Offene Mailverteiler
Verstärktes Homeoffice hat dazu geführt, dass noch mehr Mails verschickt werden als bisher. Häufig sind das Mails an mehrere Adressaten. Damit taucht das Problem der „offenen Mailverteiler“ auf.
Bei Mails an mehrere Empfänger gibt es drei Adress-Varianten
Wer dieselbe Mail an mehrere Adressaten schicken will, kann dies auf drei Weisen tun:
- Bei Variante 1 kommen die Mail-Adressen aller Adressaten in das „An-Feld“.
- Bei Variante 2 kommt nur die Mail-Adresse eines Adressaten in das „An-Feld“. Die Mail-Adressen aller anderen Adressaten werden in das „Cc-Feld“ eingetragen.
- Bei Variante 3 steht im „An-Feld“ ebenfalls nur die Maildresse eines Adressaten. Die Mail-Adressen aller anderen Adressaten werden in das „Bcc-Feld“ eingetragen.
Entscheidend ist: Wer kann was sehen?
Datenschutzrechtlich ist relevant, wer jeweils sehen kann, welche anderen Adressaten die Mail noch erhalten haben. Das macht einen erheblichen Unterschied bei den drei Varianten:
- Bei Variante 1 sehen alle Adressaten gegenseitig, wer die Mail sonst noch bekommen hat.
- Bei Variante 2 ist das im Ergebnis genauso. Sie macht zwar einen Unterschied zwischen dem „unmittelbaren Adressaten“ im „An-Feld“ und den anderen Adressaten im „Cc-Feld“. Diese erhalten nur eine Kopie der Mail an den unmittelbaren Adressaten. Das wirkt sich aber letztlich nicht aus: Jeder kann alle anderen Adressaten sehen.
- Bei Variante 3 ist das ganz anders. Denn „Bcc“ steht für „Blind Carbon Copy“. Das bedeutet, dass diese Empfänger nicht erkennen können, wer diese Mail sonst noch erhalten hat.
Jede Variante hat ihren legitimen Anwendungsbereich
Keine der drei Varianten ist von vornherein etwas Böses. Sie sind für unterschiedliche Situationen gedacht:
- Variante 1 passt beispielsweise, wenn mehrere Kollegen in einem Team gleichberechtigt an einem Projekt arbeiten. Sie kennen einander und jeder soll und muss alles sehen können, was die Teammitglieder einander schreiben.
- Variante 2 eignet sich zum Beispiel dann, wenn zwei Mail-Partner Informationen austauschen und dabei etwas ansprechen, das im konkreten Fall noch jemand wissen muss. Beispiel: Zwei Mitarbeiterinnen des Unternehmens besprechen etwas, das voraussichtlich zu Ausgaben für das Unternehmen führt. Selbst budgetverantwortlich sind sie aber nicht. Dann muss der Budgetverantwortliche wissen, was sie vorhaben. Deshalb erhält er eine „offene Kopie“.
- Variante 3 ist das Mittel der Wahl, wenn die Adressaten der Mail nichts miteinander zu tun haben und nichts voneinander wissen sollen. Klassisches Beispiel: Eine Marketing-Mail geht an alle Kunden eines Unternehmens.
Der Unterschied hat auch wirtschaftliche Bedeutung
Besonders dieses Beispiel macht klar, dass es bei der Wahl des richtigen Adressatenfelds nicht um eine datenschutzrechtliche Spitzfindigkeit geht. Wer beispielsweise beim Versand einer Marketing-Mail alle Kunden in das „An-Feld“ einträgt, legt den kompletten Kundenverteiler des Unternehmens für alle anderen Kunden sichtbar nach außen offen. Dasselbe gilt, wenn alle Kunden im „Cc-Feld“ stehen und im „An-Feld“ beispielsweise die eigene Mail-Adresse des Absenders. Das ist dann jeweils auch eine Datenschutzfrage. Unabhängig davon verletzt ein solches Vorgehen aber auch wirtschaftliche Interessen des Unternehmens in massiver Weise.
Mail-Adressen sind in der Regel personenbezogen
Warum ist es aber auch eine Datenschutzfrage? Das liegt daran, dass jedenfalls E-Mail-Adressen, die die Namen von Personen enthalten, personenbezogene Daten darstellen. Das gilt auch dann, wenn es sich um die dienstliche Adresse einer Person handelt, also nicht nur bei privaten Mail-Adressen.
Eine unbefugte Weitergabe verletzt den Datenschutz
Sind solche Mail-Adressen für einen anderen sichtbar, obwohl dies gar nicht notwendig ist, verletzt das den Datenschutz. Die Weitergabe der Mail-Adresse ist dann als unbefugt anzusehen.
Verstöße müssen der Datenschutzaufsicht gemeldet werden
Die Folgen für das betroffene Unternehmen sind ausgesprochen unangenehm. Die Datenschutz-Grundverordnung (DSGVO) sieht vor, dass Datenschutzverstöße grundsätzlich der Datenschutzaufsicht zu melden sind. Dafür gibt es auf den Internetseiten der Aufsichtsbehörden sogar eigene Meldeformulare.
Ausnahmen von dieser Meldepflicht gibt es nur dann, wenn nicht mit einer Beeinträchtigung berechtigter Interessen zu rechnen ist. Diese Ausnahmen greifen hier aber nicht. Denn niemand kann ausschließen, dass offene Mail-Adressen missbraucht werden, für was auch immer. Ein Beispiel hierfür wäre die Zusendung unerwünschter Werbung. Alle im Unternehmen sollten deshalb genau beachten, wie sie mit Mailverteilern korrekt umgehen.