtungen handelt – nicht für die anderen Empfänger sichtbar oder identifizierbar sein. Obwohl auch öffentliche Stellen häufig Fehler beim E-Mail-Versand machen, genießen diese ein Gesetzesprivileg: Nach § 43 Abs. 3 des Bundesdatenschutzgesetzes (BDSG) können gegen Behörden keine Bußgelder verhängt werden, solange sie nicht im Wettbewerb als Unternehmen tätig sind.

Datenschutzpanne durch offenen E-Mail-Verteiler: rechtlichen Konsequenzen?

Nicht zuletzt hat der Bundesgerichtshof (BGH) mit seiner Entscheidung vom 18.11.2024 (Az. VI ZR 10/24) bestätigt, dass der bloße Kontrollverlust über Daten als Schaden im Sinne der DSGVO anerkannt ist. Hierüber haben wir bereits berichtet: https://www.steinbock-partner.de/rechts-news/bgh-zu-facebook-scraping/

Unabhängig hiervon hat auch das OLG Hamm mit Urteil vom 20.01.2023 (Az. 11 U 88/22) bestätigt, dass im Falle einer versehentlichen Weiterleitung personenbezogener Daten per E-Mail ein Schadenersatzanspruch in Höhe von 100,00 EUR besteht:

„Der unfreiwillige Datenverlust begründe auch einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DS-GVO. Dieser sei insbesondere im Kontrollverlust zu sehen, der vom Verordnungsgeber auch als Schaden gesehen werde, wie sich aus Erwägungsgrund 85 zur DS-GVO ergebe. Im konkreten Fall sei der dem Kläger entstandene immaterielle Schaden mit 100,00 Euro zu bemessen. Insoweit sei zu berücksichtigen, dass die versendeten Daten eine konkrete und individuelle Identifizierung des Klägers und damit auch einen etwaigen Missbrauch in vielerlei Hinsicht ermöglichten. Neben Werbe- und Phishing-Mails kämen Identitätsdiebstahl, Rechnungsbestellungen und Ähnliches in Betracht; zudem sei zu berücksichtigen, dass eine endgültige und nicht rückgängig zu machende Übersendung der Daten erfolgt sei. Der Datenverlust sei dauerhaft; zudem seien sensible und durch Art. 9 DS-GVO besonders geschützte Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DS-GVO betroffen. Eine Weitergabe an Dritte sei trotz Rückrufversuchen und Informationsschreiben der Beklagten nicht auszuschließen.“ – LG Essen, Urteil vom 02.06.2022 – Az. 1 O 272/21

Datenschutzverstöße können vermieden werden

Datenschutzverletzungen bei der Verwendung von E-Mail-Verteilern entstehen häufig nicht absichtlich, sondern oft aus Unkenntnis. Vielen Nutzern ist nicht bewusst, dass E-Mail-Adressen in der Regel als personenbezogene Daten gelten. Daher werden Adressen schnell in das „An“- oder „CC“-Feld eingetragen, wodurch sie für alle Empfänger sichtbar sind. Nur wenn die Adressen im „BCC“-Feld eingetragen werden, bleiben sie verborgen.

Hier eine Übersicht der Adressfelder einer E-Mail:

  • An: In dieses Feld wird die E-Mail-Adresse des Hauptempfängers eingetragen, die für alle anderen Empfänger sichtbar ist. Von diesem Empfänger wird eine Antwort auf die E-Mail erwartet.
  • CC (Carbon Copy): Dieses Feld dient dazu, eine Kopie der E-Mail an weitere Empfänger zu senden. Jeder Empfänger sieht, an wen die Kopie geschickt wurde. Eine Reaktion des CC-Empfängers ist nicht erforderlich, da er die E-Mail nur zur Information erhält.
  • BCC (Blind Carbon Copy): In diesem Feld werden die E-Mail-Adressen der Empfänger verborgen, sodass niemand erkennen kann, an wen die E-Mail noch gesendet wurde. Dieses Feld eignet sich gut für größere Verteiler.

Hinweis: Der Versand von E-Mails an eine größere Empfängerliste (z.B. ein Newsletter) ohne die Verwendung der BCC-Funktion stellt eine meldepflichtige Datenpanne dar, wenn die Empfänger sich nicht untereinander kennen. In einem solchen Fall können unbefugte Personen mit geringem Aufwand die Identitäten der anderen E-Mail-Empfänger anhand der offenen Empfängerliste herausfinden.

Wir helfen weiter!

Sollten auch Sie von einem Datenschutzvorfall betroffen sein, können Sie sich direkt und unkompliziert über unsere digitale Mandatsannahme – abrufbar https://dima.steinbock-partner.de/datenschutzvorfall – vertrauensvoll an uns wenden. Wir sorgen dafür, dass Ihre Rechte gewahrt bleiben und setzten uns für Sie ein.

Selbstverständlich stehen wir für Sie auch per E-Mail unter info@steinbock-partner.de oder telefonisch zur Verfügung.

rechtsanwalt domenic ipta
Domenic Ipta Rechtsanwalt
Kontaktieren Sie uns
Wir freuen uns Sie persönlich kennenzulernen.
info@steinbock-partner.de