TPL-007 · v1.0 · Stand: 30.5.2026 · Freigegeben durch DSB · Review-Zyklus 6 Monate · Status freigegeben
Fehlversand E-Mail (offener Verteiler) — Information an Betroffene
Vorlage ausfüllen → Variablen im Formular eintragen, Live-Vorschau, Text kopieren oder als .txt herunterladen.
- Anlass
- Datenpanne
- Empfänger
- Betroffene Person
- Absender
- Geschäftsführung oder Datenschutzbeauftragte/r
- Kanal
- Rechtsregime
- DSGVO
- Schwierigkeit
- hoch
- Schlagwörter
- datenpanne, fehlversand, verteiler, bcc
- Rechtsgrundlage
-
- Art. 34 DSGVO (Benachrichtigung bei voraussichtlich hohem Risiko, hier durch unautorisierte Offenlegung von Kontaktdaten)
Anwendungsbereich
Information an alle Betroffenen einer E-Mail, die fälschlich mit offenem Verteiler („An:” oder „CC:” statt BCC) versandt wurde. Dadurch wurden mindestens die E-Mail-Adressen aller Empfänger gegenseitig offengelegt — typischerweise ist das nach DSGVO eine Datenpanne, in den meisten Fällen mit Art-34-Pflicht (hohes Risiko, wenn der Verteiler Mitglieder einer schutzwürdigen Kategorie umfasst: Patienten, AA-Selbsthilfegruppe, Mandanten einer Rechtsanwaltskanzlei, etc.).
Voraussetzungen
- DSB ist eingebunden und hat den Vorfall als meldepflichtig eingestuft.
- Versendete Mail liegt vor — Header und Body sind dokumentiert.
- Empfängerliste ist gesichert — die Mail selbst gilt als Beweis.
- Aufsichtsmeldung nach Art. 33 läuft parallel — diese Betroffeneninformation ersetzt sie nicht.
- Geschäftsführung ist informiert — der Vorfall ist Reputationsrelevant, eine professionelle Reaktion mildert den Imageschaden.
- Kein Forderungs-Ton. Eine Bitte um Löschung der ursprünglichen Mail an alle Empfänger ist rechtlich nicht durchsetzbar und wirkt hilflos. Stattdessen: Sachverhalt erklären, Risiko-Aufklärung, Maßnahmen.
Variablen
| Platzhalter | Beschreibung |
|---|---|
{anrede} | Anrede |
{name_betroffener} | Nachname bei persönlicher Anrede (optional) |
{versanddatum} | Datum des Fehlversands |
{anzahl_empfaenger} | Anzahl Empfänger im offenen Verteiler |
{sichtbare_daten} | Was war sichtbar |
{kontext} | Worum ging die Mail (knapp) |
{empfohlene_massnahmen} | Was die Person tun sollte |
{prozess_aenderung} | Was wir intern ändern |
{kontakt_dsb_email} | DSB-E-Mail |
{unterzeichner} | Unterzeichnende Person |
{verantwortlicher} | Verantwortliche Stelle |
Vorlagentext
{anrede} {name_betroffener},
wir wenden uns heute mit einer Information zu einem Datenschutzvorfall an Sie.
Was ist passiert:
Am {versanddatum} haben wir Ihnen eine E-Mail zum Thema „{kontext}” gesendet. Diese E-Mail wurde versehentlich mit offenem Verteiler verschickt — anstelle der vorgesehenen BCC-Verteilung waren die E-Mail-Adressen aller {anzahl_empfaenger} Empfänger für jeden Empfänger sichtbar.
Welche Daten von Ihnen waren sichtbar:
{sichtbare_daten}
Welche Folgen das haben kann:
Andere Empfänger der Mail kennen jetzt Ihre E-Mail-Adresse im Zusammenhang mit dem genannten Thema. Das kann insbesondere dann belastend sein, wenn der Themenzusammenhang selbst sensibel ist. Zusätzlich besteht ein erhöhtes Risiko, dass Ihre Adresse für Phishing-Mails oder unerwünschte Werbung genutzt wird.
