Wie kann Datenschutzkonformität bei einem E-Mail-Versand an Mitleser gewährleistet werden?

Sobald Sie einer Personengruppe eine Nachricht senden und Die einzelnen Adressaten im Adressfeld mit „cc“ einfügen, übermitteln Sie Daten, die streng genommen dem Datenschutz unterliegen.

Grundsätzlich bestehen die meisten E-Mail-Adressen aus Personennamen vor dem @-Zeichen – in manchen Fällen steht der Name auch nach dem @-Zeichen. Diese Tatsache macht aus fast allen Adressen personenbezogene Daten.

Noch vor dem Inkrafttreten der DSGVO (Datenschutzgrundverordnung) forderte § 4 Abs. 1 BDSG eine Einwilligung der Empfänger oder eine E-Mail, die gesetzlichen Normen entsprach. Zu diesem heiklen Thema hat sich der Landesbeauftragten für den Datenschutz Niedersachsen eingehend geäußert. Das Thema ist deshalb so heikel, weil es auch Mailschreiber mit hoher Datenschutzsensibilität leicht aus den Augen verlieren und sich Firmen, Vereine und andere größere Institutionen durch Versäumnisse unangenehme Strafen einfangen können.

Datenschutzverstöße kosten Bares

Es klingt fast schon utopisch, sich vor jeder E-Mail die jeweiligen Einwilligungen der Adressaten einzuholen. Geben Sie dem Verein Ihres Vertrauens beispielsweise Ihr Einverständnis, um zukünftige E-Mails zu erhalten, ist dies noch keine Rechtfertigung des Vereins, falls Ihre Adresse durch einen weiteren Verteiler für alle anderen Mitglieder sichtbar ist. Auch der Landesdatenschutzbeauftragte kann aus keiner der ursprünglichen Einwilligungen eine Rechtfertigung dieses Vorgehens erkennen. Eine Übermittlung an Dritte ist aus der Sicht des Vereins nicht zulässig. Das datenschutzwürdige Interesse des Mitglieds überwiegt diese Argumente. Der Landesdatenschutzbeauftragte berichtet denn auch von Geldbußen, die er deshalb wiederholt verhängt hat.

Blind Carbon Copy – Sendung per „Bcc“

Durch das Einfügen aller Adressaten in das Feld „Bcc“ lassen sich zukünftig Strafzahlungen umgehen. Statt die Empfänger um Erlaubnis zu bitten, reicht eine Blind Carbon Copy, kurz „Bcc“. Doch dies allein macht das Senden einer E-Mail noch nicht datenschutzgerecht. Als Sender gilt es, stets personenbezogene Daten zu schützen. Demnach gehören beispielsweise Mahnbeiträge eines Vereins für nicht gezahlte Vereinsbeiträge nicht in das Postfach anderer Vereinsmitglieder. In diesem konkreten Beispiel ist der Vereinskassenwart datenschutzrechtlich verpflichtet, nur das säumige Mitglied zu informieren, aber nicht verborgen durch die „Bcc“-Option den Vorstand und weitere Mitglieder. Werden E-Mails weitergeleitet, dürfen sich überdies im Inhaltsfeld keine früheren Mailadressen befinden.

22. Tätigkeitsbericht der Landesbeauftragten für den Datenschutz Niedersachsen für die Jahre 2013–2014, Seite 74