Bußgelder für Privatperson wegen Datenschutzverstoß?

Bisher ist hauptsächlich davon berichtet wurden, dass Unternehmen, Vereine oder Organisationen im Punkto DSGVO belangt wurden, jedoch kann es auch einzelne Personen betreffen.

Ein Beispiel hierfür ist aktuell präsent: Gegen einen fokussierten Beschwerdebrief-Verfasser hat der Landesbeauftragte für den Datenschutz in Sachsen-Anhalt ein Bußgeld von 2.628,50 Euro verhängt. Der Beschwerdebrief-Verfasser sendete fast täglich Beschwerden, Verunglimpfungen aber auch Anzeigen an hunderte verschiedene E-Mail-Adressen gleichzeitig. Im Maximalfall sollen wohl fast 1.600 E-Mailadressen im Empfängerfeld gestanden haben. Empfänger sind Unternehmen, Zeitschriften, Behörden und Politiker. Das Problem dabei: Die Verteiler waren für alle Empfänger sichtbar.

Was ist daran schlimm?

Soll eine E-Mail mit einer Vielzahl von Empfängern versandt werden, sind zwingend ein paar Dinge zu beachten:

Sofern mehre Empfänger mit einer E-Mail angeschrieben werden, sollten diese untereinander unbekannt bleiben. Unnötig dürfte diese Privatheit nur sein, wenn sich alle Empfänger (auch in Bezug auf den Inhalt der E-Mail) kennen und auch die E-Mailadressen untereinander bereits bekannt sind. Ist das nicht der Fall, werden gegebenenfalls personenbezogene Daten Dritten gegenüber unerlaubt offengelegt. Alternativ könnte von allen Empfängern im Vorfeld das Einverständnis in die entsprechende Nutzung der Daten eingeholt werden. Gerade bei großen Verteilern oder auch bei Empfängern, die man selbst nicht alle persönlich kennt, kann das aber aufwändig bis unmöglich werden.

Genau diese beschriebe Situation ist sicherlich dem ein oder anderen bekannt oder bereits selbst passiert. Im privaten Umfeld oder bei nur sehr kleinen Verteilern eher unangenehm – allerdings kann so ein Versehen auch teure Folgen haben, wie der vorliegende Fall zeigt.

Aber für eine Privatperson?

Dem einen oder anderen fällt an dieser Stelle vielleicht ein, dass die DSGVO gem. Art. 2 Abs. 2 lit. c DSGVO im privaten und persönlichen Umfeld doch gar nicht gilt. Ein Fehler der Aufsichtsbehörde also? Wir meinen nein: Die Beschwerden waren zum einen an Unternehmen, Behörden und Politiker gerichtet. Zum anderen gingen bei der Behörde sicher auch Beschwerden nach Art. 77 DSGVO ein. Mit beiden Sachverhalten befinden wir uns nicht mehr im rein privaten Umfeld. Daher ist die DSGVO anwendbar und auch eine Privatperson muss sich an deren Regeln halten.

Zusammenfassend

Ein sehr großer „offener Mailverteiler“, das heißt, dass alle Empfänger die E-Mail- Adressen der anderen Empfänger sehen können, ist in der Praxis so gut wie nie möglich. Sofern keine Einwilligung nachgewiesen werden kann sollte bei Rund-Mails an viele Empfänger auf die Nutzung des “An” und des “CC”-Felds verzichtet werden. Der einfachste Weg dies zu umgehen wäre alle Empfänger in das “BCC”-Feld (Blind-Kopie) zu setzen, denn so ist jeder einzelner, ebenso wie die Anzahl der Empfänger unsichtbar.

Banales Beispiel, aber es zeigt auch, dass die DSGVO nicht nur im geschäftlichen Umfeld zum tragen kommt, sondern jeden Einzelnen betreffen kann.

Haben Sie Fragen zu datenschutzkonformem Verhalten? Melden Sie sich bei uns, wir schulen auch!