{"id":300027,"date":"2024-08-20T08:35:55","date_gmt":"2024-08-20T06:35:55","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=300027"},"modified":"2024-08-20T13:03:02","modified_gmt":"2024-08-20T11:03:02","slug":"datenschutzvorfall-bei-genobank-mainz-wenn-ein-mail-verteiler-ber-an-verschickt-wird","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/08\/20\/datenschutzvorfall-bei-genobank-mainz-wenn-ein-mail-verteiler-ber-an-verschickt-wird\/","title":{"rendered":"Datenschutzvorfall bei Genobank Mainz: Wenn ein Mail-Verteiler über "An" verschickt wird"},"content":{"rendered":"

\"SicherheitNoch ein kleiner Nachtrag zu einer Information \u00fcber einen Datenschutzvorfall bei einer Bank, der bereits im Juli 2024 passiert ist. Die Genobank Mainz und die VR Bank Alzey-Land-Schwabenheit eG hatten einen Adressatenkreis \u00fcber eine Fusionierung informiert. Passierte schnell und \"diskret\" \u00fcber eine Rundmail – und damit man sehen konnte, wer alles diese Mail erhalten hat, war der Empf\u00e4ngerkreis im \"An\" der Mail enthalten. Ich stelle es mal hier in den Blog ein, weil dies immer noch ein oft erlebtes Problem ist.<\/p>\n

<\/p>\n

Mail-Verteiler in An\/CC geht nicht!<\/h2>\n

\"\"Der Leserschaft dieses Blogs d\u00fcrfte es ein Begriff sein, aber im t\u00e4glichen Betrieb erhalte ich immer wieder E-Mails, wo mehrere Empf\u00e4nger im An-Feld der E-Mail (oder auf CC) aufgelistet werden. Streng genommen m\u00fcsste von jedem der Betroffenen eine DSGVO-Zustimmung vorliegen, um diesen bei mehreren Adressaten in den Felder An oder CC aufnehmen zu k\u00f6nnen. In Firmen ist dies meist gegeben – kritischer wird es bei Kommunikation mit Au\u00dfenstehenden.<\/p>\n

Der sicherere Ansatz besteht darin, alle Empf\u00e4nger im Feld BCC (Blind Carbon Copy) einzutragen. Dann sieht keiner der Empf\u00e4nger mehr, wer diese Mail noch bekommen hat. Die DSGVO-Anforderungen bleiben gewahrt – aber es hat den Nachteil, dass man nicht mehr erkennen kann, wer nun auf der Empf\u00e4ngerliste einer E-Mail war – speziell in den F\u00e4llen \"ist eigentlich Meier auch per Mail mit informiert worden?\". L\u00e4sst sich imho aber nicht \u00e4ndern: W\u00e4hrend bei den Feldern An und CC alle Empf\u00e4nger die in der Nachricht verwendeten E-Mail-Adressen zu sehen bekommen, werben alle im Feld BCC angegebenen Empf\u00e4nger-Adressen bei der Mailzustellung entfernt. Nur der Absender kann im \"Gesendet Ordner\" noch sehen, an welchen Verteiler die Mail gegangen ist.<\/p>\n

Datenschutzvorfall bei Genobank Mainz<\/h2>\n

Ein Blog-Leser, der als Administrator zwei Steuerkanzleien betreut, hatte mich bereits vor einigen Tagen auf einen Datenschutzvorfall bei der Genobank Mainz hingewiesen. Die Genobank Mainz und die VR Bank Alzey-Land-Schwabenheit eG\u00a0 fusionieren. Das wurde auch einem bestimmten Empf\u00e4ngerkreis so mitgeteilt – per E-Mail. Der Leser bekam am 24. Juli 2024 eine Mail der Genobank Mainz mit der Information:<\/p>\n

\"Sehr geehrte Damen und Herren,
\nwir die Genobank Mainz eG (Empf\u00e4ngerbank),\u00a0 fusionieren mit der VR Bank Alzey-Land-Schwabenheim eG (Senderbank).
\nWir setzen Sie von dieser Fusion hiermit in Kenntnis. Die technische Fusion findet am Samstag, den 24.08.2024 statt.\"<\/p><\/blockquote>\n

