Der Pressemitteilung des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) vom 28.06.2013 zufolge, wurde gegen eine Mitarbeiterin eines Handelsunternehmens ein – mittlerweile rechtskräftig gewordener – Bußgeldbescheid erlassen.
Grund der Bußgeldverhängung war die Übermittlung von personenbezogenen Daten in Form von E-Mailadressen,„die sich in erheblichem Umfang aus Vornamen- und Nachnamen zusammensetzen“. Die Mitarbeiterin hatte „unter Verwendung [eines] offenen E-Mail-Verteilers“, d.h. Eintragung der Empfängeradressen in das „An-Feld“, statt in das „Bcc-Feld“, eine geschäftliche E-Mail versendet. Dies hatte zur Folge, dass die E-Mailadressen für alle Empfänger einsehbar blieben.
Mangels Einwilligung der betroffenen Personen und einer gesetzlichen Grundlage, stellt dies eine unzulässige Datenübermittlung gem. § 28 BDSG dar, die gem. § 43 Abs. 3 mit einer Geldbuße geahndet werden kann, dar.
Adressat des Bußgeldbescheids war die Mitarbeiterin persönlich und nicht das Unternehmen. Allerdings zieht das BayLDA künftig auch in Betracht, dass ein Bußgeldbescheid gegen das Unternehmen erlassen wird und nicht gegen den einzelnen Mitarbeiter. Das soll insbesondere dann der Fall sein, wenn „die Mitarbeiter nicht entsprechend angewiesen oder überwacht werden“ und letztlich ein Verschulden des Unternehmens anzunehmen ist.
Insofern sollten Unternehmen dafür Sorge tragen, dass die Mitarbeiter – bspw. mithilfe einer Rundmitteilung – über die Nutzung der verschiedenen „E-Mail-Felder“ informiert werden und gleichzeitig über die Risiken der Nutzung eines offenen E-Mail-Verteilers aufgeklärt werden. Zusätzlich sollten E-Mail-Richtlinien entsprechende Vorgaben enthalten (Vgl. hierzu auch LTO, Markus Schröder).
