Gelöschte E-Mail-Adressen in der Outlook-AutoVervollständigen-Liste bleiben ein Datenschutzrisiko
Eine unscheinbare Funktion in Microsoft Outlook kann Organisationen jeder Art in ein ernstes Datenschutzproblem führen: die AutoVervollständigen-Liste. Wer glaubt, eine E-Mail-Adresse durch Löschen aus dem CRM oder einem anderen System vollständig entfernt zu haben, irrt. Das BayLDA hat im Tätigkeitsbericht 2025 konkrete Verstöße dokumentiert und klargestellt, welche Anforderungen sich daraus für Verantwortliche ergeben.
Das BayLDA stellt klar: Ist die E-Mail-Adresse einer betroffenen Person gemäß Art. 17 Abs. 1 DS-GVO zu löschen, so ist diese auch aus der AutoVervollständigen-Liste in Microsoft Outlook zu entfernen.
Im Berichtszeitraum hat das BayLDA Beschwerden von betroffenen Personen erhalten, die rügten, per E-Mail kontaktiert worden zu sein, obwohl ihre personenbezogenen Daten und damit auch die verarbeiteten E-Mail-Adressen gemäß Art. 17 Abs. 1 DS-GVO bereits hätten gelöscht sein müssen.
Im Verlauf dieser Verfahren stellte die Datenschutzbehörde fest, dass die Verantwortlichen zwar teilweise ihrer Löschpflicht nach Art. 17 DS-GVO nachgekommen waren, die E-Mail-Adresse der betroffenen Person jedoch nicht aus der AutoVervollständigen-Liste in Microsoft Outlook entfernt hatten. Durch die automatische Vervollständigung der Adresse im An-, CC- oder BCC-Feld kam es in der Folge zu einem Versand an die betroffene Person, weil dem Absender beim Versenden nicht auffiel, dass eine bereits gelöschte E-Mail-Adresse autovervollständigt und ausgewählt worden war.
Das BayLDA stellt fest: Ist ein Verantwortlicher gemäß Art. 17 Abs. 1 DS-GVO zur Löschung einer E-Mail-Adresse verpflichtet, muss er sicherstellen, dass diese im Rahmen des Löschprozesses auch aus der AutoVervollständigen-Liste in Microsoft Outlook entfernt wird. Geschieht dies nicht, ist die weitere unbewusste Verarbeitung datenschutzrechtswidrig.
Die Datenschutzbehörde empfiehlt Verantwortlichen, die AutoVervollständigen-Liste als Datenquelle in das Löschkonzept aufzunehmen – ebenso wie etwa E-Mail-Verteiler – damit eine vollständige Löschung personenbezogener Daten sichergestellt ist. Alternativ kann die AutoVervollständigen-Funktion in Outlook deaktiviert werden (Datei → Optionen → E-Mail → Nachricht senden) oder die Liste vollständig geleert werden.
Die dem BayLDA vorliegenden Verfahren wurden nach Ermessensausübung mit der Feststellung eines Verstoßes, jedoch ohne Maßnahme gemäß Art. 58 Abs. 2 DS-GVO, abgeschlossen.
Unsere Empfehlungen
Unternehmen / KMU
Das Löschkonzept sollte die AutoVervollständigen-Liste in Microsoft Outlook explizit als Datenquelle aufführen. Bei jedem Löschvorgang nach Art. 17 DS-GVO ist die betreffende Adresse dort manuell zu entfernen. Ergänzend empfiehlt sich eine Richtlinie im Onboarding der Mitarbeitenden, die auf diese oft übersehene Quelle hinweist. Als organisatorische Maßnahme kann die Funktion zentral per Gruppenrichtlinie deaktiviert oder die Liste in regelmäßigen Abständen geleert werden.
Behörden / öffentliche Stellen
Öffentliche Stellen unterliegen denselben Löschpflichten nach Art. 17 DS-GVO und haben darüber hinaus häufig spezifische Aufbewahrungsfristen aus Fachgesetzen zu beachten. Nach Ablauf dieser Fristen ist auch die AutoVervollständigen-Liste zu bereinigen. Da Outlook in vielen Behörden zentral über Active Directory oder Microsoft 365 verwaltet wird, lässt sich die Deaktivierung der Funktion per Gruppenrichtlinie behördenweit steuern. Die zuständige IT-Stelle sollte diesen Punkt in die bestehenden Datenschutzprozesse aufnehmen.
Gesundheitseinrichtungen
Arztpraxen, Kliniken und andere Gesundheitseinrichtungen verarbeiten besondere Kategorien personenbezogener Daten nach Art. 9 DS-GVO. Ein versehentlicher E-Mail-Versand an eine gelöschte Patientenadresse stellt nicht nur einen Verstoß gegen Art. 17 DS-GVO dar, sondern kann gleichzeitig eine meldepflichtige Datenschutzverletzung nach Art. 33 DS-GVO auslösen. Das Praxisverwaltungssystem und Microsoft Outlook müssen daher im Löschkonzept gemeinsam betrachtet werden. Die Datenschutzbehörde empfiehlt die vollständige Deaktivierung der AutoVervollständigen-Funktion in allen Arbeitsplätzen mit Patientenkontakt.
Kanzleien / Freiberufler
Rechtsanwältinnen und Rechtsanwälte sowie andere Berufsgeheimnisträger sind besonders gefordert. Ein versehentlicher Versand an eine gelöschte Mandantenadresse kann neben dem Datenschutzverstoß auch berufsrechtliche Konsequenzen nach sich ziehen. Da Mandatsakten nach Abschluss eines Mandats gelöscht oder archiviert werden, muss die Bereinigung der Outlook-AutoVervollständigen-Liste fester Bestandteil des Mandatsabschlussprozesses sein. Dies gilt besonders bei Personalwechsel innerhalb der Kanzlei.
Quelle: Bayerisches Landesamt für Datenschutzaufsicht
Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Art. 17 DS-GVO – Recht auf Löschung (Recht auf Vergessenwerden)
- Meldung von Datenschutzverletzungen nach Art. 33 DS-GVO
- Nachweis der Datenlöschung – So dokumentieren Sie korrekt
- Datenschutzrisiko E-Mails – Was Unternehmen wissen müssen
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking – Blickschutz hilft
Dieser Absatz enthält Affiliatelinks/Werbelinks