Kurzbeitrag : Diskussion offener E-Mail-Verteiler als Datenübermittlungen : aus der RDV 2/2016, Seite 90 bis 93
Ansatz dieses Beitrages
In der Datenschutzliteratur ist zur E-Mail ein reiches Angebot an Beiträgen und Orientierungshilfen zu finden. Die schlichte Handhabung der E-Mail an sich als Arbeits- und Kommunikationsmittel tritt auf Nutzerebene selten in den Vordergrund. Das Einsatzspektrum der E-Mail reicht heute vom internen Chat bis hin zum offiziellen Brief an wichtige Geschäftspartner. Briefe nehmen als Kommunikationsmedium weitgehend nur noch eine Nebenrolle ein. Die Kommunikation via E-Mail erfolgt schnell, an alle möglichen internen und externen Kommunikationspartner, weltweit, de facto ohne Zeitverzug.
Dabei werden vertrauliche Informationen und Dateien ausgetauscht. Oftmals wird dabei unter Zeitdruck kommuniziert, viele Vorgänge zwischen der Funktion der E-Mail als Chat und offizieller Unternehmenskommunikation finden gleichzeitig statt. Die Grenzen zwischen schneller interner Kommunikation und wichtiger geschäftlicher Korrespondenz verschwimmen.
Eine Führungskraft erhält laut Spiegel[1] 30.000 E-Mails pro Jahr. Ausgehend von einer fünftägigen Arbeitswoche stehen 253 Arbeitstage im Jahr zur Verfügung. Umgerechnet erhalten Führungskräfte täglich 118 E-Mails, die gelesen, zur Kenntnis genommen und zu einem gewissen Prozentsatz auch beantwortet werden müssen.
Durch die pure Masse anfallender Kommunikation und die geforderte, weil mittlerweile gewohnte Schnelligkeit sind Fehler vorprogrammiert. Im vorliegenden Beitrag wird der im vorgenannten Kontext auftretende klassische Datenschutzverstoß durch Sendung von E-Mails an mehrere Empfänger diskutiert.
Verteilerproblematik bei Sendungen an mehrere Empfänger
Eine Beteiligung mehrerer Kommunikationspartner ist gleichzeitig Stärke und Schwäche der E-Mail. Sendungen an mehrere Empfänger verschiedener Projektbeteiligter sind üblich und gewollt. Die Problematik unzulässiger Verteiler konkretisiert sich an der Fragestellung, inwieweit E-Mail-Adressen personenbezogene Daten darstellen und ab welchem Verteilerkreis ein möglicher Datenschutzverstoß anzunehmen ist.
E-Mailadressen als personenbezogene Daten
In der Regel bestehen E-Mailadressen aus Kombinationen von Vor- und/oder Nachname. Sofern es sich nicht um Funktionsadressen handelt, stellen E-Mailadressen personenbezogene Daten nach § 3 Abs. 1 BDSG dar. Dies dürfte auch für E-Mailadressen gelten, bei denen der lokale Teil, also der Teil der E-Mailadresse vor dem @-Zeichen, lediglich aus Namensbestandteilen oder auch Kunstworten besteht. Auch solche pseudonym anmutenden Adressen sind – vielleicht bereits schon mit einer Google- Suchanfrage – direkt einer natürlich Person zuordenbar und nach Ansicht des Autors ebenfalls personenbezogene Daten. Zudem ist der Personenbezug evident bei Mitübertragung von Titel, Vorname und Name aus den Eigenschaften des E-Mail-Kontos. Im Folgenden wird die E-Mailadresse im Kontext als personenbezogenes Datum verstanden.
