Offe­ner Mail­ver­tei­ler – Buß­gel­der dro­hen

Mails zäh­len zum Arbeits­all­tag. Offene Mail­ver­tei­ler jedoch nicht. Dann dro­hen Buß­gel­der. Was ist im Ernst­fall zu tun und wie lässt er sich ver­mei­den?

Die jähr­li­che Ein­la­dung sämt­li­cher Lie­fe­ran­ten des Unter­neh­mens ist die­ses Mal eine Sache des jun­gen Aus­zu­bil­den­den. Er hat sich über den Auf­trag sei­nes Chefs gefreut und will sich natur­ge­mäß ein Lob für die schnelle Arbeit von ihm abho­len. Da er nur wenig Lust ver­spürt, die Ein­la­dung in Ein­zel­mails zu ver­sen­den, kopiert er – pfif­fig wie er ist – alle Mail­adres­sen in das Feld “AN” sei­nes Mail­cli­ents und drückt schließ­lich Enter. Na also, das hat doch schnell und ganz easy geklappt!

Dass der Aus­zu­bil­dende sich in die­sem Moment eines Daten­schutz­ver­sto­ßes schul­dig gemacht hat, erfährt er erst Wochen spä­ter von sei­nem wüten­den Chef, der ihm ein Schrei­ben eines Buß­geld­be­schei­des der Auf­sichts­be­hörde unter die Nase hält. Jetzt weiß er auch, dass soge­nannte offene Mail­ver­tei­ler, also das Ver­sen­den von E-Mails so, dass jeder Emp­fän­ger sehen kann, wer außer ihm die E-Mail bekom­men hat, in Zei­ten der Daten­schutz­grund­ver­ord­nung kei­nes­falls eine gute Idee ist.

Dabei las­sen sich die Mail­adres­sen ganz ein­fach “ver­ste­cken”, indem sie nicht in das Feld “AN” son­dern in das Feld “BCC” kopiert wer­den, dass Sie je nach Mail­pro­gramm evtl. erst sehen, wenn Sie auf das Feld “CC” kli­cken. Noch bes­ser ist der Ein­satz eines News­let­ter­tools, sei es ein DSGVO-kon­for­mes Online­tool wie Cle­ver­Re­ach oder – noch bes­ser – eine Soft­ware, die Sie sich auf Ihren Rech­ner instal­lie­ren, wie Super­mai­ler.

Akri­bi­sche Fall­prü­fung der Auf­sichts­be­hörde

Grund­sätz­lich zäh­len E-Mail-Adres­sen zum Bereich der per­so­nen­be­zo­ge­nen Daten. Eine Wei­ter­lei­tung ohne gesetz­li­cher Grund­lage oder Ein­wil­li­gung der Betrof­fe­nen ist im End­ef­fekt eine unbe­fugte Daten­über­mitt­lung und somit straf­bar.

Betrof­fene Unter­neh­men wer­den die E-Mail-Adres­sen der auto­ma­ti­sier­ten Ver­ar­bei­tung inner­halb der IT zuschrei­ben. In die­sem Sinne wäre außer­dem ein Ver­fah­rens­ver­zeich­nis anzu­le­gen, eine Auf­gabe, bei der Sie Ihr Daten­schutz­beauf­trag­ter gerne unter­stützt, ebenso wie die Erstel­lung eines Daten­schutz­kon­zepts mit detail­lier­ten Arbeits­an­wei­sun­gen oder Richt­li­nien für alle Mit­ar­bei­ter eines Unter­neh­mens, die im Rah­men der DSGVO tätig sind.

Mög­li­che Adres­sa­ten eines Buß­geld­be­scheids

  • Die Unter­neh­mens­lei­tung, bezie­hungs­weise die Daten­schutz­verant­wort­lichen, müs­sen den Mit­ar­bei­tern gegen­über deut­lich kom­mu­ni­zie­ren, ver­schie­dene Mail-Emp­fän­ger unbe­dingt in BCC zu set­zen. Ansons­ten gilt die Unter­neh­mens­lei­tung als Adres­sat des Buß­geld­be­scheids.
  • Für die Mit­ar­bei­ter kann es eben­falls teuer wer­den, wenn diese ent­ge­gen kla­ren Anwei­sung ver­sto­ßen.

Mal­heur pas­siert. Was jetzt?

Der Chef mag sauer sein, doch steht nun Scha­dens­be­gren­zung auf dem Pro­gramm. Unver­züg­lich sind Ver­ant­wort­li­che und interne/externe Daten­schutz­be­auf­tragte über den Fall zu infor­mie­ren, die jetzt Fin­ger­spit­zen­ge­fühl bewei­sen müs­sen. Zu klä­ren wären bei­spiels­weise, ob Geheim­hal­tungs­klau­seln ver­ein­bart wur­den oder wie der Umgang mit den Geschäfts­part­nern oder Kun­den zu lösen ist, bevor sich die Auf­sichts­be­hörde in den Fall ein­schal­tet.

Im Vor­der­grund sollte stets der Schutz der Pri­vat­sphäre ste­hen, sobald es um Daten­schutz­as­pekte geht. Was nicht pas­sie­ren darf wäre, einen ein­mal ent­deck­ten Faux­pas unter den Tep­pich zu keh­ren, getreu dem Motto: „Wird schon kei­ner bemer­ken“ Ein sol­cher Schritt fügt dem eige­nen Unter­neh­men even­tu­ell einen nicht wie­der gut zu machen­den Image­scha­den zu. Am sinn­volls­ten wären E-Mails an alle Per­so­nen des Ver­tei­ler­krei­ses, mit dem deut­li­chen Hin­weis einer Ent­schul­di­gung. Alle ande­ren Schritte, bis hin zum Ein­schal­ten eines Juris­ten, soll­ten jedoch sorg­fäl­tig geprüft wer­den.

Über die Bedin­gun­gen zur Ver­hän­gung eines Buß­gel­des sei­tens einer Auf­sichts­be­hörde infor­miert Arti­kel 83 DSGVO. Bei der Ent­schei­dung über die Ver­hän­gung einer Geld­buße sowie über deren Betrag wird in jedem Ein­zel­fall der Umfang der Zusam­men­ar­beit mit der Auf­sichts­be­hörde berück­sich­tigt. Es kommt auch auf die Art und Weise an, wie der Ver­stoß an die Behörde gemel­det wurde. In die Mel­dung zu inklu­die­ren sind stets auch sämt­li­che erschwe­ren­den oder mil­dern­den Umstände sowie durch den Fall ent­stan­de­nen mit­tel­ba­ren oder unmit­tel­ba­ren Ver­luste oder gar erlangte finan­zi­elle Vor­teile.

Ein ergän­zen­der Rat­schlag: Für die DSGVO-Kon­for­mi­tät Ihres Unter­neh­mens ist die Schu­lung Ihrer Mit­ar­bei­ter unab­ding­bar.

DSGVO Kontakt - Telefon Rückruf

OK

Vielen Dank für Ihre Nachricht, wir melden uns bei Ihnen.