E-Mail und Datenschutz – alte Themen, neue Bußgelder

Dass bei der Verarbeitung von personenbezogenen Daten per E-Mail das Thema Datenschutz nicht außer Acht gelassen werden darf, sollte allen Lesenden unseres Blogs mittlerweile bekannt sein. Die zu beachtenden Themen reichen hier von der E-Mail-Werbung und der in diesem Zusammenhang oft kritisch zu prüfenden Rechtsgrundlagen (wir berichteten hier und hier) bis hin zum Erfordernis von Verschlüsselungsmaßnahmen (wir berichteten). Und selbst solche scheinbar banalen Aspekte, wie das Versenden einer E-Mail an Empfänger in CC oder BCC, können zur datenschutzrechtlichen Stolperfalle werden (wir berichteten).

So teuer kann es werden …

Was kann jedoch nun ganz konkret den verantwortlichen Stellen drohen, wenn die Empfehlungen der Datenschutzbeauftragten nicht umgesetzt oder mangels Beratung einfach ins Blaue hinein E-Mail-Kommunikation und -Werbemaßnahmen betrieben werden?

Ein Blick auf die aktuell in Europa verhängten Bußgelder von Datenschutzaufsichtsbehörden zeigt, dass verantwortliche Stellen dieses Thema ernst nehmen sollten:

Die spanische Aufsichtsbehörde hat im Februar 2024 gegen ein privatwirtschaftliches Unternehmen ein Bußgeld i. H. v. 3.000 Euro verhängt, da dieses trotz einer bestätigten Datenlöschung der betroffenen Person weiterhin Werbe-E-Mails zugesendet hatte. Die gleiche Bußgeldsumme wurde im Fall einer werblichen Mail-Ansprache ohne Einwilligung verhängt.

Die italienische Aufsichtsbehörde sanktionierte einen privatwirtschaftlichen Arbeitgeber im Frühjahr 2024 mit einem Bußgeld i. H. v. 15.000 Euro, da das geschäftliche E-Mail-Konto eines ehemaligen Mitarbeitenden Monate nach dessen Austritt aus dem Unternehmen zwar gesperrt, jedoch nicht gelöscht wurde. Hier sollten aus unserer Sicht aber auch ggf. einzuhaltende Aufbewahrungsfristen berücksichtigt und geschäftliche E-Mail-Konten nicht ohne weitere Prüfung gelöscht werden (wir berichteten).

Eine politische Partei in Österreich versandte zwei E-Mails an einen offenen Verteilerkreis – daraus waren die politische Meinung und weltanschauliche Überzeugung mehrerer Personen sowie private und geschäftliche E-Mail-Adressen und somit teilweise auch der Arbeitgeber der betroffenen Personen für Dritte erkennbar. Die festgestellten Mängel bzgl. der technischen und organisatorischen Maßnahmen kostete die Partei am Ende 50.700 Euro.

Gegen eine nicht nur rechtswidrige Datenverarbeitung, sondern scheinbar auch das beharrliches Widersetzen gegen datenschutzrechtliche Vorgaben ging die griechische Aufsichtsbehörde im Juni 2023 mit einem Bußgeld i. H. v. 150.000 Euro vor: Ein Telekommunikationsunternehmen sendete trotz eines Widerspruchs und eines Löschantrags fünf Werbe-E-Mails an die betroffene Person. Der anschließende Auskunftsantrag wurde erst ignoriert und anschließend mit Verweis auf behauptete formelle Fehler und die nicht korrekte Identifizierung des Antragstellers, die in einem Geschäft des Unternehmens erfolgen müsse, abgelehnt.

Doch auch die deutschen Aufsichtsbehörden gehen gegen unzulässige Datenverarbeitungen per E-Mail vor: So verhängte das Unabhängige Datenschutzzentrum Saarland in 2022 ein Bußgeld i. H. v. 75.000 Euro gegen ein Unternehmen aufgrund von unzulässiger E-Mail-Werbung nebst Tracking. In Baden-Württemberg kostete das unrechtmäßige E-Mail-Marketing im selben Jahr einen Online-Dienstleister 40.000 Euro.

Fazit

Diese Beispiele zeigen, dass selbst kleinste und vor allem vermeidbare Datenschutzverletzungen, wie das Umsetzen eines Werbewiderspruchs oder das Löschen eines geschäftlichen E-Mail-Kontos, finanzielle Konsequenzen nach sich ziehen können.

Ob eine Aufsichtsbehörde einen Vorfall zum Anlass nimmt, ein Bußgeld zu verhängen, hängt sicherlich auch von weiteren Faktoren, wie bisherigen datenschutzrechtlichen Verstößen oder der Kooperationsbereitschaft der betroffenen Stelle ab. In jedem Fall sollten die Mitarbeitenden im Hinblick auf die E-Mail-Kommunikation und -Marketing regelmäßig und eingehend sensibilisiert werden, um die Rechtmäßigkeit dieser Prozesse sicherzustellen. So sollte bspw. die strenge Zweckbindung von Kontaktdaten berücksichtigt und ein angemessenes Maß an Sorgfalt bei der E-Mail-Kommunikation angewandt werden (Stichwort: E-Mail-Verteiler).

Gerade zur Sensibilisierung und Wissensauffrischung bieten sich eLearning-Kurse an, die die Mitarbeitenden auch ohne größeren Zeitaufwand und zwischendurch am Arbeitsplatz absolvieren können. Entsprechende Schulungsinhalte bieten wir über unser eLearning-Tool DSN train an.