Veröffentlicht von:
Datenschutzverletzungen beim Email-Versand - EINFACH vermeiden. So geht's.
- 2 Minuten Lesezeit
Die italienische Datenschutzaufsichtsbehörde hatte mit Bescheid vom 07. Juli 2022 gegen den Anbieter einer Gesundheitsapp ein enormes Bußgeld in Höhe von 45.000 Euro verhängt.
Dieser Fall ist ein Paradebeispiel für die Folgen eines unzureichenden Datenschutzes.
Was war passiert?
Ein Mitarbeiter des Unternehmens sendete eine E-Mail an 2.000 Nutzer und Nutzerinnen der App im Rahmen einer Informationskampagne. Dabei unterlief ihm der Fehler, dass er die Adressen der Empfänger nicht im Feld „BCC, sondern im „CC“ einfügte, sodass der Verteilerkreis offengelegt wurde. Dies führte dazu, dass jeder Empfänger der E-Mail auch die Adressen der anderen Empfänger einsehen konnte. In diesem Fall enthielt die E-Mail sogar Inhalte, die Gesundheitsdaten offenlegte.
Nachdem das Unternehmen die italienische Datenschutzaufsichtsbehörde über die Datenschutzverletzung informierte, leitete diese weitere Untersuchungen ein. Infolgedessen stellte die Datenschutzaufsichtsbehörde fest, dass das Unternehmen weitere Verstöße gegen Datenschutzgesetze begangen hatte. Besonders negativ viel dabei auf, dass von den Nutzern nach dem Herunterladen der App erwartet wurde, dass sie mit einem einzigen Klick die Nutzungsbedingungen des Dienstes zusammen mit dem Inhalt der Datenschutzerklärung akzeptieren.
Dies hinderte die Nutzer daran ihre Einwilligung zu den einzelnen Verarbeitungsvorgängen ihrer Daten gesondert zu erteilen. Zudem hatte das Unternehmen den Nutzern in der Datenschutzerklärung nur unzureichende Informationen über die Verarbeitung zur Verfügung gestellt, sodass sie auch gegen den datenschutzrechtlichen Grundsatz der Transparenz verstießen.
Was hätte das Unternehmen anders machen können ? Welche Konsequenzen folgten für das Unternehmen?
Im konkreten Fall wäre es bei einem Massen-Mailing erforderlich gewesen, die E-Mail-Adressen über das „BCC“-Feld zu versenden. Hinsichtlich der App hätte eine Datenschutzinformationen mit vollständigem Inhalt erfolgen müssen und die Möglichkeit bestehen müssen, sowohl die Einwilligung zu Nutzungsbedingungen und aus Datenschutzgründen notwendige Einwilligungen getrennt vornehmen zu können.
Die Datenschutzaufsichtsbehörde verhängte ein Bußgeld gegen das Unternehmen in Höhe von 45.000 Euro. Zudem wurde das Unternehmen verpflichtet, die Verarbeitung der Daten mit der DSGVO in Einklang zu bringen.
Wie können SIE solche Fehler vermeiden?
Um in Ihrem Unternehmen/Ihrer Behörde die rechtlichen Anforderungen des Datenschutzes zu erfüllen und die Verhängung eines solchen Bußgeldes zu vermeiden, sollten Sie sich vor allem mit folgenden Fragen beschäftigen:
- Welche konkreten rechtlichen Anforderungen gibt es?
- Haben Sie ausreichende technische und organisatorische Maßnahmen getroffen?
- Dokumentieren Sie die Einhaltung der gesetzlichen Pflichten?
- Passen Sie Ihre Maßnahmen bei Veränderungen entsprechend an?
Henning Koch, Rechtsanwalt (Wirtschaftskanzlei Ruhmann Peters Altmeyer PartG mbB) //
Fachanwalt für Arbeitsrecht // Fachanwalt für Informationstechnologierecht,
Behördlicher Datenschutzbeauftragter (TÜV) // Datenschutzbeauftragter (TÜV) //
Lehrbeauftragter an der Technischen Hochschule Mittelhessen (Studium Plus) und
Geschäftsführer der RPA Datenschutz + Compliance GmbH.
Sie können mir folgen auf LinkedIn
Hier hören Sie meinen Podcast.
Artikel teilen: