| DATENSCHUTZWISSEN

Wie können E-Mails an mehrere Mitleser („CC“) datenschutzgerecht versandt werden?

Die meisten E-Mail-Adresse sind vor und nach dem @-Zeichen mit Vor- und Nachnamen versehen, schon das macht sie zu personenbezogenen Datensätzen.

Möchte jemand einen großen Adressatenkreis mit elektronischer Post versorgen und schreibt dabei für alle offensichtlich die Empfängeradresse in die für alle sichtbare Adress-Zeile, so versendet er personenbezogenen Daten ohne jegliche Verschlüsselung. Schon vor Inkrafttreten der DSGVO war dies nach § 4 Abs.1 BDSG nur zulässig, wenn die Einwilligung der Adressaten vorlag oder die E-Mail durch eine gesetzliche Norm rechtfertigt war. Zu diesem heiklen Thema hat sich der Landesbeauftragten für den Datenschutz Niedersachsen eingehend geäußert. Das Thema ist deshalb so heikel, weil es auch Mailschreiber mit hoher Datenschutzsensibilität leicht aus den Augen verlieren und sich Firmen, Vereine und andere größere Institutionen durch Versäumnisse unangenehme Strafen einfangen können.

Verstöße können teuer werden

Es ist aus praktischen Erwägungen beinahe ausgeschlossen, dass der Versender einer Massen-E-Mail vor dem Versand von allen Empfängern eine Einwilligung einholt, in der sie dem Versand zustimmen. Das trifft beispielsweise auf die Kommunikation in Sportvereinen zu: Wer damit einverstanden ist, vom Verein gelegentlich per E-Mail informiert zu werden, der willigt dadurch noch lange nicht dazu ein, dass alle anderen Vereinsmitglieder seine E-Mailadresse nachvollziehen können. Der Landesdatenschutzbeauftragte kann aus keinem der klassischen Erlaubnistatbestände eine Rechtfertigung dieses Vorgehens ableiten. Denn die Übermittlung der E-Mail-Adresse an Dritte lässt sich nicht – wieder auf einen Verein bezogen – mit der Wahrung der berechtigten Interessen dieses Vereins oder Fragen rund um die Mitgliedschaft begründen. Das datenschutzwürdige Interesse des Mitglieds überwiegt diese Argumente. Der Landesdatenschutzbeauftragte berichtet denn auch von Geldbußen, die er deshalb wiederholt verhängt hat.

Blind Carbon Copy ist zulässig

Bcc statt Strafe: Das lästige Einholen unzähliger Einverständniserklärungen lässt sich kinderleicht vermeiden: Indem nämlich der Adressverteiler im Bcc-Feld für unsichtbare E-Mail-Adressen steht, erhalten alle Adressaten die Mail, ohne zu sehen, wer noch im Verteiler ist. Übrigens steht Bcc für „Blind Carbon Copy“. Um den Datenschutz gänzlich zu gewährleisten, muss auch auf den Inhalt der Mail geachtet werden. Auch beim Inhalt der Mail ist darauf zu achten, dass strikt personenbezogene Angaben, wie etwa die Mahnung rückständiger Vereinsmitgliedsbeiträge, nur der betreffenden Person zugehen und nicht allen anderen zur Kenntnis gelangen. In diesem konkreten Beispiel ist der Vereinskassenwart datenschutzrechtlich verpflichtet, nur das säumige Mitglied zu informieren, aber nicht verborgen durch die „Bcc“-Option den Vorstand und weitere Mitglieder. Es muss zudem darauf geachtet werden, dass im gesamten Inhaltsfeld keine früheren Mail-Adressen zu sehen sind, etwa bei zitierten Mails.

22. Tätigkeitsbericht der Landesbeauftragten für den Datenschutz Niedersachsen für die Jahre 2013–2014, Seite 74

Zurück

Hier bloggt die Redaktion Datenschutz & Datensicherheit des Verlags Mensch und Medien.