DS-GVO und BDSG schränken Zugriff auf E-Mails ein
Der Zugriff des Arbeitgebers auf das E-Mail-Postfach des Arbeitnehmers ist unter anderem von Seiten des Arbeits- und des Telekommunikationsrechts bereits eingeschränkt. In manchem Fällen kann es aber Ausnahmen geben, bei denen ein Zugriff notwendig wird. Worauf in diesem Fall aus Sicht des Datenschutzes geachtet werden muss, erklären wir in unserem Blog.
Datenschutz beim Zugriff auf das Postfach eines Mitarbeiters
In der Regel sollten Unternehmen Abwesenheiten wie Urlaub oder Elternzeit so einplanen können, dass eine DS-GVO- bzw. BDSG-konforme Urlaubsvertretung (Datenschutzgrundverordnung bzw. Bundesdatenschutzgesetz) des Arbeitnehmers gewährleistet werden kann. Anders sieht es bei einer kurzfristigen und vor allem ungeplanten Abwesenheit des Mitarbeiters aus. Wenn keine entsprechenden Vertretungsvereinbarungen mit Kollegen oder Chef getroffen sind, darf nur dann auf das Postfach zurückgegriffen werden, wenn die Verarbeitung der Daten für die Aufrechterhaltung des Geschäftsbetriebes zwingend notwendig ist.
Dabei gilt es zuerst alle anderen Möglichkeiten zu nutzen, um an die benötigten Daten zu gelangen. Laut Datenschutz ist jeder Zugriff auf einen E-Mail-Account eine Verarbeitung von personenbezogenen Daten. Das bedeutet hier muss das sogenannte Verbot mit Erlaubnisvorbehalt beachtet werden. Was bedeutet das? Das bedeutet, dass personenbezogene Daten zum Beispiel nur dann verarbeitet werden dürfen, wenn entweder eine gesetzliche Grundlage dafür besteht oder der Betroffene sein Einverständnis gegeben hat.
Die Aufrechterhaltung des Geschäftsbetriebes stellt zwar ggf. auch einen solchen Sachverhalt dar, muss aber mit denen im Konflikt stehenden weiteren datenschutzrechtlichen Besonderheiten ausgiebig abgewogen werden (Verhältnismäßigkeitsprüfung).
Private Nutzung des E-Mail-Postfachs erlaubt?
Besondere Beachtung ist darauf zu legen ob der Arbeitnehmer den beruflichen E-Mail-Account auch für private Zwecke nutzen darf. Anders als bei geschäftlichen E-Mails, bei denen die Aufrechterhaltung des Geschäftsbetriebs oder zur Durchführung des Arbeitsverhältnisses natürlich im Vordergrund stehen, dürfen Daten aus privaten E-Mails in keinem Fall verarbeitet werden – also weder geöffnet noch gelesen werden.
Das stellt Arbeitgeber vor eine scheinbar unlösbare Aufgabe: Wie soll das E-Mail-Postfach geöffnet und die relevanten Informationen herausgefiltert werden, ohne gegen die Vorgaben im Datenschutz zu verstoßen. Das ist in der Tat nicht einfach zu lösen.
Das Wichtigste dabei ist die Dokumentation der Vorgänge: Dokumentieren Sie wann das Postfach geöffnet wurde und welche Daten verwendet wurden, welche E-Mail wurden zur Verarbeitung genutzt und warum. Am besten sollte ein befugter Zeuge dabei anwesend sein. Es empfiehlt sich den (externen) Datenschutzbeauftragten und wenn vorhanden zum Beispiel den Betriebsrat mindestens auch dazu zu nehmen.
Private E-Mails nicht öffnen
Offensichtlich erkennbare private E-Mails dürfen in keinem Fall geöffnet werden. Sollte nicht sofort ersichtlich sein, dass die E-Mail privat ist oder private Daten enthält, muss genau abgewogen werden, ob die E-Mail geöffnet werden sollte.
Sollte es notwendig sein, die Kennwörter des Nutzers zu ändern, muss diesem das neue Passwort unverzüglich mitgeteilt werden, mit dem Hinweis darauf, das Kennwort zum Schutz der Daten wieder zu ändern. Mehr zu Kennwortrichtlinien lesen Sie in unserem Blog.
Weniger problematisch stellt sich hingegen der Zugriff auf ein E-Mail-Konto dar, welches ausschließlich für berufliche Zwecke genutzt werden darf. Die Vorgaben des Datenschutzes sollten allerdings auch hier eingehalten werden und eine Notwendigkeit schon alleine aufgrund der Kennwortrichtlinien abgewogen werden. Auch hier muss ein mögliches geändertes Kennwort entsprechend weitergegeben werden.
Notwendigkeit immer prüfen
Egal um welche Art von Postfach es sich handelt, sollte immer ausreichend geprüft werden, ob der Nutzen und die Notwenigkeit vor möglichen Rechten des Mitarbeiters und möglicherweise weiteren Betroffenen steht. Darüber hinaus sollte auch jede weitere andere Möglichkeit genutzt werden, um an die benötigten Informationen zu gelangen.
In aller erster Linie sind aber in jedem Fall die Grundsätze des Datenschutzes zu beachten und einzuhalten. Diese sind:
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Speicherbegrenzung
- Integrität und Vertraulichkeit
- Rechenschaftspflicht
Alle möglichen und nötigen Formen der Betroffenenrechte und der Dokumentationen im Datenschutz (z.B. VVT), sowie technische und organisatorische Maßnahmen (TOM) müssen ausreichend genutzt werden, um sicher zu stellen, dass der Datenschutz im umfassenden Maße eingehalten werden kann.
Komplexe Betrachtung über den Datenschutz hinaus
Dieser Artikel greift den Zugriff auf die Daten in Abwesenheit eines Mitarbeiters nur sehr allgemein für den Fall des Datenschutzes und der gesetzlichen Vorgaben aus der Datenschutzgrundverordnung (DS-GVO) und dem Bundesdatenschutzgesetz (BDSG) auf. Am oben genannten Beispiel sehen wir dabei, dass schon ein vermeintlich einfacher Fall eine große Komplexität mit sich bringen kann.
Über den Datenschutz hinaus spielen dabei u.a. auch Arbeitsrecht, Persönlichkeitsrechte, Fernmeldegesetz, IT-Sicherheit und die Nutzung von Kennwörtern eine große Rolle. Für Unternehmen stellt die Abwägung aller erforderlichen gesetzlichen Grundlagen und Vorgaben dabei einen zentralen Punkt dar. Nicht zu vergessen seien hierbei auch Sonderfälle wie Zugriff auf Postfächer von Geschäftsführern oder Vorständen, ehemaligen Mitarbeitern oder auch bei Verdacht auf Straftaten.
Eine Entscheidung sollte dabei immer auch in Rücksprache der Fachleute getroffen werden. Im Datenschutz ist dies der (externe) Datenschutzbeauftragte. Wenn Sie Beratung im Bereich Datenschutz benötigen, bietet Ihnen das Team von Datenschutzberater.NRW mit Fachleuten aus Datenschutz, IT und Steuerrecht ein weites Portfolio an:
- Datenschutz-Erstberatung
- Datenschutz-Audit
- IT-Audit
- Projekt- und prozessbezogenen Datenschutz
- Websitescan für eine Beurteilung Ihrer Homepage in Sachen Datenschutz
- Externer Datenschutzbeauftragter (TÜV) für den Großraum Köln, Bonn, Düsseldorf, Siegen, Gummersbach, Siegburg und ganz NRW
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.