rating service  security service privacy service
 
Welche Konsequenz hat es, wenn E-Mails so verschickt werden, dass jeder Empfänger die E-Mailadressen aller anderen Empfänger erhält?
DSGVO Art 6, 32, 83; TKG §§ 99, 108; StGG Art 10a
Die Übermittlung von E-Mail-Adressen Dritter in einem E-Mail kommt in der Praxis häufig vor. Die rechtliche Einordnung ist von den genauen Umständen abhängig. Sowohl Absender als auch Empfänger tragen wesentliche Verantwortung am Umgang mit diesen Adressen.

Vielfach werden - durch Unwissenheit oder auch durch Bedienungsfehler - E-Mails so verschickt, dass für alle Empfänger erkennbar ist, wer die anderen Empfänger dieser Nachricht sind. In diesem Fall stellt sich die Frage, ob eine Datenschutzverletzung des Senders vorliegt bzw. ob ein einzelner Empfänger diese E-Mailadressen benutzen darf.

Entscheidend für die Beantwortung dieser Fragen ist, ob das Anführen der E-Mailadressen Absicht war oder irrtümlich erfolgte.

Wenn die E-Mailadressen absichtlich lesbar angeführt wurden und die Weitergabe gemäß Art 6 Datenschutzgrundverordnung (DSGVO) zulässig war, dann dürfen die Empfänger diese Information auch benutzen. Dies wird etwa in Firmen oder bei der Koordination von gemeinsamen Projekten der Fall sein, wo der Absender sicherstellen will, dass allfällige Antworten auf das ursprüngliche E-Mail wiederum alle Personen erreichen.

Wurden andere E-Mailadressen bloß irrtümlich übermittelt, etwa durch einen Bedienungsfehler oder einen Softwarefehler, dann ist der Absender verpflichtet, sobald er davon Kenntnis erlangt, die Empfänger von der irrtümlichen Offenbarung der Daten zu informieren und auch darüber, dass diese Daten nicht verwendet werden dürfen.


Werden in einem erhaltenen E-Mail alle E-Mailadressen der Empfänger angezeigt, dann können verschiedenste Datenschutzverletzungen vorliegen.


(a) Verletzung des Telekommunikationsgeheimnisses

Irrtümlich wird in manchen Fällen der Schutz eines E-Mails als Teil des Briefgeheimnisses angesehen. Dies ist jedoch wegen seiner rein elektronischen Form nicht möglich. Mit dem Staatsgrundgesetz (StGG) Art 10a wurde jedoch eine Sonderbestimmung geschaffen, die das Fernmeldegeheimnis regelt, worunter auch E-Mails einzuordnen wären.

Die zentrale Bestimmung lautet gemäß Art 10a StGG, "Das Fernmeldegeheimnis darf nicht verletzt werden.", worunter auch die bloße Kenntnisnahme einer Kommunikationsbeziehung fällt, also auch zu wissen, wer wen angerufen hat oder wer mit wem E-Mails austauscht. Eine Verletzung liegt insbesondere vor, als die einzelnen E-Mailempfänger untereinander nicht in Kontakt stehen und daher normalerweise nicht wissen, dass sie auf der E-Mail-Liste des Absenders stehen.

Diese Bestimmung zum Fernmeldegeheimnis ist sogar strenger gefasst, als zum Briefgeheimnis. Während das Briefgeheimnis auf Grund einiger, taxativ aufgezählter Gründe durchbrochen werden darf ("außer dem Falle einer gesetzlichen Verhaftung oder Hausdurchsuchung, nur in Kriegsfällen oder auf Grund eines richterlichen Befehles"), ist dies beim Fernmeldegeheimnis bloß "auf Grund eines richterlichen Befehles" möglich.


(b) Verletzung der Datenschutzpflicht der DSGVO

Die Datenschutzgrundverordnung (DSGVO) enthält einen umfassenden Schutzanspruch persönlicher Daten, also auch der Tatsache, welches E-Mail von wem erhalten wurde. Ausnahmen von diesem Recht auf Datenschutz sind nur zulässig, auf Grund gesetzlicher Vorschriften, zur Wahrung lebenswichtiger Interessen des Betroffenen, aus überwiegenden Interessen des Auftraggebers (Absenders) oder Dritter oder mit Einwilligung des Betroffenen.

Die Bekanntgabe von Empfänger-E-Mail-Adressen an andere E-Mailempfänger ist in keinem Gesetz vorgesehen, sie dient auch nicht der Wahrung lebenswichtiger Interessen des Betroffenen (dies wäre bei lebenserhaltenden Maßnahmen der Fall, bei denen der Betroffene nicht mehr ansprechbar ist). Auch ein überwiegendes Interesse des Auftraggebers oder Dritter kann nicht geltend gemacht werden.

Bleibt nur die Einwilligung des Betroffenen. Fehlt diese, dann verletzt die Bekanntgabe der E-Mailempfängerliste auch die Datenschutzvorschrift der DSGVO.

