SHARE/PRINT

Bayrische Landesbehörde verhängt Bußgeld aufgrund "offenenen E-Mailverteilers"

Eine Mitarbeiterin eines bayrischen Unternehmens wurde nun mit einem Bußgeldbescheid konfrontiert. Der Grund: Nutzung des An/CC Feldes im Rahmen einer Vielempfänger-Email anstelle des BCC-Feldes.

Newsletter auf Schreibmaschine / (c) Thorben Wengert  / pixelio.de

(c) Thorben Wengert / pixelio.de

Wie das Bayerisches Landesamt für Datenschutzaufsicht in seiner Pressemitteilung vom 28. Juni 2013 mitteilte, wurde in diesem konkreten Fall (neun von zehn Seiten gedruckter E-Mail entsprachen E-Mailadressen der Kunden) nicht nur eine Verwarnung, sondern gleich ein Bußgeld verhängt.

Der Einschätzung des Landesamtes ist im Ergebnis zuzustimmen. Markus Schröder, LL.M. hat sich auf Legal Tribune Online ebenfalls zu diesem Vorgang geäußert. Seinen grds. zutreffenden Feststellungen kann ich indes nicht gänzlich zustimmen.

Mitarbeiterin richtige Adressatin?

Die Bußgeldvorschrift (§ 43 BDSG) stellt klar, dass es sich im Rahmen von datenschutzrechtlichen Verstößen um Ordnungswidrigkeiten handelt. Diese sind wiederum nach OWiG (Ordnungswidrigkeitengesetz) zu behandeln. Hierbei stellt primären Adressat jede natürliche Person dar. Es ist verständlich, da die Vorstellung, eine juristische Person könne selbst vorsätzlich oder fahrlässig handeln, absurd erscheint. Konkret handelt immer eine natürliche Person.

§ 30 OWiG ermöglicht jedoch die Zurechnung des Handelns einer natürlichen Person auf die juristische Person. Inwieweit die Voraussetzungen hier erfüllt sind, lässt sich nur schwer aus der Pressemitteilung erkennen. Arg. e. contr. aus dem abschließenden Hinweis, dass in einem vergleichbaren Fall - in dem wohl Organisationsverschulden anzunehmen ist - gegen die Unternehmensleitung vorgegegangen wird, ist hier wohl keine in § 30 OWiG bedachte Vertretungseigenschaft einschlägig. 

Somit ist die Adressatin wohl korrekt. Dies mag in Anbetracht dessen, dass es aus der allgemeinen Wahrnehumg ein Verstoß des Unternehmens sein dürfte, die betroffene Mitarbeiterin eher als "das schwache Glied am Ende der Verwantwortlichkeitskette" angesehen werden dürfte, befremdlich erscheinen. Allerdings hat der Gesetzgeber es bisher versäumt, Möglichkeiten zu schaffen, direkt gegen die Unternehmen vorzugehen. Einen Umstand, den das Recht z.B. im Rahmen des Wettbewerbsrechts durchaus kennt. 

Datenschutzrechtliche Beurteilung

Personenbezogenes Datum

Personenbezogenes Datum ist jede Einzelangabe über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person, vgl. § 3 Abs. 1 BDSG. Hierbei ist die derzeitige (einhellige) rechtliche Auffassung, dass es grds. kein unerhebliches Datum gibt. Denn aus der Vielzahl auch "unwichtiger Informationen" kann mittels Profilbildung wiederum ein wichtiges, relevantes Datum generiert werden. 

Die E-Mail Adresse wurde daher korrekt als personenbezogenes Datum beurteilt. Diese stellt einerseits selbst bereits ein solches Datum dar, sowie sie auch andererseits Aufschluss über mittelbare Daten gibt. Die meisten E-Mailadressen - gerade im geschäftlichen Verkehr - bestehen aus Kombinationen von Vor- und Nachnamen. Ebenso wird hierüber mittelbar die Information preisgegeben, dass eine zumindest bestimmbare Person Kunde dieses Unternehmens ist. Würde es sich - wie in anderen Konstallationen schon problematisiert - um eine medizinische Einrichtung handeln, ist allein die Information "ist Kunde" hinreichend um eine Verletzung der ärztlichen Schweigepflicht zu begründen. Die Relevanz dieser mittelbaren Information sollte daher grds. nie unterschätzt werden.

