Mails mit sichtbaren Adresslisten – ein Datenschutzverstoß!

Wer ein- und dieselbe Mail an eine größere Adressliste verschicken will, muss sich genau überlegen, wie er das tut. Wenn jeder Adressat sehen kann, wer die Mail noch erhalten hat, liegt im Regelfall ein Verstoß gegen den Datenschutz vor. Die Devise bei Adresslisten muss deshalb lauten: Versand per „bcc“ statt „cc“! Dagegen wird ständig verstoßen.

Der neueste Tätigkeitsbericht der hessischen Datenschutzaufsichtsbehörde für die Privatwirtschaft nennt gleich drei gravierende Fälle von Datenschutzverstößen beim Versand von Mails:
1. Ein bundesweit tätiger Verein startete eine Werbeaktion zur Förderung benachteiligter Kinder durch die Übersendung einer E-Mail mit 900 „offenen“ Empfänger-Adressen. Jeder Adressat der Mail konnte also im Adressfeld lesen, wer sie sonst noch erhalten hatte.
2. Ein Arzt verschickte per Mail  Informationen zur Eröffnung einer Gemeinschaftspraxis an etwa 750 Patienten aus Deutschland und dem europäischen Ausland. Im „An“-Feld der Mail konnte jeder Adressat lesen, an wen die Mail sonst noch gegangen war.
3. 3.000 Empfänger waren im offenen „An“- bzw.“Cc“-Feld einer E-Mail zu lesen, die ein hessisches Unternehmen an seine Kunden versandte.

Es liegt jeweils eine unzulässige Datenübermittlung vor.

Die hessische Datenschutzaufsicht rügte in allen drei Fällen, dass in gravierender Weise gegen den Datenschutz verstoßen worden sei. Ihre Begründung.
    •    Es handelt sich bei jeder einzelnen Übermittlung einer E-Mail-Adresse um die Übermittlung personenbezogener Daten.
    •    Diese Datenübermittlung war nicht erforderlich. Damit war sie unzulässig.
    •    Die Verhängung eines Bußgelds wäre deshalb möglich (siehe § 43 Abs. 2 Nr. 1 BDSG). Entsprechende Bußgeldverfahren wurden eingeleitet.

Die „bcc-Funktion“ hätte die Verstöße leicht vermieden.

Peinlich für die Verantwortlichen ist es, dass sich die geschilderten Datenschutzverstöße leicht hätten vermeiden lassen. Dazu die Aufsichtsbehörde:
„Der Versand einer E-Mail an einen großen Empfängerkreis außerhalb solcher Benutzergruppen hat stets in der Weise zu erfolgen, dass die E-Mail-Adressen den jeweils anderen Empfängern der Massenmail unbekannt bleiben. Hierzu muss der Versender die Adressaten in das „Bcc“-Feld eintragen, die E-Mail-Adressen bleiben für den Empfänger unsichtbar. In das „An“- Feld wird eine eigene E-Mail-Adresse eingetragen.“

Offene Adresslisten: Der Ruf wird nachhaltig geschädigt.

Alles nicht so schlimm? Dieses Argument lässt die hessische Aufsichtsbehörde zu Recht nicht gelten und weist auf folgendes hin:
    •    Das Vertrauen der Betroffenen (Kunden, Patienten, Mitglieder) in die verantwortliche Stelle wird durch das Versenden von Massen-E-Mails mit offenen Adresslisten rasch und wirkungsvoll gestört.
    •    Wird bereits mit den E-Mail-Adressen derart sorglos umgegangen, liegt auch ein liederlicher Umgang mit anderen Daten nahe.
    •    Eine weitere unerwünschte Folge von offen verschickten Adresslisten ist, dass Konkurrenten Einblick in Kundenkontakte erhalten können. Ferner entlarvt sich der Versender als Laie im Umgang mit neuen Kommunikationsformen, was sowohl peinlich als auch unseriös sein kann.

Die Datensicherheit ist durch offene Adresslisten ebenfalls beeinträchtigt.

Oft wird übersehen, dass es nachhaltige Probleme der Datensicherheit nach sich zieht, wenn Mails in der beschriebenen Art und Weise verschickt werden. Dazu weist die hessische Datenschutzaufsicht auf Folgendes hin:

• Einige Schadprogramme verschicken sich selbständig an jede E-Mail-Adresse, die sie auf dem befallenen PC finden. Sie können Funktionen beeinträchtigen, vertrauliche Daten ausspionieren oder Spam versenden. Wird das oben empfohlene Verfahren (Versand über „bcc“) angewendet, können  höchstens zwei E-Mail-Adressen betroffen sein. Ganz anders sieht dies im Fall einer Massen-E-Mail mit offenem Adressatenkreis aus.
• Hinzu kommt, dass durch die Versendung mittels einer offen gelegten Adressliste die erhaltenen E-Mail-Adressen von den Empfängern für unverlangte Werbe-E-Mails genutzt werden können („Spamming“).
• Haftungsrechtliche Konsequenzen können die Folge sein.

  Quelle:  Zweiundzwanzigster Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden (vorgelegt am 08.09.2009), S. 28/29, abrufbar unter https://www.thm.de/zaftda/tb-bundeslaender/cat_view/25-tb-bundeslaender/....

Dr. Eugen Ehmann

Dr. Eugen Ehmann ist Regierungsvizepräsident von Mittelfranken (Bayern). Er befasst sich seit über 20 Jahren intensiv mit Fragen des Datenschutzes in Unternehmen und Behörden.