Erlaubnisvorschriften zur Übermittlung von E-Mailadressen
im An- oder Kopie-Feld Sobald mehr als ein Adressat im An- oder Kopie-Teil der EMail enthalten ist, werden die E-Mailadressen dem jeweils anderen Adressat oder Adressatenkreis übermittelt. Eine Datenübermittlung als spezielle Ausprägung einer Datenverarbeitung[2] bedingt für ihre Zulässigkeit eine gesetzliche Erlaubnisvorschrift oder die Einwilligung des Betroffenen[3]. Allerdings greift bei der rechtlichen Zulässigkeitsbetrachtung der Verarbeitung von personenbezogenen Daten vorab die Subsidiarität nach § 1 Abs. 3 BDSG: Die E-Mail als elektronisches Kommunikationsmittel ist gemeinhin als Telemedium[4]anzusehen, womit in erster Linie die Zulässigkeitsbetrachtung am Telemediengesetz als gesetzlicher Erlaubnisnorm auszurichten ist. Dem Diensteanbieter wird gestattet, personenbezogene Daten zur Bereitstellung der Telemedien zu verwenden und muss, soweit keine anderen Bestimmungen oder Einwilligungen vorliegen, im Übrigen die jeweils geltenden Vorschriften für den Schutz personenbezogener Daten anwenden[5]. Somit erfüllt das Bundesdatenschutzgesetz wieder die klassische Auffangfunktion und kann zur Beurteilung herangezogen werden. Allerdings bleibt bei der weiteren Analyse darauf zu achten, dass keine spezielle Vorschriften im Telemediengesetz vorrangig sind.
Zusätzlich ist zu erwähnen, dass die Erbringung von EMaildiensten dann dem Telekommunikationsgesetz unterliegt, wenn der Dienst ganz oder überwiegend in der Übertragung von Signalen über Telekommunikationsnetze besteht oder sofern Dienste die Inhaltsleistung noch während der Telekommunikationsverbindung erfüllen[6]. Solcherlei Dienste werden bei der vorliegenden Betrachtung nicht tiefer beleuchtet, da sie für die zu diskutierende Verteilerproblematik nur bedingt von Bedeutung sind.
Die Datenübermittlung bei kunden- und zuliefererseitiger geschäftlicher E-Mailkommunikation sollte in der Regel als Mittel zur Begründung, Durchführung oder Beendigung mindestens rechtsgeschäftsähnlicher Schuldverhältnisse erfolgen, mithin käme der § 28 Abs. 1 Nr. 1 BDSG als Erlaubnisvorschrift grundsätzlich in Frage. Bei strenger Erforderlichkeitsprüfung der Übermittlung von E-Mailadressen an zwei oder mehrere Empfänger, die bis dato noch keine Kenntnis voneinander hatten, muss eine Zulässigkeit auf Basis des § 28 Abs. 1 Nr. 1 BDSG verneint werden. Man könnte zur Vertragsdurchführung die Inhalte auch einzeln an die jeweiligen Empfänger versenden. Sicherlich wären Konstellationen konstruierbar, wo die Vertragserfüllung in der Sendung von Inhalten an einen anderen E-Mailempfänger besteht. Allerdings bleibt dies ein Spezialfall.
Als weitere Erlaubnisvorschrift zur Übermittlung könnte § 28 Abs. 1 Nr. 2 BDSG herangezogen werden. Hier kommt es im Rahmen der erforderlichen Interessenabwägung auf die berechtigten Interessen der verantwortlichen Stelle und die Beurteilung des schutzwürdigen Interesses der Betroffenen an. Bei einem kleinen Projektverteiler, beispielsweise zur Organisation eines Hausbaus zwischen Architekt, Bauherrn und den eingesetzten Handwerkern, sollte ein überwiegendes Interesse am Ausschluss der Verarbeitung nicht vorherrschen. Mit einer positiven Interessenabwägung kann § 28 Abs. 1 Nr. 2 BDSG als Grundlage für die Übermittlung von E-Mailadressen in Verteilern dienen.
Für die praktische Arbeit ist für jede E-Mail mit einem An-Verteiler mit mehreren untereinander unbekannten Adressaten eine Interessenabwägung im Rahmen des § 28 Abs. 1 Nr. 2 BDSG erforderlich, welche durch den geneigten Bediener des E-Mail-Clients im Kontext einer täglichen Flut von elektronischen Nachrichten vorzunehmen ist. Mitnichten werden diese rechtlichen Umstände der eindeutigen Nutzermehrzahl bewusst sein: Ohne Sensibilisierungsmaßnahmen, interne Anweisungen und technische Sicherungsmaßnahmen ist es lediglich eine Frage der Zeit, bis Daten durch eine E-Mail an einen zu großen Verteiler unzulässig übermittelt werden.