Vorstellbar wäre, dass die Empfängerliste ausschließlich öffentlich zugängliche E-Mailadressen enthält. In diesem Fall wäre die Schutzpflicht nicht verletzt, solange der Zweck der Veröffentlichung der E-Mailadresse mit dem Zweck des verschickten E-Mails übereinstimmt.


(c) Verletzung der Sicherheitsbestimmungen der DSGVO

Neben dem Anspruch auf Schutz personenbezogener Daten stellt das Bekanntgeben der E-Mailempfänger auch eine Verletzung der Sicherheitsvorschriften gemäß Art 32 DSGVO dar. Nach diesen Vorschriften hat jeder Datenverarbeiter sicher zu stellen, dass die Rechte auf Datenschutz von Betroffenen gewahrt werden.

Wird diese Vorschrift verletzt, handelt es sich um eine Datenschutzverletzung gemäß Art 83 DSGVO.


(d) Verletzung des Telekommunikationsgesetzes

Auch im Telekommunikationsgesetz (TKG) findet sich ein Verbot der Weitergabe von Kommunikationsdaten. Diese Bestimmung betrifft aber nur Telekom-Anbieter, typischerweise Internet Service Provider und Telefonanbieter (Festnetz und Mobiltelefonie). Das heißt, enthält ein von einem Telekom-Anbieter versandtes E-Mail die Adressen aller E-Mailempfänger, dann liegt eine Verletzung des § 99 TKG vor.

Das Strafausmaß ist im §108 TKG mit einer gerichtlichen Freiheitsstrafe bis zu 3 Monaten bedroht.


Verwendungsverbot für Empfänger

Für den Empfänger eines E-Mails, das eine komplette E-Mail-Empfängerliste enthält, bedeutet dies jedoch nicht, dass er diese Informationen für seine Zwecke verwenden darf. Da es sich in der Regel um eine unzulässige Weitergabe der E-Mailadressdaten handelt, darf der Empfänger diese Daten weder verwenden noch zur "Kenntnis nehmen".

Tut er dies trotzdem, riskiert er ebenfalls eine Verletzung des Fernmeldegeheimnisses und das Recht auf Schutz von persönlichen Daten der DSGVO.

Zulässig wäre jedoch eine Verständigung und Aufklärung der betroffenen Personen über die Tatsache der Verletzung ihrer Privatsphäre und Rechte.


Verletzung der Privatsphäre ist im Einzelfall zu prüfen

Im Regelfall wird durch das Versenden der E-Mailempfängerliste eine Verletzung der Privatsphäre vorliegen. Ob dies tatsächlich der Fall ist, muss jedoch in jedem Einzelfall geprüft werden.

Wird die Liste der E-Mailempfänger zulässigerweise verschickt, zum Beispiel weil alle in der Liste enthaltenen Personen zugestimmt haben oder die Daten zulässigerweise veröffentlicht wurden, dann dürfen die E-Mailadressen auch vom Empfänger für seine berechtigten Zwecke verwertet werden.


Vorkehrungen bedeutend zur Eindämmung von Würmern und Viren

Korrekter E-Mailversand ist nicht nur ein Zeichen, dass man den Schutz der Privatsphäre ernst nimmt, sondern auch eine wichtige Vorbeugung gegen Viren und Würmer. Die meisten Wurmprogramme durchsuchen mittlerweile vorhandene E-Mails, Dateien und Adressbücher nach verwertbaren Adressen zur Weiterverbreitung.


Abhilfe wäre leicht möglich

Abgesehen von der rechtlich bedenklichen Vorgangsweise ist es ein enormes Ärgernis, dass oft sehr kurze Nachrichten von einem mehrere hundert Zeilen langen Block mit E-Maildaten eingeleitet werden. Sowohl das Lesen, als auch das Ausdrucken werden erheblich erschwert.

Tatsächlich ist jedoch die Angabe aller Empfänger in praktisch keinem Fall technisch notwendig und weist auf mangelnde Internetkenntnisse des Absenders hin.

Im einfachsten Fall könnten die E-Mails statt als CC (Copy) als BCC (Blind Copy) verschickt werden, wobei als Pseudoempfänger sinnvollerweise der ursprüngliche Absender anzugeben wäre. E-Mailapplikationen oder datenbankgesteuerte E-Maildienste erlauben meist noch einfachere Möglichkeiten die Empfängerliste zu verbergen.

mehr --> Ausbildungsreihe "betrieblicher Datenschutzbeauftragter"
mehr --> Ist das Versenden von unverschlüsselten e-Mails oder Rechnung...
mehr --> Welche (Internet)daten dürfen verwendet werden?
mehr --> Darf eine Firmenleitung E-Mails der Mitarbeiter lesen?
mehr --> http://ftp.freenet.at/privacy/ds-eu/eu-ds-gvo-aktuell.pdf

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2018 Information gemäß DSGVOwebmaster