Blindkopie, Datenschutz, E-Mail Zoom

Datenschutz: Vorfahrt für die Blindkopie

Wer einen offenen E-Mail-Verteiler ohne Einwilligung der Empfänger nutzt, begeht einen Verstoß. eurotransport.de erklärt Unternehmen, was zu beachten ist.

Die Mail der Mitarbeiterin eines Handelsunternehmens war an die Kunden des Unternehmens gerichtet. Der Inhalt der Mail: eine Bestätigung, dass man sich zeitnah um ihre Anliegen kümmern werde. Sicher nicht im Anliegen der Kunden war, dass jeder Empfänger die Mail-­Adressen der anderen lesen konnte – ausgedruckt füllten allein die E-Mail-Adressen neuneinhalb Seiten. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat deswegen gegen die Mitarbeiterin ein Bußgeld verhängt.

E-Mail-Adressen aus Vor- und Nachnamen sind personenbezogene Daten

"E-Mail-Adressen, die sich in erheblichem Umfang aus Vornamen und Nachnamen zusammensetzen, sind als personenbezogene Daten im Sinne des Datenschutzrechts anzusehen. Diese personenbezogenen Daten dürfen an Dritte nur dann übermittelt werden, wenn eine Einwilligung vorliegt oder eine gesetzliche Grundlage gegeben ist. Beide Voraussetzungen lagen hier nicht vor", schreibt das Landesamt dazu.

Weil die Inhaber der E-Mail-Adressen nicht ihre Einwilligung erklärt hätten, stelle die Verwendung des offenen E-Mail-Verteilers einen Datenschutzverstoß dar, der mit einem Bußgeld geahndet werden könne. Weil so außergewöhnlich viele E-Mail-
Adressen davon betroffen waren, haben es die Datenschützer nach eigenen Angaben nicht mehr bei einer Feststellung der datenschutzrechtlichen Unzulässigkeit belassen, die folgenlos geblieben wäre. In diesem Fall haben sie tatsächlich ein Bußgeld verhängt. Der entsprechende Bußgeldbescheid sei nach Ablauf der Einspruchsfrist unanfechtbar geworden.

Bei offenem E-Mail-Verteiler die Einwilligung einholen

Sollte man einen offenen E-Mail-Verteiler für nötig halten, rät Rechtsanwalt Frederic Gessier aus Stuttgart, sich hierfür eine schriftliche Einwilligung nach Paragraf 4a Bundesdatenschutzgesetz (BDSG) einzuholen. »Im Zweifel ist der E-Mail-Schreiber dafür beweisbelastet, dass eine Einwilligung vorliegt«, sagt der Anwalt mit Schwerpunkt IT-Recht.

Zur Unterdrückung der E-Mail-Adresse das BBC-Feld nutzen

Dabei ist es so einfach: Bei Eintragung der E-Mail-Adressen in das "An"-Feld oder das "CC"-Feld sehen sowohl die unmittelbaren Empfänger (An-Feld) als auch die Empfänger der Kopien (CC-Feld) dieser Mail, an wen die Mail sonst noch geschickt wurde.  Im Sinne des Datenschutzes sollten  die E-Mail-Adressen bei Massen-Aussendungen daher in das BCC-Feld (englisch: Blind Carbon Copy, sinngemäß Blindkopie) eingetragen werden. Dabei wird die Übertragung der E-Mail-Adressen an die Empfänger unterdrückt, sodass keiner erkennen kann, an wen diese Mail sonst noch geschickt wurde.

Bußgeldbescheid geht an Unternehmensleitung

Die Datenschützer aus Bayern sind jedenfalls mit dem fahrlässigen Umgang mit den Daten in den Unternehmen nicht einverstanden – und wollen jetzt dem Management auf die Finger klopfen. Die Beamten kündigen an: Kommt ­ihnen in Kürze ein vergleichbarer Fall auf den Tisch, bei dem die Unternehmensleitung ihre Mitarbeiter nicht oder nicht richtig instruiert hat, geht der Bußgeldbescheid nicht an den konkreten Mitarbeiter, der die Mail mit offenem E-Mail-Verteiler versandt hat, sondern an die Unternehmensleitung.

