Webasto: Massenmail zur DSGVO-Zustimmung schief gelaufen

Dem Hersteller Webasto ist ein peinlicher Fehler unterlaufen. Er hat versucht, seinen britischen Wiederverkäufern eine DSGVO-Zustimmung per E-Mail zukommen zu lassen. Das ist aber im Sinne der DSGVO ziemlich in die Hose gegangen, da Daten offen gelegt wurden.


Anzeige

Webasto ist ein Automobilzulieferer und der bekannte Hersteller von Standheizungen für Autos. Möglicherweise im Hinblick auf den drohenden Brexit hat man jetzt versucht, eine DSGVO-Einwilligung von den britischen Wiederverkäufern einzuholen, damit man deren Daten verarbeiten kann. Dazu hat man diese Händler per Massen-E-Mail mit einem Zustimmungstext kontaktiert. Soweit eine Sache, die nicht zu beanstanden wäre.

Wie The Register hier aber schreibt, ist dieser Vorgang gründlich schief gegangen. Denn die E-Mail-Adressen sehr vieler Empfänger, die eigentlich vertraulich bleiben müssen, waren im Mail-Header im Feld CC (statt unter BCC) aufgeführt. Und wenn etwas schief geht, dann gründlich.

Der für die Aussendung Verantwortliche bemerkte seinen Fehler und schickte binnen Sekunden eine weitere Mail, um die erste Nachricht zurückzurufen. Natürlich wieder mit den Empfängern im CC-Adressfeld. Nach der Devise 'aller guten Dinge sind drei' kam dann eine dritte Mail mit der Bitte um Zustimmung zur DSGVO. Dieses Mal waren die E-Mail-Adressen der Empfänger korrekt im BCC-Feld untergebracht, so dass die Empfänger die anderen Adressen nicht sehen konnten.

Das ist ein beliebter Fehler, der in Massenmails immer wieder gemacht wird. Das Problem: Das ist ein Datenschutzverstoß, der geahndet werden kann. Keine Ahnung, ob sich da jemand beim zuständigen Datenschutzverantwortlichen beschwert und ob das für Webasto Folgen hat.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Mail, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

13 Antworten zu Webasto: Massenmail zur DSGVO-Zustimmung schief gelaufen

  1. woodpeaker sagt:

    Wie gewohnt immer das Gleiche.
    Frage:
    Was haben die für eine IT Abteilung? Nur sprechende Vollhorste?
    Und wenn die Adminebene so schlecht ist, dann mache ich denen keinen Vorwurf. Sie können es einfach nicht besser.
    Mein Vorwurf ginge an die Vorgesetzten, die solche Nullen einstellen.
    Die würde ich sofort feuern.
    Aber das ist das Grundproblem in unserer Wirtschaft. Die eigentlichen Übeltäter dürfen ihren Wahnsinn weiterverfolgen, da keiner über ihnen ist um diese zur Rechenschaft zu ziehen.
    Und speziell in diesem Fall wird wahrscheinlich gar nichts passieren.
    Eine Meldung und das wars. Sollte wirklich eine pekuniäre Strafe folgen, dann bleiben die wahren Übeltäter ungeschoren und ein paar kleine Lichter werden nach Hause geschickt. Wie so oft und x-mal praktiziert.

    • Renegat sagt:

      Admins verschicken keine Massenmails, sondern stellen die Möglichkeit dafür zur Verfügung! Das ist ein großer Unterschied!

    • Ulf sagt:

      …und wo genau siehst Du jetzt anhand des Blog-Artikels eine Schuld der IT-Abteilung? Ich würde anhand des Artikels eher einen ganz normalen Mitarbeiter vermuten, der zu dämlich war, sein Outlook gescheit zu bedienen (erst cc statt bcc verwendet und sich dann mit dem schwachsinnigen "Nachricht zurückrufen" noch als kompletter DAU geoutet – facepalm).

      • Günter Born sagt:

        Mir ging in diesem Zusammenhang schlicht durch den Kopf, dass es eine Option geben müsste, die CC-Felder in Mail-Clients durch die IT-Admins zu blocken. Der CC-Fehler passiert immer wieder. Wenn ich Leute mit informieren möchte, setze ich die auf BCC – Mission erfüllt und kein DSGVO-Risiko.

