Man stelle sich mal vor: Ein:e Yogalehhrer:in verschickt ein E-Mail, worin sie die Empfänger auf ein von ihr angebotenes Webinar über gesunde Lebensweise aufmerksam macht. Wer daran teilnehmen will, solle sich per E-Mail bei ihr melden. Die Empfänger sind zum Teil aktuelle und ehemalige Teilnehmer von Yogakursen der:s Yogalehrer:ins sowie im Internet zusammengesuchte E-Mail-Adressen von vermuteten Soloselbständigen, die in der Nähe der Yogaschule ansässig sind.
Die E-Mail-Adressen stehen nicht im BCC-Feld des E-Mails, sondern im AN/TO-Feld des E-Mails.
Klar. Das soll man so nicht machen.
Die:r Yogalehrer:in verschickt gleich, nachdem sie das Missgeschickt bemerkt hat, ein E-Mail an den selben Verteiler - diesmal im BCC - mit der Bitte, die E-Mail-Adressen der anderen Adressaten nach Möglichkeit zu löschen, auf jeden Fall aber nicht zu verwenden.
Wie gesagt: Das Szenario ist rein theoretisch, weil mich folgende Frage interessiert:
Welches Risiko soll sich auf dem offenen E-Mail-Verteiler für „die Rechte und Freiheiten“ einer davon betroffenen Person ergeben?
„Risiko 0“: Falls eine:r der Empfänger:innen eine:n der anderen Emfpänger:innen anhand der E-Mail-Adresse identifzieren kann, kennt sie:r nun die E-Mail-Adresse dieser Person.
„Risiko 1“: Eine:r der Empfänger:innen könnte einer:m anderen Empfänger:in unverlangt ein E-Mail schicken.
„Risiko 2“: Jede:r Emfpänger:in weiß nun, dass alle anderen Empfänger:innen wissen, dass diese Information an sie:r verschickt wurde.
Unangenehm und unerwünscht ist es sicherlich, wenn Dritte meine E-Mail-Adresse in Erfahrung bringen. Die kann ich ebenso vertraulich behandelt wissen wollen wie meine Telefonnummer oder meine Wohnanschrift.
Ob allerdings Rechte oder gar Freiheiten betroffen sind, erscheint mir eher zweifelhaft. Denkbar wäre zwar, dass einer, dessen E-Mail-Adresse jetzt Dritten bekannt ist, den Yogalehrer für einen entstandenen Schaden haftbar machen möchte. Aber welcher Schaden soll das sein und wie hoch wäre er?
Alle genannten Folgen („Risiken“) treten ein. Aus eigener Erfahrung kann ich ein tatsächliches Risiko hinzufügen:
Risiko 4: Eines der adressierten Email-Konten kommt der Nutzer:in abhanden („wird gehackt“) und alle Adressen auf der Rundmail werden jahrelang gezielt und personalisiert mit Malware bespamt.
Es kommt immer auf die Umstände der Betroffenen an.
Ich habe schon einen offenen eMail-Verteiler bei einer politischen eMail gehabt.
In dem Verteiler waren etliche Privatpersonen (meine Aktivisten-Adresse, die ich allein für Politisches verwende), aber auch ganze NGO-Verteiler, politische Gremien, Amtsträger mit Dienstadresse (u.a. Bürgermeister, Stadträte, diverse Dezernenten), teils sogar diese mit Privatadressen.
Jeder konnte sich alle diese Adressen herauskopieren und jederzeit für jeden Zweck weiterreichen.
Ich halte den möglichen Schaden einer hypothetischen offenen Verteilung für unabsehbar groß, aber Geschädigte müssten ihn natürlich zumindest vortragen, ggf. nachweisen.
Stopp. Bevor die Diskussion in eine nicht beabsichtigte Richtung abdriftet: Mir geht es nicht um die Fälle, wo eine der betroffenen Personen vermeintlich oder tatsächlich einen Schaden erleidet.
