AKTUELL: Anstieg von Datenschutzverletzungen durch offene E-Mail-Verteiler

Dortmund, 24.04.2020: Derzeit häufen sich die Meldungen von Datenschutzverletzungen nach § 33 KDG die den Versand einer oder mehrerer E-Mails an einen offenen Verteiler zum Inhalt haben. Oft sind es E-Mails mit Informationen zur aktuellen Krise und über den Umgang mit der besonderen Situation in den Einrichtungen.

Bei E-Mail-Adressen handelt es sich um personenbezogene Daten gemäß § 4 Nr. 1 KDG. Die Verwendung eines offenen E-Mail-Verteilers ist datenschutzrechtlich unzulässig, wenn die Inhaber der E-Mail-Adressen dazu nicht ihre Einwilligung erklärt haben. Bei Eintragung der E-Mail-Adressen in das AN-Feld oder das CC-Feld sehen sowohl die unmittelbaren Empfänger (AN-Feld) als auch die Empfänger der Kopien (CC-Feld) dieser Mail, an wen die Mail sonst noch geschickt wurde. Nur bei Eintragung der E-Mail- Adressen in das BCC-Feld wird die Übertragung der E-Mail-Adressen an die Empfänger unterdrückt, so dass niemand erkennen kann, an wen diese Mail sonst noch geschickt wurde.

Die Verwendung von E-Mail-Verteilern (z.B. „Kita-Eltern“ oder „Kursteilnehmer_1234“) führt entgegen mancher Annahme nicht dazu, dass die Empfänger untereinander anonym bleiben. Vielmehr ist der Verteilername i.d.R. nur für den Absender als Ordnungshilfe vorgesehen und wird beim Versendevorgang in die Einzeladressen aufgelöst. Die Empfänger bekommen also die komplette Liste aller Einzeladressen zu sehen, wenn der E-Mail-Verteiler in das AN- oder das CC-Feld geschrieben wurde.

Durch die unbefugte und nicht notwendige Offenlegung der E-Mail-Adressen, sind die E-Mail-Adressen den anderen Adressaten bekannt geworden. Ein Missbrauch ist zumindest nicht auszuschließen, so dass in der Regel von einem meldepflichtigen Vorgang auszugehen ist.