Hallo zusammen ,ich bitte um Einschätzung ob dieser Fall ein meldepflichtiges Ereignis ist:
Einige Mitarbeiter haben sich darüber beschwert, dass andere Teamkollegen Zugriff auf ihre geschäftlichen E-Mail-Konten haben – auch in Zeiten, in denen sie weder im Urlaub noch krankheitsbedingt abwesend sind. Der Zugriff erfolgt dabei lesend.
Laut einer bestehenden Betriebsvereinbarung aus dem Jahr 2006 darf nur eine vom jeweiligen Mitarbeiter bestimmte Person Zugriff auf das E-Mail-Konto erhalten. Ein Zugriff durch weitere oder nicht autorisierte Personen stellt daher einen Verstoß gegen diese Betriebsvereinbarung dar.
Zusätzlich ist festgelegt, dass geschäftliche E-Mail-Konten ausschließlich für dienstliche Zwecke zu nutzen sind; eine private Nutzung ist untersagt.
Hoffen wir, dass die E-Mail-Konten tatsächlich nur dienstliche Kommunikation enthält. Dann ist nicht recht erkennbar, dass durch den Zugriff durch andere Betriebsangehörige die Rechte und Freiheiten der betroffenen Person einem Risiko ausgesetzt sind. Eine Meldepflicht bestände dann wohl nicht.
Anders läge aber der Fall, wenn durch den Zugriff dienstliche Verfehlungen der betroffenen Person offenbelegt würden, was für diese nachteilige Folgen hätte. Dann wäre die Meldepflicht gegeben, zumal Ursache offenbar ein fehlerhaftes Berechtigungskonzept des Verantwortlichen ist.
Ich finde Zugriff auf persönliche Mail-Postfächer generell kritisch, weil „dienstlich“ nicht „öffentlich“ heißt. Auch wenn es nicht privat ist, kann es trotzdem persönlich sein.
Vertretungen sollten über Gruppen-Accounts (vertrieb@…) gelöst werden. Aber nicht über Zugriffe auf fremde Postfächer.
Wir handhaben es hier bei uns ähnlich. In der Abwesenheitsnachricht wird darauf hingewiesen, dass und wie lange der Postfachbesitzer nicht erreichbar ist, sowie dass keine Weiterleitung der E-Mails erfolgt. Dann werden die Kontaktdaten des zuständigen Vertreters benannt, an den sich der Absender der E-Mail wenden kann, wenn eine schnelle Rückmeldung erwartet wird.
Wie gesagt - Weiterleitungen oder Zugriffe auf “fremde” persönliche Mail-Postfächer gibt es bei uns generell nicht.
Hallo und vielen Dank für die Antworten.
Mir ist auch bewusst, dass es so nicht in Ordnung ist und dass es einen Verstoß gegen die geltende Betriebsvereinbarung darstellt. Als Datenschutzbeauftragter stellt sich für mich jedoch die Frage, ob es sich um einen meldepflichtigen Verstoß nach DSGVO handelt, also ob “ein Risiko für die Rechte und Freiheiten der betroffenen Personen” besteht. Nach meiner Einschätzung ist dies nicht der Fall, da es sich um ein geschäftliches E-Mail-Konto handelt, in dem ausschließlich E-Mails für die Bearbeitung des Projekts oder Auftrags enthalten sind – also ausschließlich B2B-Kontakte. Wie seht ihr das ?
Die Einschätzung würde ich auch so teilen, vorallem mit dem Verbot der Privatnutzung.
Ich würd nur noch aufpassen, dass darüber nicht noch andere, als persönlich/vertraulich einzustufende E-Mails laufen könnten, wie z. B. Kommunikation mit HR, etc. Das wäre vielleicht noch eine potenzielle Stolperfalle die ich aus vielen Firmen kenne.
Aus Sicht des Datenschutzbeauftragten ist bei der Beurteilung, ob der Vorfallunterhalb oder oberhalb der Meldeschwelle liegt, insbesondere ausschlaggebend:
1. Verbot der privaten Nutzung des dienstlichen E-Mail-Accounts
Schriftlich festgelegt (z. B. in Betriebsvereinbarung, Arbeitsvertrag oder Richtlinie):
→ Es ist davon auszugehen, dass ausschließlich dienstliche Inhalte verarbeitet werden.
→ In diesem Fall kein meldepflichtiges Ereignis, sofern die Risikobewertung keine besonderen Gefährdungen aufzeigt.
→ Aber: Vorfall und Risikobewertung müssen verbindlich dokumentiert werden.
2. Keine schriftliche Regelung bzw. private Nutzung erlaubt
Risiko besteht, dass unbefugt auf private E-Mails und damit besonders schutzwürdige personenbezogene Daten zugegriffen wurde.
Bei tatsächlichem Zugriff auf private Inhalte:
→ Ggf. hohes Risiko für Rechte und Freiheiten der betroffenen Person.
→ Dann Meldepflicht an die Aufsichtsbehörde und Benachrichtigung des betroffenen Mitarbeiters (Art. 34 DSGVO) erforderlich
Ich möchte hier noch einen neuen Gedanken einbringen, der aber auch keine Meldepflicht bedingt.
Es könnte folgendes passiert sein:
Mitarbeiter X ist in Urlaub.
Mitarbeiter Y hat lesenden Zugriff auf sein Postfach.
Betroffener B schreibt eine Mail an A, die einen teilweisen privaten Inhalt hat, z.B. einen Flirtversuch.
Y erhält davon Kenntnis.
Nach meinem Verständnis sind die Rechte und Freiheiten von Y verletzt.
Datenschutzverstoss: Ja; Verletzung immer noch diskutabel, da es keine Verletzung einer nicht vorhandenen Sicherheit ist.
Hier käme es für mich auch insbesondere an wie die E-Mail-Nutzung geregelt ist, also ob die Privatnutzung untersagt ist und das so gelebt wird, dann hat B einfach gegen eine interne Vorgabe verstoßen, und das würde ich in die Dokumentation des Vorfalls aufnehmen + erneut “schulen” bzw. die gesamte Belegschaft auf die Regelung hinweisen
Natürlich… B… die Datenschutz Demens, wenn man mit A und B anfängt, dann feststellt, dass man B noch braucht. Einfach zu eilig gewesen.
Du hast recht.
Das aber ein Empfänger private Nachrichten gesendet bekommt, kann auch ein Verbot nicht verhindern. Es kann nur angewiesen werden, diese Nachrichten ggf. an sich selbst privat weiterzuleiten und dann die empfangene und die gesendete (weitergeleitete) Nachricht zu löschen.