Mir geht es um die ex ante Sicht der:s Yogalehrer:in. Sie:r muss ja bei so einer „Datenpanne“ abschätzen, ob ein meldepflichtiger Datenschutzverstoß vorliegt. Vom Grundsatz her ist jede Datenpanne meldepflichtig, es sei denn, es besteht voraussichtlich kein Risiko. Kein Risiko – Achtung! Die DSGVO wurde von Juristen verzapft – heißt nicht Null-Risiko. Ein „Risiko“ besteht nach der Logik des Datenschutzrechts erst, wenn nach Schwere und Eintrittswahrscheinlichkeit eine Gefahr für die Rechte oder die Freiheiten einer betroffenen Person besteht.
Auch mal andersherum aus der Sicht der Datenschutzaufsichtsbehörden betrachtet: Wollen die wirklich, dass denen jedes Rundmail gemeldet wird, das – außerhalb einer rein privaten Kommunikation – versehentlich mit Verteiler im TO-Feld versendet wurde?
Ja, das ist aber allgemein nicht abschätzbar, also nach Deiner Formulierung immer meldepflichtig, weil das Ausbleiben von Risiko nicht abzusehen ist:
„meldepflichtig, es sei denn, es besteht voraussichtlich kein Risiko“
Das meinte ich aber eh’:
Die kann der Absender gar nicht (umfänglich) kennen.
Die von mir genannten Variante ermöglicht gezieltes Phishing, das kann schon eine Gefahr darstellen. Allerdings ist mitursächlich dafür ein weiterer Datenschutzverstoß („Hack“ des Mailkontos) und der müßte als zurechenbar angesehen werden.
Außerdem dürfte es auf die Art der Rundmail ankommen - bei der Yogalehrerin ist das möglicherweise anders zu sehen als bei einem Arzt, wo indirekt besonders schützenswerte Daten (Gesundheit) betroffen sind. Also wenn das in einer Gruppe der Anonymen Alkoholiker passiert, würde ich die Meldepflicht aufgrund der Wertung in Art. 9 DSGVO eindeutig bejahen, bei Ärzten und anderen zur Berufsverschwiegenheit verpflichteten Berufen auch - und zwar unabhängig davon, ob ein Schaden nachweisbar ist. Oder wolltest Du die Diskussion auf Yoga beschränken?
Nehmt mal die anonymen Alkoholiker oder den Arzt oder den Verteiler einer politischen Aktion raus aus dem Betrachtungsschema. Nicht ohne Grund hab ich sowas unverfängliches wie 'ne:n Yogalehrer:in genommen. Also: Die Nachricht, die mit offenem Adressatenverteiler versendet wurde, soll inhaltlich völlig unverfänglich sein.
Und – na klar – es kann immer im Einzelfall besondere Umstände geben, die es für eine:n bestimmte:n Empfänger:in total unangenehm machen, dass sein:ihre E-Mail-Adresse offengelegt wurde.
Aber, es kommt ja für die:n Versender:in darauf an, ob „voraussichtlich“ ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht – also darauf, was die:r Versender:in „voraussehen“ kann.
Bei solchen Mailverteilern wird man ziemlich sicher davon ausgehen dürfen, das die Mails durch Mailprovider verarbeitet werden, die sich in Drittstaaten, ohne entsprechendem Datenschutzniveau, befinden.
Oder das die Mailadressen (Adressbuch) automatisiert mit einem solchen Anbieter geteilt werden.
Dazu kommt noch, das Mailadressen regelmäßig von infizierten Geräten abgegriffen und verkauft werden (SPAM, Phishing, etc.).
Reale Risiken, die mMn. ausreichend sind, um eine Meldepflicht zu anzunehmen.
Nachtrag:
Das in dem geschilderten Szenario, die Löschaufforderung vollumfänglich umgesetzt wird, ist auch nicht zu erwarten. Das Risiko lässt sich damit realistisch nicht zeitlich begrenzen.
