Zurück zur Übersicht
06.06.2021

Vertraulichkeit bei E-Mails

Vertraulichkeit bei Übermittlungen von E-Mails

Die Aufsichtsbehörden im Datenschutz werden regelmäßig mit der Frage der Vertraulichkeit bei der elektronischen Kommunikation konfrontiert. Hiervon betroffen waren unterschiedliche Bereiche der Verwaltung.

So wurden beispielsweise in einem Stellenbesetzungsverfahren Angaben zu den Bewerbern unverschlüsselt per E-Mail an Mitglieder eines beratenden Ausschusses übermittelt.

In einem weiteren Fall wandte sich eine Bürgerin an die Datenschutzaufsicht und beschwerte sich darüber, dass der Bürgermeister ihrer Wohnsitzgemeinde Informationen an Verwaltungsmitarbeiter sowie Mitglieder der Gemeindevertretung und Fachausschüssen so übermittelt hat, dass die Mailadressen aller Empfänger in das Feld „An“ eingetragen waren. Die Mailadressen konnten bestimmten betroffenen Personen zugeordnet werden, so dass es in der Folge zu ungewollten Kontaktaufnahmen kam.

Ähnlich stellte sich auch gemeldete Datenpanne dar. Hier ging es darum, dass eine Landesbehörde eine Rundmail an Firmenkontakte, die sich zuvor auf dem digitalen Vergabemarktplatz mit diesen Kontaktdaten registriert hatten, versandt hatte. Hierbei wurde die Verteilerart CC statt BCC genutzt, wodurch ca. 900 E-Mail-Adressen für alle Kontakte sichtbar waren. Zu berücksichtigen war dabei auch, dass viele der Mailadressen konkrete Namensangaben enthielten. Neben der von der Landesbehörde direkt an die Aufsichtsbehörde gemeldeten Datenpanne wurde sie auch von betroffenen Firmeninhabern hiervon in Kenntnis gesetzt.

Allen drei Beispielen ist gemeinsam, dass die notwendige Sorgfalt beim Umgang mit elektronischer Kommunikation nicht gewahrt wurde. So darf beispielsweise bei unverschlüsseltem E-Mail-Verkehr nicht unberücksichtigt bleiben, dass Personen die jeweilige E-Mail unbefugt mitlesen können.

Im Fall einer unverschlüsselten Kommunikation von Bewerberdaten wäre der Vertraulichkeit und Integrität (siehe Art. 5 Abs. 1 lit. f i. V. m. Art. 32 Abs. 1 DSGVO) nicht Rechnung getragen. Die betreffende Verwaltung gestand den Fehler ein. Mit den betroffenen Mitarbeitern wurde der Vorfall durch den behördlichen Datenschutzbeauftragten ausgewertet und das künftige Verfahren, wonach datenschutzkonforme Kommunikationsformen gewählt werden sollen, besprochen.

Bei der Übermittlung von E-Mail-Adressen, die einer bestimmten natürlichen Person zugeordnet werden können, bedarf es entweder einer entsprechenden Rechtsgrundlage oder einer vorliegenden Einwilligung. Beides lag in den genannten Fällen jedoch nicht vor. Es wurde deshalb die Empfehlung ausgesprochen, künftig beim Versenden einer E-Mail das Feld BC (Blindkopie) zu nutzen. Hiermit würde die Nachricht alle Empfänger erreichen, ohne dass der jeweilige Empfänger sehen kann, welche andere Personen diese E-Mail noch erhalten haben.

Quelle: LfDI M-V

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks