Header graphic for print
Datenschutz News & Trends
Rubrik: Datenschutz Allgemein, Kundendatenschutz

Aufsichtsbehörde verhängt Bußgeld wegen eines offenen E-Mailverteilers

Das Bayerische Landesamt für Datenschutzaufsicht (LDA) hat gegen eine Mitarbeiterin eines Unternehmens ein Bußgeld in nicht veröffentlichter Höhe verhängt, da sie beim Verschicken einer E-Mail an eine Vielzahl von Kunden deren E-Mailadressen offen übermittelte und nicht auf „BCC“ setzte. Ausgedruckt umfasste diese E-Mail zehn Seiten, wobei allein eine halbe Seite den eigentlichen Inhalt der Nachricht, man werde sich alsbald um das Anliegen des Kunden kümmern, ausmachte. Die übrigen neuneinhalb Seiten nahm die Aufreihung der E-Mailadressen der empfangenden Kunden ein.  

Unzulässigkeit des offenen Verteilers

Das LDA stellt im Rahmen seiner Pressemitteilung zunächst fest, dass E-Mailadressen, die sich in erheblichem Umfang aus Vor- und Nachnamen des Kontoinhabers zusammensetzen ein personenbezogenes Datum im Sinne des Bundesdatenschutzgesetzes darstellen. Die Übermittlung einer E-Mailadresse bedarf daher einer Rechtfertigung entweder in Form der Einwilligung des Betroffenen oder in Form einer gesetzlichen Grundlage. Im beschriebenen Fall fehlte es an beidem, weshalb ein datenschutzrechtlicher Verstoß vorliegt. Auf den ersten Blick mag die Tathandlung als solche als marginaler Verstoß erscheinen. Das LDA hat jedoch das bloße Aussprechen einer letztlich folgenlosen Feststellung der datenschutzrechtlichen Unzulässigkeit im Hinblick auf die Vielzahl der Betroffenen im konkreten Fall nicht mehr als ausreichend erachtet. Der ergangene Bußgeldbescheid ist nunmehr nach Ablauf der Einspruchsfrist unanfechtbar geworden.

Konsequenzen für Unternehmer und deren Mitarbeiter

Die Praxis sollte diese Entscheidung des LDA zum Anlass nehmen, interne Anweisungen gegebenenfalls zu überdenken und womöglich auch die Einhaltung entsprechender interner Vorgaben zu überprüfen. Wenngleich das LDA einräumt, dass dieser Verstoß, das Setzen von E-Mailadressen in das „An“ oder das „CC“ Feld bei Verschicken an eine Vielzahl von Empfängern schnell geschehen kann, so betont es doch ausdrücklich, dass das damit einhergehende Offenlegen von E-Mailadressen einer datenschutzrechtlichen Rechtfertigung bedarf. Da gerade beim massenweisen Verschicken von E-Mails eine solche Rechtfertigung in aller Regel fehlen wird, rät das LDA explizit zur Nutzung des „BCC“ Feldes, also der Blind Carbon Copy. Hierbei werden die E-Mailadressen der Empfänger unterdrückt, so dass keine Übermittlung von fremden E-Mailadressen geschieht.

Abschließend betont das LDA, dass ein Bußgeld in diesem Kontext nicht allein gegen einen handelnden Mitarbeiter ergehen kann, sondern auch das beschäftigende Unternehmen Adressat eines Bußgeldbescheides sein kann. Dies kann insbesondere der Fall sein, wenn das Unternehmen dieser Thematik offensichtlich keine Bedeutung beimisst, also keine ausreichende Handlungsanweisung und/oder Überwachung erfolgt. Ein deswegen ausgestellter Bußgeldbescheid gegen die Leitung eines Unternehmens werde nach Angaben des LDA in Kürze versandt.

Rechtsgrundlage eines solchen Bußgeldbescheides gegen handelnde Mitarbeiter oder das Unternehmen selbst ist § 43 BDSG, welcher vorsieht, dass datenschutzrechtliche Verstöße mit Bußgeldern bis zu dreihunderttausend Euro (oder sogar mehr, wenn der wirtschaftliche Vorteil aus der Ordnungswidrigkeit höher war) geahndet werden können. Diese gesetzliche Grenze könnte mit der EU-Datenschutzgrundverordnung jedoch deutlich nach oben geöffnet werden. Der aktuelle Entwurf der Verordnung sieht vor, dass Datenschutzverstöße mit bis zu 2 % des globalen Jahresumsatzes des Unternehmens bestraft werden könnten.

Diese Webseite verwendet Cookies. Wenn Sie diese Webseite nutzen, akzeptieren Sie die Verwendung von Cookies. Mehr erfahren

Ich stimme zu