Free

Datenschutzverletzungen : E-Mail an die falsche Person versendet – schlimm?

Jeder (oder fast jeder) dürfte schon einmal aus Versehen eine E-Mail an den falschen Empfänger versendet haben. Der sächsische Datenschutzbeauftragte nennt in seinem Tätigkeitsbericht für 2019 Fehlversand bspw. per Post, Fax oder E-Mail als den am häufigsten gemeldeten Sicherheitsvorfall. Die Ursachen sind vielfältig. Sie reichen von Verwechslung der Empfänger aufgrund von Namensgleichheit bis zum „falschen“ Klick auf einen vom E-Mail-Programm vorgeschlagenen Empfänger (Autovervollständigung).

Lesezeit 4 Min.
Eine fokussierte Geschäftsfrau, die konzentriert an ihrem Laptop im Büro arbeitet, neben ihr Personalmanagement-Unterlagen und im Hintergrund ein Whiteboard mit Grafiken.

Ein ähnliches Bild zeichnen beispielsweise auch Aufsichtsbehörden aus Thüringen, Sachsen-Anhalt, Niedersachsen, Hessen, Brandenburg und Bayern in ihren Tätigkeitsberichten1. Es müssen nur dann Sicherheitsvorfälle an die Datenschutzaufsichtsbehörde gemeldet werden, wenn ein Risiko für die Rechte und Freiheiten für die betroffenen Personen besteht. Auch kleine Risiken lösen die Meldepflicht aus.

Bestehen indes keine Risiken, beispielsweise weil der irrtümliche Empfänger die Nachricht vernichtete und sich verpflichtete, das Wissen nicht zu benutzen, wird die Meldepflicht nicht ausgelöst. Deshalb dürfte das tatsächliche Ausmaß an Fehlversendungen höher sein.

Fehler passieren – na und?!

Man ist geneigt, den Fehlversand in die Kategorie der unvermeidlichen Fehler zu schieben. Unterstützt wird dieser Gedanke dadurch, dass nach Kenntnis des Autors bisher ein Fehlversand kein Bußgeld von einer Datenschutzaufsichtsbehörde nach sich zog.

Mit Art. 82 Datenschutz-Grundverordnung (DS-GVO) hat der Gesetzgeber einen Schadensersatzanspruch für immaterielle Schäden normiert. Deutsche Gerichte sind bisher zurückhaltend, Schadensersatzansprüche für immaterielle Schäden anzuerkennen. Insofern ist das Urteil vom 26.05.2020 (Az. 13 O 244/19) des Landgerichts Darmstadt bemerkenswert.

Der Kläger verlangte von einer Bank Schadensersatz, weil diese im Rahmen eines Bewerbungsverfahrens eine Xing-Nachricht falsch versendet hatte. In der Xing-Nachricht schrieb die Bank, dass der Gehaltswunsch über den für diese Stelle vorgesehenen 80.000 Euro plus variabler Vergütung läge. Der Empfänger der Nachricht erfuhr den Nachnamen, das Geschlecht, die Position, die Tatsache der Bewerbung bei der Bank und auch, dass der Gehaltswunsch zu hoch war. Das Gericht führte aus, dass durch die Kombination von Geschlecht, Nachnamen, Position und Branche eine Xing-Suche den Bewerber eindeutig identifizierte. Der Empfänger der Nachricht kannte den Bewerber und informierte diesen sowie die Bank über den Fehlversand. Nachdem der Bewerber aus dem Bewerbungsprozess ausgeschieden war, verklagte er die Bank. Das Gericht verurteilte – nicht rechtskräftig – die Bank unter anderem dazu, einen solchen Fehlversand zukünftig zu unterlassen und 1.000 Euro Schadensersatz plus Zinsen zu bezahlen. Eine Revision ist beim Oberlandesgericht Frankfurt anhängig.

Wird das Eis dünner?

Ausweislich des Erwägungsgrundes 146 DS-GVO soll der Schadensbegriff weit ausgelegt werden. In der juristischen Literatur wird diskutiert, welche Voraussetzungen an den immateriellen Schadensersatzanspruch zu stellen sind, um Bagatellansprüche auszuschließen, aber der wachsenden Kommerzialisierung von Daten und immateriellen Schäden wie Rufschädigungen angemessen begegnen zu können. Es finden sich gute Argumente, dass die bisherige restriktive Spruchpraxis nicht mit Art. 82 DS-GVO in Einklang steht.