        • woodpeaker sagt:

          Die gibt es auch, wenn implementiert.
          Man muss es nur einrichten, und wenn es eine Sperre ist, da auf einen großen Satz an Daten aus einer Datenbank zugegriffen wird.
          Im Prinzip das Gleiche wie bei der Sperre deiner Kommentarfunktion Günter.
          Erst wird gefiltert und dann der Beitrag in die Freiheit entlassen. Dito Massenmail.

          Und zu dem Kommentar "ganz normaler Mitarbeiter":
          Wenn ein "ganz normaler Mitarbeiter" die Befugnis hat so eine Massenmail abzuschicken (und das mehrmals!!!)
          dann kannst du die IT bei denen verbrennen.

          Früher wurde so was dem Chef zum unterzeichnen in der Mappe vorgelegt und dann ging das raus und nicht eher.

        • 1ST1 sagt:

          Sowhl CC als auch BCC haben ihren Sinn. CC generell zu sperren wäre kontraproduktiv.

          • Robert sagt:

            Volle Zustimmung.
            Es könnte aber helfen, wenn der Client bei einer großen Zahl von CC-Empfängern (und auch TOs, wenn die einzeln aufgeführt sind und nicht über Verteilerlisten adressiert werden) eine Warnung einblendet, ähnlich wie es z.B. Thunderbird beim Stichwort "Anhang" oder einem leeren Betreff macht.

  2. Renegat sagt:

    Warum sollte man das CC-Feld in Mail-Clients blocken, es wird doch auch an anderen Stellen benötigt? Besser ist es, dies auf der Server- bzw. SMTP-Ebene zu machen. Denn solche Massenmails kommen doch von einem bestimmten Absender, für den man eine Regel erstellen könnte…

  3. HV sagt:

    Das ist in vielen Betrieben so, es wird einfach gemacht und nicht (vorher) gedacht! Und die "Macher" sind halt nun mal keine "Denker" und die verantwortlichen Denker sind sich z.B. das o.g. Problems gar nicht bewusst. Es sollte immer einen geben, der die Denker und die Macher sensibilisiert und das ist das Grundproblem – viele haben den nicht!

  4. Ralph D. Kärner sagt:

    Was waren das noch für Zeiten, in denen sich der für Mail Verantwortliche der IT hingesetzt hat, und sich Gedanken gemacht hat. Schon lange vor Zeiten der DSGVO habe ich in 9 von 10 Betrieben eine Massenemail an genau EINE Mailadresse geschickt: an den Verteiler. Und im 10. Betrieb habe ich das ganz schnell eingeführt.
    Interessanterweise ist das aber eher ein soziales Problem. Im privaten Umfeld ist es 10 von 5 Mailversendern schlicht völlig egal, ob im eigenen Umfeld jemand auf Datenschutz wert legt oder nicht. Da wird per Doppelklick jeder, den die tolle, neue PowerPoint Präsentation mit völlig sinnfreiem Inhalt interessieren könnte, in die Adresszeile geholt. Egal, dass so jeder eine ganze Menge Adressen von Leuten sieht, die er vielleicht nicht einmal kennt. Und so arbeitet man dann halt auch im Betrieb: gedankenlos, gewissenlos, unbelehrbar.

  5. RUTZ-AhA sagt:

    Nun könnte gleich wieder mit dem Thema Computerführerschein gewedelt werden.
    In diesem Fall ergibt das jedoch keinen Sinn.
    Weil:
    Übertriebene Arbeitsverdichtung [grässliches Wort] kann zu so einem Lapsus beitragen.

    Der Mitarbeiter weiß Bescheid, denn er hat seinen Fehler sofort erkannt. Leider ist der Versuch, diesen zu revidieren, kläglich gescheitert. Manche Dinge lassen sich nun mal nicht ungeschehen machen.

    Und schließlich ist kein Mensch absolut fehlerfrei, auch nicht bei der Arbeit.

    Dass er jetzt für diesen Schnitzer im Fegefeuer steht, ist meiner Meinung nach Strafe genug.
    Außerdem warten wahrscheinlich unangenehme Konsequenzen auf ihn.
    Daher wird er sich über sein überhastetes Tun am meisten ärgern.

  6. Sansor sagt:

    Dem Unternehmen kann diese Mail ja nicht so wichtig gewesen sein. Eine wichtige Mail als Massenmail verschicken geht garnicht. Bei uns würde diese im Filter für Massenmail herausgefilter und auf niewiedertschüss untergehen. Bin ziemlich sicher es gibt noch mehr Firmen die solche Filter einsetzen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.