Bußgeld für offenen E-Mail-Verteiler
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat einen Bußgeldbescheid gegen eine Mitarbeiterin eines Unternehmens erlassen, weil sie personenbezogene Daten mit einem offenen E-Mail-Verteiler an einen großen Empfängerkreis gesendet hat. Der Bußgeldbescheid ist mittlerweile bestandskräftig.
Sachverhalt
Eine Mitarbeiterin eines Handelsunternehmens hat für den Versand eines E-Mails einen umfangreichen offenen E-Mail-Verteiler verwendet. Dieser umfasste ausgedruckt circa neuneinhalb DIN A4 Seiten! Inhaltlich ging es in der E-Mail lediglich um die Mitteilung, man werde sich zeitnah um die Anliegen der Kunden kümmern.
Problematik
E-Mail-Adressen bestehen häufig aus Vor- und Nachnamen natürlicher Personen. Das sind unzweifelhaft personenbezogene Daten im Sinne des Datenschutzrechts. Eine Weitergabe von E-Mail-Adressen im Rahmen eines offenen E-Mail-Verteilers bedarf daher einer Rechtsgrundlage im Sinne einer Einwilligung der Betroffenen oder einer Erlaubnisnorm im Sinne von § 4 Abs. 1 BDSG. Ohne Einwilligung der Betroffenen muss für die Preisgabe der E-Mail-Adressen an die sonstigen Empfänger der E-Mail regelmäßig ein berechtigtes Interesse bestehen, ohne dass überwiegende schutzwürdige Interessen der Betroffenen entgegenstehen. Für Mitteilungen der oben beschriebenen Art lässt sich eine Weitergabe der E-Mail-Adressen ersichtlich nicht rechtfertigen. Stattdessen sind in solchen Fällen die E-Mail-Adressen ins "BCC"-Feld einzutragen.
Anmerkungen
Der Pressemitteilung des BayLDA ist zu entnehmen, dass Aufsichtsbehörden schon öfter auf einen laxen Umgang mit E-Mail-Adressen in Unternehmen gestoßen sind. Der Erlass eines weiteren Bußgeldbescheides, diesmal gegen eine Unternehmensleitung wegen fehlender Anweisung und Überwachung zum datenschutzkonformen Umgang mit E-Mail-Adressen, wurde vom BayLDA bereits angekündigt. Es ist davon auszugehen, dass auch andere Aufsichtsbehörden dem Beispiel aus Bayern folgen, sollten in Zukunft weitere Fälle dieser Art vorkommen. Unternehmen müssen den Umgang mit E-Mail-Adressen mit Blick auf den Datenschutz detailliert regeln und den Mitarbeitern vertraut machen.