07
Sep
2015

Datenschutz und IT-Recht

Achtung: "offener" E-Mail-Verteiler!

Dr. Frank Bongers

Nach einem aktuellen Bericht der BBC hat ein Londoner Krankenhaus versehentlich die Namen und E-Mail-Adressen von 780 Patienten, einschließlich Informationen über deren HIV-Infektion, mit einem Newsletter versandt.

Fehlerquelle "E-Mail-Verteiler"

Die "56 Dean Street Clinic" aus London sandte 780 Patienten einen HIV-Newsletter. Dabei wurde von dem zuständigen Mitarbeiter versehentlich ein "offener" E-Mail-Verteiler mit der Folge verwandt, dass jeder Empfänger die Namen und E-Mail-Adressen der anderen 779 Empfänger sehen konnte. Damit konnte er diese auch als Patienten der Klinik und zumindest als höchst wahrscheinlich HIV-Infizierte erkennen. Die zuständige Datenschutzaufsichtsbehörde hat Ermittlungen aufgenommen. Der Klinik droht nun ein Bußgeld in Höhe von bis zu 500.000,00 Pfund sowie Schadensersatzansprüche der Betroffenen.

Rechtslage in Deutschland

Auch in der Bundesrepublik Deutschland hat es schon vergleichbare Fälle gegeben. Das Bayrische Landesamt für Datenschutzaufsicht verhängte in einem Fall ebenfalls ein Bußgeld gegen die Mitarbeiterin eines Unternehmens wegen der Nutzung eines offenen E-Mail-Verteilers. Dabei ging es um eine E-Mail an zahlreiche Kunden des Unternehmens, die über den offenen Verteiler voneinander Kenntnis erhielten. Da es für diese Übermittlung personenbezogener Kundendaten an die anderen Kunden keine Rechtsgrundlage gab, war sie rechtswidrig und erfüllte – wie jede rechtswidrige Datenverarbeitung – einen Bußgeldtatbestand.

Um vergleichbare Fälle und ein Bußgeld, welches sich gegen das Unternehmen oder den Mitarbeiter richten kann, sowie einen potentiellen Imageschaden zu verhindern, empfiehlt es sich, die Mitarbeiter zu schulen und im Rahmen einer E-Mail-Richtlinie entsprechend anzuweisen.

Eine Schulung der Mitarbeiter scheint nicht zuletzt deshalb erforderlich zu sein, weil diese eher selten in der Praxis mit der E-Mail-Funktion "Blind Carbon Copy" (Bcc) arbeiten. Zuweilen werden solche "Blindkopien" sogar für weniger seriös gehalten, weil sie Empfänger im Unklaren darüber halten, wer eine Nachricht noch "heimlich" mitliest. Dabei ist das Ergebnis das gleiche, wenn man die E-Mail an einen andern Empfänger weiterleitet, was häufig besonders leichtfertig und ohne Überlegungen zum Datenschutz geschieht. Die oben beschriebenen Sachverhalte zeigen jedoch, dass die Verwendung der "Bcc-Funktion" in zahlreichen Fällen sogar eine datenschutzrechtliche Notwendigkeit ist.

Denkbar ist zudem eine technische Lösung, die beim Einsatz von E-Mail-Verteilern ab einem näher definierten Umfang programmseitig eine automatische Nachfrage an den Bearbeiter auslöst (z.B. "Sollen sämtliche Empfänger dieser E-Mail für die jeweilig anderen Empfänger sichtbar sein?").

Fazit

Sorglos ausgewählte E-Mail-Verteiler können zu rechtswidrigen Datenübermittlungen führen. Die Bußgeldhöchstgrenze liegt nach deutschem Recht niedriger als in Großbritannien. Bußgelder können jedoch 300.000,00 EUR erreichen. Noch schwerer kann, wie der aktuelle Fall des Londoner Krankenhauses zeigt, der Imageschaden wiegen. Deswegen ist Unternehmen auch in Deutschland zu raten, ihre Mitarbeiter datenschutzrechtlich zu schulen (z.B. über BDSG-Wissen.de) und konkrete Richtlinien zum Umgang mit E-Mail-Programmen aufzustellen.

» zur Übersicht