HMDATA Datenschutz-Newsletter 09/21

E-Mail falsch verschickt, bemerkt ... und nun?

HMDATA Datenschutz-Newsletter 09/2021, Autor: Dipl.-Ing. (FH) Harald Müller-Delius, MBA, ©HMD 2024

Es ist ja kein neues Thema, aber jeder, der noch immer nicht die Auto-Vervollständigen-Funktion von Outlook deaktiviert hat (was dringendst zu empfehlen ist) tappt über kurz oder lang in die Falle: 5-Sekunden-Durchschnaufregel nicht beachtet und weg ist die E-Mail an den falschen Empfänger. Wohl dem, der's bemerkt.

Ab dem Zeitpunkt des Fehlversandes tickt die Uhr:

  1. a) der (falsche) Empfänger meldet sich von alleine (s. Newsletter "Aufgedrängt und ungefragt: fremde personenbezogene Daten erhalten?") und bestätigt unkompliziert die Gegenstandslosigkeit des Fehlversandes (oder aber eskaliert je nach Inhalt datenschutzrechtlich)
  2. b) man bemerkt es und stellt fest, dass es sich um eine meldepflichtige Datenpanne handelt (s. Umgang mit Datenpannen), dann ticken die 72 Stunden der behördlichen Meldefrist und die konforme Bearbeitung der Datenpanne
  3. c) man bemerkt es und stellt (unter Zuhilfenahme datenschutzrechtlicher Beratung) fest, dass der Inhalt keine datenschutzrelevanten Daten über einen Betroffenen enthält.
  4. d) man bemerkt es selbst nicht und die Dinge nehmen - je nach Schwere der Datenpanne - ganz von alleine ihren Lauf

Option c) soll nun Gegenstand des Newsletter sein.

Was tun?

Man kann es aussitzen und darauf hoffen, dass dem Gegenüber der Erhalt mehr oder weniger egal ist, geschweige denn unbemerkt untergeht. Das mag in vielen Fällen eine korrekte, aber zweifelhafte Annahme sein. Man weiß allerdings nicht, wer der "Gegenüber" ist, da kommt die 50/500-Kunden-Regel in's Spiel: jeder 50ste wird also eine spitze Bemerkung zurückschreiben mit Hinweis auf dessen Datenschutzexpertise. Und jeder 500ste wird wutschnaubend die Vermutung verlauten lassen, wenn schon bei so einfachen Dingen bei der eigenen Firma der Datenschutz und die ITSicherheit nicht funktionieren, was dann der Rest der Firma für ein Saustall sei und das ja gar nicht ginge und sich daher verpflichtet fühlt, ordnungsgemäß eine Meldung bei der zuständigen Datenschutzbehörde anzuzeigen, da ihm sein Gewissen gar keine andere Option zuließe. Anmerkung für den verwunderten Leser: alles schon zigfach so vorgekommen und über meinen Schreibtisch gelaufen.

Der Zwiespalt, den es nun aufzulösen gilt ist: a) passiv: sitze ich es aus und wecke keinen schlafenden Hunde? b) aktiv: reagiere ich proaktiv und professionell?

Wer jetzt meint, wenn bei jeder falsch versendeten E-Mail ein Aufwand entstünde und daher gar nicht mehr zum arbeiten käme, solle sich überlegen, ob es nicht sinnvoller wäre, zuerst die Fehlerquote durch geeignete Maßnahmen radikal zu senken.

Insofern sollte Option b) allererste Wahl sein. Warum?

E-Mail-Fehlversand kommt bei jedem und alltäglich vor. Mit der richtigen Reaktion zeigt man nach außen ein professionelles Auftreten, bestätigt ein Qualitätsbewusstsein des Unternehmens, testatiert ein funktionierendes Fehlermanagementsystem und verdeutlicht vor allem, dass es zur Firmenkultur gehört, offen und transparent zu kommunizieren. Aus meiner Sicht ein sehr sympathisches Verhalten.

Lösung

Und wie immer, kein Problem ohne Lösung: anbei ein Beispieltext zur Kommunikation mit einem Empfänger nach Fehlversand.

Aber bitte beachten:

  1. a) jeder Fehlversand gehört zuerst datenschutzrechtlich betrachtet, ob eine Datenpanne vorliegt
  2. b) man prüfe vorab, ob die zu planende "Korrektur-E-Mail" nicht selbst eine Datenschutzverletzung produziert (also bitte nicht "Weiterleiten" oder "Antworten"
  3. c) es gilt, ständig die Maßnahmen zu prüfen, wie Fehlversand weitestgehend ausgeschlossen werden kann
  4. d) Qualitätsmanagement im E-Mail-Verkehr gehört zu den Standardaufgaben des täglichen Betriebsablaufes
  5. e) 5-Sekunden-Durchschnaufregel

Sehr geehrte/r ...,

durch [Grund des Fehlversandes], haben Sie von uns am [Datum des Fehlversandes], [Art der Mail] erhalten, die [Art des Inhaltes] zum Inhalt hatten.
Für diese Fahrlässigkeit bitten wir um Entschuldigung.
[Option: Wie Sie sich sicher vorstellen können, ist es uns äußerst unangenehm.]
[Option: Solche Vorgänge entsprechen in keiner Weise unserem Leitbild und unsrem hochwertigen Qualitätsanspruch im Datenschutz und der IT-Sicherheit].
Unser Datenschutzbeauftragter bestätigt darüber hinaus, dass es sich um [datenschutzrechtliche Behandlung] handelt. Die [Grund der Ursache] ist korrigiert, es wird zukünftig keine weitere E-Mail an Sie versendet.
Ausdrücklich handelte es sich [Auswirkungen auf den Betroffenen], Sie müssen [nichts weiter unternehmen] [folgende Tätigkeiten durchführen].
Falls Ihnen möglich, bitten wir um Löschung und Nichtweiterleitung der E-Mail.
Wir hoffen auf Ihr Verständnis. Wenn Sie zu dieser Angelegenheit noch Fragen haben, dann wenden Sie sich gerne jederzeit an uns oder unseren Datenschutzbeauftragten [Name, Mail].

Ihr
[Name des Verantwortlichen]
©2024 by Harald Müller-Delius. Dieser Text ist urheberrechtlich geschützt. Das Verwenden - auch in Auszügen - ist nur nach ausdrücklicher schriftlicher Genehmigung durch den Autor gestattet. Jede widerrechtliche Nutzung ist untersagt. Für diesen Text können Nutzungsrechte erworben werden, Anfragen zur Nutzung per E-Mail an hmd@hmdata.de