11
Der „offene“ E-Mail-Verteiler als
datenschutzrechtlicher Fallstrick
Datenschutzrechtlich problematisch
wird die Einordnung einer E-Mail-Ad-
resse als personenbezogenes Datum
dann, wenn diese bspw. für die Versen-
dung eines allgemeinen Rundschrei-
bens verwandt werden. Denn werden
sämtliche E-Mail-Adressen in das mit
„An…“ gekennzeichnete Feld des E-
Mail-Programms eingetragen, hat dies
zur Folge, dass alle Empfänger dieser E-
Mail wissen, an wen die E-Mail gleich-
falls verschickt wurde. Zugleich verfü-
gen sämtliche Empfänger über die
E-Mail-Adressen der jeweils anderen
mit der Folge, dass der Versender der E-
Mail jedem Empfänger personenbezo-
Aus einer modernen Unternehmensführung ist die E-Mail-Kommunikation mit Kunden und
Geschäftspartnern nicht mehr hinwegzudenken. Bei E-Mail-Adressen, die zumindest auch
aus der Verwendung des Namens bestehen, handelt es sich jedoch um personenbezogene
Daten im Sinne des Bundesdatenschutzgesetzes (BDSG). Gemäß § 3 Abs. 1 BDSG sind perso-
nenbezogene Daten sämtliche Einzelangaben über persönliche oder sachliche Verhältnisse
einer bestimmten oder bestimmbaren natürlichen Person.
hindert, da eine Übermittlung sämtli-
cher E-Mail-Adressen gerade nicht
stattfindet. Wird diese Vorgehensweise
nicht berücksichtigt, kann dies als buß-
geldbewehrte Ordnungswidrigkeit im
Sinne des § 43 Abs. 2 Nr. 1 BDSG mit ei-
ner Geldbuße bis zu 300.000 Euro ge-
ahndet werden.
Dass diese Bußgeldandrohung nicht nur
theoretischer Natur ist, sondern auch
Praxis, zeigt ein Beispiel aus dem letz-
ten Jahr. So wurde Mitte des Jahres
2013 vom Bayerischen Landesamtes für
Datenschutz ein Bußgeld gegen eine
Mitarbeiterin eines Handelsunterneh-
mens verhängt, weil diese eine E-Mail
mit einem offenen Verteiler verschickt
hat, ohne dass eine Einwilligung der
Empfänger vorlag (Pressemitteilung des
Bayerischen Landesamtes für Daten-
schutz-Aufsicht vom 28.06.2013).
Als „Täter“ im Sinne der Bußgeldvor-
schriften des BDSG kommen sowohl die
Person, welche die verbotene Handlung
vorgenommen hat (Mitarbeiter), als
auch das dahinter stehende Unterneh-
men in Betracht, wenn beispielsweise
eine Aufsichtspflicht über die Mitarbei-
ter verletzt und hierdurch die Ord-
nungswidrigkeit ermöglicht wurde.
Nicht unerwähnt bleiben darf in diesem
Zusammenhang, dass der Arbeitgeber
gem. § 5 BDSG dazu verpflichtet ist, die-
jenigen Personen, welche mit der
Erhebung, Verarbeitung oder Nutzung
personenbezogener Daten betraut sind,
hierüber zu belehren. Zwar enthält das
BDSG keine gesonderte Sanktion bei ei-
ner Nichtbelehrung; jedoch könnte sich
hieraus eine unmittelbare Haftung des
Unternehmens wegen der Verletzung
einer Aufsichtspflicht ergeben.
gene Daten übermittelt hat. Diese Übermittlung ist da-
tenschutzrechtlich jedoch nur dann zulässig, wenn
dies durch eine Rechtsvorschrift gestattet ist oder je-
der Betroffene (E-Mail-Adresseninhaber) hierin zuvor
schriftlich eingewilligt hat, §§ 4, 4a BDSG. Das allge-
meine Prinzip der Datenvermeidung und der Daten-
sparsamkeit erfordert es aber, personenbezogene
Daten zu anonymisieren oder zu pseudonymisieren,
soweit dies nach dem Verwendungszweck möglich ist
und keinen unverhältnismäßigen Aufwand erfordert,
§ 3a BDSG. Bei einem E-Mail-Verteiler ist es unproble-
matisch möglich, über die entsprechende IT-techni-
sche Konfiguration sämtliche E-Mail-Adressen in das
Adressfeld „Bcc…“ (Blind Carbon Copy) einzufügen.
Hierdurch wird die datenschutzrechtlich problemati-
sche Übermittlung der personenbezogenen Daten ver-
Wirtschaft im Netz
.
Rechtsanwalt Dr. Steffen Böhm, Fachanwalt für IT-Recht (rechts), und
.
.
Rechtsanwalt Wolfgang Liebeneiner warnen vor Fallstricken beim Mailversand
.
Foto: Habel Böhm & Partner, Rechtsanwälte
