Bußgeld wegen offenen E-Mail-Verteilers: Ich sehe was, was Du auch siehst

von Markus Schröder, LL.M.

03.07.2013

Das Bayerische Landesamt für Datenschutzaufsicht hat gegen die Mitarbeiterin eines Handelsunternehmens ein Bußgeld verhängt, weil sie eine E-Mail mit einem offenen Verteiler an Kunden verschickt hatte. Unternehmen sollten daher ihre E-Mail-Richtlinien überprüfen und die Mitarbeiter entsprechend schulen, meint Markus Schröder.

Cc oder Bcc, ein kleiner aber feiner Unterschied, welchen die Empfängerin eines Bußgeldbescheides vom Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) so schnell wohl nicht wieder vergessen wird. Beide Sendeoptionen finden sich in jedem gängigen E-Mail-Programm und sind für die Verteilung einer einzelnen Mail an eine Vielzahl von Empfängern bestimmt. Doch während bei der "Carbon Copy" (Cc) jeder Empfänger die Adressen aller anderen Empfänger sehen kann, bleiben diese bei der "Blind Carbon Copy" (Bcc) verborgen. Das An-Feld schließlich ist für die Hauptadressaten einer Mail bestimmt.

Setzt man die Empfänger eines E-Mail-Verteilers versehentlich in "An" oder "Cc", so kann das bemerkenswerte Effekte haben. Im kürzlich vom BayLDA beschiedenen Sachverhalt etwa bestand die versandte E-Mail aus zehn Seiten Text, wovon neuneinhalb mit der Liste der zahlreichen Empfänger gefüllt waren, und lediglich eine halbe Seite den eigentlichen Inhalt der Mail ausmachte.

Zutreffend hat das BayLDA solche E-Mail-Adressen, die aus Vor- und Nachnamen bestehen, als personenbezogene Daten bewertet. Daher sei eine Übermittlung der Adressen nur zulässig, soweit eine Einwilligung des Betroffenen oder eine gesetzliche Erlaubnisnorm vorlägen. Auch gegen diese Auffassung ist nichts einzuwenden – zumindest in der Theorie. Praktisch erscheint es hingegen ungewöhnlich bis befremdlich, von jedem geschäftlichen E-Mail-Kontakt zunächst eine ausdrückliche Einwilligung zur Übermittlung seiner Adresse einholen zu müssen. Zur Lösung dieses Dilemmas hält die Pressemitteilung des BayLDA leider keine Vorschläge bereit.

Gesetzliche Erlaubnis zur Übermittlung von E-Mail-Adressen?

Einer Einwilligung im Einzelfall würde es jedoch gar nicht bedürfen, wenn bereits eine gesetzliche Erlaubnis vorläge. Als solche kommt etwa § 28 Abs. 1 S. 1 Nr. 1 Bundesdatenschutzgesetz (BDSG) in Betracht, nach dem Daten verarbeitet werden dürfen, wenn dies für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist. Vor dem Hintergrund der Grundsätze der Zweckbindung und der Datensparsamkeit bedeutet dies allerdings, dass ausschließlich die E-Mail-Adressen der an dem jeweiligen Rechtsgeschäft Beteiligten übermittelt werden dürften. Im vorliegenden Fall wäre dadurch also die Übermittlung an beliebige dritte Kunden nicht legitimiert gewesen.

Gemäß § 28 Abs. 1 S. 1 Nr. 2 BDSG ist die Datenverarbeitung jedoch auch insoweit zulässig, als sie zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt. Man kann sich durchaus fragen, ob im Zeitalter der elektronischen Kommunikation die bloße Übermittlung einer E-Mail-Adresse ein schutzwürdiges Interesse des Betroffenen verletzt. Zumal der Missbrauch einer übermittelten E-Mail-Adresse beispielsweise für die Versendung von Spam-Mails ohnehin über § 7 des Gesetzes gegen den unlauteren Wettbewerb (UWG) sanktioniert wird.

Die Frage der Verantwortlichkeit

Im vorliegenden Fall wurde ein Bußgeld gegen die Mitarbeiterin persönlich verhängt, die die fragliche E-Mail verschickt hatte. Dies ist in rechtlicher Hinsicht nicht zu beanstanden, da der Bußgeldtatbestand des § 43 BDSG sich grundsätzlich an der persönlichen Verantwortlichkeit orientiert. Er ist insoweit den Normen des allgemeinen Ordnungswidrigkeitsrechts nachgebildet. Allerdings räumt auch das BayLDA ein, "dass ein derartiger Verstoß sehr schnell und fahrlässig geschehen kann".

Sofern die Ordnungswidrigkeit durch einen leitenden Mitarbeiter begangen wird, kann gemäß § 30 des Gesetzes über Ordnungswidrigkeiten (OWiG) auch ein Bußgeld gegen das Unternehmen als juristische Person festgesetzt werden. Insofern ist die Ankündigung des BayLDA konsequent, in einem vergleichbaren Fall, bei dem sich ein Organisationsverschulden aufdränge, in Kürze ein Bußgeld gegen die Unternehmensleitung verhängen zu wollen.

Unternehmen kann also nur dringend geraten werden, ihre E-Mail-Richtlinien darauf durchzusehen, ob sie Regelungen zur Nutzung der An-, Cc- und Bcc-Felder enthalten, und ihre Mitarbeiter entsprechend zu schulen. In das An-Feld sollten dabei nur der oder die tatsächlichen Adressaten eingefügt werden. Dritte sollten vor dem Hintergrund des vorliegenden aufsichtsbehördlichen Bescheides im Falle eines Zweifels über die Zulässigkeit der Übermittlung der E-Mail-Adresse in das Bcc-Feld eingetragen werden.

Der Autor Markus Schröder, LL.M. (Informationsrecht), Datenschutzbeauftragter (TÜV) ist Rechtsanwalt in München, Lehrbeauftragter für Datenschutzrecht an der Düsseldorf Law School sowie Lehrbeauftragter für IT-Recht an der FH Bielefeld.

Zitiervorschlag

Markus Schröder, Bußgeld wegen offenen E-Mail-Verteilers: Ich sehe was, was Du auch siehst . In: Legal Tribune Online, 03.07.2013 , https://www.lto.de/persistent/a_id/9065/ (abgerufen am: 25.10.2021 )

Infos zum Zitiervorschlag