„Wenn Sie jemals versucht haben, eine harmlose Rundmail zu verschicken – und plötzlich zum Star eines Datenschutz-Skandals wurden – dann sind Sie nicht allein. Zum Glück gibt es ein Team, das niemand rufen wollte, aber jeder dringend braucht: den Datenschutz Dude und Agentin Cipher. Für Sie im Einsatz!“
Einsatz 1: Die E‑Mail-Katastrophe von London
Ein scheinbar unscheinbarer Klick, ein kleiner technischer Fehler – und fast 200 Menschen werden unfreiwillig enttarnt. So geschehen bei der Londoner Kanzlei Kennedy’s: Statt BCC nutzte man das CC-Feld. Ergebnis: E‑Mail-Adressen von Personen, die über Missbrauchsfälle in der Kirche informiert bleiben wollten, landeten offen in aller Welt.
Agentin Cipher zieht die Augenbrauen hoch:
„Art. 33 DSGVO. 72 Stunden Meldefrist. Und weil sensible Daten betroffen sind: direkte Benachrichtigung der Betroffenen nach Art. 34. Kein Pardon.“
Der Datenschutz Dude lehnt sich zurück, nimmt einen Schluck Kaffee:
„Alles wegen drei Buchstaben. CC statt BCC. Und schon steht die Hütte in Flammen.“
Einsatz 2: Pannen mit Ansage
Die CC/BCC-Verwechslung ist der Running Gag im Datenschutz – nur dass niemand lacht. Denn die Folgen sind oft dramatisch:
- Afghanistan-Skandal (2021): Das britische Verteidigungsministerium verschickt Mails mit über 250 sichtbaren Adressen von Übersetzern, die sich vor den Taliban versteckten. Lebensgefahr durch eine Outlook-Verwechslung.
- Berghain-Panne (2021): Eine Berliner Behörde outet 120 Teilnehmer einer Sexparty, weil man das falsche Feld nutzte. Rufschäden inklusive.
Der Datenschutz Dude schüttelt den Kopf:
„Das ist nicht peinlich, das ist schon kriminell fahrlässig.“
Einsatz 3: Wenn’s richtig teuer wird
Fehler haben ihren Preis. Und bei Datenschutz-Pannen heißt der Preis schnell: Bußgeld!
Agentin Cipher klappt ihren Laptop auf:
„Spanien: 2.500 Euro Strafe für 95 Empfänger im CC. Deutschland: schon ab 1.500 Euro geht’s los. Und Krankenhäuser zahlen gerne auch mal 5.000 Euro für so eine Kleinigkeit.“
Der Datenschutz Dude pfeift durch die Zähne:
„Hättste das BCC-Feld eingeblendet, hättste Geld gespart. Aber hey – wer hört schon auf mich? Datenschutz ist ja immer nur störend und nicht hilfreich.“
Auch in Deutschland wird’s teuer
Nicht nur internationale Fälle zeigen die Risiken. Auch in Deutschland hat es schon mehrere Akteure erwischt:
- In Sachsen-Anhalt musste ein Mann als Privatperson über 2.600 € Bußgeld zahlen, weil er 2018 Rundmails mit bis zu 187 Empfängern über das CC-Feld verschickte.
- In Bayern wurde eine Mitarbeiterin sanktioniert, deren offener Verteiler fast zehn Seiten an Adressen enthielt – während die eigentliche Nachricht kaum eine halbe Seite lang war.
Hinweis: Beide Fälle liegen schon einige Jahre zurück. Sie zeigen aber deutlich, dass die deutschen Aufsichtsbehörden auch bei vermeintlich „kleinen“ Verstößen durch offene Verteiler einschreiten – und zwar nicht nur bei Organisationen, sondern auch bei Privatpersonen.
