Ein häufiges Szenario: Eine Mitarbeiterin oder ein Mitarbeiter ist vorübergehend oder länger abwesend oder ganz aus dem Dienst ausgeschieden. Vorgesetzte in den Organisationen stellen sich dann regelmäßig die Frage, wie mit den E-Mail-Accounts der Betreffenden zu verfahren ist. Häufig befinden sich sogar noch laufende Vorgänge darin, an deren Abwicklung bzw. Fortführung ein dienstliches Interesse besteht.

Dürfen die Accounts vom Vorgesetzten oder dem Nachfolger eingesehen werden? – Die Frage ist per se nicht neu und hat auch bereits vor Wirksamwerden der DSGVO für eine Befassung der Gerichte gesorgt.

Maßgeblich hierfür sind Art. 6 Abs. 1 Buchstabe b und Art. 88 DSGVO (Datenschutz-Grundverordnung) i.V.m. § 26 Abs. 1 Satz 1 BDSG (Bundesdatenschutzgesetz) bzw. maßgebliche Vorschriften der Landesdatenschutzgesetze. Danach dürfen personenbezogene Daten einer oder eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies unter anderem für dessen Durchführung oder Beendigung erforderlich ist.

Die Weiterleitung von E-Mails nach Ausscheiden einer Person aus der Organisation ist zwar grundsätzlich zulässig, wenn die E-Mail-Nutzung nur zu dienstlichen Zwecken erlaubt und die Nutzung zu privaten Zwecken ausdrücklich untersagt worden ist.
Problematisch für den Arbeitgeber wird es vor allem dann, wenn eine auch private/persönliche Nutzung des E-Mail-Accounts ausdrücklich gestattet oder zumindest nicht beanstandet wurde (Fall der sog. „Duldung“). Es ist außerdem nicht auszuschließen, dass Betriebsfremden die Weisung des Arbeitgebers nicht bekannt ist und sie deshalb trotzdem private E-Mails an die abwesende Person senden.

Sind über personengebundene dienstliche E-Mail-Adressen trotzdem private E-Mails eingegangen, sieht sich der Arbeitgeber nach dem Ausscheiden der betroffenen Person vor die Frage gestellt, ob eine Einsichtnahme in die E-Mails und deren Weiterleitung untersagt ist, weil diese dem Fernmeldegeheimnis unterliegen. Administratoren, die in diesem Fall Zugänge auf E-Mails weiterleiten oder Passworte zu E-Mail-Accounts ändern (selbst auf dienstliche Weisung hin), laufen Gefahr, sich strafbar zu machen.

Für diese Fälle empfiehlt es sich, eine verantwortliche Person zu bestimmen, die zur Wahrung der Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person zur Einsicht in das E-Mail-Fach berechtigt wird. Dabei sind die Vorgaben der betrieblichen Mitbestimmung bzw. Personalvertretung zu beachten.

Diese Person wäre dann befugt, dienstliche E-Mails zu separieren. Offensichtlich private oder vertrauliche E-Mails sind dabei unverzüglich ungeöffnet zu löschen.

Zu berücksichtigen ist in der Umsetzung, dass verbreitete E-Mail-Systeme, wie zum Beispiel Outlook, Mails oft in mehreren Verzeichnissen speichern. Dies führt dazu, dass weitere Mails in dem Verzeichnis „Gelöschte Dateien“ oder „Gesendete Dateien“ abgelegt sein können.

Tipps für die Praxis:

