Skip to main content

Bußgeld wegen offenem E-Mail-Verteilers

Von Thomas Kranig

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat gegen eine Mitarbeiterin eines Unternehmens ein Bußgeld verhängt, weil sie mit einem offenen E-Mail-Verteiler personenbezogene E-Mail-Adressen einem großen Empfängerkreis übermittelt hat.

Grundlage dieser Entscheidung war, dass eine Mitarbeiterin eines Handelsunternehmens an Kunden eine E-Mail verschickt hat, die ausgedruckt zehn Seiten umfasst, wobei neuneinhalb Seiten die E-Mail-Adressen ausmachten und eine halbe Seite die Information beinhaltete, dass man sich zeitnah um die Anliegen der Kunden kümmern werde.

Nach dem Grundprinzip des europäischen und deutschen Datenschutzrechts darf mit personenbezogenen Daten außerhalb des rein persönlich - familiären Bereichs nur dann umgegangen (d.h. Daten erhoben, gespeichert, verändert, übermittelt, gesperrt, gelöscht oder genutzt) werden, wenn entweder eine ausdrückliche Einwilligung der Betroffenen vorliegt oder es eine Rechtsvorschrift gibt, die diesen Datenumgang erlaubt oder anordnet (§ 4 Abs. 1 Bundesdatenschutzgesetz - BDSG).

Personenbezogen sind nach der gesetzlichen Definition in § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) und den im Wesentlichen gleichlautenden Landesdatenschutzgesetzen in Deutschland „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)“. Die Datenschutzbehörden in Deutschland sehen jedenfalls die E-Mail-Adressen, die sich aus Vornamen, Nachnamen und Hinweis auf E-Mailprovider (also z.B.: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.) zusammensetzen, als personenbezogene Daten im Sinne des Datenschutzrechts an. Dabei spielt es keine Rolle, ob es sich um eine dienstliche (Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.) oder private E-Mailadresse (Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.) handelt. Im Einzelfall können auch solche E-Mail-Adressen darunter fallen, die lediglich einen Nachnamen oder Vornamen (oder sogar keinen von beiden) enthalten, wenn die Adresse zum Beispiel im offenen Internet leicht auffindbar ist und sich dort durch Zusatzinformationen erkennen lässt, welchem Menschen diese Adresse gehört. In diesem Fall handelt es sich nämlich um „Angaben über eine bestimmbare Person“ im Sinne der oben genannten Definition personenbezogener Daten.

Wenn man also eine E-Mail an einen größeren Empfängerkreis verschickt und alle Empfängeradressen in das „An-Feld“ des E-Mail-Programms einträgt, führt dies zwangsläufig dazu, dass alle Empfänger der E-Mail sehen können, an wen die E-Mail sonst noch gegangen ist und ihnen dabei die E-Mail-Adressen aller anderen Empfänger bekannt gegeben wird. Datenschutzrechtlich handelt es sich dabei um eine Übermittlung personenbezogener Daten an Dritte. Diese personenbezogenen Daten dürfen, wie oben ausgeführt, nur dann an Dritte übermittelt werden, wenn entweder eine Einwilligung aller Betroffenen, also hier der Inhaber der E-Mail-Adressen, vorliegt oder eine gesetzliche Grundlage für die Übermittlung gegeben ist (§ 4 Abs. 1 BDSG). Beide Voraussetzungen lagen in dem vom BayLDA gegebenen Fall nicht vor. Die Verwendung dieses offenen E-Mail-Verteilers bzw. die Übermittlung von personenbezogenen E-Mail-Adressen an eine ganz erhebliche Anzahl Dritter stellt einen Datenschutzverstoß dar, der mit einem Bußgeld geahndet werden kann. Im Hinblick auf die erhebliche Anzahl der E-Mail-Adressen hat es das BayLDA in diesem Fall nicht mehr bei einer (folgenlosen) Feststellung der datenschutzrechtlichen Unzulässigkeit belassen, sondern ein Bußgeld verhängt. Der entsprechende Bußgeldbescheid ist nach Ablauf der Einspruchsfrist unanfechtbar geworden.

Das BayLDA hat diesen Fall mit einer Pressemitteilung öffentlich gemacht (siehe: http://www.lda.bayern.de/lda/datenschutzaufsicht/p_archiv/2013/pm004.html), um E-Mail-Nutzer im privaten und im öffentlichen Bereich beim Umgang mit personenbezogenen E-Mail-Adressen zu sensibilisieren. Eigentlich ist es nämlich denkbar leicht, diesen Verstoß zu vermeiden.

Kein Problem ist die Nutzung des offenen E-Mail Verteilers (Eintragung der E-Mail-Adressen in das An-Feld oder CC-Feld),

  • wenn es sich nur um sog. Funktions-E-Mail-Adressen (z.B. Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein., Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.) handelt, da diese nicht personenbezogen sind,
  • wenn es sich um eine E-Mail im lediglich internen Unternehmens- oder Behördenbereich handelt (z.B. E-Mail an: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein., Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein. usw.), da in diesen Fällen die E-Mail-Adressen allen Empfängern ohnehin bekannt sind oder in Erfahrung gebracht werden können, oder
  • wenn tatsächlich die Einwilligung aller Adressaten vorliegt.

