Beschwerden im Bereich der Parteienarbeit betreffen häufig das gleiche Problem: offene E-Mail-Verteiler.
Parteifunktionäre und deren Mitarbeiter informieren ihre Mitglieder aufgrund des dynamischen Politikgeschehens gerne auf schnellem Wege per E-Mail. Dabei werden E-Mails mit aktuellem politischem Inhalt oder auch mit internen Parteiangelegenheiten an eine Vielzahl von Empfängern versendet. In diesem Zusammenhang kommt es häufiger vor, dass die E-Mail-Adressen der Empfänger für alle anderen sichtbar im CC-Feld hinterlegt werden. Dies führt zwangsläufig dazu, dass sämtliche Empfänger Kenntnis von allen E-Mail-Adressen erhalten.
Aus datenschutzrechtlicher Sicht ist dieses Vorgehen problematisch. Die E-Mail-Adressen der Empfänger sind mit wenigen Ausnahmen grundsätzlich als personenbezogene Daten zu qualifizieren. Die Empfänger wiederum sind im Verhältnis zueinander als Dritte zu bezeichnen. Durch das Setzen der E- Mail-Adressen in das CC-Feld werden somit personenbezogene Daten an eine Vielzahl Dritter übermittelt.
Diese Datenverarbeitung kann auf keine Rechtsgrundlage gestützt werden. Insbesondere können die Parteimitglieder über aktuelle parteiliche Themen auch informiert werden, ohne dass ihre E-Mail-Adresse anderen Mitgliedern gegenüber offenbart wird. Die beschriebene Datenverarbeitung lässt sich leicht vermeiden, indem die E-Mail-Adressen der Empfänger in das BCC-Feld gesetzt werden und damit nicht sichtbar sind. Kritisch ist das Vorgehen aber auch deshalb, da in diesem Zusammenhang durch die E-Mail-Adresse Rückschlüsse auf die Parteizugehörigkeit ermöglicht werden. Die Verarbeitung personenbezogener Daten, aus denen die politische Meinung hervorgeht, ist nach Art. 9 Datenschutz-Grundverordnung (DSGVO) nur unter erschwerten Bedingungen zulässig, da es sich hierbei um besonders sensible und schützenswerte Daten handelt. Aufgrund des hohen Schutzbedarfs dieser Daten ist davon aus- zugehen, dass eine entsprechende Datenschutzverletzung zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt. In diesen Fällen ist der Verantwortliche nach Art. 33 DSGVO verpflichtet, die Datenschutzverletzung innerhalb von 72 Stunden, nachdem die Verletzung bekannt wurde, an die örtlich zuständige Aufsichtsbehörde zu melden. Die Datenschutzverletzung als solche sowie die unterbliebene Meldung nach Art. 33 DSGVO sind grundsätzlich bußgeldbewehrt.
Fazit/ Empfehlung:
Bei der Versendung von E-Mails an eine Vielzahl von Empfängern ist unbedingt darauf zu achten, dass die E-Mail-Adressen lediglich in das BCC-Feld, also nicht sichtbar für alle Empfänger, gesetzt werden. Sofern Parteien eine entsprechende Datenschutzverletzung durch Verwendung des CC-Feldes unterläuft, haben sie diese gemäß Art. 33 DSGVO innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde zu melden.
Quelle: LfDI Saarland
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks