Melden Sie sich zu unserem Newsletter an!
In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unsere Flowchart "Kaltakquise: Benötige ich eine Einwilligung?".
Jetzt anmelden!© Erica Steeves, Unsplash
Offene Mailverteiler: Wie Sie teure Bußgelder vermeiden
Sie möchten eine wichtige E-Mail an Ihre Kund:innen schicken und nutzen einen Mailverteiler. Diese Liste aus Mailadressen haben Sie zuvor in Ihrem Mailprogramm als Kontaktliste angelegt. Doch: In welches Feld fügen Sie den Mailverteiler ein?
Dieses kleine aber feine Detail kann einen Unterschied von mehreren tausend Euro machen.
Wir klären, was das Problem mit offenen Mailverteilern ist und was Sie tun können, um teure Bußgelder zu vermeiden.
Das Problem mit offenen Mailverteilern
Das Problem mit offenen Mailverteilern ist ein rechtliches – aus dem Datenschutz, um genau zu sein: E-Mail-Adressen zählen als personenbezogene Daten nach DSGVO (Artikel 4 Nr. 1) und KDG (§ 4 Nr. 1). Werden personenbezogene Daten weitergegeben, liegt eine Datenverarbeitung vor. Diese ist jedoch nur dann erlaubt, wenn sie sich auf eine Rechtsgrundlage stützt (z.B. zur Erfüllung eines Vertrages oder durch Einwilligung).
Ausnahme: Kennen sich die Empfänger:innen? Oder ist es wichtig, dass diese wissen, wem die Information vorliegt? In diesem Fall kann argumentiert werden, dass die Verwendung offener Mailverteiler rechtmäßig ist. Ansonsten gilt:
Für die Offenlegung der Empfänger:innen eines Verteilers gibt es keine entsprechende Rechtsgrundlage. Demnach verstoßen Sie bei der Nutzung offener Mailverteiler gegen den Datenschutz und es erfolgt eine unbefugte und nicht notwendige Offenlegung von E-Mail-Adressen.
Haben Sie eine derartige E-Mail an Ihre Kund:innen verschickt, können Sie in der Regel davon ausgehen, dass es sich um eine meldepflichtige Datenschutzverletzung handelt. Wie die zuständige Aufsichtsbehörde damit umgeht hängt von verschiedenen Faktoren ab – z.B. wie viele Personen betroffen und wie sensibel die offengelegten Informationen sind. Möglich ist alles von einer Verwarnung zu einem Bußgeld in Höhe von mehreren tausend Euro.
Wer muss das Bußgeld nun zahlen? Das Unternehmen oder die Person, die die E-Mail verschickt hat? Das kommt ganz drauf an…
Wie es zum Bußgeld kommt
Damit es zu einem Bußgeld kommt, muss sich eine betroffene Person bei der zuständigen Aufsichtsbehörde beschweren. Diese untersucht nun, was vorgefallen ist und – liegt ein Verstoß vor – wer verantwortlich ist. Mit als erstes wird überprüft, ob eine entsprechende Meldung des Unternehmens vorliegt und ob diese innerhalb der 72-Stunden-Frist eingegangen ist. Liegt keine Meldung vor, kann das Bußgeld weitaus höher ausfallen.
In der EU gab es bereits etliche Fälle, in denen Bußgelder wegen offener Mailverteiler verhängt wurden. Ein Unternehmen in Spanien hat Ende letzten Jahres wegen eines offenen Mailverteilers beispielsweise ein Bußgeld von 6.000 € kassiert.
Häufig liegen Bußgelder zwar nur im vierstelligen Bereich. Der Schaden für das Image der Firma ist aber nicht zu vernachlässigen. Daher: Lassen Sie es gar nicht erst so weit kommen – mit den richtigen Maßnahmen.
Der richtige Umgang mit Mailverteilern
Zum Glück sind derartige Datenschutzverletzungen leicht zu vermeiden. Anstatt in das „An“- oder „Cc“-Feld sollten die E-Mail-Adressen bei Verteilern immer in das „Bcc“-Feld eingetragen werden. „Bcc“ steht hierbei für „Blind carbon copy“ und bedeutet, dass die Empfänger:innen nicht einsehen können, an wen die E-Mail noch gegangen ist. Die Empfangsliste wird also nicht aufgelöst.
Achtung: Auch für Sie anonym wirkende Verteiler wie „Alle Kund:innen“ sollten Sie immer in das „Bcc“-Feld eintragen. Derartige Namen für Mailverteiler dienen Ihnen lediglich zur Orientierung und Organisation, werden aber für die Empfänger:innen aufgelöst.
Doch wer haftet nun? Das kommt darauf an, wie Ihr Unternehmen mit dem Thema umgeht. Gibt es kein Datenschutzkonzept mit konkreten Arbeitsanweisungen oder Richtlinien zum Umgang mit personenbezogenen Daten – inklusive Regelungen zu offenen Mailverteilern – haftet das Unternehmen.
Verstoßen jedoch einzelne Mitarbeitende gegen die vorgeschriebenen Arbeitsanweisungen, werden diese zur Verantwortung gezogen und können durch das Unternehmen in Regress genommen werden. Außerdem drohen arbeitsrechtliche Konsequenzen. Im Übrigen können auch gegen Einzelpersonen Bußgelder verhängt werden. Diese werden allerdings anders bemessen und fallen längst nicht so hoch aus wie Bußgelder für Unternehmen.
Hier gilt also: Vorbereitung und Kommunikation helfen bei der Vorbeugung von Datenschutzvorfällen. Stellen Sie klare Regeln für den Umgang mit personenbezogenen Daten auf und kommunizieren Sie diese angemessen. Vergessen Sie hier nicht, eine Regelung zu offenen Mailverteilern aufzunehmen. Auch Schulungen und Sensibilisierungen können helfen, Pannen zu vermeiden.
Quellen
Dr. Datenschutz (2015): „Problem offener E-Mail-Verteiler: Vorbeugung und Nachsorge“, 01. Juni 2015, https://www.dr-datenschutz.de/problem-offener-e-mail-verteiler-vorbeugung-und-nachsorge/, letzter Zugriff am 07. April 2021.
DSGVO-Portal (2021): "Bußgeld Details", 04. März 2021, https://www.dsgvo-portal.de/dsgvo-bussgeld-gegen-enea-s.a.-2021-03-04-PL-1111.php, letzter Zugriff am 13. April 2021.
Katholisches Datenschutzzentrum (2020): „Aktuell: Anstieg von Datenschutzverletzungen durch offene E-Mail-Verteiler“, 20. April 2020, https://www.katholisches-datenschutzzentrum.de/aktuell-anstieg-von-datenschutzverletzungen-durch-offene-e-mail-verteiler/, letzter Zugriff am 07. April 2021.
Sicking, Marzena (2013): „Bußgeld wegen offenem E-Mailverteiler“, Heise online, 18. Juli 2013, https://www.heise.de/resale/artikel/Bussgeld-wegen-offenem-E-Mailverteiler-1912550.html, letzter Zugriff am 07. April 2021.
Externer Datenschutz – Datenschutz und Datensicherheit – Datenschutzschulungen
Impressum | Datenschutzerklärung