  1. Wenn ein Beschäftigte die Organisation verlassen, sollten sie vorher selbst eventuell vorhandene persönliche oder private E-Mails aus dem eigenen E-Mail-Postfach löschen.
    Dies kann in einbezogenen Richtlinien, individualvertraglich oder kollektivrechtlich, durch Betriebs-/Dienstvereinbarungen geregelt werden. Die betrieblichen E-Mails werden dann entweder an die Vertretung oder den Nachfolger bzw. die Nachfolgerin weitergeleitet, falls sie für betriebliche Zwecke benötigt werden.
  2. Sollte dieses nicht mehr möglich sein (z.B. weil der oder die Beschäftigte verunglückt oder schwer erkrankt ist), hängt es von den jeweiligen Umständen des Einzelfalls ab, ob eine Einsichtnahme in das E-Mail-Fach erforderlich ist, um den dienstlichen Zweck zu erfüllen und die E-Mails bearbeiten zu können.
  3. Nach Art. 17 Abs. 1 Buchstabe a DSGVO sind personenbezogene Daten unverzüglich zu löschen, sofern sie für die Zwecke, für die sie gespeichert, erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr benötigt werden. Dies hat zur Folge, dass nach dem Ausscheiden einer oder eines Beschäftigten der dienstliche E-Mail-Account unverzüglich zu löschen ist, sofern keine Gründe oder Rechtspflichten mehr zum Behalten der elektronischen Korrespondenz bestehen. Hierüber erhält der Versender Kenntnis, durch eine Meldung vom Mailserver, dass der E-Mail-Account unbekannt ist.
    Zu empfehlen sind daher Systeme, die eine separate Archivierung von betriebsrelevanten bzw. aufbewahrungspflichtigen Mails (z.B. Geschäfts- und Handelsbriefen) ermöglichen und vom Mail-System getrennt laufen.
  4. Alternativ besteht für nur vorübergehend verhinderte Beschäftigte die Möglichkeit, über einen Abwesenheitsassistenten den Hinweis anzubringen, dass über diese Adresse keine E-Mails mehr bearbeitet werden, und auf eine andere E-Mail-Adresse der (Stellvertretung) zu verweisen. Auf die Angabe von Gründen bzw. Erläuterungen ist dabei zu verzichten.
  5. Von einer (automatischen) Weiterleitung von E-Mails ist abzusehen, weil sich auf dem E-Mail-Account der betroffenen Person vertrauliche E-Mails befinden können, beispielsweise Kommunikation mit der Personalvertretung, dem betriebsärztlichen Dienst oder mit anderen Kolleginnen und Kollegen.

Autor: Thomas Hofer, Akademischer Direktor am Rechtsinformatikzentrum der Ludwig-Maximilians-Universität München

    Verpassen sie keine Beiträge mehr!

    Wenn Ihnen dieser Beitrag gefällt, abonnieren Sie unsere Newsletter. Dann entgeht Ihnen kein Insidas Artikel mehr.

    Datenschutzhinweis

    Mit dem Abonnement des Newsletters messen wir auch Reichweite und Erfolg, um diesen noch interessanter zu gestalten. Die Einwilligung kann mit Wirkung für die Zukunft widerrufen werden. Ausführliche Hinweise erhalten Sie in unserer Datenschutzerklärung.

    Diese Beiträge könnten Sie auch interessieren

    Videoüberwachung bei öffentlichen Stellen in Bayern

    Videoüberwachung bei öffentlichen Stellen in Bayern

    Ein ungebrochener Trend und ein Dauerbrennpunkt im Bereich des Datenschutzrechtes ist das Thema Videoüberwachung. Es ist eines der wichtigsten Schwerpunkte in der Arbeit der Datenschutzbehörden und häufiger Gegenstand in datenschutzpolitischen Diskussionen. Was ist...

    read more
    Tipps zur Nutzung der Webanalytik-Plattform Matomo

    Tipps zur Nutzung der Webanalytik-Plattform Matomo

    Tipps zur Einstellung Matomo ermöglicht das Tracking von Webseitenbesucherinnen und -besuchern mittels Cookies oder JavaScript. Auch im Hinblick auf die zunehmende Verbreitung von Schutzmechanismen in Webbrowsern ist ein Tracking per JavaScript dem Tracking durch...

    read more
    Rechtliche Anforderungen an den Einsatz von Microsoft 365

    Rechtliche Anforderungen an den Einsatz von Microsoft 365

    Teil 1: Microsoft 365: Aufsichtsbehörden im Fokus – Was sagen die Datenschützer?   Dies ist der Auftakt einer Beitragsreihe zur rechtskonformen Nutzung von Anwendungen und Diensten der cloudbasierten „Produktivitätsplattform“ Microsoft 365 (Word, Excel,...

    read more