Liebe Leser und Datenschutz-Interessierte,
da wir im Rahmen von Mitarbeiterschulungen, die wir für unsere Mandanten durchführen, häufig mit Fragen zur datenschutzrechtlichen Problematik und der Haftung bei falschversendeten E-Mails konfrontiert werden, finden Sie nachfolgend einige Ausführungen zu den Datenschutz-Risiken bei der E-Mail-Kommunikation und Tipps, wie man diese Fehler in der betrieblichen (Datenschutz-)Praxis vermeidet.
I. Jede Verarbeitung personenbezogener Daten muss auf einer Rechtsgrundlage beruhen – aber welche Rechtsgrundlage ist die „Richtige“?
In erster Linie ist bei der E-Mail-Kommunikation – wie bei jeder Verarbeitung personenbezogener Daten auch – eine Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO erforderlich, da personalisierte E-Mail-Adressen als personenbezogenes Datum zu qualifizieren sind. Die Rechtsgrundlage zur Übermittlung des Datums kann etwa der Vertrag mit dem jeweiligen Betroffenen oder dessen Einwilligung (etwa im Rahmen eines Newsletters) sein, muss es jedoch nicht.
Aussagen wie „wenn ich unserem Kunden eine Bestellbestätigung schicken darf, dann gilt das doch wohl auch für Werbematerial“, sind in dieser Pauschalität selten korrekt und datenschutzrechtlich kritisch zu bewerten. So sprach das Landgericht Heidelberg v. 16.03.2022 – 4 S 1/21 einem Kläger bspw. einen monetären Schadenersatz wegen unerwünschter E-Mail-Werbung zu, die er zuvor unverlangt und ohne ausdrückliche Einwilligung gemäß Art. 7 DSGVO erhalten hatte.
Falsch versendete E-Mails und damit eine Datenübermittlung ohne Rechtsgrundlage können folglich hohe Bußgelder für das Unternehmen bzw. für die Organe (Unternehmensleitung) bedeuten. Auch hier helfen Datenschutzschulungen für Mitarbeiter ganz wesentlich, tragen zur Aufklärung bei, unterstützen Mitarbeiter bei der Einhaltung des Datenschutzes und schützen das Unternehmen vor Bußgeldern, Abmahnungen oder Schadenersatzansprüchen von Betroffenen.
II. Datenschutzkonformer Umgang mit CC und BBC-Felder bei der E-Mail-Kommunikation
Gerade bei der betrieblichen E-Mail-Kommunikation ist die Verwendung der CC (Carbon Copy) und BCC-Felder (Blind Carbon Copy) im E-Mail-Client von großer Wichtigkeit, insbesondere bei E-Mail-Verteilern, bei denen eine bestimmte Nachricht an zahlreiche zumeist externe Empfänger außerhalb des Unternehmens verschickt werden soll.
Haben die Empfänger der E-Mail – außer der Tatsache, dass bspw. alle unabhängig voneinander Kunde Ihres Unternehmens sind – nichts miteinander zu tun, so müssen Sie alle Empfänger zwingend in das BCC-Feld Ihres E-Mail-Clients eintragen. Andernfalls würden Sie allen Empfängern der E-Mail die personenbezogenen Daten der anderen Empfänger mitteilen, ohne hierfür eine rechtliche Legitimation zu haben; von Abmahnungen und Schadenersatzansprüchen ganz zu schweigen.
Nur dann, wenn die jeweiligen Empfänger der E-Mail voneinander wissen müssen bzw. in die konkrete Kommunikation erforderlicher Weise eingebunden sind oder werden müssen, dürfen Sie diese Empfänger in CC setzen, was häufig (aber nicht immer) bei der innerbetrieblichen Kommunikation der Fall ist. Bei einer Zusammenarbeit mit mehreren Geschäftspartnern – etwa an einem Projekt – ist eine Übermittlung von Daten an diese im CC beispielsweise dann zulässig, wenn die Kenntnisnahme der E-Mail bzw. der enthaltenen personenbezogenen Daten für den konkreten Geschäftspartner wirklich zur Durchführung des Projekts (etwa zur Planung und Abstimmung) erforderlich ist.
