Bußgeld für offenen E-Mail-Verteiler

Privatperson muss 2.600 Euro Strafe wegen Datenschutzverletzung zahlen

Auch kleine Unternehmen oder gar Privatpersonen werden bei Datenschutzverstößen mit einem nicht unerheblichem Bußgeld konfrontiert. Näheres dazu im Folgenden.

Veröffentlicht am: 04.03.2019
Von: Thomas Repka
Lesedauer:

Dass Verstöße gegen die Datenschutzgrundverordnung (DSGVO) mit hohen Bußgeldern sanktioniert werden können, ist auch vielen Nicht-Juristen durch den medialen Aufschrei im Mai 2018 bekannt. Seit dem 25. Mai 2018 können Datenschutzverletzungen mit Bußgeldern bis zu 20 Mio. Euro oder 4 % des weltweiten Vorjahresumsatzes eines Unternehmens (je nachdem welcher Wert höher ist) geahndet werden. Dass bei der Sanktionierung nicht nur die großen Unternehmen und Konzerne im Fokus stehen, zeigt ein aktueller Fall.

Offener E-Mailverteiler = 2.600 Euro Bußgeld

Auch Privatpersonen können wegen Datenschutzverletzungen belangt werden. So wurde gegen einen Mann aus Sachsen-Anhalt ein Bußgeld in Höhe von etwa 2.600 Euro verhängt, weil er eine Vielzahl von E-Mails an jeweils über 100 Empfänger versandte und dabei für jeden Empfänger die anderen E-Mail-Adressen sichtbar waren.

Bei den E-Mails handelte es sich im Übrigen um Beschwerden und Verunglimpfungen eines notorischen Beschwerdeverfassers und gingen an Vertreter der Politik, Justiz, Wirtschaft und Presse. Auf den (fragwürdigen) Inhalt der E-Mails kam es jedoch gar nicht an. Vielmehr sanktionierte die Datenschutzbehörde des Landes Sachsen-Anhalt den Umstand, dass fremde E-Mail-Adressen für alle Empfänger sichtbar waren.

E-Mail-Adressen sind personenbezogene Daten

Bei E-Mail-Adressen handelt es sich um personenbezogene Daten im Sinne des Art. 4. Nr. 1 DSGVO. Danach sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dass ist im Fall von E-Mail-Adressen eindeutig der Fall. Aufgrund der weiten Auslegung des Begriffs handelt es sich deshalb auch bei personalisierten E-Mail-Adressen von Unternehmen ohne Zweifel um personenbezogene Daten.

Werden solche Daten weitergegeben, liegt eine Datenverarbeitung vor, die nur dann erlaubt ist, wenn sich der Datenverarbeitende auf eine Rechtsgrundlage stützen kann. Eine solche gibt es für den Verfasser in diesem Fall nicht. Insbesondere greift nicht das Grundrecht auf freie Meinungsäußerung. Für die Weitergabe von E-Mail-Adressen benötigt man in aller Regel eine Einwilligung des Betroffenen.

Richtiger Umgang mit E-Mail-Verteilern

Um eine Veröffentlichung sämtlicher Empfänger der E-Mail zu verhindern, sollte in jedem Fall die sog. Blindkopie-Funktion genutzt werden. Hierfür dürfen die E-Mail-Adressen nicht in das „An“ oder „CC“-Feld geschrieben werden, sondern in das „BCC“-Feld. So sind die Empfänger für alle andere Empfänger nicht sichtbar.

Trifft es den Richtigen?

Die Datenschutzbehörde hat hier schulmäßig und richtig gehandelt. Die Höhe des Bußgeldes erscheint vor dem Hintergrund der großen Ausdauer und der Uneinsichtigkeit des Verfassers auch angemessen und hätte sogar noch höher ausfallen können. Ob sich die Person jedoch von diesem Bußgeld abhalten lässt und seine Freizeit nun mit wichtigeren Dingen ausfüllt, ist zweifelhaft. Der Landesdatenschutzbeauftragte des Landes Sachsen-Anhalt Harald von Bose setzt keine großen Hoffnungen auf einen Lerneffekt. In der Vergangenheit fiel der Mann selbst nach Bußgeldbescheiden erneut durch offene Email-Verteiler auf.

Ob es darüber hinaus wirklich zielführend ist, wenn Aufsichtsbehörden sich mit solchen Fällen beschäftigen anstatt die eigentlichen Ziele der DSGVO umzusetzen und konsequent zu kontrollieren, ist zumindest diskutabel. Es wird jedoch auch nicht Alltag der Behörden werden, Bußgelder gegen Privatpersonen zu verhängen (dafür bedarf es schon einer gewissen Renitenz und Uneinsichtigkeit).

DSGVO Bußgelder nehmen zu – Haftungsrisiken steigen

Im Fokus der Behörden stehen vor allem Unternehmen in Bereichen mit besonders sensiblen Daten. In vielen Unternehmen herrscht noch großer Nachholbedarf, was die Umsetzung des (gar nicht mehr so neuen) Datenschutzrechts angeht. Spätestens jetzt ist der Zeitpunkt gekommen, diese Themen sorgfältig anzugehen, bevor es zu Kontrollen oder Bußgeldern und im schlimmsten Fall der persönlichen Haftung kommt.