In den Empfänger- oder cc: Bereich einer E-Mail schnell mal alle einkopieren, die die gleiche Nachricht erhalten sollen. Häufige Vorgehensweise, aber allein schon aus "Netiquette"-Gründen nicht ratsam.
Wenn aus einem zu großen Verteiler aber ein Verstoß gegen die DSGVO wird, kostet das nicht nur Image sondern auch Geld. Diese Erfahrung musste Ende 2020 das Software-Unternehmen Qualitance mit Sitz in Rumänien machen.
Nun kann man darüber streiten, ob generell ein zu großer Empfängerkreis in E-Mails Grund für Beanstandungen aus Datenschutzsicht liefern kann. Zwar bin ich weder Jurist noch für eine Aufsichtsbehörde tätig, aber mein "gesunder Menschenverstand" flüstert mir, dass ein geschlossener Personenkreis, bei dem sich womöglich alle kennen und bereits in Kontakt stehen, nicht so sehr das Problem sein dürfte (Irrtum natürlich vorbehalten).
Im vorliegenden Fall (Quelle: GDPRhub) ist aber etwas passiert, was eigentlich Personalprozesse betrifft. Es wurden nämlich nicht einfach nur irgendwelche Mail-Adressen offenbart, sondern 295 Mailadressen von Personen, die sich über Webseite bzw. Online bei dem Unternehmen beworben hatten.
Und einigen Bewerbern dürfte es verständlicherweise nicht gefallen haben, dass jeder Empfänger die Mail-Adressen der anderen sehen konnte. Denn sie beschwerten sich darüber bei der Aufsichtsbehörde in Rumänien.
In ihrer Untersuchung stellte diese fest, dass ein Verstoß gegen Art. 32 DSGVO (angemessene technische & organisatorische Maßnahmen) vorlag und stellte den Bescheid über 4.867,50 LEI (was etwa 1000 Euro entspricht) aus.
Zudem wurde der Verantwortliche angewiesen, entsprechende Maßnahmen zu implementieren (inkl. Schulung/Training der Mitarbeiter und Kooperationspartner), um solche Verstöße in Zukunft zu vermeiden.
Technisches oder menschliches Versagen?
Die genauen Hintergründe sind aus den Informationen zum Vorfall leider nicht ersichtlich. Wurde die Mail manuell erstellt oder wurde bei der Implementierung einer "Antworten"-Funktion geschlampt, war es ein Schnittstellen-Fehler einer Software oder eine automatisierte cc: Funktion?
Hat die Plattform eines Auftragsverarbeiters versagt oder gar die interne Personalabteilung?
Alles nicht aus den vorliegenden Informationen herauszulesen.
So oder so - es lauern beim E-Mail Versand zahlreiche Fallstricke und besonders Personal-Verantwortliche sollten sich bei der IT lieber zweimal rückversichern, dass ihre Prozesse tatsächlich sicher sind.