Der Beschäftigte hat das Unternehmen verlassen – sein E‑Mail-Postfach ist noch aktiv. In der Praxis stellt sich dann häufig die Frage, ob und unter welchen Voraussetzungen auf das E‑Mail-Postfach ausgeschiedener Beschäftigter zugegriffen werden darf. In welchen Fällen ein Zugriff auf das Postfach datenschutzrechtlich unbedenklich ist, hat das Bayerische Landesamt für Datenschutzaufsicht nun nochmals aufgezeigt.
“Dienstliche E‑Mails ausgeschiedener Mitarbeiter stehen dem Arbeitgeber zu, sodass er darüber nach Ausscheiden des betreffenden Mitarbeiters verfügen kann. ” – Matthias Herkert
Auch bei systematischer Planung des Mitarbeiteraustritts – nicht immer lassen sich alle Fälle voraussehen. So kann es zum Beispiel sein, dass im Postfach eines bereits ausgeschiedenen Beschäftigten weiterhin E‑Mails von Kunden oder Interessenten ankommen oder wichtige E‑Mails aus dem Postfach für die weitere Bearbeitung von Geschäftsvorgängen benötigt werden, die der ehemalige Beschäftigte, beabsichtigt oder unbeabsichtigt, nicht aus seinem Postfach übergeben hat.
Verbot der privaten E‑Mail-Nutzung als Voraussetzung
Das Bayerische Landesamt für Datenschutzaufsicht hat in seinem Tätigkeitsbericht für das Jahr 2019 nun nochmals klargestellt, dass in allen Fällen, in denen der Arbeitgeber die private Nutzung der E‑Mail-Postfächer seiner Beschäftigten untersagt hat und dieses Verbot auch mit einem erkennbaren Durchsetzungswillen wirksam überwacht (d.h. keine „Duldung“ oder „betriebliche Übung“ der Privatnutzung vorliegt), ein Zugriff auf das E‑Mail Postfach eines ausgeschiedenen Mitarbeiters zulässig ist (hier geht es zum Tätigkeitsbericht auf der Homepage des LDA Bayern).
Umgang mit möglicherweise noch vorhandenen E‑Mails mit privatem Inhalt
Sollten beim Zugriff auf das Postfach wider Erwarten doch E‑Mails mit privatem Inhalt vorgefunden werden, so dürfen diese nicht zur Kenntnis genommen werden und müssen dem ehemaligen Beschäftigten entweder nachträglich übermittelt oder unverzüglich gelöscht werden. Spätestens an dieser Stelle der Ausführungen des BayLDA wird klar, dass der Zugriff in der Praxis immer mindestens im Vier-Augen-Prinzip erfolgen sollte. Sinnvollerweise werden hierbei ein vormals fachlich vorgesetzter Mitarbeiter zur Beurteilung der Relevanz der vorgefundenen Korrespondenz sowie ein weiterer Mitarbeiter, häufig aus dem IT-Bereich des Unternehmens, zur unterstützenden technischen Beratung beteiligt sein. Bei der Auswahl der Anzahl der Beteiligten ist indes an den Grundsatz der Datenminimierung zu denken.
Zulässigkeit des Zugriffs über die Erforderlichkeit zur Durchführung oder Beendigung des Beschäftigungsverhältnisses
Das Landesamt weist dabei ausdrücklich darauf hin, dass, anders als noch immer Praxis in vielen Unternehmen, eine Einwilligung des ehemaligen Beschäftigten als Rechtsgrundlage für den (möglichen) Zugriff auf das Postfach nicht erforderlich sei. Vielmehr könne die Verarbeitung auf die Erforderlichkeit für die Durchführung oder Beendigung des Beschäftigungsverhältnisses (§ 26 Abs. 1 S. 1 BDSG) gestützt werden. In diesem Kontext sollte unbedingt auch bedacht werden, dass ein Einwilligungsersuchen gegenüber ausscheidenden Beschäftigten ein nicht unerhebliches Risiko birgt. Wird der Zugriff auf das Postfach von einer positiven Einwilligung abhängig gemacht, muss das Unternehmen auch die negative Entscheidung des Beschäftigten respektierten. Ein „Wechsel“ der Rechtgrundlage bei negativer Einwilligung wäre in jedem Fall „ein in höchstem Maß missbräuchliches Verhalten“ (in diesem Sinn z.B. die Artikel-29-Datenschutzgruppe in Ihren Leitlinien in Bezug auf die Einwilligung gemäß Verordnung2016/679, hier als Nachweis auf der Homepage des Bayerische Landesbeauftragte für den Datenschutz).
Umgang mit inaktiven Postfächern systematisch planen
Die Empfehlung des BayLDA, die Postfächer ausgeschiedener Beschäftigten möglichst bald zu löschen, »sodass Absender eine Fehlermeldung erhalten und sich um den neuen und richtigen E‑Mail Kontakt kümmern müssen oder können« erscheint hingegen wenig praxisnah. Sinnvoller werden hier regelmäßig die Deaktivierung der Mailbox des ehemaligen Beschäftigten und die Einrichtung einer Umleitung zumindest für eine angemessene Übergangsfrist sein, sodass dem Arbeitgeber keine möglicherweise interessanten Kontakte oder gar Leads verloren gehen.
Fazit
Auch dienstliche E‑Mails ausgeschiedener Mitarbeiter »stehen dem Arbeitgeber zu, so dass er darüber nach Ausscheiden des betreffenden Mitarbeiters verfügen kann«. Das Bayerische Landesamt für Datenschutz hat diese in seinem letzten Tätigkeitsbericht nochmals bestätigt. Wie bereits auch an anderer Stelle in unserem Blog empfohlen (https://datenschutz-am-bodensee.com/zugriffsmoeglichkeiten-auf-e-mail-konten-von-arbeitnehmern/), setzt dies jedoch voraus, dass der Abreitgeber seinen Beschäftigten die private Nutzung der dienstlichen E‑Mails verboten hat und diese auch nicht »stillschweigend duldet«. Wer hier vorausschauend und konsequent gestaltet und regelt, hat (auch datenschutzrechtlich) bei einem Wechsel in der Belegschaft eine Sorge weniger.
Was Sie noch interessieren könnte:
Löschkonzept nach DSGVO: Warum Daten wegkönnen, ja sogar müssen!
Einleitung: Digitale „Aufheberitis“ in Unternehmen Wir alle kennen diesen einen Kollegen, der E‑Mails aus dem Jahr 2005 aufbewahrt, “weil […]
Das Berechtigte Interesse – Worauf bei der Heranziehung als Rechtsgrundlage für die Datenverarbeitung zu achten ist
Möchte man personenbezogene Daten verarbeiten, kommt man nicht umhin, sich mit der dafür erforderlichen Rechtsgrundlage zu beschäftigen. Gerne wird […]
Neues Jahr – neue Themen…
Ein neues Jahr bringt auch eine neue Datenschutz-Agenda mit sich – Zeit um sich diejenigen Themen anzusehen, die das […]