III. Vorsicht auch beim Umgang mit „Autofill-Funktion“ bei E-Mails an einen Empfänger – Datenpannen-Klassiker!
Gerade bei den sog. „Autofill-Funktionen“ Ihres E-Mail-Clients kommt es bei Namensähnlichkeiten des eigentlichen Empfängers mit anderen Personen aus Ihrer E-Mail-Kontaktliste (z.B. Hubertus Schleswig (1) und Hubert Schleppig (2)) sehr schnell zu einer falsch adressierten E-Mail, da der E-Mail-Client den falschen Empfänger als Adressaten automatisch einfügt. Eine falsch oder fehlerhaft adressierte E-Mail stellt darüber hinaus zudem eine ggf. meldepflichtige Verletzung des Schutzes von personenbezogenen Daten gemäß Art. 4 Nr. 12 i.V.m. Art. 33 DSGVO dar.
Bei einem solchen Vorfall muss zwingend der Datenschutzbeauftragte zu Rate gezogen werden, um das aus der Datenpanne resultierende Risiko für die Rechte und Freiheiten der Betroffenen zu ermitteln und daran ggf. anknüpfende Melde- und Benachrichtigungspflichten erfüllen zu können.
IV. E-Mails als sicheres Kommunikationsmedium für personenbezogene Daten?
In bestimmten Fällen kann es auch vorkommen, dass eine Übermittlung personenbezogener Daten per einfacher E-Mail datenschutzrechtlich unzulässig ist, da bei der Übermittlung/Versendung die Datensicherheit gemäß Art. 32 DSGVO nicht gewährleistet werden kann. Gerade beim Versand von sensiblen Daten per E-Mail (z.B. ärztliche Befunde, Steuerunterlagen, Arbeitsunfähigkeitsbescheinigungen von Mitarbeitern, Berichte aus dem betrieblichen Eingliederungsmanagement usw.) sind häufig zusätzliche Schutzmaßnahmen, wie bspw. eine Ende-zu-Ende-Verschlüsselung (PGP, SMIME etc.), erforderlich, um die Daten auf dem elektronischen Transportweg zu schützen.
Eine bloße Transportverschlüsselung (TLS) ist hierfür i.d.R. nicht ausreichend. Als Alternative zum Datenaustausch per E-Mail kann auch ein Filehoster genutzt werden. Dem Datenempfänger wird hierbei ein temporärer, dateibezogener und passwortgeschützter Zugang zu den Daten eingeräumt, die dieser sodann einsehen bzw. abrufen kann.
Der daraus abzuleitende Merksatz lautet: „Je sensibler die personenbezogenen Daten und der Kontext der Datenverarbeitung, desto mehr Schutzmaßnahmen sind zu ergreifen“.
V. Datenschutz-Best-Practise beim E-Mail-Versand:
- Prüfen, ob eine Rechtsgrundlage für die Versendung der konkreten E-Mail vorliegt; im Zweifel fragen Sie Ihren betrieblichen Datenschutzbeauftragten.
- Bei mehreren voneinander unabhängigen Empfängern tragen Sie alle Empfänger in das BCC-Feld Ihres E-Mail-Clients ein. Als regulärer (Haupt-)Empfänger der E-Mail im Feld „An“ tragen Sie Ihre oder eine allgemeine Adresse des Unternehmens (z.B. info@unternehmenxy.de) ein.
- Wichtig: Auch wenn es im Rahmen der betrieblichen Kommunikation oftmals schnell gehen muss, prüfen Sie vor jedem Absenden der E-Mail, ob der richtige oder die richtigen Empfänger in der E-Mail benannt sind und/oder, ob alle Empfänger der E-Mail (etwa bei einer Rundmail an Kunden) im BCC-Feld stehen.
- Prüfen Sie die Sensibilität der per E-Mail beabsichtigten Datenübermittlung und nutzen Sie – bei entsprechendem Risiko – weitere Schutzmaßnahmen wie eine Ende-zu-Ende-Verschlüsselung oder alternative und sicherere Übertragungswege für die personenbezogenen Daten der Betroffenen.
Ihre externen Datenschutzbeauftragten von der GDPC
Dr. Kevin Marschall und Stephan Blazy