Es ist schnell passiert. Meistens in guter Absicht. Und kann doch unerwartet weitreichende Folgen in puncto Datenschutz haben.

Aber einmal von Anfang an: Ein Unternehmen möchte seine Kunden über die famose Neuigkeit einer Produktweiterentwicklung informieren. Die Nachricht soll zeitgemäß per E-Mail versendet werden. So können alle Kunden schnell und digital über die guten Neuigkeiten in Kenntnis gesetzt werden. Der Inhalt der Mail wird entsprechend aufbereitet, schnell noch alle Adressaten ins obere Adressfeld einfügen und – raus mit der Mail. Geschafft, die Kunden sind informiert und freuen sich bestimmt über die unkomplizierte Info zur Produktweiterentwicklung!

Und dann kommt: Die erste Kundenbeschwerde. Und die zweite. Was ist hier vorgefallen?

Es meldet sich: Der Datenschutz

Die Intention des Unternehmens können sicherlich die meisten Personen nachvollziehen. Die gute Nachricht soll rasch und an alle Kunden verbreitet werden.

Doch hierbei sollte gründlich geprüft werden, ob der Versand so erfolgt, dass die angesprochenen Personen untereinander keine Einsicht in die E-Mail-Adressen der anderen angesprochenen Personen haben.

Dem versierten Datenschützer sind in der Eingangsbeschreibung mit Sicherheit zwei zentrale Aspekte aufgefallen, die sich kurz und bündig zusammenfassen lassen: Werbung und offener E-Mail-Verteiler.

Doch was bedeutet das?

Die Datenschutzaufsichtsbehörde aus Brandenburg hat sich in ihrem aktuellen Tätigkeitsbericht in der Rubrik „Datenschutzverstöße: Maßnahmen und Sanktionen“ der Problematik des eingangs beschriebenen Sachverhalts gewidmet. Da eine Werbemail im offenen Verteiler oft schnell verschickt ist und dies datenschutzrechtliche Konsequenzen nach sich ziehen kann, lohnt es sich, den Versand von insbesondere Werbemails im offenen Verteiler nochmals genauer zu beleuchten.

Erforderlichkeit einer Rechtsgrundlage für jede Datenverarbeitung

Für jede Verarbeitung personenbezogener Daten bedarf es einer Rechtsgrundlage des Verantwortlichen.

Vorliegend wurde beschrieben, dass sämtliche Kunden per Mail über eine Produktweiterentwicklung informiert werden – leider durch Adresseingabe im „oberen“ Adressfeld. D. h. dass die E-Mail im offenen E-Mail-Verteiler und nicht in Blindkopie (sog. BCC (Blind Carbon Copy)) versendet wurde.

Aus datenschutzrechtlicher Sicht birgt der oben beschriebene Fall gleich zwei Problemfelder: Der Inhalt der E-Mail ist als Werbung einzustufen. Zudem werden durch den Versand im offenen Verteiler die E-Mail-Adressen der Adressaten gegenüber allen anderen Adressaten offengelegt.

Für beide Verarbeitungen, also den Versand elektronischer Werbung sowie die Offenlegung der E-Mail-Adressen gegenüber den Adressaten, bedarf es einer Rechtsgrundlage. Ohne Rechtsgrundlage sind die Datenverarbeitungen nicht zulässig.

Rechtsgrundlage für den elektronischen Versand von Werbung

Die Information über eine Produktweiterentwicklung ist grds. als Werbung einzustufen. Dabei ist der Begriff der Werbung ist grds. weit auszulegen. Unter Werbung sind u. a. die von einem Unternehmen zum Aufbau und zur Förderung des Geschäftsbetriebs verbreiteten Informationen zu fassen (vgl. auch Tätigkeitsbericht des LfDI Brandenburg, S. 50f.). Für elektronische Werbung kommt regelmäßig nur eine Einwilligung der Betroffenen in Betracht. Diese muss vorab informiert und auf freiwilliger Basis durch die Betroffenen erteilt werden. Die erteilte Einwilligung muss durch den Verantwortlichen auch nachgewiesen werden können.

In Einzelfällen könnte ggf. auch auf das Bestandskundenprivileg nach § 7 Abs. 3 UWG abgestellt werden. Dies ist jedoch jeweils individuell zu prüfen. Rechtssicher ist für den Versand von Werbemails stets eine vorherige Einwilligung einzuholen, die den Anforderungen des Art. 7 DSGVO Rechnung trägt.

Rechtsgrundlage für den Versand einer E-Mail im offenen Verteiler

Darüber hinaus bedarf es auch für den Versand einer E-Mail an sämtliche Kunden im offenen Verteiler einer Rechtsgrundlage. Hier kann nur eine Einwilligung aller im Verteiler enthaltenen Kunden als Rechtsgrundlage in Betracht kommen. In der Praxis dürfte dies – insbesondere in Anbetracht der Anzahl an Kunden – regelmäßig mit erheblichen Schwierigkeiten verbunden sein.

Daher ist es vorzugswürdig, in Fällen wie dem oben beschriebenen vom Gebrauch des offenen Verteilers abzusehen und stattdessen die Adressen in das BCC-Feld einzugeben. So können die Adressaten untereinander die E-Mail-Adressen inkl. Namen der anderen Adressaten nicht einsehen.

Beim Versenden von E-Mails im offenen Verteiler kann es sich im Übrigen auch um eine Datenpanne handeln. Sofern es zu einem solchen Versand gekommen ist, ist stets im Einzelfall und unter zügiger Einbindung des Datenschutzbeauftragten zu prüfen, ob es sich hier um eine meldepflichtige Datenpanne handelt.

Fazit

Es ist sicherzustellen, dass für jede Datenverarbeitung eine Rechtsgrundlage vorliegt.  Datenverarbeitungen, für die keine Rechtsgrundlage besteht, sind unzulässig. Die Datenverarbeitungen, darunter auch der Versand von Werbemails, sollten daher immer vorab mit dem Datenschutzbeauftragten abgeklärt werden.

Der Versand von E-Mails im offenen Verteiler kann auch eine Datenpanne darstellen, so dass hier besondere Vorsicht geboten ist. Die Nutzung der BCC-Funktion ist daher – insbesondere im Außenkontakt – vorzugswürdig. Ob es sich bei einem Versand an einen offenen Verteilerkreis um eine Datenpanne handelt, ist jeweils unter Einbindung des Datenschutzbeauftragten zu prüfen. Hier sollte mit Blick auf die 72-stündige Meldefrist immer eine rasche Einbindung erfolgen.

Beim Versand von E-Mails an – z. B. größere oder externe – Verteilerkreise kann das Vier-Augen-Prinzip eine sinnvolle organisatorische Maßnahme sein, um Fehlversendungen an offene Verteiler zu vermeiden.