Die juristische Literatur ist der Rechtsprechung in zeitlicher und damit auch in inhaltlicher Hinsicht enteilt. Erst mit dem Wirksamwerden der DS-GVO ab dem 25.05.2018 besteht der immaterielle Schadensersatzanspruch. Aufgrund der kurzen Zeitspanne landen erst in jüngster Zeit vermehrt Fälle vor Gericht und wandern langsam durch die Instanzen. Diese fehlende gefestigte Rechtsprechung wirkt auf nicht eingestellte Bewerber oder ehemalige Mitarbeiter wie eine Einladung.

Auch die Meldepflicht für Sicherheitsvorfälle besteht in der heutigen Form erst seit dem 25.05.2018. Damit ist 2019 das erste vollständige Jahr. Sollte sich der Fehlversand als häufigster Sicherheitsvorfall auch 2020 und in den Folgejahren herausstellen, stehen die Datenschutzaufsichtsbehörden vor der Frage, ob sie mehr Druck erzeugen müssen, um Unternehmen zur Prävention zu motivieren. Öffentlichkeitswirksame Bußgelder sind ein Mittel zur Motivation.

Eine berufstätige Frau in einem Zustand der Frustration und Erschöpfung an ihrem Schreibtisch, die zunächst einen Ausdruck von Stress zeigt, während sie auf ihren Laptop schaut, der mit Aufgaben im Bereich Humanressourcen zu tun hat, und dann ihren Kopf darauf stützt

Viele Verstöße = höheres Risiko

Fehlversand kann auch zu materiellen Schäden führen. Beispielsweise, wenn der falsche Bewerber eine Zusage erhält und daraufhin seine Stelle kündigt. Das Fehlverhalten des Unternehmens wäre kausale Ursache für die Kündigung, sodass eine Bedingung für einen Schadensersatzanspruch erfüllt wäre.

Je mehr Fehlversendungen in einem Unternehmen vorkommen, desto höher ist die Chance, dass es zu einer ungünstigen Fallkonstellation kommt. Ungünstig, weil ein Schadensersatzanspruch auch nach der bisherigen restriktiven Spruchpraxis gegeben ist oder weil die Fallkonstellation ideal für ein Bußgeld ist.

Die Zeit nutzen

Da das Eis dünner wird, bietet es sich an, die verbleibende Zeit zu nutzen, um die Ursachen für Fehlversendungen zu erfassen und abzustellen. Für HR liegt die besondere Herausforderung in der Vielzahl von Programmen und Kommunikationskanäle. Dabei sollten die verschiedenen Kommunikationskanäle wie E-Mail, Xing-Nachrichten, LinkedIn, SMS, Bewerbungsportal, Mitarbeiterportal, Chat und Brief untersucht werden, inwieweit sie Fehlversendungen begünstigen.

Fehlversand hat ganz verschiedene Ursachen. Mögliche Fehlerquellen sind beispielsweise Autovervollständigungen, unübersichtliche Listen von möglichen Empfängern und die fehlende Anzeige von eindeutigen Identifikationsmerkmalen. Der Autor hat die Erfahrung gemacht, dass Stressmomente Fehlversand stark begünstigen. Deshalb empfiehlt es sich, die Bedienung unter Stress in den Mittelpunkt der Analyse zu stellen. Stress entsteht bereits, wenn ein Mitarbeiter nur noch schnell diese eine E-Mail abschicken will, ehe das Meeting beginnt. Eine alltägliche Situation.

In einem zweiten Schritt sollten Mechanismen eingeführt werden, um das Risiko eines Fehlversands zu minimieren. Wenn keine technische Möglichkeit besteht, wäre das Mindeste, eine explizite Prüfpflicht des Empfängers auf Korrektheit verbindlich vorzuschreiben. Drohen dem Betroffenen hohe Risiken bei einem Fehlversand, sollte mindestens eine Vier-Augen-Prüfung stattfinden.

Dr. Niels Lepperhoff, Xamit Bewertungsgesellschaft mbH

1) https://www.saechsdsb.de/images/stories/sdb_inhalt/oeb/taetigkeitsberichte/Ttigkeitsbericht_2019_final.pdf 

Diesen Beitrag teilen: