Mehr als 150 Journalistinnen und Journalisten berichten rund um die Uhr für Sie über das Geschehen in Deutschland und der Welt.
Zum journalistischen Leitbild von t-online.Datenschutzverstoß Impfzentrum packt 1.494 Empfänger sichtbar in Absagemail
Nach dem Impfstopp mit dem Wirkstoff von Astrazeneca mussten die Impfzentren in Windeseile die betroffenen Impfkandidaten informieren. Im südlichen Ruhrgebiet ist das schiefgegangen.
Hat jemand auf "Allen antworten" geklickt? Das Impfzentrum Ennepe-Ruhr hat am Montag eine Mail an 1.494 Empfänger verschickt – alle standen sichtbar im "An"-Feld der E-Mail. Einer der Empfänger machte die Datenschutzpanne im Netzwerk Jodel öffentlich.
Großes Ärgernis ist, dass in Ennepetal zumindest bis kommenden Sonntag nur Menschen über 80 geimpft werden können. Pro Tag wurden zusätzlich 250 bis 280 Termine für Personal von Kitas und Grundschulen und an weitere Berufsgruppen vergeben, die in der Impfpriorität vorgezogen worden sind. Kreisverwaltung und Impfzentrum hatten sogar ein Video produziert, um unter diesen Menschen für den ungeliebten Astrazeneca-Impfstoff zu werben. Termine waren abgesagt worden oder Impfkandidaten nicht erschienen.
"Sammelmails über Buchungssystem"
Nun musste das Impfzentrum seinerseits die Astrazeneca-Impftermine absagen – und tat das mit der peinlichen Mail. Alle Empfänger haben jetzt alle Adressen. Ein Sprecher der Kreisverwaltung bestätigte t-online das Missgeschick: Beim Bemühen, die Betroffenen schnell zu informieren, habe eine Mitarbeiterin die Adressen ins falsche Feld kopiert.
Zunächst habe der Versand mit einem anderen Mailprogramm nicht funktioniert, beim Wechsel zum anderen sei der Fehler unterlaufen. "Das ist passiert, das soll nicht passieren, und wir können nur um Entschuldigung bitten." Aus der Verwaltung heißt es, die Panne sei ausgerechnet einer Mitarbeiterin passiert, die sich bei dem Thema sehr stark engagiere. Landrat Olaf Schade (SPD) dazu: "Ohne ihren unermüdlichen Einsatz, ihre Ideen und ihre Kenntnisse stünde das Impfzentrum heute nicht da, wo es steht. Wo an sieben Tagen in der Woche so engagiert gearbeitet wird, da passieren leider auch mal Fehler."
Der Kreis ist zuständig für die organisatorischen Abläufe im Impfzentrum. Er hatte auch mit dem Unmut von Senioren zu kämpfen, die durch das Buchungssystem der Kassenärztlichen Vereinigung dutzendfach zu Terminen erschienen, die längst vergeben waren.
Bußgeld bei Verstößen möglich
Nun geht es um die Adressen: Das Nutzen offener E-Mail-Verteiler kann einen Verstoß nach der Datenschutz-Grundverordnung darstellen. Bereits 2013 hatte der Bayerische Datenschutzbeauftragte ein Bußgeld gegen die Mitarbeiterin eines Handelsunternehmens verhängt. Die Frau hatte eine Mail verschickt, die ausgedruckt zehn Seiten lang war – neuneinhalb Seiten davon waren E-Mail-Adressen. Die Behörde kündigte damals an, künftig auch gegen die Unternehmensleitung ein Bußgeld zu verhängen – da die für das Thema offenbar nicht ausreichend sensibilisiert hatte.
Das Bcc-Feld hilft
Personenbezogene E-Mail-Adressen dürfen bei mehreren Empfängern ohne deren Einwilligung nicht in die Felder "An" oder "Cc" eingegeben werden. Dafür sollte das "Bcc"-Feld ( Blind Carbon Copy, also Blindkopie) genutzt werden. Das gilt nicht, wenn die Empfänger sich etwa kennen und gemeinsam an einem Projekt arbeiten.
Der aktuelle Fall dürfte die Landesdatenschutzbehörde von NRW (LDI) noch beschäftigen. "Nach Vorliegen aller relevanten Informationen sowie der Stellungnahme der verantwortlichen Stelle werden wir entscheiden, welche Maßnahmen zu treffen sind", erklärte ein Sprecher t-online.
Kein Bußgeld bei Behörden
Der Versand von E-Mails mit offenen Verteilerlisten ist dort immer wieder ein Thema, wie es im Jahresbericht 2019 hieß. "Ursache waren zumeist Irrtümer oder Nachlässigkeiten von Mitarbeitern, also menschliche Fehlhandlungen." Die datenschutzrechtliche Bewertung sei vom Einzelfall abhängig, so der Sprecher. "In der Regel weisen wir Verantwortliche auf den vorliegenden Datenschutzverstoß hin, sanktionieren jedoch nur in Ausnahmefällen." Gegen Behörden können nach dem Bundesdatenschutzgesetz auch keine Bußgelder verhängt werden.
Dabei kann Fehlverhalten auch Folgen für Privatleute haben: Ein Mann, der an einen Verteiler von Hunderten Empfängern im Adressfeld wütende Mails geschickt hatte, wurde vom Datenschutzbeauftragten von Sachsen-Anhalt für mehrere Fälle zu 2.628,50 Euro Bußgeld verdonnert.
Der Text wurde mit dem Zitat des Landrats und einer Stellungnahme der Datenschutzbehörde NRW sowie dem Hinweis aktualisiert, dass gegen Behörden keine Bußgelder verhängt werden.
- Eigene Recherchen
- Jodel: Beitrag zur Impfpanne
- Ennepe-Ruhr-Kreis: Corona: Impfen mit AstraZeneca ausgesetzt
- YouTube: Impfstoff AstraZeneca: "Lassen Sie sich bitte impfen!"
- Radio Ennepe-Ruhr: KV räumt Schuld für Panne am Impfzentrum ein
- Ennepe-Ruhr-Kreis: Corona: Kreisverwaltung entschuldigt sich für E-Mail Panne
- Bayerisches Landesamt für Datenschutzaufsicht: Bußgeld wegen offenen E-Mailverteilers (archiviert)
- Gesellschaft für Datenschutz e.V: Vorschlag für eine Handlungsempfehlung des Datenschutzbeauftragten
- dejure.org: Bußgeldvorschriften im Bundesdatenschutzgesetz
- mz-web.de: Merseburger muss für Wut-Mails über 2.000 Euro zahlen (Abo-Inhalt)
- ldi.nrw.de: 24. Datenschutz- und Informationsfreiheitsbericht der Landesbeauftragten für Datenschutz und Informationsfreiheit