Der Vollständigkeit halber sind Übermittlungen durch einen Verteiler innerhalb einer Organisation anzuführen. Auf Basis des § 11 Abs. 1 TMG gelten die Vorschriften des vierten Abschnitts nicht für die Nutzung von Telemedien, soweit die Bereitstellung im Dienst- und Arbeitsverhältnis nur innerhalb von nicht-öffentlichen Stellen ausschließlich zur Steuerung von Arbeits- und Geschäftsprozessen erfolgt. Dies schließt auch den Rückbezug zum BDSG nach § 12 Abs. 3 TMG aus. Einschränkend ist zu bemerken, dass hierbei die einzelne juristische Einheit ausschlaggebend ist, nicht die gegebenenfalls von mehreren verantwortlichen Stellen gemeinsam genutzte Domain. § 11 Abs. 1 TMG kann zudem auch nur herangezogen werden, sofern die private Nutzung nicht gestattet ist. Ob eine Übermittlung von internen E-Mailadressen durch einen großen Verteiler innerhalb einer Organisation einen Datenschutzverstoß darstellt, hängt somit wieder von den gegebenen Konstellationen des Einzelfalls ab.
Weitere zu berücksichtigende Vorschriften wären noch besondere Informationspflichten nach § 6 TMG sowie insbesondere unzumutbare Belästigungen nach § 7 UWG. Die Verteilerproblematik wird durch diese Vorgaben tatsächlich aber nicht tangiert: Selbst wenn alle Transparenzvorschriften aus § 6 TMG Beachtung finden, eine belastbare WerbeEinwilligung vorliegt oder die E-Mailadressen mit allen vier gegebenen Voraussetzungen für die Ausnahmetatbestandsregelungen nach § 7 Abs. 3 UWG erhoben und genutzt werden, stellt die Übermittlung dieser Adressen an einen offenen Verteiler eine unzulässige Übermittlung dar.
Zwischenergebnis
Eine Übermittlung von E-Mailadressen an einen Verteiler stellt regelmäßig eine unzulässige Datenübermittlung dar, sofern ein gegenläufiges schutzwürdiges Interesse beim Adressaten nicht zweifelsfrei ausgeschlossen werden kann.
Folgen bei Datenschutzverstößen via offenem E-Mailverteiler
Wie eingangs angeführt, zählen Datenübermittlung nach § 3 Abs. 4 BDSG zu den Datenverarbeitungen. Nach § 43 Abs. 2 Nr. 1 BDSG stellen unzulässige Datenverarbeitungen eine Ordnungswidrigkeit dar, die nach § 43 Abs. 3 Satz 1 BDSG mit einer Geldbuße bis zu dreihunderttausend Euro belegt werden kann. Das Telemediengesetz sieht allerdings in den eigenen Bußgeldvorschriften Geldbußen bis zu fünfzigtausend Euro vor. Sicherlich wird die Subsidiarität des BDSG Eingang in die Beurteilung der geneigten Aufsichtsbehörde oder des angerufenen Gerichts bei Festlegung der Bußgeldhöhe finden; eine Garantie für eine Nichtüberschreitung des vorgesehenen Bußgeldrahmens im TMG wird im Einzelfall niemand geben können.
Erstmals wurde ein offener Verteiler durch das Bayrische Landesamt für Datenschutz[7] sanktioniert. Hervorzuheben ist in diesem Zusammenhang, dass hier die Mitarbeiterin das Bußgeld zu bezahlen hatte, nicht das Unternehmen. Wohlweislich deutet das Landesamt an, in einem weiteren vergleichbaren konkret vorliegenden Fall ein Bußgeld gegen die Unternehmensleitung zu erlassen.
Hervorzuheben ist die Nichtverantwortlichkeit des Diensteanbieters für die Handlungen der Nutzer, sofern dieser die Übermittlung nicht veranlasst und auf angeschriebene Adressaten sowie übermittelte Informationen keinen Einfluss hat.[8] Allerdings wird ein Arbeitgeber mindestens durch Richtlinien sehr wohl Einfluss nehmen können.
Meldeverpflichtungen
Weniger differenziert kann § 15a TMG betrachtet werden, welcher dem Diensteanbieter eine Meldeverpflichtung entsprechend § 42a BDSG auferlegt, sollten schwerwiegende Beeinträchtigungen für Rechte oder schutzwürdiger Interessen betroffener Nutzer durch die unzulässige Übermittlung bzw. unrechtmäßige Kenntniserlangung durch Dritte zu erwarten sein. Die Formulierung ist allumfassend und gilt für Dienstanbieter der absendenden Organisation, der durchleitenden Organisation als auch für den empfangenden Diensteanbieter.
