Datenschutz-Panne bei der UDIS

Ausgerechnet die renommierte Ulmer Akademie für Datenschutz und IT-Sicherheit (UDIS) ist am vergangenen Dienstag Verursacherin einer Datenschutz-Panne gewesen. In einer Rund-Mail zu einem Veranstaltungshinweis wurden hunderte externe Empfänger mit ihren E-Mail-Adressen offen sichtbar im AN-Feld der Nachricht aufgeführt. Fälle wie dieser stellen einen klaren Datenschutzverstoß dar, wie der Datenschutz-Experte Dr. Eugen Ehmann in diesem Artikel ausführlich begründet.

Die UDIS ist insbesondere bekannt für ihre nachhaltige Ausbildung von Datenschutzbeauftragten und feiert in diesem Jahr ihr 25-jähriges Bestehen mit einem Jubiläumskongress in Ulm, zu welchem Vorträge namhafter Persönlichkeiten aus dem Datenschutzbereich angekündigt sind.

Anlässlich dieser Veranstaltung wurden in oben genannter Rund-Mail Einladungen an Absolventen der bisherigen Ausbildungsjahrgänge verschickt, ohne dass dabei die Namen und E-Mail-Adressen in BCC gesetzt wurden wie ein betroffener Empfänger berichtet. Wieso UDIS hier nicht entsprechende technische und organisatorische Maßnahmen etwa durch den Einsatz eines Mailing-Tools zur Verhinderung einer solchen Panne ergriffen hat, ist unklar.

In einer am Folgetag erneut an alle Empfänger versandten Nachricht spricht der geschäftsführende Gesellschafter und wissenschaftlicher Leiter der Akademie von einer „mehr als peinlichen Datenschutzpanne“ und bittet die Absolventen um Entschuldigung.

Irritiert mussten die Absolventen dabei zur Kenntnis nehmen, dass die für das Missgeschick verantwortliche Mitarbeiterin durch den Geschäftsführer nun namentlich benannt wurde, obwohl die eigentliche Pannen-Mail keine entsprechenden Rückschlüsse auf den Verfasser der Nachricht zuließ. Hierin dürfte ein weiterer Verstoß gegen datenschutzrechtliche Vorschriften vorliegen.

Der Geschäftsführer kündigte zudem mit der Aussage „eines ist sicher: Sie wird udis demnächst verlassen“ offensichtliche arbeitsrechtliche Konsequenzen aus dem Vorfall für die Mitarbeiterin an. Insbesondere dieses Verhalten wurde daraufhin – in einer weiteren Rund-Mail an alle ursprünglichen Empfänger – von einem der Absolventen heftig kritisiert. Er sprach von einem „maßlos überzogenem“ Verhalten des Geschäftsführers und forderte die übrigen Empfänger dazu auf, sich gegenüber diesem für das Überdenken seiner Personalentscheidung auszusprechen.

Update 26.07.2012 (16.15 Uhr):

Inzwischen hat der Geschäftsführer der UDIS in einer weiteren Rund-Mail darüber informieren lassen, ihm sei beim Verfassen seiner Entschuldigungs-Nachricht nicht bekannt gewesen, dass die Pannen-Mail keinen namentlichen Hinweis auf die durch ihn im Entschuldigungsschreiben benannte Mitarbeiterin enthielt. Er hätte bei Kenntnis der Sachlage von einer namentlichen Erwähnung selbstverständlich abgesehen, denn er wisse ja auch, wie Datenschutz funktioniere. Im Übrigen teilt er mit, die Mitarbeiterin habe schon vor einiger Zeit selbst ihre Kündigung eingereicht. Seine Aussage „eines ist sicher: Sie wird udis demnächst verlassen“ sei insoweit mißverständlich formuliert gewesen und stehe in keinem Zusammenhang mit ihrem Verhalten in Bezug auf die Versendung der fehlerbehafteten Rund-Mail.