Datenschutz öffentlich zugängige E-Mail

Sehr geehrte Damen und Herren,

ich wende mich an Sie, da ich Frage zum Thema habe „Darf man E-Mails die im Internet veröffentlicht sind kontaktieren.“

Ich habe vom Geschäftsmail mehrere Hebammen angeschrieben, die Ihre E-Mail im Internet veröffentlicht haben. Um Arbeit zu sparen, wurde E-Mail an sämtliche Leute verschickt, die alle in CC genommen waren, so dass alle die E-Mail Adressen unter einander sehen konnten.

Nun hat eine Hebamme mich darauf hingewiesen und gebeten die Daten bei mir sowie bei restlichen Adressanten nachweislich zu löschen. Aufgrund dessen habe ich Ihre Daten bei mir gelöscht. Leider habe ich die Betroffene nicht darüber informiert, so dass sie sich dann an Anwalt gewandt und das Unternehmen angezeigt hat.

Kann man sich dagegen wehren?

Danke im Voraus

Hallo,

Ein echter Kardinalfehler!

So wäre es richtig gewesen:

Gruß,
Steve

„Problematisch wird dies, wenn externe Email-Empfänger im Spiel sind. Denn dann verstoßen Sie gegen die Datenschutzgrundverordnung!“

Die Kernaussage des verlinkten Beitrags ist in dieser Grundsätzlichkeit falsch. Im konkret hier angefragten Fall wäre BCC tatsächlich notwendig gewesen, weil es hier offenbar um Kaltakquise geht bzw. die Beteiligten bislang in keinerlei Zusammenarbeit stehen. Aber wenn im verlinkten Beitrag gefordert wird, dass jenseits der Grenzen des eigenen Unternehmens BCC grundsätzlich notwendig wäre, vergisst er, dass ganz regelmäßig heute Dritte in Geschäftsbeziehungen einbezogen werden, mit denen dann natürlich auch entsprechende Vereinbarungen zum Datenschutz getroffen werden. Gerade der Bereich der Auftragsdatenverarbeitung wäre anders auch schlicht und ergreifend nicht vorstellbar. Und dabei geht es mit schöner Regelmäßigkeit um weit mehr als nur eine in CC stehende Mailadresse, wenn Firmen die Kundenbetreuung an externe Callcenter oder das Fulfilment an externe Logistikdienstleister auslagern, Ärzte die Abrechnung durch Dritte vornehmen lassen, …

Ganz abgesehen davon ist es ein böses Foul im Geschäftsleben BCC ohne konkrete Notwendigkeit einzusetzen, da dies immer als „hinter meinem Rücken“ angesehen wird.

Nein, sie ist richtig. Siehe

Nur im Ausnahmefall (nämlich dann, wenn eine Einwilligung vorliegt oder vorausgesetzt werden kann) ist der Versand an CC in Ordnung. Die von dir erwähnte

ist oftmals so eine stillschweigende Einwilligung.

Im nachgefragten Fall liegt ganz offensichtlich keine ausdrückliche Einwilligung vor. Fraglich ist allerdings, ob eine von der betreffenden Person veröffentlichte Mailadresse noch etwas ist, was man nicht weitergeben darf. Und dazu habe ich gefunden:

Deshalb würde ich als Laie behaupten: darf man nicht weitergeben.

Dann sollten sich die Leute vielleicht mal zeitnah die Gesetzeslage zu Gemüte führen.

Du hast einen Datenschutzverstoss begangen und dann noch nichtmal reagiert, als Du konkret auf deine Pflicht hingewiesen wurdest (das hätte der Betroffene nicht mal tun müssen. Es wäre deine Aufgabe gewesen, das eigeninitiativ weiterzugeben).

Da stellt sich nicht die Frage von wehren, sondern die der Schadensbegrenzung. Hast Du deine Pflicht jetzt umgesetzt?

BTW: Datenschutzverstöße müssen die Verursacher dem zuständigen Landes-Datenschutzbeauftragten schnellstmöglich nach Bekanntwerden melden. Unterlässt man das, kann es sein, dass von der Seite noch ein Bußgeld droht. https://www.haerting.de/neuigkeit/faq-meldepflicht-beim-datenschutzverstoss-was-muessen-unternehmen-im-falle-eines

… ein Grund mehr, das Ganze umgehend umzusetzen.

Du schreibts im Kern nichts anderes als ich. Im hier genannten konkreten Fall wäre BCC aufgrund der offenbar zur Kaltakquise neu zusammengestellten Liste notwendig gewesen (hatte ich genau so geschrieben). D.h. in vergleichbaren Fällen (auch dazu hatte ich Beispiele genannt) ebenso. Aber das ist eben keine vollständige Beschreibung des Geschäftslebens, in dem es jede Menge Situationen (das sind keine Randthemen oder Ausnahmen, sondern ganz große Bereiche) gibt, die anders zu bewerten sind, und die kein BCC erfordern (und da kommt dann die Sache mit dem „bösen Foul“ zum Tragen). Und insoweit ist eine Aussage, dass BCC grundsätzlich notwendig wäre, eben falsch.

