Offen einsehbarer Mail-Verteiler: Querulant muss DSGVO-Bußgeld zahlen

Ein Mann aus Merseburg hat fast täglich E-Mails an bis zu 1.600 E-Mail-Adressen verschickt. Es ging dabei um Beschwerden, Stellungnahmen, Verunglimpfungen, aber auch Strafanzeigen gegen die unterschiedlichsten Vertreter aus Wirtschaft, Presse, Kommunal- und Landespolitik. Anfang des Monats sind laut der Mitteldeutschen Zeitung bei den Behörden die Alarmglocken losgegangen. Der Grund ist der für alle einsehbare E-Mail-Verteiler des Mannes.

Einsehbare E-Mail-Adressen

Wer E-Mails an mehrere Personen gleichzeitig verschickt, kann zwischen zwei Varianten wählen: Entweder können die Adressen ins sogenannte BCC gepackt werden. Das bedeutet, dass alle Empfänger eine Blindkopie der Nachricht erhalten, ohne dabei einsehen zu können, wer noch Empfänger ist. Die zweite Variante – die CC – macht genau das Gegenteil: Jeder Empfänger kann offen sehen, an welche E-Mail-Adressen die Nachricht noch heraus ging. Der Mitteldeutschen Zeitung ist zu entnehmen, dass sich der Merseburger für die letzte Variante entschieden hat.

E-Mail-Adressen als personenbezogenen Daten

Bei E-Mail-Adressen handelt es sich nun aber um Daten, die laut der Datenschutzgrundverordnung personenbezogenen sind: Dabei ist es irrelevant, ob es sich bei der E-Mail-Adresse um eine Adresse mit dem vollen Namen des Empfängers handelt oder sich der Inhaber der Adresse eines Pseudonyms bedient. Jede E-Mail-Adresse ist einmalig und gehört einer bestimmten Person. Daher sind solche Adressen als personenbezogene Daten zu behandeln.

Die DSGVO wird laut Artikel 2 zwar nicht auf ausschließlich persönliche oder familiäre Tätigkeiten angewendet – hier handelt es sich aber nicht um eine solche Tätigkeit. Das Versenden der E-Mails an so einen großen Verteiler geht deutlich über das persönliche Umfeld hinaus.

Bußgeldbescheid

Wie Golem zu entnehmen ist, wurde dem Merseburger daher aufgrund der Datenschutzverstöße ein Bußgeld in Höhe von 2628,50 Euro auferlegt. Die Behörde ging der Mitteldeutschen Zeitung zufolge dabei sehr akribisch vor: Jeder Datenschutzverstoß vom 10. August bis zum 09. September 2018 wurde aufgelistet. Es seien bis zu 187 personenbezogene E-Mail-Adressen für jedermann im Verteiler offen einsehbar gewesen. Am 05. Februar 2019 wurde dem Merseburger schließlich der Bescheid zugestellt, der ihn bereits am 06. beglich. Allerdings hat der Mann zwischenzeitlich wieder gegen die DSGVO verstoßen: „Es stellt sich jedoch die Frage, wie wirksam bei dem Herrn ein solches Bußgeld ist. [...] Das Ärgerliche an der Sache ist, dass dadurch Kräfte und Zeit gebunden wird, die dann für anderes nicht zur Verfügung stehen“, heißt es dazu vom Landesdatenschützer Harald von Bose.