THE COMPLIÄNCE - Consulting Team by yourIT

Hier bloggen wir als #THECOMPLIÄNCE. Seit über 18 Jahren ist unser Team für Sie tätig als Berater, Implementer, Auditor, Trainer sowie als externer Beauftragter in den Bereichen Cybersecurity (NIS2), Datenschutz (EU-DSGVO) & Informationssicherheit (ISO 27001). Unsere Kunden sind u.a. mittelständische und Konzern-Unternehmen in verschiedenen Branchen wie Maschinenbau, Medizintechnik, Lebensmittel, etc. Dabei nutzen wir sofern möglich die Ihrem Unternehmen zustehenden Fördermittel.

Donnerstag, 3. Oktober 2019

Datenschutz-Praxis: Ausgeschiedene Mitarbeiter als Adressaten von E-Mails – was tun mit den Mails?

Hier mal wieder ein typischer Fall aus unserer Datenschutz-Praxis: Datenschutz im "Offboarding-Prozess". Ein Mitarbeiter scheidet also aus dem Unternehmen aus. Kann der Arbeitgeber den E-Mail-Account dieses Mitarbeiters einfach schließen? Können die E-Mails an einen Kollegen weitergeleitet werden? Wie ist mit E-Mails umzugehen, die ausdrücklich an ihn gerichtet sind? Das Bayerische Landesamt für Datenschutzaufsicht bietet in seinem Tätigkeitsbericht für 2015/2016 einige Orientierungshilfen für diese Fragen.

Existieren schon Regelungen zum Offboarding?

Vorab sei auf Folgendes hingewiesen: Falls zu diesem Thema eine Betriebsvereinbarung / Verfahrensanweisung / Arbeitsanweisung existiert, ist alles klar. Es gelten die darin getroffenen Regelungen. Manchmal treffen das Unternehmen und der ausscheidende Mitarbeiter auch eine ausdrückliche Vereinbarung bezüglich der E-Mail-Accounts und der nach dem Ausscheiden eingehenden E-Mails, etwa in einem Aufhebungsvertrag. Schön für alle Beteiligten! Denn das schafft Klarheit.

Eingehende E-Mails für ausgeschiedene Mitarbeiter - ein Datenschutz-Problem

Und wenn nicht?

Aber was ist, wenn es an Beidem fehlt? Vielleicht lässt sich noch über eine einvernehmliche Regelung reden. Aber manchmal erscheint das kaum vorstellbar, etwa nach einer fristlosen Kündigung. In solchen Fällen hilft die Meinung der Datenschutzaufsicht weiter.

Schließung des Mail-Accounts

Zunächst zu der Frage, wie lange ein Mail-Account nach dem Ausscheiden eines Mitarbeiters noch bestehen darf. Etwa drei Monate nach dem Ausscheiden sollte dieser nach Auffassung des Bayerischen Landesamts für Datenschutzaufsicht geschlossen werden. Der Grund: Danach ist nicht mehr damit zu rechnen, dass noch Mails an den ausgeschiedenen Mitarbeiter eingehen. Eine ausdrückliche gesetzliche Regelung dazu gibt es aber nicht.

Knackpunkt: Private Nutzung erlaubt oder nicht?

Schwieriger ist eine Antwort auf die Frage, ob Mails, die noch eingehen, an einen anderen Mitarbeiter weitergeleitet werden dürfen. Hier unterscheidet das Landesamt danach, ob der Arbeitgeber die private E-Mail-Nutzung erlaubt hat oder nicht.

Falls private Nutzung verboten ist ...

Relativ freie Hand hat der Arbeitgeber, wenn er die private E-Mail-Nutzung verboten hat. In diesem Fall kann er einfach festlegen, dass eine Weiterleitung erfolgt. Denn private Mails können dann ja eigentlich schon aus Prinzip keine eingehen.

Im Einzelfall kann dies aber trotzdem vorkommen. Denn immer wieder gibt es Absender, die nicht wissen, dass die private Nutzung verboten ist, oder denen das egal ist.

Umgang mit einzelnen privaten Mails

Sofern eine private Mail im Unternehmen weitergeleitet wird, darf der Empfänger ihren Inhalt nicht lesen. Das gilt naturgemäß nur dann, wenn er schon am Absender und/oder am Betreff erkennen kann, dass die Mail privaten Charakter hat. Eine solche Mail ist entweder zu löschen oder an den ausgeschiedenen Mitarbeiter weiterzusenden.

Falls private Nutzung erlaubt ist ...

