In für BUCHHALTER & UNTERNEHMENSBERATER, für UNTERNEHMER, Steuer-Tipps für ALLE

Der Schutz personenbezogener Daten kann auch durch Privatpersonen bei der Nutzung offener Mailverteiler verletzt werden, wie jetzt ein Fall aus Sachsen-Anhalt zeigt. |

Bußgeld wegen Hunderter offener Mailadressen

Der Landesdatenschutzbeauftragte von Sachsen-Anhalt, Harald von Bose hat aus diesem Grund mehrere Bußgelder gegen einen Mann aus Merseburg verhängt, wie die Mitteldeutsche Zeitung berichtete. Der Mann habe im Zeitraum zwischen Juli und September 2018 wiederholt E-Mails an Hunderte Personen verschickt, ohne die E-Mail-Adressen im BBC zu verstecken.

Die E-Mails haben unter anderem Beschwerden, Stellungnahmen, sowie Strafanzeigen gegen Vertreter aus Presse, Politik und Wirtschaft enthalten. Die Inhalte allein seien zwar legitim gewesen, da E-Mail-Adressen jedoch als personenbezogene Daten gehandelt werden, sei der Umgang mit den Daten nicht rechtmäßig gewesen.

Bußgeld wegen offenen E-Mail-Verteilers

Laut des Berichts handelt es sich in der Summe der Bußgelder um einen Betrag von 2.628,50 EUR. Der Mann soll jedoch auch nach den Bußgeldern gegen die DSGVO verstoßen haben, indem er erneut E-Mails im offenen Verteiler verschickte. Ob es zu weiteren Maßnahmen kommt, ist abzuwarten. Der Fall lässt an der Wirksamkeit der Bußgelder zweifeln.

Aus datenschutzrechtlicher Perspektive wirft der Fall einige Fragen auf.

Sachlicher Anwendungsbereich DSGVO

Die DSGVO definiert in Art. 2 ihren sachlichen Anwendungsbereich und besagt dort in Abs. 2c, dass die Verarbeitung personenbezogener Daten durch natürliche Personen bei familiären und privaten Tätigkeiten von der Verordnung ausgenommen sind.

Der Mann handelte an sich zwar aus einem privaten, wenn auch eventuell teils politischen Interesse und nicht in einem geschäftlichen Zusammenhang, jedoch ist fraglich, ob ein Umfang von bis zu 1.600 E-Mail-Empfängern noch in diesem Bereich gefasst werden kann.

Was ist „privat“?

Juristische Kommentare zur DSGVO beschreiben unter anderem Folgendes: Die Auslegung des „familiären und privaten Bereichs“ sei zwar möglichst streng vorzunehmen, aber nicht unbedingt klein gefasst. So sei beispielsweise ein familiäres Verhältnis nicht nur eine tatsächliche Verwandtschaft oder Ehe, sondern es könne sich auch um eine Lebenspartnerschaft oder familienähnliche Freundschaften in Wohngemeinschaften handeln.

Der Bereich der persönlichen Tätigkeiten umfasse alles, was der eigenen Selbstentfaltung und Freiheitsausübung in der Freizeit bzw. im privaten Raum diene. Wichtig dabei ist, dass beispielsweise in sozialen Netzwerken oder generell im Onlinebereich die Nutzung von geschlossenen Kommunikationsgruppen ebenso unter den Ausnahmefall fällt, nicht jedoch, wenn ein Informationsaustausch im größeren Teilnehmerkreis stattfindet. Sobald Informationen einer unbestimmten Zahl von Personen zur Verfügung gestellt werden, sei die Grenze des persönlichen und familiären Bereichs in jedem Fall überschritten.

Damit der Ausnahmefall Anwendung findet, dürfe kein Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit gegeben sein. Außerdem von der Ausnahme ausgeschlossen seien nicht rein persönliche Zwecksetzungen wie z. B. politische, gemeinnützige, ehrenamtliche, religiöse oder kulturelle Zwecke.

Der Umfang der Datenverarbeitung sei bei der Ausnahmeregelung aus Art. 2 Abs. 2c DSGVO erst einmal nicht entscheidend, es zähle allein der familiäre und private Zweck. Dennoch könne eine sehr umfangreiche Datenverarbeitung auf eine mögliche Grenzüberschreitung in diesem Zusammenhang hinweisen. Solange der Datenverarbeiter die Daten nur selbst zur Kenntnis nehme, bestehe ein geringes Risiko für betroffene Personen. Jedoch besagt der Kommentar, dass, sobald die Daten der Öffentlichkeit zugänglich gemacht werden, der Bereich der familiären und persönlichen Tätigkeiten definitiv überschritten sei.