Welche Konsequenz hat es, wenn E-Mails so verschickt werden, dass jeder Empfänger die E-Mailadressen aller anderen Empfänger erhält? DSGVO Art 6, 32, 83; TKG §§ 99, 108; StGG Art 10a
Die Übermittlung von E-Mail-Adressen Dritter in einem E-Mail kommt in der Praxis häufig vor. Die rechtliche Einordnung ist von den genauen Umständen abhängig. Sowohl Absender als auch Empfänger tragen wesentliche Verantwortung am Umgang mit diesen Adressen.
Vielfach werden - durch Unwissenheit oder auch durch Bedienungsfehler - E-Mails so verschickt, dass für alle Empfänger erkennbar ist, wer die anderen Empfänger dieser Nachricht sind. In diesem Fall stellt sich die Frage, ob eine Datenschutzverletzung des Senders vorliegt bzw. ob ein einzelner Empfänger diese E-Mailadressen benutzen darf.
Entscheidend für die Beantwortung dieser Fragen ist, ob das Anführen der E-Mailadressen Absicht war oder irrtümlich erfolgte.
Wenn die E-Mailadressen absichtlich lesbar angeführt wurden und die Weitergabe gemäß Art 6 Datenschutzgrundverordnung (DSGVO) zulässig war, dann dürfen die Empfänger diese Information auch benutzen. Dies wird etwa in Firmen oder bei der Koordination von gemeinsamen Projekten der Fall sein, wo der Absender sicherstellen will, dass allfällige Antworten auf das ursprüngliche E-Mail wiederum alle Personen erreichen.
Wurden andere E-Mailadressen bloß irrtümlich übermittelt, etwa durch einen Bedienungsfehler oder einen Softwarefehler, dann ist der Absender verpflichtet, sobald er davon Kenntnis erlangt, die Empfänger von der irrtümlichen Offenbarung der Daten zu informieren und auch darüber, dass diese Daten nicht verwendet werden dürfen.
Werden in einem erhaltenen E-Mail alle E-Mailadressen der Empfänger angezeigt, dann können verschiedenste Datenschutzverletzungen vorliegen.
(a) Verletzung des Telekommunikationsgeheimnisses
Irrtümlich wird in manchen Fällen der Schutz eines E-Mails als Teil des Briefgeheimnisses angesehen. Dies ist jedoch wegen seiner rein elektronischen Form nicht möglich. Mit dem Staatsgrundgesetz (StGG) Art 10a wurde jedoch eine Sonderbestimmung geschaffen, die das Fernmeldegeheimnis regelt, worunter auch E-Mails einzuordnen wären.
Die zentrale Bestimmung lautet gemäß Art 10a StGG, "Das Fernmeldegeheimnis darf nicht verletzt werden.", worunter auch die bloße Kenntnisnahme einer Kommunikationsbeziehung fällt, also auch zu wissen, wer wen angerufen hat oder wer mit wem E-Mails austauscht. Eine Verletzung liegt insbesondere vor, als die einzelnen E-Mailempfänger untereinander nicht in Kontakt stehen und daher normalerweise nicht wissen, dass sie auf der E-Mail-Liste des Absenders stehen.
Diese Bestimmung zum Fernmeldegeheimnis ist sogar strenger gefasst, als zum Briefgeheimnis. Während das Briefgeheimnis auf Grund einiger, taxativ aufgezählter Gründe durchbrochen werden darf ("außer dem Falle einer gesetzlichen Verhaftung oder Hausdurchsuchung, nur in Kriegsfällen oder auf Grund eines richterlichen Befehles"), ist dies beim Fernmeldegeheimnis bloß "auf Grund eines richterlichen Befehles" möglich.
(b) Verletzung der Datenschutzpflicht der DSGVO
Die Datenschutzgrundverordnung (DSGVO) enthält einen umfassenden Schutzanspruch persönlicher Daten, also auch der Tatsache, welches E-Mail von wem erhalten wurde. Ausnahmen von diesem Recht auf Datenschutz sind nur zulässig, auf Grund gesetzlicher Vorschriften, zur Wahrung lebenswichtiger Interessen des Betroffenen, aus überwiegenden Interessen des Auftraggebers (Absenders) oder Dritter oder mit Einwilligung des Betroffenen.
Die Bekanntgabe von Empfänger-E-Mail-Adressen an andere E-Mailempfänger ist in keinem Gesetz vorgesehen, sie dient auch nicht der Wahrung lebenswichtiger Interessen des Betroffenen (dies wäre bei lebenserhaltenden Maßnahmen der Fall, bei denen der Betroffene nicht mehr ansprechbar ist). Auch ein überwiegendes Interesse des Auftraggebers oder Dritter kann nicht geltend gemacht werden.