"Wir stellen uns vor, dass in den Unternehmen unter anderem im Rahmen der sicherlich regelmäßig stattfindenden Informationsveranstaltungen über Datenschutz auch über dieses Thema informiert und sensibilisiert wird", sagt Thomas Kranig, Präsident des LDA, auf Anfrage von trans aktuell. In vielen Fällen könne die Nutzung des CC-Verteilers durchaus sinnvoll und notwendig sein, etwa bei betriebsinternen Mails. "Bei Mails, die das Haus verlassen, sollte grundsätzlich darüber nachgedacht werden, ob es nicht besser ist, bei der Versendung an einen größeren Empfängerkreis standardmäßig das BCC-Feld zu nutzen."

Unternehmen sollten deshalb mindestens ihre Mitarbeiter schriftlich anweisen, wie hinsichtlich des Datenschutzes zu verfahren ist, rät Anwalt Gessier: "Dann besteht aber im Falle eines Verstoßes die Gefahr für den Mitarbeiter, dass dieser mit einem Bußgeld belegt wird." Auf der sicheren Seite ist nur, wer die Empfängeradressen im BCC-Feld einfüge. "Diese Vorgehensweise empfehle ich dringend."

Datenschutzbeauftragten benennen

Grundsätzlich zu beachten sei, dass öffentliche Stellen und Unternehmen, die personenbezogene Daten automatisiert verarbeiten, einen Beauftragten für den Datenschutz schriftlich zu bestellen haben. Wenn personenbezogene Daten auf andere Weise innerhalb eines Unternehmens erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20 Personen beschäftigt sind, ist ebenfalls ein Datenschutzbeauftragter zu benennen (Paragraf 4f, BDSG).

Ein Ordnungswidrigkeiten-Verstoß gegen das BDSG könne laut Gessier mit einem Bußgeld bis zu 50.000 ­beziehungsweise bis zu 300.000 Euro gemäß Paragraf 43, Absatz 3, BDSG geahndet werden, je nachdem gegen welche Vorschrift verstoßen wird. Bei besonders schwerwiegenden Verstößen könne gemäß Paragraf 44, BDSG sogar eine Freiheitsstrafe bis zu zwei Jahren verhängt werden.









DATENCHECK

1.    Datenverarbeitung nur mit Rechtsgrundlage: Vor jeder Verwendung  personenbezogener Daten prüfen, ob eine Rechtsvorschrift oder die Einwilligung der betroffenen Person die Datenverwendung gestattet.

2.    Vorschriften für werbliche Datenverarbeitung beachten: Elektronische Werbung mittels E-Mail oder SMS ist nur in bestehenden Kundenbeziehungen unter Einhaltung bestimmter Regeln auch ohne Einwilligung erlaubt, ansonsten nicht.

3.    Datenvermeidung/Datensparsamkeit: Die Verarbeitung personenbezogener Daten und die eingesetzten EDV-Systeme sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben und zu verwerten.

4.    Gewährleistung der Betroffenenrechte: Speziell das Recht der betroffenen Personen auf Auskunft über die zu ihrer Person gespeicherten Daten hat eine zentrale Bedeutung.

5.    Auslagerung der EDV: Bei der Auslagerung von EDV-Tätig-
keiten mit personenbezogenen Daten an einen Dienstleister ist dieser sorgfältig auszuwählen und zu überwachen.

6.    Datenschutzbeauftragter: Jedes Unternehmen, bei dem mindestens zehn Beschäftigte regelmäßig mit personenbezogenen Daten in EDV-Verfahren umgehen, muss einen
betrieblichen Datenschutzbeauftragten stellen.

7.    Firewall: Schutz vor Schadsoftware

8.    Verschlüsselung: Mobile Datenträger verschlüsseln

9.    Entsorgung: Datenträger sicher entsorgen

Ilona Jüngst

Autor

Foto

Fotolia

Datum

30. August 2013
5 4 3 2 1 0 5 0
Kommentare
Unsere Experten
Rechtsanwältin Judith Sommer, Fachanwältin für Arbeitsrecht. Judith Sommer Fachanwältin für Arbeitsrecht
Rechtsanwältin Judith Sommer ist Fachanwältin für Arbeitsrecht. Seit über 10 Jahren berät und… Profil anzeigen Frage stellen
Götz Bopp, unser Experte für Sozialvorschriften im Straßenverkehr (Lenk- und Ruhezeiten) Götz Bopp Sozialvorschriften und Güterverkehr
Beratung von Unternehmen und Fahrern rund um das Thema Lenk- und Ruhezeiten. Schwerpunkt im… Profil anzeigen Frage stellen
Aktuelle Fragen
Kostenloser Newsletter
Newsletter Small

+++ Tests +++
+++ News +++

Und immer bequem und kostenlos per E-Mail.