Ein lässiger Umgang mit E-Mail-Adressen kann teuer werden: Immer wieder werden hohe Bußgelder verhängt, weil personenbezogene E-Mail-Adressen in einem offenen Verteiler an zahlreiche Adressaten verschickt werden. Da Bußgelder nach der DSGVO wirksam, abschreckend und verhältnismäßig sein müssen, dürfen auch Privatpersonen bei Verstößen nicht mit Milde rechnen.
Ein Klassiker unter den Datenschutzverletzungen und eine der gängigsten Datenpannen in Unternehmen und auch bei Privatpersonen: Die offene Empfängerliste. Personen im "CC"-Feld (Kopie) können – genau wie die regulären Empfänger und Empfängerinnen aus der Adresszeile – sehen, an welche E-Mail-Adressen die Nachricht versandt wurde. Zudem ist der gesamte Verlauf einsehbar. Zu Problemen führt das immer dann, wenn es Adressaten gibt, die
- E-Mail-Adressen der anderen Empfänger nicht kennen sollten oder
- personenbezogene Informationen aus dem Verlauf erhalten.
E-Mail-Adressen sind meist personenbezogene Daten
E-Mail-Adressen setzen sich meistens aus Vornamen und Nachnamen zusammen. Aus Datenschutzsicht sind solche E-Mail-Adressen als personenbezogene Daten nach Art. 4 Nr. 1 DSGVO anzusehen, die nur dann an Dritte übermittelt werden dürfen, wenn eine Einwilligung vorliegt oder eine gesetzliche Grundlage gegeben ist. Eine solche gibt es für den Verfasser in diesem Fall in der Regel nicht. Insbesondere greift nicht das Grundrecht auf freie Meinungsäußerung.
Meldepflicht bei Datenschutzverletzungen
Im Falle der Verletzung der Regeln zum Schutz personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO sieht Art. 33 DSGVO eine sofortige Meldepflicht des Verantwortlichen vor. Dieser muss möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Art. 55 DSGVO zuständigen Aufsichtsbehörde anzeigen, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Die Beurteilung, ob diese Faktoren erfüllt sind, ist im Einzelfall schwierig. Kriterien für die Beurteilung sind
- die Art der betroffenen personenbezogenen Daten (besonders sensibel sind Gesundheitsdaten, Kontoinformationen und Ähnliches),
- die Zahl der betroffenen Personen sowie
- die Schwere eines möglichen Schadens (unbefugte Kontoabbuchungen).
Information des Betroffenen bei hohem Risiko durch Datenschutzverletzung
Neben der Meldepflicht gegenüber der Aufsichtsbehörde gemäß Art. 33 DSGVO statuiert Art. 34 Abs. 1 DSGVO die Verpflichtung, den Betroffenen unverzüglich zu informieren, falls für diesen ein hohes Risiko festzustellen ist. Die Benachrichtigungspflicht entfällt, wenn der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat (z.B. durch eine effektive Datenverschlüsselung) oder in sonstiger Weise dafür gesorgt hat, dass das Risiko für die Rechte der betroffenen Person aller Wahrscheinlichkeit nach nicht besteht.
Datenschutzverletzung: Am Umsatz orientierte Bußgelder möglich
Sowohl für die Datenschutzverletzungen als solche als auch für Verstöße gegen die Informationsvorschriften drohen hohe Bußgelder, für Verstöße gegen die Informationspflicht gemäß Art. 83 Abs. 4a DSGVO Bußgelder bis 10 Mio. EUR oder 2 % des Jahresumsatzes eines Unternehmens. Für in Art. 83 Abs. 5 DSGVO aufgelistete besonders gravierende Verstöße sieht das Gesetz einen Bußgeldrahmen bis zu 20 Mio. EUR bzw. bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens oder Konzerns vor.
Unternehmen im Fokus hinsichtlich Sanktionen
Im Fokus der Datenschutzbehörden stehen vor allem Unternehmen in Bereichen mit besonders sensiblen Daten. Doch auch das Verhalten von Privatpersonen wird bei besonders hartnäckigen und wiederholten Verstößen geahndet. , wenn es nicht ausschließlich um die Ausübung persönlicher und familiärer Tätigkeiten im Sinne von Art. 2 Abs. 2c DSGVO geht. Sendet beispielsweise eine Privatperson einen Beschwerdebrief zu politischen Fragen per E-Mail an eine Vielzahl von Empfängern, so dürfen diese Empfänger – soweit es sich nicht um allgemein bekannte Unternehmen oder öffentliche Stellen handelt – nicht für die übrigen Empfänger sichtbar und identifizierbar sein.Obwohl es bei öffentlichen Stellen – wie z. B. in zahlreichen Impfzentren – ebenfalls häufig zu Fehlern beim Mailversand kommt, profitieren diese von einem Gesetzesprivileg: Gegen Behörden können nach § 43 Abs. 3 Bundesdatenschutzgesetz keine Bußgelder verhängt werden, wenn sie nicht als Unternehmen im Wettbewerb agieren.
Verstöße lassen sich vermeiden
Datenschutzverstöße bei der Nutzung von E-Mail-Verteilern geschehen oft nicht absichtlich, sondern oft aus Unkenntnis. Einigen Nutzern ist nicht bewusst, dass es sich bei E-Mail-Adressen meist um personenbezogene Daten handelt. Schnell werden Adressen in das „An“-Feld oder „CC“-Feld eingetragen und sind so für jeden Empfänger sichtbar. Nur bei Eintragung ins „BCC“-Feld wird die Zieladresse ausgeblendet.
Hier die Adressfelder einer E-Mail im Einzelnen:
An: In dieses Feld wird die E-Mail-Adresse des direkten Empfängers eingetragen. Sie ist für alle Empfänger sichtbar. Nur von diesem wird eine Reaktion auf die empfangene E-Mail erwartet.
CC (Carbon Copy): Dies ist eine "Kopie", jeder Empfänger sieht, an wen die Kopie gegangen ist. Der Empfänger der Kopie muss nicht reagieren, weil er die Mail nur zur Info bekommen hat.
BCC (Blind Carbon Copy): Hier wird die Übertragung der E-Mail-Adressen an die Empfänger unterdrückt, sodass keiner erkennen kann, an wen diese Mail sonst noch geschickt wurde. Dieses Feld kann für größere Verteiler verwendet werden.
Hinweis: Ein Versand von E-Mails an einen größeren Empfängerkreis (z.B. ein Newsletter) ohne Verwendung der BBC-Funktion ist eine meldepflichtige Datenpanne, wenn die Empfänger sich untereinander nicht kennen. In diesem Fall können nicht berechtigte Personen unter Nutzung der offenen Empfängerliste mit geringem Aufwand die Identitäten der anderen E-Mail- Empfänger feststellen.