E-Mail-Adressen werden häufig aus einer Kombination von Vor- und Nachname gebildet oder lassen sogar erkennen, bei welchem Unternehmen der Adressat tätig ist. Damit sind sie "personenbezogene Daten" im Sinne des Datenschutzrechts, und ihre Erhebung, Verarbeitung und Nutzung ist nur ausnahmsweise zulässig, wenn eine klare rechtliche Grundlage hierfür besteht oder der Betroffene ausdrücklich darin eingewilligt hat.
Wer nun eine E-Mail an eine Verteilerliste versendet und dabei sämtliche E-Mail-Adressen für alle Empfänger der Mail sichtbar ins Adressatenfeld einträgt, verstößt daher gegen das Datenschutzgesetz, denn die Übermittlung der fremden E-Mail-Adressen an Dritte stellt eine verbotene bzw. erlaubnisbedürftige Datenverarbeitung dar. Die Zustimmung jedes einzelnen Empfängers zur Speicherung und ggf. Nutzung seiner Daten, die er etwa durch das Abonnieren eines Newsletters oder die Angabe seiner E-Mail-Adresse im Rahmen eines Bestellvorgangs erteilt hat, beschränkt sich nur auf den jeweiligen Nutzungszweck. Die Mitteilung der Daten an Dritte ist davon nicht umfasst, denn es gehört zum Recht auf informationelle Selbstbestimmung als Teil des Persönlichkeitsrechts eines jeden, selbst zu entscheiden, wem er wann welche seiner persönlichen Daten zugänglich machen will. Und schon die Information, dass man zum Kundenstamm eines bestimmten Versandhauses oder zum E-Mail-Verteiler einer Partyreihe zählt, ist eine Information, die man möglicherweise nicht mit allen anderen Kunden und Newsletter-Abonnenten teilen möchte.
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat daher kürzlich der Mitarbeiterin eines Handelsunternehmens ein Bußgeld auferlegt, der ein solcher faux-pas unterlaufen ist. Anstatt in das BCC-Feld hat sie sämtliche E-Mail-Adressen der Verteilerliste des Unternehmens in die Adressatenzeile kopiert, so dass alle Kunden neben der eigentlichen kurzen Nachricht, dass man sich zeitnah um ihre Anliegen kümmern werde, neuneinhalb Seiten voll fremder E-Mail-Adressen übersandt bekamen.
Das BayLDA hat darauf hingewiesen, dass der Umgang mit solchen personenbezogenen Daten in Unternehmen häufig zu lax ist und Mitarbeiter nicht ausreichend entsprechend der Datenschutzvorgaben angewiesen oder überwacht würden, weshalb man in einem vergleichbaren Fall nun ein Bußgeld statt gegen den konkreten Mitarbeiter gegen die Unternehmensleitung verhängen werde.
Übrigens: ab einer Anzahl von zehn Mitarbeitern, die ständig mit der Bearbeitung personenbezogener Daten mittels elektronischer Datenverarbeitung beschäftigt sind (z. B. im betriebseigenen Callcenter oder Kundenservice), benötigt jedes Unternehmen einen eigenen Datenschutzbeauftragten, der die Einhaltung der datenschutzrechtlichen Bestimmungen koordiniert und überwacht und beispielsweise auch die Gewährung der Betroffenenrechte (Auskunft über gespeicherte Daten, ihre Korrektur, Sperrung oder Löschung) sicherstellt.
© 2013 Julia Schubert, Rechtsanwältin
Kanzlei Karsten & Chudoba
Unsere Partnerkanzlei Karsten & Chudoba beleuchtet regelmäßig branchenrelevante Themen in der aktuellen Rechtsprechung.
www.karsten-chudoba.de