Wer kennt nicht die Situation: Stress, hoher Termindruck an allen Fronten, und schon ist es passiert – Mails gehen an falsche Adressen, möglicherweise sogar solche mit vertraulichem Inhalt. Dabei kann eine Verletzung des Schutzes personenbezogener Daten vorliegen die sogar meldepflichtig sein kann. Geeignete Maßnahmen können verhindern, dass es überhaupt zum Fehlversand kommt.
Die Datenschutz-Grundverordnung (DSGVO) fasst alle Fälle von Datenschutzverstößen unter dem Begriff „Verletzung des Schutzes personenbezogener Daten“ zusammen. Eine solche Verletzung, auch Datenpanne genannt, liegt vor, wenn personenbezogenen Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden,
- vernichtet, verloren oder verändert werden (egal ob unbeabsichtigt oder unrechtmäßig) oder
- wenn die Daten ungefugt offengelegt werden bzw. jemand unbefugten Zugang zu ihnen erhält.
Meldepflichtige Datenpannen
Liegt eine Verletzung des Schutzes personenbezogener Daten vor, muss die verantwortliche Stelle gemäß Art. 33 der DSGVO unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der Verletzung eine Meldung an die Aufsichtsbehörden abgeben. Dazu bietet beispielsweise der Bayerische Landesbeauftragte für den Datenschutz einen Online-Meldeprozess per Web-Formular an.
Die DSGVO verfolgt einen risikobasierten Ansatz: Verschiedene Pflichten treffen Verantwortliche nur, oder nur in bestimmter Form, wenn z.B. ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen vorliegt. Dass eine Verarbeitung keinerlei Risiko birgt, ist nicht denkbar. Art. 33 DSGVO ist daher so zu interpretieren, dass die Meldepflicht entfällt, wenn nur ein geringes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Bei der Ermittlung des Risikos spielt neben der Art der betroffenen Daten auch der Umfang eine Rolle: Wie viele Daten von wie vielen Personen sind betroffen? Beispiel: Ein fehlversandter Brief kommt ungeöffnet zurück. In diesem Fall besteht n der Regel ein nur geringes Risiko für betroffene Personen.
Datenpannen beim Fehlversand von E-Mails
E-Mail-Adressen allein zählen bereits zu den personenbezogenen Daten. Selbst wenn der Name nicht im Klartext enthalten ist, kann zumindest der Betreiber des Mailservers die Zuordnung zum Inhaber der Adresse herstellen. Im beruflichen Umfeld sind sogennante E-Mail-Signaturen üblich. Diese beinhalten regelmäßig eine Vielzahl personenbezogener Daten. Ein unverschlüsselter Mailversand stellt daher schon an sich ein Risiko dar, während eine Verschlüsselung im Normalfall eine Datenschutzverletzung verhindert.
Ein klassischer Fehlversand liegt vor, wenn unverschlüsselte E-Mails durch Unachtsamkeit an falsche Adressaten gehen. Zwar bieten weit verbreitete Mailclients wie Microsoft Outlook eine Rückholfunktion für E-Mails an, doch diese ist nur sehr selten wirksam. In den meisten Fällen bleiben die Mails aus technischen Gründen trotzdem in dem Postfach, in das sie versehentlich zugestellt wurden. Der Empfänger entscheidet nämlich selbst, ob sein Postfach Mails, die zurückgerufen werden, tatsächlich „zurückgibt“. Das Verfahren hat der Versender also nicht selbst in der Hand, daher kann er sich auf die Rückholfunktion nicht verlassen.
Geeignete Maßnahmen gegen Fehlversand
Wesentlich wirksamer ist es, sich die wichtigsten Ursachen für Fehler bewusst zu machen. Dabei steht an erster Stelle die Abkürzungsfunktion für Adressen (Autovervollständigung) im E-Mail-Programm. Je mehr Empfängeradressen ein Anwender eingetragen hat, desto mehr Varianten zeigen gängige Mailclients bei einer bestimmten Abkürzung des Empfängernamens an. In der Tageshektik kann es dann vorkommen, dass der falsche Empfänger ausgewählt wird. Je sensibler die Inhalte, desto größer kann in einem solchen Fall der Schaden sein. Daher ist es sehr wichtig, vor dem Klicken auf den Button (Senden) noch einmal sorgfältig zu kontrollieren, ob alle Empfänger tatsächlich erforderlich sind (Datenminimierung) und ob es sich um die richtigen Empfänger handelt (Vertraulichkeit). Eine weitere, wenn auch unbequeme Möglichkeit ist es, die Autovervollständigung abzuschalten.
Beispiele aus der Praxis
1. Ein Mitarbeiter sendet eine Antwort auf eine vertrauliche Anfrage „an alle Empfänger“. Mögliche Gegenmaßnahmen sind hier:
- Prüfen, wer überhaupt die Gruppe „an alle“ benötigt
- Festlegen, wer diese Adressgruppe für welche Zwecke nutzen darf
- Jede andere Nutzung nach Möglichkeit technisch verhindern
2. Ein Mitarbeiter sendet eine Massen-Mail an „Cc“ statt an „Bcc“. Gegenmaßnahmen:
- Vor dem Senden die gewählte Kategorie nochmals prüfen
- Arbeitsanweisung erstellen und sensibilisieren
3. Ein Mitarbeiter trägt zu viele bzw. die falschen Empfänger in „cc“ ein. Gegenmaßnahmen:
- Vor dem Senden nochmals prüfen
- Arbeitsanweisung erstellen und sensibilisieren
Fazit
Im Zusammenhang mit dem Versenden von E-Mails sind etliche Fälle denkbar, in denen es zu einem unzulässigen Versand von personenbezogenen Daten kommt. Daraus können meldepflichtige Datenpannen entstehen. Hier helfen nur Arbeitsanweisungen und Mitarbeiterschulungen, die immer wieder mögliche Fehler erklären und aufzeigen, wie sie sich vermeiden lassen.
Autor: Thomas Hofer, Akademischer Direktor am Rechtsinformatikzentrum der Ludwig-Maximilians-Universität München