Der von Herrn Schröder aufgestellten These, es sei fraglich ob im heutigen "Zeitalter der elektronischen Kommunikation die bloße Übermittlung einer E-Mail-Adresse ein schutzwürdiges Interesse des Betroffenen verletzt" ist daher massivst entgegen zu treten. Es sei lediglich die Rückfrage gestellt: Ist im "Telefonzeitalter" die (geheime) Telefonnummer auch kein personenbezogenes Datum, allein aus dem Umstand, da die Mehrheit der Personen ein Telefon nutzt? Diese Relativierung verstößt gegen zwei Grundsätze des Datenschutzrechts: 1) es gibt keine irrelevanten Daten und 2) jeder bestimmt selbst, freiwillig und bewusst über die Verwendung und Verbreitung seiner Daten. 

Zulässigkeit der Übermittlung

Ist also ein personenbezogenes Datum vorhanden, ist die Verarbeitung nur zulässig, wenn diese auf der Einwilligung des Betroffenen oder einer gesetzlichen Erlaubnisnorm fußt. 

Einwilligung

Eine Einwilligung kann hier nicht angenommen werden. Es ist auch nicht - wie Herr Schröder es z.B. nennt - nur ein theoretisches Formerfordernis, welches in der "Praxis befremdlich anmuten" müsse. Es ist hier schlicht strikt zwischen den zwei "Rechtsbeziehungen" bzw. rechtlich erheblichen Handlungen zu unterscheiden.

  1. dem geschäftlichen - vertraglichen - Kontakt zum Unternehmen

  2. dem Übermitteln der Informationen an Dritte (hier weitere Kunden)

Für ersteres liegt in jeder Preisgabe der E-Mailadresse an den Vertragspartner auch die (konkludente) Einwilligung, dass diese Adresse für die Abwicklung des Rechtsverhältnis notwendige Verarbeitungen stattfinden dürfen. Sollte man ganz streng die konkludente Einwilligung versagen und nur ausdrückliche Einwilligungen als wirksam ansehen, so käme hierzu der gesetztiche Erlaubnistatbestand des 28 Abs. 1 S. 1 Nr. 1 BDSG (Näheres weiter unten) in Betracht.

Für zweiteres ist es tägliches Geschäft von Newsletter-Betreibern eine Einwilligung einzuholen. Bereits in den Erhalt von nicht konkret mit dem bestehenden Rechtsverhältnis in Bezug stehenden Informationsmails muss wirksam eingewilligt werden. Sonst besteht die Gefahr des Verstoßes gegen § 7 UWG. Erst Recht muss sodann aber darin eingewilligt werden, wenn unbeteiligte Dritte Kenntnis von personenbezogenen Daten erhalten sollen. Hier sei nur auf die umstrittene Frage verwiesen, ob eine Einwilligung in die Übermittlung an "Partnerunternehmen" wirksam erteilt werden kann, wenn die Partnerunternehmen einer Fluktuation unterworfen sind.

Dies wirkt also nicht befremdlich, sondern ist schlicht der Trennung der beiden Handlungen geschuldet. 

Gesetzliche Erlaubtnistatbestände

In Betracht kommt § 28 Abs. 1 S. 1 BDSG, konkret die Nrn. 1 und 2.

Zu Nr. 1: Die Verwendung zum Zwecke der Abwicklung des geschäftlichen Kontaktes ist hierüber sicherlich gerechtfertigt. Nicht gerechtfertig werden kann allerdings die Weitergabe (Übermittlung) an Dritte (hier andere Kunden).

Zu Nr. 2: Auch Nr. 2 erscheint in keiner Weise als Rechtfertigung möglich. So heißt es: Die Verarbeitung "oder die Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist zulässig, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt."

Die Verarbeitung - nämlich in Form der Übermittlung - geschah einerseits nicht für eigene Geschäftszwecke. Vielmehr war Zweck die unabhängige Information jedes einzelnen Kunden über die baldige Ausführung des Auftrags. Die Übermittlung war hier - (grob) fahrlässiges - Nebenprodukt. Ob man nun "als Mittel für die Erfüllung eigener Geschäftszwecke" nur auf Nutzung oder auch Verarbeitung beziehen möchte, ist unerheblich, wenn es bereits an einem anderen Tatbestandsmerkmal evident scheitert. 

