Wie können E-Mails datenschutzgerecht an mehrere Empfänger (zur Kenntnis) versandt werden?

Die meisten gängigen E-Mail-Adressen bestehen auf die eine oder andere Weise aus Personennamen vor dem @-Zeichen – und in nicht wenigen Fällen auch noch danach. Damit sind sie grundsätzlich personenbezogene Daten.

Wer einer größeren Gruppe von Adressaten etwas mitzuteilen hat und im Adressfeld „an“ oder „cc“ solche Namensadressen einfügt, übermittelt demnach an alle Angeschriebenen Daten, die dem Datenschutz unterliegen. Schon vor Inkrafttreten der DSGVO war dies nach § 4 Abs.1 BDSG nur zulässig, wenn die Einwilligung der Adressaten vorlag oder die E-Mail durch eine gesetzliche Norm rechtfertigt war. Zu diesem heiklen Thema hat sich der Landesbeauftragte für den Datenschutz Niedersachsen eingehend geäußert. Das Thema ist deshalb so heikel, weil es auch Mailschreiber mit hoher Datenschutzsensibilität leicht aus den Augen verlieren und sich Firmen, Vereine und andere größere Institutionen durch Versäumnisse unangenehme Strafen einfangen können.

Geldbußen bei Verstößen

Realistisch betrachtet, dürfte es illusorisch sein, dass man vor der Übermittlung einer E-Mail an alle von jeder beteiligten Person eine ausdrückliche Einwilligung erhalten wird. Wer beispielsweise seinem Verein gestattet, ihm E-Mails zuzusenden, wird nicht zwangsläufig auch zustimmen, dass seine Mailadresse in einem Verteiler auftaucht, den alle anderen einsehen können. Der Landesdatenschutzbeauftragte kann aus keinem der klassischen Erlaubnistatbestände eine Rechtfertigung dieses Vorgehens ableiten. Denn die Übermittlung der E-Mail-Adresse an Dritte lässt sich nicht – wieder auf einen Verein bezogen – mit der Wahrung der berechtigten Interessen dieses Vereins oder Fragen rund um die Mitgliedschaft begründen. Das datenschutzwürdige Interesse des Mitglieds überwiegt diese Argumente. Der Landesdatenschutzbeauftragte berichtet denn auch von Geldbußen, die er deshalb wiederholt verhängt hat.

Weiterleitung per Blind Carbon Copy

Strafzahlungen lassen sich auf einem viel leichteren Weg vermeiden als mit dem umständlichen Einholen von Erlaubnissen – indem nämlich beim Versenden der E-Mail alle Verteileradressen in das Adressfeld „bcc“ eingetragen werden. Das Kürzel steht für Blind Carbon Copy. Damit ist dem Datenschutz aber noch immer nicht Genüge getan. Auch beim Inhalt der Mail ist darauf zu achten, dass strikt personenbezogene Angaben, wie etwa die Mahnung rückständiger Vereinsmitgliedsbeiträge, nur der betreffenden Person zugehen und nicht allen anderen zur Kenntnis gelangen. In diesem konkreten Beispiel ist der Vereinskassenwart datenschutzrechtlich verpflichtet, nur das säumige Mitglied zu informieren, aber nicht verborgen durch die „bcc“-Option den Vorstand und weitere Mitglieder. Werden E-Mails weitergeleitet, dürfen sich überdies im Inhaltsfeld keine früheren Mailadressen befinden.

22. Tätigkeitsbericht der Landesbeauftragten für den Datenschutz Niedersachsen für die Jahre 2013–2014, Seite 74