Wer sieht eigentlich die anderen Teilnehmer? Outlook löst ein altes Datenschutzproblem
Ein Seminar, Webinar, Elternabend, Kundentermin oder eine Informationsveranstaltung steht an. Also schnell einen Outlook-Termin erstellt, 20 externe Personen eingeladen und auf „Senden“ geklickt. Das geht schnell, ist bequem und gehört in vielen Organisationen zum Alltag. Kaum jemand denkt dabei daran, dass genau dieser Vorgang datenschutzrechtlich problematisch sein kann.
Das Problem: E-Mail-Adressen sind personenbezogene Daten
E-Mail-Adressen gelten häufig als personenbezogene Daten. Werden die Teilnehmer einer Outlook-Einladung für alle sichtbar aufgeführt, können Eingeladene unter Umständen die E-Mail-Adressen aller anderen Teilnehmer sehen. Genau darin liegt das Risiko. Wer externe Personen einlädt, die sich untereinander nicht kennen, gibt möglicherweise personenbezogene Daten an Dritte weiter. Dafür braucht es grundsätzlich eine rechtliche Grundlage, etwa die Einwilligung der betroffenen Personen. Eine Kalendereinladung wirkt zunächst harmlos. Datenschutzrechtlich kann sie jedoch mehr sein als reine Terminkoordination.
Welche Möglichkeiten gab es bisher?
Wer dieses Risiko vermeiden wollte, hatte lange Zeit nur wenige praktikable Möglichkeiten. Man konnte Einwilligungen einholen, Termine einzeln versenden, auf Veranstaltungsplattformen ausweichen oder stattdessen eine E-Mail mit BCC nutzen. Im Alltag bedeutete das meist zusätzlichen Aufwand. Deshalb wurden Termine oft direkt über Outlook verschickt, ohne die möglichen Folgen näher zu betrachten.
Was kann bei einem Verstoß passieren?
Offene Empfängerlisten werden von Datenschutzaufsichtsbehörden regelmäßig als mögliche Datenschutzverletzung bewertet. Je nach Einzelfall können Beschwerden von Betroffenen, Meldepflichten gegenüber Aufsichtsbehörden, Informationspflichten oder Bußgelder die Folge sein. Hinzu kommt ein möglicher Vertrauensverlust bei Kunden, Mitgliedern oder Geschäftspartnern. Besonders sensibel wird es, wenn sich aus den sichtbaren E-Mail-Adressen Rückschlüsse auf persönliche oder vertrauliche Themen ziehen lassen. Das betrifft beispielsweise Selbsthilfegruppen, Beratungsangebote, Bewerbungsverfahren oder sensible Informationsveranstaltungen. Bereits die Offenlegung der Teilnehmerliste kann dort problematisch sein.
Microsoft hat reagiert
Outlook bietet inzwischen die Funktion „Einladungen an Teilnehmer ausblenden“. Damit können Veranstalter externe Personen einladen, ohne dass die Teilnehmer die E-Mail-Adressen anderer Eingeladener sehen. Jede Person erhält ihre Einladung, die Teilnehmerliste bleibt verborgen. Erstmals steht damit direkt in Outlook eine Möglichkeit zur Verfügung, größere externe Gruppen einzuladen, ohne alle Empfänger gegenseitig sichtbar zu machen.
Warum das für viele Organisationen interessant ist
Die Funktion vereinfacht den Einladungsprozess deutlich. Veranstalter müssen keine Einzeltermine mehr erstellen und können gleichzeitig verhindern, dass Teilnehmerdaten unnötig offengelegt werden. Davon profitieren vor allem Organisationen, die regelmäßig mit externen Zielgruppen arbeiten. Dazu zählen Vereine, Bildungsträger, soziale Einrichtungen, Kommunen sowie Unternehmen mit vielen Kunden und Partnern. Gerade bei Webinaren, Schulungen, Informationsveranstaltungen oder Elternabenden lässt sich der organisatorische Aufwand spürbar reduzieren.
Datenschutz bleibt mehr als eine Funktion
So hilfreich die neue Outlook-Funktion auch ist: Sie erfüllt nicht automatisch alle Datenschutzanforderungen. Datenschutzkonformes Arbeiten umfasst weiterhin technische und organisatorische Maßnahmen, klare Zuständigkeiten und einen bewussten Umgang mit personenbezogenen Daten. Dazu gehören beispielsweise Mitarbeiterschulungen, definierte Prozesse für den Umgang mit externen Empfängern und geeignete Sicherheitsmaßnahmen. Die neue Funktion reduziert ein konkretes Risiko. Ein Datenschutzkonzept oder verbindliche organisatorische Regeln ersetzt sie jedoch nicht.
Fazit
Mit der Möglichkeit, Teilnehmerlisten auszublenden, schließt Outlook eine Lücke, die viele Organisationen seit Jahren begleitet. Termine lassen sich weiterhin direkt aus Outlook versenden, ohne dass externe Teilnehmer automatisch die Kontaktdaten aller anderen Eingeladenen sehen. Für viele Organisationen bedeutet das weniger Aufwand bei der Planung von Veranstaltungen und gleichzeitig ein geringeres Risiko bei der Verarbeitung personenbezogener Daten. Und vielleicht fragt sich mancher, warum diese Funktion nicht schon vor Jahren verfügbar war.