Zudem müsste die Übermittlung "erforderlich" gewesen sein zur "Wahrung berechtigter Interessen". Als Ausfluss des verfassungerechtlich geschützten Rechts auf informationelle Selbstbestimmung (Art. 2 Abs. 1, Art. 1, Abs. 1 GG) ist das Schutzgut des BDSG äußerst hoch. Nicht zuletzt deshalb wurde es als Verbot mit Erlaubnisvorbahlt konzipiert. Somit muss das "berechtigte Interesse" ebenso schwer wiegen. In Betracht kommt hier aber nur "geringfüge Arbeitserleichterung". Schließlich ist die BCC-Funktion in einem jeden E-Mailprogramm vorhanden. Sie muss eben nur - mit ggf. wenigen, weiteren Klicks - (für die entsrprechende E-Mail) aktiviert werden. Im heutigen Zeitalter elektronischer Kommunikation kann man eventuell sogar fordern, dass im professionellen - also gerade unternehmerischen - Bereich für die Versendung von Vielempfänger-E-Mails entsprechende Programme zur Verwaltung von E-Mail-Listen genutzt werden. Hierüber ist eine Weitergabe der Mailadresse an Dritte durch die fahrlässige Verwendung des falschen Adressfeldes bereits ausgeschlossen.

Werden nun die Interessen - informationelle Selbstbestimmung auf Seiten der Betroffenen / geringfügige Zeitersparnis auf Seiten des Unternehmes (der Mitarbeiterin) - gegenübergestellt und in Abwägung gebracht, erscheint keinesfalls ein Ausschlag für die Übermittlung möglich. 

Der von Herrn Schröder in diesem Zusammenhang angebrachte Verweis auf § 7 UWG trägt nicht. Hier wird erneut die unterschiedliche Zielrichtung verkannt. § 7 UWG schützt vor unlauterer, unzumutbarer Belästigung (meist Werbung) durch Unternehmen. Hier ist die Gefahr und Verletzungsrichtung gänzlich anders. Es steht nicht eine Belästigung durch das Unternehmen in Aussicht, sondern ggf. Kenntnisnahme der E-Mailadresse durch Dritte, welche nun belästigende Werbung starten könnten. Desweiteren steht in Frage, ob Dritte die nun als gültig anzunehmende E-Mailadresse nutzen werden, um selbst "unter falscher Identität" (kostenpflichtige) Dienste in Anspruch nehmen zu können. 

Fazit

Das Vorgehen des Landesamtes erscheint gerechtfertigt und ist zu begrüßen.

 Die Kritik, dass das Landesamt einzelne praktische Probleme nicht auflöst, ist nicht nachvollziehbar. Die Frage, ab wie vielen "offengelegten" Adressen ein Verstoß vorliegt, ist mit "einer" zu beantworten. Die Behörde hat allerdings den Ermessensspielraum bei derart "geringfügigen" Verletzungen anstelle eines (sofortigen) Bußgeldes zunächst nur eine Verwarnung auszusprechen. Die Frage, wie man das Problem in der Praxis verhindern kann, beantwortet die Behörde bereits selbst ausdrücklich in der Pressemitteilung: die Verwendung des BCC-Feldes. Ob man - aufgrund der Weiterentwicklung auf dem Gebiet und der hohen Gefahr für "fahrlässiges Fehlverhalten" - soweit gehen möchte und professionellen(, kommerziellen) Stellen - nämlich Unternehmen - die Verwendung von E-Mail-Listenverwaltungsprogrammen abverlangt, ist zu diskutieren. Es erscheint aber nicht ungerechtfertigt, jede Fahrlässigkeit (sei diese noch so leicht) in diesen Fällen mit (sofortigen) Bußgeldern zu ahnden. Die Verwendung inadäquater Programme und somit einer eklatanten Gefärhungssteigerung ist potentiell "grob fahrlässig".

Leztlich zeigt dieses Beispiel aber auch, dass es an der Zeit ist, die Bußgeldvorschriften hinsichtlich der Adressaten zu überdenken. Das Wettbewerbgsrecht zeigt, dass es möglich ist.


Die auf dieser Seite veröffentlichen Inhalte stehen unter der Creative Commons BY-NC-SA Lizenz, soweit nicht anderweitig gekennzeichnet. Generell von dieser Lizenz ausgeschlossen sind jegliche Marken- und Warenzeichen, sowie sonstige eingetragene Schutzmarken.