Bußgeld wegen offenen E-Mail-Verteilers: Ich sehe was, was Du auch siehst

von Markus Schröder, LL.M.

03.07.2013

Das Bayerische Landesamt für Datenschutzaufsicht hat gegen die Mitarbeiterin eines Handelsunternehmens ein Bußgeld verhängt, weil sie eine E-Mail mit einem offenen Verteiler an Kunden verschickt hatte. Unternehmen sollten daher ihre E-Mail-Richtlinien überprüfen und die Mitarbeiter entsprechend schulen, meint Markus Schröder.

 

Cc oder Bcc, ein kleiner aber feiner Unterschied, welchen die Empfängerin eines Bußgeldbescheides vom Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) so schnell wohl nicht wieder vergessen wird. Beide Sendeoptionen finden sich in jedem gängigen E-Mail-Programm und sind für die Verteilung einer einzelnen Mail an eine Vielzahl von Empfängern bestimmt. Doch während bei der "Carbon Copy" (Cc) jeder Empfänger die Adressen aller anderen Empfänger sehen kann, bleiben diese bei der "Blind Carbon Copy" (Bcc) verborgen. Das An-Feld schließlich ist für die Hauptadressaten einer Mail bestimmt.

Setzt man die Empfänger eines E-Mail-Verteilers versehentlich in "An" oder "Cc", so kann das bemerkenswerte Effekte haben. Im kürzlich vom BayLDA beschiedenen Sachverhalt etwa bestand die versandte E-Mail aus zehn Seiten Text, wovon neuneinhalb mit der Liste der zahlreichen Empfänger gefüllt waren, und lediglich eine halbe Seite den eigentlichen Inhalt der Mail ausmachte.

Zutreffend hat das BayLDA solche E-Mail-Adressen, die aus Vor- und Nachnamen bestehen, als personenbezogene Daten bewertet. Daher sei eine Übermittlung der Adressen nur zulässig, soweit eine Einwilligung des Betroffenen oder eine gesetzliche Erlaubnisnorm vorlägen. Auch gegen diese Auffassung ist nichts einzuwenden – zumindest in der Theorie. Praktisch erscheint es hingegen ungewöhnlich bis befremdlich, von jedem geschäftlichen E-Mail-Kontakt zunächst eine ausdrückliche Einwilligung zur Übermittlung seiner Adresse einholen zu müssen. Zur Lösung dieses Dilemmas hält die Pressemitteilung des BayLDA leider keine Vorschläge bereit.

Gesetzliche Erlaubnis zur Übermittlung von E-Mail-Adressen?

Einer Einwilligung im Einzelfall würde es jedoch gar nicht bedürfen, wenn bereits eine gesetzliche Erlaubnis vorläge. Als solche kommt etwa § 28 Abs. 1 S. 1 Nr. 1 Bundesdatenschutzgesetz (BDSG) in Betracht, nach dem Daten verarbeitet werden dürfen, wenn dies für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist. Vor dem Hintergrund der Grundsätze der Zweckbindung und der Datensparsamkeit bedeutet dies allerdings, dass ausschließlich die E-Mail-Adressen der an dem jeweiligen Rechtsgeschäft Beteiligten übermittelt werden dürften. Im vorliegenden Fall wäre dadurch also die Übermittlung an beliebige dritte Kunden nicht legitimiert gewesen.

Gemäß § 28 Abs. 1 S. 1 Nr. 2 BDSG ist die Datenverarbeitung jedoch auch insoweit zulässig, als sie zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt. Man kann sich durchaus fragen, ob im Zeitalter der elektronischen Kommunikation die bloße Übermittlung einer E-Mail-Adresse ein schutzwürdiges Interesse des Betroffenen verletzt. Zumal der Missbrauch einer übermittelten E-Mail-Adresse beispielsweise für die Versendung von Spam-Mails ohnehin über § 7 des Gesetzes gegen den unlauteren Wettbewerb (UWG) sanktioniert wird.

Die Frage der Verantwortlichkeit

Im vorliegenden Fall wurde ein Bußgeld gegen die Mitarbeiterin persönlich verhängt, die die fragliche E-Mail verschickt hatte. Dies ist in rechtlicher Hinsicht nicht zu beanstanden, da der Bußgeldtatbestand des § 43 BDSG sich grundsätzlich an der persönlichen Verantwortlichkeit orientiert. Er ist insoweit den Normen des allgemeinen Ordnungswidrigkeitsrechts nachgebildet. Allerdings räumt auch das BayLDA ein, "dass ein derartiger Verstoß sehr schnell und fahrlässig geschehen kann".