Falls der Arbeitgeber private Mails erlaubt hat, handelt es sich um eine freiwillige Leistung des Arbeitgebers. Das selbe gilt, wenn der Arbeitgeber die Privatnutzung mit den Mitarbeitern überhaupt nicht geregelt hat. Denn "nicht regeln" bedeutet in Deutschland, dass die Privatnutzung erlaubt ist. Die freiwillige Leistung führt jedoch nicht dazu, dass der Arbeitgeber nach dem Ausscheiden einfach die Weiterleitung aller eingehenden E-Mails an einen Kollegen anordnen kann. Vielmehr muss er dann das Fernmeldegeheimnis (vgl. §88 TKG) beachten.

Einwilligung nötig

Ohne eine Einwilligung des ausgeschiedenen Mitarbeiters wäre eine Weiterleitung privater Mails daher nicht zulässig. Andererseits dürfte dann auch niemand in den Account schauen, um dienstliche und private Mails zu trennen.

Das Ergebnis: Der Account wäre letztlich insgesamt blockiert. Für viele Unternehmen ist das nicht akzeptabel.

Übliche Bedingungen für private Nutzung

In der Praxis ist deshalb üblich, dass der Arbeitgeber private Mails nur unter Bedingungen erlaubt:

Bedingung 1: Der Arbeitnehmer erklärt sich damit einverstanden, dass Mails, die nach seinem Ausscheiden eingehen, an einen anderen Mitarbeiter weitergeleitet werden.

Bedingung 2: Er ist außerdem damit einverstanden, dass dieser andere Mitarbeiter den Betreff und den Absender aller eingehenden Mails prüft. Hat eine Mail danach erkennbar privaten Charakter, öffnet er sie nicht. Je nach Vereinbarung löscht er sie oder leitet sie an den ausgeschiedenen Mitarbeiter weiter.

Eigenes Smartphone als Lösung?

Falls private Mails erlaubt sind, geht es also nicht ohne relativ komplizierte Vereinbarungen. Das ist ein wichtiger Grund dafür, warum viele Unternehmen auf dienstlichen Geräten nur dienstliche Mails erlauben.

Viele Mitarbeiter haben ohnehin ständig ihr privates Smartphone dabei. Private Mails schreiben sie von dort aus. Mit den Inhalten solcher Mails hat der Arbeitgeber nichts zu tun. Datenschutzprobleme gibt es keine.

Folgeprobleme anderer Art

Allerdings: Mailen ist hier eine private Tätigkeit während der Arbeitszeit. Ob und in welchem Umfang sie erlaubt ist, sollte man klären, bevor es Ärger gibt. Selbstverständlich ist eine solche Erlaubnis auf keinen Fall.

Außerdem: Probleme kann auch der umgekehrte Fall bereiten. Ein Arbeitnehmer benutzt sein privates Smartphone, um dienstliche Mails zu verschicken. Auch das ist nicht einfach so erlaubt.

Hilfe bietet Ihr Externer Datenschutzbeauftragter

Gerne senden wir Ihnen ein kostenloses Muster für den Offboarding-Prozess oder unterstützen Sie bei Ihrer individuellen Regelung in Ihrem Unternehmen. Nutzen Sie jetzt unsere Erfahrung und unser Knowhow aus über 13 Jahren Beratung in Sachen Datenschutz und Informationssicherheit in über 200 Unternehmen.

Fordern Sie uns!

Ihr yourIT-Datenschutz-Team

Ist Ihr Unternehmen bereit für die EU-DSGVO? Jetzt Fördermittel nutzen!

Als Berater in Sachen Datenschutz & Informationssicherheit und mit der Erfahrung als ISO-27001-zertifiziertes Systemhaus analysieren wir gemeinsam mit Ihnen den Reifegrad Ihres Datenschutzkonzeptes im Hinblick auf die EU-DSGVO.

Das erfolgreiche yourIT Beratungskonzept Datenschutz in 4 Phasen

Als Ergebnis erhalten Sie einen ausführlichen Beratungsbericht, in dem wir alle gefundenen Schwachstellen in Ihrem Unternehmen in Bezug auf Datenschutz & Informationssicherheit aufführen, diese bewerten, Belegen, weshalb es sich um eine Schwachstelle handelt, wo wir diese entdeckt haben. Wir nennen diesen Datenschutz-Beratungsbericht auch das "Datenschutz-Pflichtenheft", weil wir Ihnen zu jeder Schwachstelle zudem Handlungsempfehlungen geben, wie Sie diese beheben.

Und jetzt das Beste: Für mittelständische Unternehmen wurde unsere Beratungsleistung in Sachen Datenschutz & Informationssicherheit als förderungswürdig eingestuft. Wenn Ihr Unternehmen die Förderbedingungen einhält, haben Sie Anspruch auf 1.500 EUR Fördermittel.

Gerne prüfen wir mit Ihnen kostenlos, ob auch Ihrem Unternehmen Fördermittel zustehen. das dauert nur wenige Minuten.

Jetzt kostenlos prüfen

Seiten