Freitag, 12. Juli 2013

CC oder BCC? Bußgeld gegen Unternehmensleitung möglich

(c) Rainer Sturm / pixelio.de

Dass Bußgelder gegen Mitarbeiter im Zusammenhang mit Datenschutzverstößen verhängt werden können, ist nichts Neues. So wurde erst kürzlich das Verhalten einer Angestellten eines Handelsunternehmens durch das Bayerische Landesamt für Datenaufsicht (BayLDA) geahndet, weil sie einen offenen Emailverteiler verwendete.

Die Beschäftigte hatte per Email Informationen an Kunden verschickt. Die E-Mail bestand aus zehn Seiten, wobei die eigentliche Nachricht lediglich eine halbe Seite Platz beanspruchte. Auf den restlichen Seiten befanden sich zahlreiche E-Mail-Adressen anderer Kunden, sodass jeder Empfänger auch die Adressen der anderen lesen konnte. Da solche Adressen häufig – hier sogar in erheblichem Umfang – aus Vor- und Nachnamen zusammengesetzt sind, wurden personenbezogene Daten i. S. d. BDSG an Dritte weitergeleitet. Weil dies ohne Einwilligung oder gesetzliche Grundlage erfolgte, liegt ein Datenschutzverstoß vor. So weit, so schlecht für die Arbeitnehmerin, denn sie hatte das Bußgeld zu zahlen.

Aufhorchen lässt allerdings ein Hinweis des BayLDA im Zusammenhang mit dieser Pressemitteilung: In einem vergleichbaren Fall werde in Kürze ein Bußgeldbescheid gegen eine Unternehmensleitung – und nicht gegen den konkreten Mitarbeiter – erlassen. Denn es fehle manchem Arbeitgeber an Problembewusstsein, was dazu führe, dass Mitarbeiter nicht entsprechend angewiesen und überwacht werden.

Um dies zu verhindern, sollten Unternehmen entsprechende Hinweise für den Umgang mit E-Mail-Verteilern an die Arbeitnehmer geben. Diese sind nicht sonderlich kompliziert und dürften Datenschutzverstöße wie im geschilderten Fall nachhaltig verhindern:
Das Adressfeld „An“ ist für den direkten Empfänger bestimmt, diese Adresse kann jeder Empfänger lesen. Das Feld „CC“ ist für diejenigen bestimmt, die eine Kopie der E-Mail erhalten sollen, auch sie sind sichtbar für alle Empfänger. Das Feld „BCC“ dient zwar auch der Versendung von Kopien, jedoch wird hier die Anzeige der E-Mail-Adressen unterdrückt. Keiner der Empfänger kann sehen, wer hier noch eine E-Mail erhalten hat. Das für große Verteiler einzig richtige Feld ist daher – zumindest aus Datenschutzerwägungen – das „BCC“.