Datenschutz betrifft nur Unternehmen oder Organisationen und Vereine? Nein. Der Landesdatenschutzbeauftragte von Sachsen-Anhalt hat jetzt ein Bußgeld in Höhe von 2.000,00 Euro gegen einen Privatmann verhängt.

Dieser verschickte E-Mails an über 100 Empfänger. Das Problem: Die E-Mail-Adressen waren alle in CC statt in BCC aufgelistet. Damit konnte jeder einzelne Empfänger die E-Mail-Adressen aller anderen Empfänger sehen und auch verarbeiten.

An diesem Beispiel kann man sehen, was passieren kann, wenn man sich nicht an die gesetzlichen Vorgaben hält. Ohne, dass man sich als Datenverarbeiter und damit Adressat der DSGVO verstehen würde.

Konkret werden dem Mann zehn Verstöße vorgeworfen. Diese sollen im Zeitraum zwischen Mitte und Ende Juli 2018 stattgefunden haben. In seinem E-Mail-Verteiler seien zwischen 131 und 153 personenbezogene Mail-Adressen erkennbar gewesen, heißt es im Schreiben der Behörde. Zwischen dem 10. August und dem 9. September seien bis zu 187 personenbezogene E-Mail-Adressen für jedermann im Verteiler offen einsehbar gewesen. Bei den Mails handelte es sich um Beschwerden, Stellungnahmen, Verunglimpfungen aber auch Strafanzeigen gegen die unterschiedlichsten Vertreter aus Wirtschaft, Presse, Kommunal- und Landespolitik. Der Inhalt der Mails war aber nicht Grund für die Geldbuße.

„Der Mann hat sich uns gegenüber immer wieder auf die Meinungsfreiheit berufen, aber diese gestattet keine solchen offenen Verteiler“, sagte der zuständige Landesdatenschützer von Sachsen-Anhalt, Harald von Bose, der Mitteldeutschen Zeitung. „Der Grund ist, dass dadurch ja Rechte Dritter berührt werden. Wir waren in dieser Sache sehr akribisch, haben jeden einzelnen Verstoß sehr genau aufgelistet, um das Ganze auch gerichtsfest zu machen, falls das nötig werden sollte. “

Nach Mitteilung der Datenschutzbehörde sei das Bußgeld und die Kosten des Verfahrens schon bezahlt worden. Aber der Mann macht wohl einfach weiter. Er soll nahezu täglich Mails mit zum Teil bis zu 1.600 im Verteiler genannten E-Mail-Adressen verschicken. „Deshalb könnte es neue Bußgeldbescheide geben“, so von Bose.

FAZIT

Das Beispiel soll zeigen, dass man schneller in den Anwendungsbereich der Datenschutzregeln kommen kann, als man gemeinhin annimmt.

Zwar ist die DSGVO bei rein privater und familiärer Datenverarbeitung nicht anwendbar. Aber diese Privatheit wird sehr eng verstanden und damit umgekehrt sehr schnell verlassen.

In dem Beispiel verließ der Mann die rein private Datenverarbeitung durch die an eine Vielzahl ihm unbekannter Personen gerichteten E-Mails. Hätte er Mails an wenige ihm persönlich bekannte Personen geschickt, wäre die DSGVO nicht anwendbar gewesen. Aber der Umfang der in den öffentlichen Bereich gerichteten Nachrichten geht über die rein private und familiäre Datenverarbeitung weit hinaus. Ebenso wäre beispielsweise zu entscheiden bei Datenschutzverstößen in einer Facebook-Gruppe oder einer WhatsApp-Gruppe, die nicht ausschließlich aus persönliche bekannten Personen bestehen.