Vermeiden lässt sich dieser datenschutzrechtliche Verstoß, wenn man die E-Mail-Adressen der Empfänger in das „BCC-Feld“ (englisch: Blind Carbon Copy, dt. sinngemäß Blindkopie) einträgt, über das jedes Standard-E-Mail-Programm verfügt. Je nach Voreinstellung wird beim Verfassen einer neuen E-Mail dieses BCC-Feld standardmäßig neben dem „An-Feld“ und/oder dem CC-Feld (offener E-Mail-Verteiler) gleich angezeigt. Sollte es nicht gleich angezeigt werden, kann man es aber in der Regel über das entsprechende Pull-Down-Menü sichtbar und nutzbar machen. Um zu sehen, wie die E-Mail bei den Empfängern angekommen sein dürfte, kann es sich empfehlen, sich selbst (d.h. den Absender) in das AN-Feld einzutragen.

Ergänzend zur datenschutzkonformen Nutzung von E-Mail-Verteilern sei ergänzend auf ein offensichtlich weit verbreitetes Missverständnis im Umgang mit E-Mails hingewiesen. Die Kommunikation über E-Mail wird als einfach und problemlos angesehen und erfolgt deshalb auch im dienstlichen Bereich gelegentlich sehr formlos, nicht nur bezogen auf eine „flapsige“ Anrede und Grußformel, sondern auch bei der Formulierung des Inhalts. Dies mag den einen oder anderen dazu veranlassen, davon auszugehen, dass derartige E-Mails datenschutzrechtlich geringer zu bewerten sind als normale Briefe, die mit der Post verschickt werden.

Dem ist aber mitnichten so. Datenschutzrechtlich macht es (abgesehen von der unterschiedlichen Sicherheit des Übertragungsweges) keinen Unterschied, ob eine empfangene E-Mail mit einem Klick im E-Mail-Programm oder ein empfangener Brief kopiert und im neuen Umschlag an einen Dritten verschickt wird. In beiden Fällen werden, jedenfalls dann, wenn der Absender der ursprünglichen Mail oder des Briefes genannt oder auch durch den Inhalt bestimmbar ist, personenbezogene Daten an einen Dritten übermittelt. In beiden Fällen ist zu prüfen, ob eine Einwilligung des Betroffenen, das heißt des Absenders der ursprünglichen E-Mail bzw. des Briefes, zur Weiterleitung vorliegt oder eine Rechtsvorschrift diese Übermittlung personenbezogener Daten erlaubt. Die unerlaubte Veröffentlichung einer für einen eingeschränkten überschaubaren Personenkreis bestimmten E-Mail ist wie die Veröffentlichung eines Briefes als eine Beeinträchtigung des Allgemeinen Persönlichkeitsrechts anzusehen (s. OLG Stuttgart, Urteil vom 10.11.2010, Az. 4U 96/10; LG Köln, Urteil vom 28.5.2008, Az. 28 O 157/08).

Für den (polizei-)dienstlichen Bereich bedeutet dies u.a., dass bei jeder Weiterleitung einer E-Mail geprüft und entschieden werden muss, ob die Betroffenen (insbesondere Absender der E-Mail) eingewilligt haben oder ob es eine Rechtsvorschrift gibt, die die Übermittlung dieser personenbezogenen Daten an den oder die geplanten E-Mail-Empfänger erlaubt. Dies mag bei polizeilicher Tätigkeit innerhalb einer Dienststelle in der Regel der Fall sein, bei der Versendung einer E-Mail außerhalb der Dienststelle aber sicher nicht in jedem Fall.

Es schadet nichts, wenn man sich sowohl im privaten als auch im dienstlichen Bereich immer wieder bewusst macht, dass es beim Datenschutz um das „Grundrecht auf informationelle Selbstbestimmung“ aller Menschen geht, das relativ häufig auch aus Gedankenlosigkeit verletzt wird.

Über den Autor
Thomas Kranig
Thomas Kranig
Nach dem Studium der Rechtswissenschaft in München und Würzburg und der Referen-darzeit in München begann Thomas Kranig im Jahr 1981 bei der Autobahndirektion Süd-bayern in München seine berufliche Tätigkeit als Verwaltungsjurist in den Diensten des Freistaats Bayern. Von 1985 bis 1992 arbeitete er als juristischer Staatsbeamter am Land-ratsamt Aschaffenburg und leitete dort zunächst bis 1988 die Abteilung: Öffentliche Sicher-heit und Ordnung und anschließend die Bauabteilung. Von 1992 bis 1995 war er als Ge-schäftsführer einer Gesellschaft im Medienbereich in der Privatwirtschaft tätig. Von 1995 bis 1997 war Thomas Kranig als Referent im Sachgebiet Straßenrecht für Planfeststellun-gen zuständig. Im Jahr 1997 wurde er zum Richter am Verwaltungsgericht Ansbach berufen und blieb dort bis zum Jahr 2010. Während dieser Zeit absolvierte er ein Studium an der rechtswissen-schaftlichen Fakultät der FernUniversität Hagen und schloss diese Ausbildung mit dem Master auf Mediation ab. Nach Abschluss des Studiums war Thomas Kranig beim Verwal-tungsgericht Ansbach zusätzlich als Gerichtsmediator tätig. Im Jahr 2011 wurde Thomas Kranig zum Präsidenten des Bayerischen Landesamtes für Datenschutzaufsicht in Bayern ernannt.
Weitere Artikel des Autoren