Ein Fehler mit Folgen: E-Mail-Adressen nicht im Bcc-Adressfeld eingetragen und deshalb für alle sichtbar: Bußgeld für das britische Verteidigungsministerium
Manchmal ist es ein Versehen; bei Mailversand „von Privat zu Privat“ aber häufig eine kaum auszurottende schlechte „Gewohnheit“: Der Versand von Nachrichten an einige bis sehr viele Adressaten mit einem offenen Blick für alle auf alle Empfänger*innen einer Nachricht.
Datenschutzprobleme bei einem offenen E-Mail-Verteiler
Liegt keine Einwilligung aller Empfänger*innen in einen offenen E-Mail-Verteiler vor, so ist eine Übermittlung aller E-Mail-Adressen an alle Adressat*innen rechtswidrig. Dies ist unabhängig vom Inhalt der E-Mail. Erschwerdend kann aber hinzukommen, dass dadurch alle Empfänger*innen der Mail im Bezug auf die jeweils anderen Adressat*innen auf persönliche oder geschäftliche Kontakte zum Absender schließen können. Aus dem Inhalt der Nachricht können zudem ggf. auch Rückschlüsse z. B. auf die politische Meinung oder den Gesundheitszustand der anderen Mail-Adressat*innen gezogen werden. Zudem können Endgeräte einzelner Empfänger*innen einer solchen Mail mit einer Schad-Software befallen sein, die den E-Mail-Verteiler sogleich nutzt, um sich an alle Adressaten weiter zu verbreiten.
Datenschutz-Aufsichtsbehörden in Deutschland haben die Verwendung offener E-Mail-Verteiler in der Vergangenheit wiederholt gerügt und auch sanktioniert, wie Beispiele aus Bayern (2013) und Sachsen-Anhalt (2019) zeigen.
Das ICO (Information Commissioner‘s Office), die unabhängige Behörde des Vereinigten Königreichs, die für die Wahrung der Datenschutzrechte zuständig ist, hat im Dezember 2023 in einem besonders problematischen Einzelfall ein Bußgeld i. H. v. 350.000 britischenPfund (= 407.000 €) gegen das britische Verteidigungsministerium verhängt. Was ging dem voraus?
Im September 2021 versandte die Abteilung für die Umsiedlung von afghanischen Ortskräften des britischen Militärs eine E-Mail an 265 afghanische Staatsangehörige, die für die Ausreise in Frage kamen. Dabei wurde nicht die BCC-Funktion verwendet, sodass die Empfänger offengelegt wurden. Diese Datenpanne kann lebensgefährliche Folgen für die betroffenen Ortskräfte haben, sollten die Taliban die E-Mail sehen. Während ihrer Untersuchung stellte die britische ICO fest, dass es im September 2021 zu zwei weiteren solcher Datenpannen kam, wobei im ersten Fall 13 und im zweiten Fall 55 E-Mail-Adressen offengelegt wurden. Insgesamt sind 265 individuelle Personen betroffen.
Das ursprünglich angesetzte Bußgeld umfasste 1 Mio. Pfund. Es wurde u. a. aufgrund der durch das britische Verteidigungsministerium ergriffenen Maßnahmen auf 350.000 Pfund reduziert.