BCC vergessen – Das kann teuer werden!

Einer der absoluten Klassiker unter den Datenpannen ist der Versand von E-Mails an einen größeren Personenkreis ohne Verwendung der BCC-Funktion. Immer wieder kommt es vor, dass Newsletter oder Rundmails versandt werden und sämtliche E-Mail-Adressen der Empfänger in das AN- oder CC-Feld des E-Mail-Programms eingefügt werden. In diesem Fall ist für Empfänger erkennbar, an welche E-Mail-Adresse die Mail ebenfalls versandt wurde. Sind die E-Mail-Adressen mit dem Namen personalisiert und handelt es sich unter Umständen um einen weniger geläufigen Namen, kann mit verhältnismäßig geringem Aufwand die Identität des E-Mail-Adressen-Inhabers herausgefunden werden.

Die spanische Datenschutzaufsichtsbehörde musste einen Fall bewerten, indem genau dieses passierte. Ein Unternehmen versandt eine Werbe-Mail an dutzende Empfänger ohne die BCC-Funktion zu berücksichtigen. In diesem Verhalten sah sie, ohne weitere Begründung, einen Verstoß gegen Art. 5 Abs. 1 lit. f DSGVO. Hiernach müssen personenbezogene Daten

in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).

Unter Berücksichtigung der konkreten Umstände des Einzelfalles wurde ein Bußgeld in Höhe von 2.500 EUR verhängt.

Fazit

Der Versand von E-Mails ohne Nutzung der BCC-Funktion ist immer dann problematisch, wenn sich der Kreis der Empfänger nicht kennt. Das ist bei Werbe-Mails der Regelfall. Werden Werbe-Mails mit offenem Verteiler versandt, ist von einer meldepflichtigen Datenpanne auszugehen.

Vergewissern Sie sich daher vor dem Versand entsprechender E-Mails unbedingt, dass die Adressaten im BCC-Feld eingetragen sind und für die anderen Empfänger nicht ersichtlichsind. Besonders tückisch ist dies bei der Verwendung von Outlook. Hier muss das BCC-Feld erst eingeblendet werden, standardmäßig ist es deaktiviert (Eine Anleitung zum Aktivieren der BCC-Funktion finden Sie hier).

Sollte es tatsächlich zu einem versehentlichen offenen Versand kommen, ist der Datenschutzbeauftragte oder der Datenschutzkoordinator umgehend zu benachrichtigen.

Die Entscheidung der Spanischen Aufsichtsbehörde finden sie hier.