Eine Meldeverpflichtung nach § 15a TMG wird erst durch das Vorliegen zweier Voraussetzungen ausgelöst. Eine unrechtmäßige Übermittlung oder unrechtmäßige Kenntniserlangung mindestens gespeicherter Bestandsdaten dürfte als Voraussetzung bei offenen E-Mailverteilern regelmäßig erfüllt sein. Die zweite ist die Abwägung, ob schwerwiegende Beeinträchtigungen schutzwürdiger Interessen drohen. Als Anhalt ist die Aufzählung in § 42a BDSG hilfreich. Somit wären alle Inhalte mit besonderen Daten nach § 3 Abs. 9 BDSG mit Bezug zum Verteiler meldepflichtig. Konkretisiert wird die Aufzählung durch Berufsgeheimnisträger; denkbar wäre ein Verteiler von Pflegediensten, Steuerberatern, Wirtschaftsprüfern, Versicherern oder Ärzten. Hierbei ist bereits die Patienteneigenschaft[9]ausreichend; medizinische Daten im engeren Sinne müssen in der E-Mail für das Vorliegen der Patienteneigenschaft und somit einer Meldepflicht nach überwiegender Meinung nicht enthalten sein. Die Meldeverpflichtung nach § 15a TMG würde aber auch vorliegen, wenn Daten über finanzielle Verhältnisse (Arbeitslosigkeit, Schulden) unzulässig Dritten zu Kenntnis gebracht werden.
Ein Bußgeld für eine Nichtmeldung nach § 15a TMG ist in § 16 TMG nicht vorgesehen, allerdings sind wir bei einer nicht, nicht richtigen, nicht vollständigen und nicht rechtzeitig erfolgten Meldung nach § 42a BDSG wieder bei einem Bußgeldrahmen von 300.000 EUR.[10]
Schutzmaßnahmen
In erster Linie sollte das Verbot der Sendung von E-Mails an einen offenen Verteiler zum Pflichtprogramm jeder Datenschutzrichtlinie oder Betriebsanweisung gehören. Diese rein organisatorische Maßnahme sollte soweit möglich durch Sensibilisierung in den Datenschutzschulungen flankiert werden.
Technische Schutzmaßnahmen stehen bei einer Vielzahl von eingesetzten, teilmobilen Clients nur bedingt zur Verfügung. Die einstellbaren Beschränkungen oder Hinweise sollten ausgereizt werden; beispielhaft wäre eine Warnung, sobald eine unüblich hohe Empfängeranzahl im An- oder CC-Feld vorhanden ist.
Fazit
Mitarbeiter sind sich den Folgen möglicher Datenschutzverstöße bei der Nutzung von E-Mail-Verteilern in der Regel nicht bewusst. Durch die schiere Menge des zu bewältigendem Aufkommens an elektronischer Post wird über kurz oder lang die erforderliche Interessenabwägung in den Hintergrund treten. Unzulässige Datenübermittlungen mit möglichen Sanktionen für Absender und Unternehmen sind die Folgen. Neben der obligatorischen Aufnahme von Anweisungen zur datenschutzgerechten Verwendung von E-Mails in der internen Datenschutzorganisation sollten die Sicherheitseinstellungen in den E-Mailprogrammen vollumfänglich genutzt werden. Überdies bietet sich der Einsatz von verfügbarer Schutzsoftware an.
* Der Autor ist Dipl.-Kfm. (Univ), Datenschutzbeauftragter (GDDcert), Geschäftsführer EXCUBITOR GmbH, www.excubitor.net
[1]Http://www.spiegel.de/karriere/berufsleben/e-mails-und-meetingsso-viel-arbeitszeit-wird-jedes-jahr-vergeudet-a-985991.html
[2] Vgl. § 3 Abs. 4 Nr. 3 BDSG.
[3] Vgl. § 4 Abs. 1 BDSG.
[4] Vgl. § 1 Abs. 1 TMG.
[5] Vgl. § 12 Abs. 1, 3 TMG
[6] Vgl. § 3 Nr. 24 und Nr. 25 TKG.
[7]Https://web.archive.org/web/20150420194453/http://www.lda.bayern.de/lda/datenschutzaufsicht/p-archiv/2013/pm004.htm
[8] Vgl. § 8 Abs. 1 TMG.
[9] Vgl. Gola/Schomerus, § 3 Rn. 56a und Simitis, in: Simitis (Hrsg.), § 3 Rn. 263.
[10] Vgl. § 43 Abs. 2 Nr. 7 BDSG.