Bleibt nur die Einwilligung des Betroffenen. Fehlt diese, dann verletzt die Bekanntgabe der E-Mailempfängerliste auch die Datenschutzvorschrift der DSGVO.
Vorstellbar wäre, dass die Empfängerliste ausschließlich öffentlich zugängliche E-Mailadressen enthält. In diesem Fall wäre die Schutzpflicht nicht verletzt, solange der Zweck der Veröffentlichung der E-Mailadresse mit dem Zweck des verschickten E-Mails übereinstimmt.
(c) Verletzung der Sicherheitsbestimmungen der DSGVO
Neben dem Anspruch auf Schutz personenbezogener Daten stellt das Bekanntgeben der E-Mailempfänger auch eine Verletzung der Sicherheitsvorschriften gemäß Art 32 DSGVO dar. Nach diesen Vorschriften hat jeder Datenverarbeiter sicher zu stellen, dass die Rechte auf Datenschutz von Betroffenen gewahrt werden.
Wird diese Vorschrift verletzt, handelt es sich um eine Datenschutzverletzung gemäß Art 83 DSGVO.
(d) Verletzung des Telekommunikationsgesetzes
Auch im Telekommunikationsgesetz (TKG) findet sich ein Verbot der Weitergabe von Kommunikationsdaten. Diese Bestimmung betrifft aber nur Telekom-Anbieter, typischerweise Internet Service Provider und Telefonanbieter (Festnetz und Mobiltelefonie). Das heißt, enthält ein von einem Telekom-Anbieter versandtes E-Mail die Adressen aller E-Mailempfänger, dann liegt eine Verletzung des § 99 TKG vor.
Das Strafausmaß ist im §108 TKG mit einer gerichtlichen Freiheitsstrafe bis zu 3 Monaten bedroht.
Verwendungsverbot für Empfänger
Für den Empfänger eines E-Mails, das eine komplette E-Mail-Empfängerliste enthält, bedeutet dies jedoch nicht, dass er diese Informationen für seine Zwecke verwenden darf. Da es sich in der Regel um eine unzulässige Weitergabe der E-Mailadressdaten handelt, darf der Empfänger diese Daten weder verwenden noch zur "Kenntnis nehmen".
Tut er dies trotzdem, riskiert er ebenfalls eine Verletzung des Fernmeldegeheimnisses und das Recht auf Schutz von persönlichen Daten der DSGVO.
Zulässig wäre jedoch eine Verständigung und Aufklärung der betroffenen Personen über die Tatsache der Verletzung ihrer Privatsphäre und Rechte.
Verletzung der Privatsphäre ist im Einzelfall zu prüfen
Im Regelfall wird durch das Versenden der E-Mailempfängerliste eine Verletzung der Privatsphäre vorliegen. Ob dies tatsächlich der Fall ist, muss jedoch in jedem Einzelfall geprüft werden.
Wird die Liste der E-Mailempfänger zulässigerweise verschickt, zum Beispiel weil alle in der Liste enthaltenen Personen zugestimmt haben oder die Daten zulässigerweise veröffentlicht wurden, dann dürfen die E-Mailadressen auch vom Empfänger für seine berechtigten Zwecke verwertet werden.
Vorkehrungen bedeutend zur Eindämmung von Würmern und Viren
Korrekter E-Mailversand ist nicht nur ein Zeichen, dass man den Schutz der Privatsphäre ernst nimmt, sondern auch eine wichtige Vorbeugung gegen Viren und Würmer. Die meisten Wurmprogramme durchsuchen mittlerweile vorhandene E-Mails, Dateien und Adressbücher nach verwertbaren Adressen zur Weiterverbreitung.
Abhilfe wäre leicht möglich
Abgesehen von der rechtlich bedenklichen Vorgangsweise ist es ein enormes Ärgernis, dass oft sehr kurze Nachrichten von einem mehrere hundert Zeilen langen Block mit E-Maildaten eingeleitet werden. Sowohl das Lesen, als auch das Ausdrucken werden erheblich erschwert.
Tatsächlich ist jedoch die Angabe aller Empfänger in praktisch keinem Fall technisch notwendig und weist auf mangelnde Internetkenntnisse des Absenders hin.
Im einfachsten Fall könnten die E-Mails statt als CC (Copy) als BCC (Blind Copy) verschickt werden, wobei als Pseudoempfänger sinnvollerweise der ursprüngliche Absender anzugeben wäre. E-Mailapplikationen oder datenbankgesteuerte E-Maildienste erlauben meist noch einfachere Möglichkeiten die Empfängerliste zu verbergen.
|