DSGVO – Hohe Bußgelder bei offenem E-Mail-Verteiler
Eine E-Mail gleichzeitig an mehrere Empfänger verschicken oder den Versand von einem Newsletter. Mit den technischen Funktionen ist das heute mit keinem großen Aufwand verbunden. Doch rechtlich kann ein solcher Versand von E-Mails nicht unproblematisch sein aufgrund der Datenschutzgrundverordnung. Das gilt besonders bei einem offene E-Mail-Verteiler.
Lesen Sie hier:
E-Mail-Adressen sind personenbezogene Daten
Unter einem offene E-Mail-Verteiler versteht man, damit andere Empfänger alle Adressaten der E-Mail sehen können. Möglich ist das durch die falsche Wahl vom FELD An:. Wählt man hierbei nämlich das FELD CC Carbon Copy: oder häufig einfach auch nur als CC genannt, dann sind alle E-Mailadressen und damit die Empfänger sichtbar. Durch die offene Empfängerliste kann man den gesamten Verlauf erkennen. Eine Empfängerliste die offen ist, ist eine der gängigsten Datenpannen, die mit Hohe Bußgelder verbunden sein kann. Ein Verstoß nach der Datenschutzgrundverordnung DSGVO liegt vor, da eine E-Mailadresse zu den personenbezogene Daten nach Art. 4 Nr. 1 DSGVO gehört. Dementsprechend ist eine E-Mailadresse auch geschützt und darf nicht für eine offene Empfängerliste verwendet werden. Eine Ausnahme kann es nur dann geben, wenn vom Empfänger eine Erlaubnis vorliegt. Dann wäre ein Versand im CC möglich.
Information des Betroffenen
Kommt es zu einem offenen Versand von E-Mails, handelt es sich um eine meldepflichtige Datenpanne. Konkret handelt es sich hier um einen Verstoß nach Art. 4 Nr. 12 DSGVO und Art. 33 DSGVO. Als Verursacher vom Datenschutzverstoß obliegen in einem solchen Fall verschiedene Pflichten. Eine dieser Pflichten ist die sofortige Meldepflicht. Dieser Meldepflicht muss man binnen 72 Stunden nachkommen. Nach Artikel 55 der Verordnung, muss man über die Datenpanne die zuständige Aufsichtsbehörde informieren. Eine Ausnahme davon ist nur, wenn keine Verletzung der personenbezogenen Daten vorliegt. Möglich wäre das, wenn man anhand der E-Mailadresse keinen Namen erkennen kann. Und dann wird man eine Verletzung von personenbezogenen Daten verneinen können. Doch das ist nur ein Faktor bei der Beurteilung, weitere sind:
- Zahl der betroffenen Personen
- Schwere von einem möglichen Schaden
Ob dies gegebenen ist, hat man selbst anhand von diesem Grundsatz zu beurteilen. Doch man hat als Verursacher nicht nur die Pflicht der Information der Aufsichtsbehörden. Vielmehr muss man nach Art. 34 Abs. 1 DSGVO auch die Betroffenen informieren. Die Information der Betroffenen muss ebenfalls unverzüglich erfolgen. Eine Ausnahme davon ist nur dann möglich, wenn sofort technische und organisatorische Sicherheitsvorkehrungen ergriffen werden. Zu möglichen Sicherheitsvorkehrungen kann gehören, wenn es zu einer Verschlüsselung der Daten kommt. Doch im Regelfall wird das bei einem Newsletter nicht möglich sein.
Umsatz orientierte Bußgelder
Mit einer Datenschutzverletzung steht man im Fokus der Datenschutzbehörden. So kann die Datenschutzverletzung mit Sanktionen verbunden sein. Das gilt sowohl für die Datenschutzverletzung selbst, als auch bei Verstößen gegen die Informationspflichten. Hohe Bußgelder sind hier nicht pauschal als Sanktionen, sondern orientieren sich am Schweregrad und am Jahresumsatz vom Unternehmen. Verstöße der Informationspflichten können mit bis zu 10 Millionen Euro oder zwei Prozent vom Jahresumsatz bestraft werden. Handelt es sich um andere Verstöße gegen den Datenschutz, ist hier ein Bußgeld bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes möglich. Verletzungen vom Datenschutz können nicht nur bei Unternehmen geahndet werden, sondern auch bei Privatpersonen. Hier greift Art. 2 Abs. 2c DSGVO. Eine Ausnahme gibt es hier bei Privatpersonen nur, wenn es sich um persönliche oder familiäre Tätigkeiten handelt. Wer also eine E-Mail innerhalb der Familie an mehrere Adressaten versendet, der wird keine Bedenken hinsichtlich dem Datenschutz haben müssen.
Vermeidung von Verstößen
Verstöße lassen sich vermeiden, wenn man um die Regelungen Bescheid weiß. Leider ist das oftmals nicht der Fall, was erlaubt ist und was nicht. So kann man das Risiko durch eine Datenschutzverletzung minimieren, wenn man immer auf das FELD An: achtet. Hier ist hinsichtlich der Einhaltung der Datenschutzgrundverordnung nämlich maßgeblich, wo man die Adressaten der E-Mail einträgt. Damit man rechtssicher ist, muss man mehrere Adressaten immer in das Feld BCC eintragen. Und auf gar keinen Fall in eines der anderen Felder. Anders als beim FELD CC Carbon Copy :, handelt es sich beim FELD BCC Blind Carbon Copy :, wie man der Bezeichnung schon entnehmen kann, ist dieses Feld für andere Adressaten nicht sichtbar. Damit ist nicht der gesamte Verlauf einsehbar und die Daten der Adressaten sind geschützt. So kann man sicher eine E-Mail an mehrere Empfänger versenden und das Risiko durch Datenschutzverletzung ausschließen.
Hier ein Rückblick zum vorherigen Beitrag mit den ersten Informationen zum Thema:
Urteil OLG Frankfurt: Gewinnspiele gekoppelt mit Werbe-Einwilligung – Richtiger Umgang
Datenpanne – Wann Meldepflicht und wie Vorgehen
Hinterlasse einen Kommentar