Erh\u00e4lt man \u00f6fters – und der Leser hat sich das Ganze nicht weiter angesehen, weil er \"ich muss da nichts tun\" f\u00fcr sein Arbeitsgebiet eingestuft hat. Solche Mails kommen ja t\u00e4glich zuhauf. Die Alarmglocken klingelten dann, als eine Nachfolgemail der Bank eintraf, in der \u00fcber einen Datenschutzvorfall informiert wurde. Die obige Meldung war mit dem Verteiler f\u00fcr die Empf\u00e4nger im Feld An verschickt worden. Dadurch war es im gesch\u00e4ftlichen Umfeld ein datenschutzrelevanter Vorfall. Hier der Inhalt der betreffenden Nachricht:<\/p>\n

Sehr geehrte Damen und Herren,<\/p>\n

wir informieren Sie im Folgenden \u00fcber einen datenschutzrelevanten Vorfall.<\/p>\n

– Was ist passiert?
\nAm 24.07.2024 wurden einige Gesch\u00e4ftspartner unserer Kunden mit einer E-Mail zur Fusion mit der VR Bank Alzey-Land-Schwabenheim eG (Fusionspartner der Genobank Mainz eG) informiert.
\nGegenstand dieser E-Mail war auch der Zeitpunkt der technischen Fusion wie auch der neue Bankname \"Raiffeisenbank in Rheinhessen eG\" mit Anschrift ab dem 24.08.2024.<\/p>\n

Durch den Fachbereich wurde der gesamte Empf\u00e4ngerkreis mit der jeweiligen E-Mail-Adresse im Rahmen des Mailversands versehentlich in AN (anstatt in BCC) gesetzt.<\/strong><\/p>\n

– Ursache:<\/strong>
\nDer Fehler basiert auf einem menschlichen Fehlverhalten.
\nDer betreffende Besch\u00e4ftigte informierte nach Bemerken die IT-Abteilung.
\nDer Datenschutzbeauftragte der Bank wurde ebenfalls eingebunden.<\/p>\n

– Ergriffene Ma\u00dfnahmen:<\/strong>
\nIn der Bank sind umfassende organisatorische Regelungen vorhanden.
\nDer verursachende Besch\u00e4ftigte wurde zum Vorgang nachweislich sensibilisiert.
\nDer Vorfall wurde zudem am 06.08.2024 an die f\u00fcr die Bank zust\u00e4ndige Aufsichtsbeh\u00f6rde zum Datenschutz gemeldet.<\/p>\n

Auswirkung:<\/strong>
\nEine Kenntnis \u00fcber eine missbr\u00e4uchliche Verwendung der Daten liegt der Bank nicht vor.<\/p>\n

Wir entschuldigen uns in aller Form f\u00fcr die Ihnen entstehenden Unannehmlichkeiten und f\u00fcr das Versehen.<\/p>\n

F\u00fcr Fragen stehen wir Ihnen gerne unter xxxx-xxxx@genobank-mainz.de zur Verf\u00fcgung.<\/p>\n

Mit freundlichen Gr\u00fc\u00dfen<\/p>\n

XXXX XXXX XXXX<\/p>\n

Raiffeisenbank in Rheinhessen eG
\n– EDV\/Organisation –<\/p><\/blockquote>\n

Es sind h\u00e4ufig solche Fehler, die dann zu Datenschutzvorf\u00e4llen f\u00fchren. Hier vielleicht die eigenen Leute nochmals sensibilisieren, auch wenn die Datenschutzaufsicht bei solchen angezeigten Vorf\u00e4llen nicht wirklich drastisch vorgeht, unangenehm ist es immer.<\/p>\n

PPS: Wie es der Teufel will, gerade eben eine Mail mit einem Pressetext auf den Tisch bekommen, wo der gleiche Fehler passierte. Ist mir nicht aufgefallen, weil ich eh gleich l\u00f6schen wollte. Aber eben kam das Eingest\u00e4ndnis: R\u00fcckruf wegen offenem Verteiler.<\/p>\n","protected":false},"excerpt":{"rendered":"

Noch ein kleiner Nachtrag zu einer Information \u00fcber einen Datenschutzvorfall bei einer Bank, der bereits im Juli 2024 passiert ist. Die Genobank Mainz und die VR Bank Alzey-Land-Schwabenheit eG hatten einen Adressatenkreis \u00fcber eine Fusionierung informiert. Passierte schnell und \"diskret\" … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-300027","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/300027","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=300027"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/300027\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=300027"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=300027"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=300027"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}