Jetzt vertauschst Du plötzlich die Vorzeichen – und genau die sind das Problem!
Zuerst formulierst Du
also positiv: ob … vorliegt.
Dann aber
also negativ: keine Schwere und Eintrittswahrscheinlichkeit für eine Gefahr für die Rechte oder die Freiheiten besteht.
Nun aber formulierst Du wieder
also positiv: ob „voraussichtlich“ … besteht.
Grundsätzlich kann nur (Expertise und Information vorausgesetzt) positiv erkannt werden. Negativ lässt sich nicht erkennen.
Niemand kann – bei aller unwahrscheinlichen Hellsichtigkeit – kein Risiko bestätigen.
Unabhängig davon, wie harmlos Du den Fall konstruierst:
Wenn ich Dir (nur Dir) eine eMail schicke, in der irgendetwas steht, das für „normale“ Menschen völlig harmlos scheint, kann ich dennoch nicht davon ausgehen, daß das für Dich kein Risiko bedeutet, denn, Du könntest eine psychische Krankheit haben (von der ich nichts weiß oder die ich nicht kenne), infolge der Du so getriggert wirst, daß Du aus dem Fenster springst. Und nun?
Wie schon @haderner schrieb. Ja. „Offener E-Mail-Verteiler“ ist ein sehr häufig auftretender Sachverhalt bei Datenpannen-Meldungen.
Ich möchte als betroffene Person selbst bestimmen, wer meine E-Mail-Adresse bekommt und mit mir darüber kommunizieren darf! Es besteht also das Risiko einer unerwünschten Kontaktaufnahme durch andere Personen.
Potentiell „Schaden“ durch erhöhtes SPAM- und Schadsoftware-Aufkommen möglich, wenn bei einem Empfänger aus der Liste mal ein entsprechender Virus zuschlägt…
Das ist aber – um im Sprachgebrauch der Datenschutzgrundverordnung zu bleiben – kein ernsthaftes Risiko für Deine Rechte oder Deine Freiheiten. Zumal sich dieses „Risiko“ erst dadurch konkretisiert, dass eine der Personen, denen Deine E-Mail-Adresse offenbart wurde, ohne berechtigtes Interesse Kontakt zu Dir aufnimmt. Da muss also noch ein weiterer Datenschutzverstoß hinzukommen.
Dazu müssen sogar gleich zwei weitere Datenschutzverstöße hinzukommen: Erstens muss ein Empfänger Deine E-Mail-Adresse „einfach so“ – d.h. ohne berechtigtes Interesse – speichern. Zweitens muss er sein System „unsicher“ konfiguriert haben.
Von daher: Der offene E-Mail-Verteiler ist gewiss ein Verstoß gegen die Datenschutzgrundverordnung. Aber dass er ein meldepflichtiger Verstoß ist, das hängt sehr von den Umständen des Einzelfalls ab.
Eine „Verletzung des Schutzes personenbezogener Daten“ ist grundsätzlich meldepflichtig.
Dieser Nachweis kann nur im konkreten Einzelfall und unter Kenntnis der Umstände geführt werden.
Deine Argumentation: „Es muss wahrscheinlich ein Risiko bestehen, damit eine Meldepflicht besteht“, stellt eine Beweislastumkehr dar, die sich so nicht aus der DSGVO herleiten lässt (imo).
Du scheint hier den Risikobegriff falsch zu interpetieren. Ein Risiko bedeutet nicht, dass der Sachverhalt so tatsächlich immer eintritt, sondern nur, dass er eintreten KÖNNTE.
Jede Person, die durch den offenen E-Mail-Verteiler angeschrieben wurde, hat die E-Mail-Adressen in ihrem E-Mail-System gespeichert, bis sie die Mail löscht. Wenn eine solche Person Kontakt zu einer der anderen Empfänger aufnimmt, stellt dies nicht unbedingt einen Datenschutzverstoß dar, denn für Privatpersonen gilt die DSGVO nicht…