Wer die Empfänger einer Rund-Mail nicht versteckt auf BCC setzt, sondern vielmehr für alle ersichtlich in der Empfängerzeile, verstößt gegen die DSGVO. Die Spanische Datenschutzbehörde hat daher ein DSGVO-Bußgeld iHv. 500,- EUR verhängt (Az.: EXP202104139).
Der Absender einer E-Mail-Nachricht hatte an 241 Empfänger eine Rundmail verschickt. Dabei waren die Adressen - für jeden ersichtlich - in der Empfängerzeile und nicht versteckt im BCC-Feld.
Dies stufte die Spanische Datenschutzbehörde als DSGVO-Verstoß ein und verhängte ein Bußgeld iHv. 500,- EUR.
Der Absender habe für keine ausreichende technische Datenverarbeitung gesorgt und daher Art. 32 DSGVO verletzt:
"Aus den Unterlagen in der Akte geht eindeutig hervor, dass der Beschwerdegegner gegen Artikel 32 der Datenschutz-Grundverordnung verstoßen hat, indem er eine E-Mail ohne Blindkopie an 241 Empfänger, einschließlich des Beschwerdeführers, versandte, eine Versammlung einberief und personenbezogene Informationen und Daten an Dritte weitergab.
Es sei darauf hingewiesen, dass die Datenschutz-Grundverordnung in der genannten Bestimmung keine Liste von Sicherheitsmaßnahmen aufstellt, die je nach den verarbeiteten Daten anzuwenden sind, sondern vielmehr festlegt, dass der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter technische und organisatorische Maßnahmen ergreifen müssen, die dem mit der Verarbeitung verbundenen Risiko angemessen sind, wobei der Stand der Technik, die Kosten der Umsetzung, die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie die Wahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten der betroffenen Personen berücksichtigt werden. (...)
In jedem Fall sind bei der Beurteilung der Angemessenheit des Sicherheitsniveaus insbesondere die Risiken zu berücksichtigen, die sich aus der Verarbeitung von Daten infolge einer zufälligen oder unrechtmäßigen Zerstörung, eines zufälligen oder unrechtmäßigen Verlusts oder einer zufälligen oder unrechtmäßigen Änderung der übermittelten, gespeicherten oder anderweitig verarbeiteten personenbezogenen Daten oder infolge einer unbefugten Weitergabe oder eines unbefugten Zugriffs auf diese Daten ergeben, was zu einem materiellen oder immateriellen Schaden führen könnte."