offener-emailverteiler-abmahnung-dsgvo
Besser nicht: bei Nutzung offener E-Mail-Verteiler drohen Bußgeld und Abmahnung
Der Versand einer E-Mail an mehrere Adressaten mit einem offenen E-Mail-Verteiler kann einen Datenschutzverstoß darstellen und dazu führen, dass eine Datenschutz-Aufsichtsbehörde ein Bußgeld verhängt oder dass die Empfänger eine Abmahnung aussprechen. In dem nachfolgenden Beitrag erläutern wir die Problematik und die möglichen Konsequenzen eines entsprechenden Datenschutzverstoßes:
Das datenschutzrechtliche Problem mit einem offenen E-Mail-Verteiler
Personenbezogene Daten dürfen nach den datenschutzrechtlichen Vorgaben nur dann an Dritte übermittelt werden, wenn hierfür einer der gesetzlichen Erlaubnistatbestände eingreift. Wenn Sie eine E-Mail nicht nur an einen Adressaten, sondern gleichzeitig auch an weitere Adressaten versenden wollen, dürfen Sie die weiteren Empfänger nicht ohne weiteres offen als weitere Empfänger der E-Mail in der Empfängerzeile angeben. Sie müssen die weiteren Empfänger vielmehr als weitere Empfänger der E-Mail im BCC-Feld angeben, damit für die anderen Empfänger der E-Mail nicht erkennbar ist, an wen die E-Mail noch versandt worden ist. Anders wäre dies nur, wenn sämtliche Empfänger zuvor wirksam eingewilligt hätten, dass ihre E-Mail-Adressen in einem offenen E-Mail-Verteiler genutzt werden, und wer macht das schon?
Mögliche Konsequenzen bei Nutzung eines offenen E-Mail-Verteilers
Stellt der Versand einer E-Mail an mehrere Adressaten mit einem offenen E-Mail-Verteiler einen Datenschutzverstoß dar, dann können verschiedene Konsequenzen drohen:
Zum einen können sich an die Betroffenen an die zuständige Datenschutz-Aufsichtsbehörde wenden. Stellt die Aufsichtsbehörde einen Datenschutzverstoß fest, kann sie ein Bußgeld verhängen. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hatte bereits im Jahr 2013 über einen entsprechenden Fall berichtet: Der Fall lag so, dass die Mitarbeiterin eines Unternehmens an Kunden des Unternehmens eine E-Mail verschickt hatte, die ausgedruckt zehn Seiten umfasste, wobei neuneinhalb Seiten auf die Angaben zu den E-Mail-Adressen der weiteren Empfänger der E-Mail ausmachten und lediglich eine halbe Seite die eigentliche E-Mail-Mitteilung. In einem aktuelleren vergleichbaren Fall vor der spanischen Datenschutzbehörde ging die Aufsichtsbehörde von einem Datenschutzverstoß aus.
Zum anderen können die Betroffenen wegen des Datenschutzverstoßes auch eine Abmahnung aussprechen und die Abgabe einer Unterlassungs- und Verpflichtungserklärung fordern. Erfolgt der Ausspruch der Abmahnung über einen Anwalt, drohen im Übrigen Anwaltskosten von mehreren hundert Euro.
Was Sie tun sollten
Am einfachsten ist es, auf die Nutzung offener E-Mail-Verteiler zu verzichten. Im Zweifel müssten nämlich Sie als Versender begründen, weshalb die Offenlegung der E-Mail-Adressen der einzelnen Adressaten des E-Mail-Verteilers gegenüber den anderen Adressaten datenschutzrechtlich zulässig ist. Sofern Sie sich auf eine Einwilligung der Adressaten berufen wollen, müssten Sie nachweisen können, dass alle Adressaten eine datenschutzrechtlich wirksame Einwilligung erklärt haben.
Praxistipp: Informieren Sie die Mitarbeiter Ihres Unternehmens in den relevanten Bereichen über die Problematik der Nutzung offener E-Mail-Verteiler und weisen Sie die Mitarbeiter an, keine offenen E-Mail-Verteiler zu nutzen.
Und wenn sich die Aufsichtsbehörde meldet oder eine Abmahnung eintrudelt?
Wenn eine Datenschutz-Aufsichtsbehörde aufgrund einer Beschwerde tätig wird, dann fordert sie im ersten Schritt üblicherweise unter Fristsetzung zu einer Stellungnahme zu dem Vorwurf auf. Wenn ein Betroffener einen Datenschutzverstoß abmahnt oder über einen Anwalt eine entsprechende Abmahnung aussprechen lässt, dann wird üblicherweise unter Fristsetzung zur Abgabe einer Unterlassungserklärung aufgefordert.
Unabhängig davon, ob Sie ein Schreiben einer Datenschutz-Aufsichtsbehörde oder einer Abmahnung wegen des Vorwurfes eines Datenschutzverstoßes erhalten haben, sollten Sie unverzüglich den Sachverhalt überprüfen und sich die laufende Frist notieren. Anschließend sollten Sie so schnell wie möglich das weitere Vorgehen klären.
Wir beraten Sie.
Wenn Sie ein Schreiben einer Datenschutz-Aufsichtsbehörde oder eine datenschutzrechtliche Abmahnung erhalten haben, beraten wir gern auch Sie.
Als zertifizierte Datenschutzbeauftragte (TÜV) stehen Ihnen Rechtsanwalt Andreas Kempcke mit ihrer Erfahrung aus entsprechenden Verfahren bundesweit kurzfristig zur Verfügung.
Im Rahmen einer Beratung klären wir mit Ihnen den Sachverhalt und die Rechtslage anschließend erhalten Sie konkrete Empfehlungen für das weitere Vorgehen. Je nach Wusch können wir Sie entweder aus dem Hintergrund unterstützen oder Sie offen gegenüber der Gegenseite vertreten.
Ihre Ansprechpartner: Rechtsanwalt Andreas Kempcke