In der letzten Woche machte eine Meldung aus England die Runde, dass eine Londoner Klinik einen Newsletter an fast 800 Patienten verschickt hatte und zwar derart, dass alle Adressen im Adressfeld zu lesen waren. Das brisante daran: Ein Großteil der Empfänger ist HIV-positiv.

Wir möchten diesen Fall zum Anlass nehmen, nochmals die datenschutzrechtlich korrekte Versendung von E-Mails an einen größeren Personenkreis zu erläutern. Vielleicht hilft das Beispiel aus England dabei, Mitarbeiter zu sensibilisieren.

Die Fakten

Aus datenschutzrechtlicher Sicht stellt die Angabe aller E-Mail-Empfänger eine Übermittlung personenbezogener Daten dar, die nur zulässig ist, wenn der Betroffene eingewilligt hat oder die Übermittlung von einer gesetzlichen Grundlage abgedeckt ist.

Aus den meisten E-Mail-Adressen lassen sich nämlich leicht Rückschlüsse zu der natürlichen Person ziehen. Eine E-Mail-Adresse besteht aus einem Lokal- und einem Domänenteil. Als Lokalteil wird der Teil vor dem @-Zeichen bezeichnet und als Domänenteil der Hintere. Vielfach besteht der Lokalteil aus dem Namen (m.mustermann) bzw. zumindest aus Namensbestandteilen. Sollte der Domänenteil z.B. einer Firma zugeordnet sein (beispielsweise @datenschutz-nord.de), lässt sich die natürliche Person hinter der E-Mail-Adresse ohne Probleme ausfindig machen.

Nur BCC, bitte!

Alle Rundmails und Newsletter sollten aus diesen Gründen immer mit der Funktion des BCC (Blind Carbon Copy) versendet werden. Will man das „An-Feld“ nicht leer lassen (was technisch geht), kann der Versender dort seine eigene E-Mail-Adresse eintragen und erhält somit auch gleich eine Kopie der Mail. Wird dieses Vorgehen nicht eingehalten, kann die zuständige Datenschutzaufsichtsbehörde unter anderem Bußgelder verhängen.