Nun, es ist aber eben genau andersrum: der grundsätzlich notwendige Defaultwert ist BCC, wenn nicht durch besondere Umstände (Erlaubnis ALLER Beteiligten) erlaubt.

Es ist die Grundlage der DSGVO, dass alles an Datenverarbeitung und erst recht Datenweitergabe verboten ist, was nicht erlaubt ist. Es gilt Opt-In, nicht Opt-Out. Der Betreffende muss nicht erst verbieten, sondern er darf erlauben. Das ist eine völlig andere Sichtweise als vor der DSGVO. Und ein Grundlegender Unterschied zu den meisten anderen Gesetzen (es ist erlaubt, was nicht verboten ist). Auch die vorgeschrieben Selbstbezichtigung wenn was schiefgeht steht der normalen Gesetzesgrundlage (niemand muss sich selber beschuldigen) diametral entgegen.

Aufgrund solcher Diskussionen habe ich mich hier weitestgehend zurückgezogen und werde daher in diesem Thread auch nicht weiter antworten. Du redest hier von der Ausgangssituation mit der man in eine notwendige Prüfung hineingeht, ich vom Ergebnis dieser Prüfung, da der von mir beanstandete Satz sich auf genau dieses Ergebnis bezieht).

Man muss im Hinterkopf haben, dass man eine entsprechende Prüfung vornehmen muss. Spannend ist aber doch, was dabei regelmäßig als Ergebnis raus kommt. Und da kommen wir aus der Theorie, was Ausnahme sein sollte, in die Praxis. Denn die Realität sieht so aus, dass ich hieran als langjähriger Unternehmensjurist und zeitweiliger DSB, der so diverse große Internetprojekte datenschutzrechtlich betreut hat, höchst selten überhaupt mal mehr als den Hauch eines Gedankens beim Mailversand verschwende, weil es einfach so vollkommen offensichtlich ist, dass das Thema keine Rolle spielt. Wenn ich ausnahmsweise tatsächlich darüber nachdenke, komme ich regelmäßig zu dem Ergebnis, dass ein BCC nicht notwendig ist. Ich kann mich ehrlich gesagt an keinen Fall erinnern, in dem ich aus datenschutzrechtlichen Gründen im Ergebnis ein BCC für notwendig erachtet hätte. Das ist im B2B-Geschäft kein Einzelschicksal, sondern vollkommen normal. Ausnahmen hatte ich schon genannt. Im B2C sieht das etwas anders aus, aber auch da gibt es mehr als genug Vorgänge für die es nicht anders als bei den Kollegen im B2B-Geschäft aussieht. D.h. wenn man für einen logischen Moment über einen „default BCC“ geht (was du beschreibst, und durchaus richtig ist), landet man - abgesehen von beschriebenen Ausnahmen - mit schöner Regelmäßigkeit bei der Zulässigkeit eines CC, und daher bleibe ich dabei, dass die Aussage, dass BCC (als Ergebnis einer entsprechenden Prüfung) „grundsätzlich notwendig wäre“, falsch ist.

BTW: Ich kann mich dann an genau einen Fall (vor DSGVO) erinnern, in dem die etwas fragwürdige Nutzung einer Mailadresse mal zu Ärger geführt hat. Und da ging es um eine querulatorische Mitarbeiterin eines Unternehmens, die schon gekündigt war, und damit allen Beteiligten ein kleines „Abschiedsgeschenk“ mache wollte. Da durfte ich dann ein kleines Briefchen an die Behörde schreiben, und das Thema war erledigt).

Schade. Ich dachte immer, es ginge grade um Diskussion.

Nunja, muss halt jeder selber wissen.

Nein. Vom Gesetz und dem Gedanken, der dahinter steckt. Und den in den Links besprochenen Fälle. Und dem grade hier im Thread besprochenen Fall.

Wie oft das in deinem Alltag vorkommt unterscheidet sich offensichtlich von meinem, ich habe es ungefähr ein halbes dutzend Mal erlebt. Wobei es sich nur in einem Fall um eine Privatperson gehandelt hat, bei den anderen Fällen um eine professionelle Person, die so was eigentlich hätte wissen müssen (und die ich auf ihren Fehler aufmerksam gemacht habe).

Dass es bei der überwiegenden Zahl von Mails kein Problem ist, sagt aber gar nichts darüber aus, ob es hier nun ein Verstoß ist oder nicht. So wenig, wie die überwiegende Zahl legaler Handlungen die grundsätzliche Aussage widerlegen können, dass Diebstahl eine strafbare Handlung ist.

Aber sei’s drum. Ich bin hier jedenfalls raus.