Der Mitarbeiter eines Handelsunternehmens verschickte eine E-Mail mit einem offenen CC-Verteiler an Kunden, anstatt des verborgenen BCC-Verteilers und prompt lag ein Bußgeldbescheid des Bayerische Landesamt für Datenschutzaufsicht (BayLDA) auf dem Tisch. Der Rechtsverstoß rührt daher, dass E-Mail-Adressen als personenbezogene Daten im Sinne des Datenschutzrechts anzusehen sind.
Der Grund dafür ist, dass sich die Adressen häufig in erheblichem Umfang aus Vornamen und Nachnamen zusammensetzen. Daher ist ohne Einwilligung oder gesetzlicher Grundlage eine Übermittlung der Daten unzulässig.
Rechtsmissbräuchliches Versenden
Ohnehin erscheint es im geschäftlichen Verkehr schier unmöglich, von allen E-Mail-Empfängern eine Einwilligung einzuholen, da es sich häufig um eine enorme Anzahl von Adressen handelt. Im vorliegen Fall beispielsweis, waren es ausgedruckt 9 Din-A4 Seiten an Adressen. Daher ist eine gesetzliche Ermächtigung für Unternehmen interessanter. Als solche kommt beispielsweise § 28 Abs. 1 S. 1 Nr. 1 BDSG in Betracht. Gemäß dieser Norm dürfen Daten verarbeitet werden, wenn dies für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist. Da von dieser Ermächtigung jedoch nur die E-Mail-Adressen umfasst sind, die an dem jeweiligen Rechtsgeschäft beteiligt sind, greift sie im vorliegenden Fall, wo es zu einer Übermittlung an beliebige dritte Kunden kam, nicht.
Als weiter gesetzliche Grundlage lässt sich an § 28 Abs. 1 S. 1 Nr. 2 BDSG denken, wonach die Datenverarbeitung zulässig ist, sofern sie zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt. Auch dies ist wohl nicht der Fall.
Bußgeld an den Mitarbeiter
Die Tatsache, dass das Bußgeld direkt gegen den Angestellten des Unternehmens verhängt wurde, entsprich so dem Gesetz, denn der Bußgeldtatbestand (§ 43 BDSG) orientiert sich grundsätzlich an der persönlichen Verantwortlichkeit.
Um Mitarbeiter vor solchen Risiken zu schützen, sollten Unternehmen ihre E-Mail-Richtlinien darauf überprüfen, ob sie Regelungen zur Nutzung der An-, CC- und BCC-Felder enthalten, und ihre Mitarbeiter entsprechend schulen.
Quelle: JuS Rechtsanwälte Schloms und Partner (Augsburg)
Anmelden
Herzlich willkommen! Melden Sie sich an
Passwort vergessen ? Hilfe anfordern
Datenschutzerklärung
Passwort zurücksetzen
Passwort zurücksetzen
Ein Passwort wird Ihnen per Email zugeschickt.