Sofern die Ordnungswidrigkeit durch einen leitenden Mitarbeiter begangen wird, kann gemäß § 30 des Gesetzes über Ordnungswidrigkeiten (OWiG) auch ein Bußgeld gegen das Unternehmen als juristische Person festgesetzt werden. Insofern ist die Ankündigung des BayLDA konsequent, in einem vergleichbaren Fall, bei dem sich ein Organisationsverschulden aufdränge, in Kürze ein Bußgeld gegen die Unternehmensleitung verhängen zu wollen.

Unternehmen kann also nur dringend geraten werden, ihre E-Mail-Richtlinien darauf durchzusehen, ob sie Regelungen zur Nutzung der An-, Cc- und Bcc-Felder enthalten, und ihre Mitarbeiter entsprechend zu schulen. In das An-Feld sollten dabei nur der oder die tatsächlichen Adressaten eingefügt werden. Dritte sollten vor dem Hintergrund des vorliegenden aufsichtsbehördlichen Bescheides im Falle eines Zweifels über die Zulässigkeit der Übermittlung der E-Mail-Adresse in das Bcc-Feld eingetragen werden.

Der Autor Markus Schröder, LL.M. (Informationsrecht), Datenschutzbeauftragter (TÜV) ist Rechtsanwalt in München, Lehrbeauftragter für Datenschutzrecht an der Düsseldorf Law School sowie Lehrbeauftragter für IT-Recht an der FH Bielefeld.

Zitiervorschlag

Markus Schröder, Bußgeld wegen offenen E-Mail-Verteilers: Ich sehe was, was Du auch siehst. In: Legal Tribune Online, 03.07.2013, http://www.lto.de/persistent/a_id/9065/ (abgerufen am: 01.10.2016)

Infos zum Zitiervorschlag
Kommentare
  • 03.07.2013 12:20, Mat

    Recht so.

    Gut, dass es hier auch mal zum Bußgeld kam und man nicht nur den sonst üblichen "dududu"-Finger erhoben hat.

    Nicht zum ersten Mal waren solche Mail-Verzeichnisse Quelle für Malware, die die Daten dann für ausgiebigste Spam-Attacken verwenden.


    schön ist dann auch die Selbstjustiz von Empfängern, die einfach "an alle" antworten, dass sie mit dem CC-Amok nicht einverstanden sind.

    Auf diesen Kommentar antworten
  • 03.07.2013 21:12, F. Ingenrieth

    Sehr geehrter Herr Schröder,

    ich kann Ihren Feststellungen im Großen und Ganzen zustimmend beipflichten. Dennoch sind einige wenige Thesen für mich (äußerst) fragwürdig.

    1. Warum ist die Einholung einer Einwilligung zur Weitergabe personenbezogener Daten in der Praxis befremdlich?
    2. Wir schützt 7 UWG (mittelbar) vor der Preisgabe personenbezogener Daten?
    3. Warum ist das Interesse der Betroffenen - nämlich aufgrund des heutigen elektronischen Zeitalters - hinsichtlich der Wietergabe der E-Mailadresse an Dritte zu relativieren und somit das nahezu inexistente Interesse des Unternehmens (der Mitarbeiterin) an dieser Veröffentlichung überwiegend. In anderen Worten für Sie eine gesetztliche Rechtfertigung aus 28 I 1 Nr. 2 potentiell möglich / diskussionfähig?

    im Detail mit weiteren Ausführungen: http://www.ingenrieth-online.de/?id=16&tx_ttnews[tt_news]=34

    Auf diesen Kommentar antworten
  • 04.07.2013 10:22, F. Ingenrieth

    der gestern angegebene Link wurde falsch umberechnet. Es braucht natürlich nur ein & und kein amp; noch dahinter. Korrekt ist also
    http://www.ingenrieth-online.de/?id=16&tx_ttnews[tt_news]=34

    Auf diesen Kommentar antworten
  • 04.07.2013 19:12, Fritzi

    Der Staat sollte auch selbst mehr auf den Datenschutz achten.

    Es sei nur kurz an die diversen kleineren und größeren Probleme und Skandale bei der letzten Juristeneinstellungsrunde des BMI erinnert. Unter anderem wurde eine e-mail mit sichtbaren e-mail-Adressen an alle Bewerber versendet, die eine Runde weiter waren(siehe http://www.welt.de/politik/deutschland/article116429733). Die folgende E-Mail mit den Empfängern in Bcc und dem Hinweis, die vorherige E-Mail solle als gegenstandlos ignoriert werden, hat es dann auch nicht gerade gerettet.

    Auf diesen Kommentar antworten
Neuer Kommentar