BCC ist die Vorgabe für Newsletter - CC verletzt Datenschutznormen und Geheimhaltungsverpflichtung
Vorsicht bei der Versendung von Newslettern ...
Ein Newsletter ist schnell verschickt, doch vorher sollte man prüfen, ob die E-Mail-Adressen im offenen Verteiler (an; cc) oder verdeckt verwendet werden.
Warum das wichtig ist, zeigt eine Entscheidung der Datenschutzbehörde vom 24.06.2019:
Die DSB hat festgestellt, dass ein Unternehmen, das einen Newsletter versendet hat, eine Betroffene dadurch im Recht auf Geheimhaltung verletzt hat, indem der Verantwortliche (=Versender des Newsletters) die E-Mail-Adresse der Beschwerdeführerin – ursula.a***@hotmail.com Dritten dadurch unrechtmäßig offengelegt hat, indem er diese bei Versendung eines elektronischen Newsletters (21. März 2019) in einem offenen E-Mail-Verteiler angeführt hat und diese somit für andere Empfänger des Newsletters sichtbar war.
Die betroffene Person hatte noch am selben Tag (21. März 2019) eine Beschwerde bei der DSB erhoben, die innerhalb von ca. 3 Monaten entschieden hat.
Der Sachverhalt
Der Verantwortliche übermittelte am 21.03.2019 um 07:44 Uhr einen Newsletter an die betroffene Person. Im CC-Feld des Newsletter-Emails war die persönliche E-Mail-Adresse der Betroffenen neben mehr als 400 anderen sichtbar und damit veröffentlicht.
Mit Stellungnahme vom 16. April 2019 bestätigte der Beschwerdegegner den Vorfall und teilte zusammengefasst mit, dass bedauerlicherweise nach einer Systemumstellung die Adressaten irrtümlich in das Feld „Cc“ eingetragen worden, da das Feld „Bcc“ bei der E-Mail-Versendung nicht mehr aufscheine und erst durch Klicken auf „Cc“ auswählbar sei. Alle Zusendungen davor und die weiteren danach seien korrekt erfolgt.
Die Entscheidung der DSB
§ 1 Abs. 1 DSG legt fest, dass jedermann, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten hat, soweit ein schutzwürdiges Interesse daran besteht. Gemäß § 1 Abs. 2 DSG kann eine Beschränkung des Anspruchs auf Geheimhaltung im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgen, ansonsten nur zur Wahrung überwiegender berechtigter Interessen eines anderen.
Bei der E-Mail-Adresse handelt es sich zweifelsfrei um personenbezogene Daten iSd Art. 4 Z 1 DSGVO.
Der Versand von Newslettern ist als Verarbeitung iSd Art. 4 Z 2 DSGVO zu qualifizieren.
Durch den Newsletter-Versand im offenen Verteiler wurde die persönliche E-Mail-Adresse der Betroffenen mehr als 400 anderen Empfängern offengelegt und die betroffene Person daher in ihrem Recht auf Geheimhaltung verletzt.
Die DSB fand keine Anhaltspunkte dafür, dass die Verarbeitung in dieser konkreten Art zulässig gewesen sein könnte.
Datenschutzverletzung und Meldepflicht?
Fraglich ist, ob durch diese Datenschutzverletzung auch eine Verpflichtung zur Meldung der Datenschutzverletzung iSd Art 33 DSGVO (Data Breach Notification) ausgelöst wird, oder davon auszugehen ist, dass durch diese Offenlegung der E-Mail-Adressen für die jeweiligen Empfänger des Newsletters keinerlei Risiko iSd Art 33 Abs 1 DSGVO gegeben ist, und daher eine Meldung bei der DSB unterbleiben konnte.
14.05.2020, Autor:
Michael Schweiger, zert DSBA
Kommentar schreiben