Was Sie selbst tun können:
{empfohlene_massnahmen}
Was wir tun:
Wir haben den Vorfall der zuständigen Datenschutzaufsicht gemeldet. Intern stellen wir Folgendes um, damit ein vergleichbarer Vorfall ausgeschlossen wird:
{prozess_aenderung}
Wir bedauern den Vorfall ausdrücklich. Für Rückfragen erreichen Sie unseren Datenschutzbeauftragten unter {kontakt_dsb_email}.
Mit freundlichen Grüßen
{unterzeichner} {verantwortlicher}
Verbotene Inhalte
Folgendes darf NICHT in die Benachrichtigung aufgenommen werden:
- Schuldzuweisung an die handelnde Person. „Eine Mitarbeiterin hat versehentlich …” — verantwortlich ist nach DSGVO der Verantwortliche, nicht die Person, die den Knopf gedrückt hat. Sätze, die eine identifizierbare Mitarbeiterin/einen Mitarbeiter blamieren, sind arbeitsrechtlich problematisch und in der Aufsichtsbewertung negativ.
- Bitte um Löschung der Mail durch andere Empfänger. Rechtlich nicht durchsetzbar, wirkt hilflos. Wer löscht, hat die Adressen trotzdem gesehen.
- Bagatellisierung. „Da nur E-Mail-Adressen offengelegt wurden, besteht kein Anlass zur Sorge” — die Sensibilität hängt vom Thema-Kontext ab, nicht von der Datenart.
- Werbung. Wie bei TPL-006: kein Gutschein, kein Newsletter-CTA.
- Verweis auf AGB / Datenschutzerklärung als Erklärung. „Im Rahmen unserer üblichen Geschäftsabwicklung kann es zu solchen Vorfällen kommen” — nein. Ein offener Verteiler ist immer ein Fehler.
- Forderung, Stillschweigen zu bewahren. Unzulässig (siehe TPL-006).
Beispiel einer fehlerhaften Formulierung (nicht verwenden):
„Aufgrund eines unglücklichen Versehens unserer Mitarbeiterin Frau S. wurden die Empfänger der heutigen Mail an unsere Selbsthilfegruppe versehentlich sichtbar. Wir bitten alle Empfänger, diese Mail umgehend zu löschen und nicht darüber zu sprechen. Da es sich nur um E-Mail-Adressen handelt, ist die Tragweite gering.”
Begründung: drei Verstöße in einem Absatz — Namensnennung der handelnden Mitarbeiterin (Bloßstellung), nicht durchsetzbare Löschung verlangt, Stillschweige-Anordnung, Bagatellisierung — und das alles im Kontext einer Selbsthilfegruppe, also einem besonders sensiblen Thema.
Versandhinweise
- BCC, BCC, BCC. Diese Benachrichtigung selbst darf nicht der zweite offene Verteiler werden. Ausschließlich per BCC. Vor dem Versand Vier-Augen-Prinzip mit Kollegin / Kollege.
- Personalisiert wenn möglich: Wenn Klartextnamen aus dem ursprünglichen Verteiler bekannt sind, persönliche Anrede.
- Testversand an Kontrollpostfach vor dem produktiven Versand — prüfen, ob versehentlich Adressen im sichtbaren To/CC stehen.
- Versandzeitpunkt: Unverzüglich nach Entdeckung, idealerweise innerhalb von 24 Stunden. Je schneller, desto besser die Aufsichtsbewertung.
Aufbewahrung
- Versendete Fassung im Datenpannen-Vorgangsordner.
- Empfängerliste (oder gehashed) separat als Versandbeleg.
- Aufbewahrung: mindestens 5 Jahre.
Changelog
| Version | Datum | Änderung | Autor |
|---|---|---|---|
| 1.0 | 2026-05-30 | Erstfassung | FS/CS |