Agentin Cipher kommentiert trocken:
„Das ist kein Kavaliersdelikt. Selbst Privatpersonen können belangt werden – und Organisationen sowieso.“
Der Dude grinst und hebt seine Kaffeetasse:
„Tja, manchmal ist der Verteiler länger als die Botschaft. Blöd, wenn dann die Aufsichtsbehörde mitliest.“
Einsatz 4: Warum passiert das immer wieder?
Die Wahrheit ist unbequem:
- In vielen Mail-Clients wie Outlook ist das BCC-Feld standardmäßig ausgeblendet.
- Viele wissen nicht mal, wofür die Buchstaben stehen. Kommt gleich weiter unten was dazu.
- Und unter Stress klickt man eben schneller, als man denkt.
Agentin Cipher:
„Unwissenheit schützt vor Bußgeld nicht. Schon gar nicht vor Reputationsschäden.“
Einsatz 5: Der Werkzeugkoffer des A‑Teams des Datenschutzes (dem a.s.k. Datenschutz Team)
Damit das Chaos nicht wiederkehrt, haben Dude & Cipher einen simplen Werkzeugkoffer parat:
- BCC immer einblenden. Einmal aktivieren, dauerhaft Ruhe — hoffentlich.
- Vier-Augen-Prinzip. Vor allem bei großen Verteilerlisten.
- Newsletter-Tools nutzen. Dort wird voreingestellt nur bcc versendet.
- Schulungen: Mitarbeitende müssen wissen, dass CC und BCC nicht dasselbe sind. Wenn das nicht hilft: Noch mehr Schulungen (z.B. unsere Webinare und Online-Schulungen zum Thema E‑Mail-Sicherheit).
Der Datenschutz Dude nickt zufrieden:
„Manchmal ist Prävention echt unspektakulär. Aber hey – lieber langweilig als teuer.“
Einsatz 6: Wenn es doch passiert
Trotz aller Vorsicht – irgendwann knallt es. Was dann?
Agentin Cipher zählt an den Fingern ab:
- Sofort Schadensbegrenzung: Empfänger bitten, die Mail zu löschen. ABER!IN!BCC!!!
- Risikobewertung erstellen. Binden Sie ihren DSB und ISB ein.
- Dokumentation des Vorfalls.
- Bei Bedarf (geht aber schnell): Meldung an die Aufsichtsbehörde – und wenn’s brenzlig ist, Info an die Betroffenen.
Der Datenschutz Dude grinst:
„Klingt wie ein Notfallplan. Oder wie ein Drehbuch für eine besonders schlechte Sitcom.“
Kurzer Crashkurs: To, CC und BCC
Manchmal ist das Problem einfacher, als es klingt. Drei Felder, drei Bedeutungen:
- To / An: Hier gehören die Hauptempfänger rein – die, die wirklich angesprochen sind.
- CC / Kopie: Für Leute, die „zur Info“ mitlesen sollen. Jeder sieht, wer hier steht.
- BCC / Blindkopie: Der heimliche Verteiler. Alle Empfänger sehen nur sich selbst – und nicht die anderen.
Cipher bringt es nüchtern auf den Punkt:
„Wenn die Empfänger sich nicht gegenseitig kennen müssen: Immer BCC.“
Der Dude lehnt sich zurück und hebt seine Tasse:
„Alles andere ist eine Einladung für Bußgeld-Bingo.“
Fazit: Kleine Ursache, große Wirkung
Eine CC/BCC-Verwechslung wirkt wie ein kleiner Ausrutscher – doch die Folgen können dramatisch sein: von Geldstrafen über Rufschäden bis hin zu Gefährdung von Menschenleben.
Agentin Cipher schließt das Dossier:
„Es braucht nur ein paar einfache Regeln, und die Sache ist im Griff.“
Der Datenschutz Dude zwinkert in die Kamera:
„Wir lieben es, wenn ein Plan funktioniert – und die Empfängerliste unsichtbar bleibt.“
Hahn IT Services, Schwaig
No responses yet