Ein häufiges Szenario: Eine Mitarbeiterin oder ein Mitarbeiter ist vorübergehend oder länger abwesend oder ganz aus dem Dienst ausgeschieden. Vorgesetzte in den Organisationen stellen sich dann regelmäßig die Frage, wie mit den E-Mail-Accounts der Betreffenden zu verfahren ist. Häufig befinden sich sogar noch laufende Vorgänge darin, an deren Abwicklung bzw. Fortführung ein dienstliches Interesse besteht.
Dürfen die Accounts vom Vorgesetzten oder dem Nachfolger eingesehen werden? – Die Frage ist per se nicht neu und hat auch bereits vor Wirksamwerden der DSGVO für eine Befassung der Gerichte gesorgt.
Maßgeblich hierfür sind Art. 6 Abs. 1 Buchstabe b und Art. 88 DSGVO (Datenschutz-Grundverordnung) i.V.m. § 26 Abs. 1 Satz 1 BDSG (Bundesdatenschutzgesetz) bzw. maßgebliche Vorschriften der Landesdatenschutzgesetze. Danach dürfen personenbezogene Daten einer oder eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies unter anderem für dessen Durchführung oder Beendigung erforderlich ist.
Die Weiterleitung von E-Mails nach Ausscheiden einer Person aus der Organisation ist zwar grundsätzlich zulässig, wenn die E-Mail-Nutzung nur zu dienstlichen Zwecken erlaubt und die Nutzung zu privaten Zwecken ausdrücklich untersagt worden ist.
Problematisch für den Arbeitgeber wird es vor allem dann, wenn eine auch private/persönliche Nutzung des E-Mail-Accounts ausdrücklich gestattet oder zumindest nicht beanstandet wurde (Fall der sog. „Duldung“). Es ist außerdem nicht auszuschließen, dass Betriebsfremden die Weisung des Arbeitgebers nicht bekannt ist und sie deshalb trotzdem private E-Mails an die abwesende Person senden.
Sind über personengebundene dienstliche E-Mail-Adressen trotzdem private E-Mails eingegangen, sieht sich der Arbeitgeber nach dem Ausscheiden der betroffenen Person vor die Frage gestellt, ob eine Einsichtnahme in die E-Mails und deren Weiterleitung untersagt ist, weil diese dem Fernmeldegeheimnis unterliegen. Administratoren, die in diesem Fall Zugänge auf E-Mails weiterleiten oder Passworte zu E-Mail-Accounts ändern (selbst auf dienstliche Weisung hin), laufen Gefahr, sich strafbar zu machen.
Für diese Fälle empfiehlt es sich, eine verantwortliche Person zu bestimmen, die zur Wahrung der Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person zur Einsicht in das E-Mail-Fach berechtigt wird. Dabei sind die Vorgaben der betrieblichen Mitbestimmung bzw. Personalvertretung zu beachten.
Diese Person wäre dann befugt, dienstliche E-Mails zu separieren. Offensichtlich private oder vertrauliche E-Mails sind dabei unverzüglich ungeöffnet zu löschen.
Zu berücksichtigen ist in der Umsetzung, dass verbreitete E-Mail-Systeme, wie zum Beispiel Outlook, Mails oft in mehreren Verzeichnissen speichern. Dies führt dazu, dass weitere Mails in dem Verzeichnis „Gelöschte Dateien“ oder „Gesendete Dateien“ abgelegt sein können.
Tipps für die Praxis:
- Wenn ein Beschäftigte die Organisation verlassen, sollten sie vorher selbst eventuell vorhandene persönliche oder private E-Mails aus dem eigenen E-Mail-Postfach löschen.
Dies kann in einbezogenen Richtlinien, individualvertraglich oder kollektivrechtlich, durch Betriebs-/Dienstvereinbarungen geregelt werden. Die betrieblichen E-Mails werden dann entweder an die Vertretung oder den Nachfolger bzw. die Nachfolgerin weitergeleitet, falls sie für betriebliche Zwecke benötigt werden. - Sollte dieses nicht mehr möglich sein (z.B. weil der oder die Beschäftigte verunglückt oder schwer erkrankt ist), hängt es von den jeweiligen Umständen des Einzelfalls ab, ob eine Einsichtnahme in das E-Mail-Fach erforderlich ist, um den dienstlichen Zweck zu erfüllen und die E-Mails bearbeiten zu können.
- Nach Art. 17 Abs. 1 Buchstabe a DSGVO sind personenbezogene Daten unverzüglich zu löschen, sofern sie für die Zwecke, für die sie gespeichert, erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr benötigt werden. Dies hat zur Folge, dass nach dem Ausscheiden einer oder eines Beschäftigten der dienstliche E-Mail-Account unverzüglich zu löschen ist, sofern keine Gründe oder Rechtspflichten mehr zum Behalten der elektronischen Korrespondenz bestehen. Hierüber erhält der Versender Kenntnis, durch eine Meldung vom Mailserver, dass der E-Mail-Account unbekannt ist.
Zu empfehlen sind daher Systeme, die eine separate Archivierung von betriebsrelevanten bzw. aufbewahrungspflichtigen Mails (z.B. Geschäfts- und Handelsbriefen) ermöglichen und vom Mail-System getrennt laufen. - Alternativ besteht für nur vorübergehend verhinderte Beschäftigte die Möglichkeit, über einen Abwesenheitsassistenten den Hinweis anzubringen, dass über diese Adresse keine E-Mails mehr bearbeitet werden, und auf eine andere E-Mail-Adresse der (Stellvertretung) zu verweisen. Auf die Angabe von Gründen bzw. Erläuterungen ist dabei zu verzichten.
- Von einer (automatischen) Weiterleitung von E-Mails ist abzusehen, weil sich auf dem E-Mail-Account der betroffenen Person vertrauliche E-Mails befinden können, beispielsweise Kommunikation mit der Personalvertretung, dem betriebsärztlichen Dienst oder mit anderen Kolleginnen und Kollegen.
Autor: Thomas Hofer, Akademischer Direktor am Rechtsinformatikzentrum der Ludwig-Maximilians-Universität München