Die norwegische Datenschutzbehörde „Datatilsynet“ verhängte kürzlich ein Bußgeld von 400.000 NOK, was umgerechnet nach aktuellem Wechselkurs 38.549 € entspräche. Grund des Bußgelds war die automatische Weiterleitung von E-Mails aus dem Postfach eines Mitarbeiters, welcher aufgrund von Krankheit abwesend war.

WEITERLEITUNG WAR EINEN MONAT AKTIV

Der Mitarbeiter legte bei der zuständigen Aufsichtsbehörde Beschwerde gegen seinen Arbeitgeber ein. Dieser hatte einen Monat lang eine automatische E-Mail-Weiterleitung aus dem Postfach des abwesenden Mitarbeiters eingestellt. Als Begründung für das Bußgeld wurde der Verstoß gegen Art. 6 DSGVO und Art. 5 DSGVO, also gegen die allgemeinen Grundsätze für die Verarbeitung personenbezogener Daten sowie deren Rechtmäßigkeit, aufgeführt.

WIE HÄTTE DAS BUßGELD VERHINDERT WERDEN KÖNNEN?

In diesem Fall sind die Voraussetzungen des Artikel 6 Absatz 1 Buchstabe b Datenschutz-Grundverordnung (DSGVO) beziehungsweise des § 26 Absatz 1 Satz 1 Bundesdatenschutzgesetz (BDSG) zu beachten. Demnach dürfen personenbezogene Daten eines oder einer Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies unter anderem für dessen Durchführung oder Beendigung erforderlich ist.

Ein Unternehmen als Arbeitgeber darf nur unter gewissen Umständen die E-Mail-Kommunikation seiner Mitarbeiter überwachen bzw. Einblick fordern. Dazu muss es eine ganz klar schriftlich definierte Regelung geben, die den privaten Gebrauch des geschäftlichen Postfaches untersagt. In vielen Unternehmen ist der private Gebrauch des Postfaches geduldet oder nicht schriftlich reguliert. Somit ist eine permanente oder willkürliche E-Mail-Überwachung sowie die Weiterleitung bei Abwesenheit nicht zulässig.

Ähnlich verhält es sich im Übrigen auch beim Ausscheiden eines Arbeitnehmers aus dem aktiven Geschäftsbetrieb. Sollte ein Mitarbeiter das Unternehmen verlassen, sollte dieser, sollte der private Gebrauch des Mail-Postfaches nicht verboten sein, nach einer gesetzten Frist sein Postfach von allen privaten E-Mails  bereinigen. Nach dem Ausscheiden eines Beschäftigten ist die E-Mail-Adresse unverzüglich zu löschen (bei personalisierten E-Mail-Adressen, sodass keine weiteren E-Mails mehr unter dieser Adresse eingehen). Dies entspricht Artikel 17 Absatz 1 lit. a) DSGVO. Demnach sind personenbezogene Daten unverzüglich zu löschen, sofern diese für die Zwecke, für diese sie gespeichert, erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr benötigt werden. Der Versender erhält Kenntnis über den Austritt mittels einer Meldung vom Mailserver, dass der E-Mail-Account unbekannt ist bzw. nicht mehr genutzt wird.

Sollten Sie die private Nutzung des geschäftlichen E-Mail-Accounts nicht geregelt haben, sprechen Sie gerne Ihren P29-Datenschutzbeauftragten darauf an. Projekt29 bietet hierzu schnelle und unkomplizierte Lösungen und Beratung an.