Der Beschäf­tig­te hat das Unter­neh­men ver­las­sen – sein E‑Mail-Postfach ist noch aktiv. In der Pra­xis stellt sich dann häu­fig die Fra­ge, ob und unter wel­chen Vor­aus­set­zun­gen auf das E‑Mail-Postfach aus­ge­schie­de­ner Beschäf­tig­ter zuge­grif­fen wer­den darf. In wel­chen Fäl­len ein Zugriff auf das Post­fach daten­schutz­recht­lich unbe­denk­lich ist, hat das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht nun noch­mals auf­ge­zeigt.

Dienst­li­che E‑Mails aus­ge­schie­de­ner Mit­ar­bei­ter ste­hen dem Arbeit­ge­ber zu, sodass er dar­über nach Aus­schei­den des betref­fen­den Mit­ar­bei­ters ver­fü­gen kann. ” – Mat­thi­as Her­kert

Auch bei sys­te­ma­ti­scher Pla­nung des Mit­ar­bei­ter­aus­tritts – nicht immer las­sen sich alle Fäl­le vor­aus­se­hen. So kann es zum Bei­spiel sein, dass im Post­fach eines bereits aus­ge­schie­de­nen Beschäf­tig­ten wei­ter­hin E‑Mails von Kun­den oder Inter­es­sen­ten ankom­men oder wich­ti­ge E‑Mails aus dem Post­fach für die wei­te­re Bear­bei­tung von Geschäfts­vor­gän­gen benö­tigt wer­den, die der ehe­ma­li­ge Beschäf­tig­te, beab­sich­tigt oder unbe­ab­sich­tigt, nicht aus sei­nem Post­fach über­ge­ben hat.

Ver­bot der pri­va­ten E‑Mail-Nutzung als Vor­aus­set­zung

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht hat in sei­nem Tätig­keits­be­richt für das Jahr 2019 nun noch­mals klar­ge­stellt, dass in allen Fäl­len, in denen der Arbeit­ge­ber die pri­va­te Nut­zung der E‑Mail-Postfächer sei­ner Beschäf­tig­ten unter­sagt hat und die­ses Ver­bot auch mit einem erkenn­ba­ren Durch­set­zungs­wil­len wirk­sam über­wacht (d.h. kei­ne „Dul­dung“ oder „betrieb­li­che Übung“ der Pri­vat­nut­zung vor­liegt), ein Zugriff auf das E‑Mail Post­fach eines aus­ge­schie­de­nen Mit­ar­bei­ters zuläs­sig ist (hier geht es zum Tätig­keits­be­richt auf der Home­page des LDA Bay­ern).

Umgang mit mög­li­cher­wei­se noch vor­han­de­nen E‑Mails mit pri­va­tem Inhalt

Soll­ten beim Zugriff auf das Post­fach wider Erwar­ten doch E‑Mails mit pri­va­tem Inhalt vor­ge­fun­den wer­den, so dür­fen die­se nicht zur Kennt­nis genom­men wer­den und müs­sen dem ehe­ma­li­gen Beschäf­tig­ten ent­we­der nach­träg­lich über­mit­telt oder unver­züg­lich gelöscht wer­den. Spä­tes­tens an die­ser Stel­le der Aus­füh­run­gen des BayL­DA wird klar, dass der Zugriff in der Pra­xis immer min­des­tens im Vier-Augen-Prinzip erfol­gen soll­te. Sinn­vol­ler­wei­se wer­den hier­bei ein vor­mals fach­lich vor­ge­setz­ter Mit­ar­bei­ter zur Beur­tei­lung der Rele­vanz der vor­ge­fun­de­nen Kor­re­spon­denz sowie ein wei­te­rer Mit­ar­bei­ter, häu­fig aus dem IT-Bereich des Unter­neh­mens, zur unter­stüt­zen­den tech­ni­schen Bera­tung betei­ligt sein. Bei der Aus­wahl der Anzahl der Betei­lig­ten ist indes an den Grund­satz der Daten­mi­ni­mie­rung zu den­ken.

Zuläs­sig­keit des Zugriffs über die Erfor­der­lich­keit zur Durch­füh­rung oder Been­di­gung des Beschäf­ti­gungs­ver­hält­nis­ses

Das Lan­des­amt weist dabei aus­drück­lich dar­auf hin, dass, anders als noch immer Pra­xis in vie­len Unter­neh­men, eine Ein­wil­li­gung des ehe­ma­li­gen Beschäf­tig­ten als Rechts­grund­la­ge für den (mög­li­chen) Zugriff auf das Post­fach nicht erfor­der­lich sei. Viel­mehr kön­ne die Ver­ar­bei­tung auf die Erfor­der­lich­keit für die Durch­füh­rung oder Been­di­gung des Beschäf­ti­gungs­ver­hält­nis­ses (§ 26 Abs. 1 S. 1 BDSG) gestützt wer­den. In die­sem Kon­text soll­te unbe­dingt auch bedacht wer­den, dass ein Ein­wil­li­gungs­er­su­chen gegen­über aus­schei­den­den Beschäf­tig­ten ein nicht uner­heb­li­ches Risi­ko birgt. Wird der Zugriff auf das Post­fach von einer posi­ti­ven Ein­wil­li­gung abhän­gig gemacht, muss das Unter­neh­men auch die nega­ti­ve Ent­schei­dung des Beschäf­tig­ten respek­tier­ten. Ein „Wech­sel“ der Recht­grund­la­ge bei nega­ti­ver Ein­wil­li­gung wäre in jedem Fall „ein in höchs­tem Maß miss­bräuch­li­ches Ver­hal­ten“ (in die­sem Sinn z.B. die Artikel-29-Datenschutzgruppe in Ihren Leit­li­ni­en in Bezug auf die Ein­wil­li­gung gemäß Verordnung2016/679, hier als Nach­weis auf der Home­page des Baye­ri­sche Lan­des­be­auf­trag­te für den Daten­schutz).

Umgang mit inak­ti­ven Post­fä­chern sys­te­ma­tisch pla­nen

Die Emp­feh­lung des BayL­DA, die Post­fä­cher aus­ge­schie­de­ner Beschäf­tig­ten mög­lichst bald zu löschen, »sodass Absen­der eine Feh­ler­mel­dung erhal­ten und sich um den neu­en und rich­ti­gen E‑Mail Kon­takt küm­mern müs­sen oder kön­nen« erscheint hin­ge­gen wenig pra­xis­nah. Sinn­vol­ler wer­den hier regel­mä­ßig die Deak­ti­vie­rung der Mail­box des ehe­ma­li­gen Beschäf­tig­ten und die Ein­rich­tung einer Umlei­tung zumin­dest für eine ange­mes­se­ne Über­gangs­frist sein, sodass dem Arbeit­ge­ber kei­ne mög­li­cher­wei­se inter­es­san­ten Kon­tak­te oder gar Leads ver­lo­ren gehen.

Fazit

Auch dienst­li­che E‑Mails aus­ge­schie­de­ner Mit­ar­bei­ter »ste­hen dem Arbeit­ge­ber zu, so dass er dar­über nach Aus­schei­den des betref­fen­den Mit­ar­bei­ters ver­fü­gen kann«. Das Baye­ri­sche Lan­des­amt für Daten­schutz hat die­se in sei­nem letz­ten Tätig­keits­be­richt noch­mals bestä­tigt. Wie bereits auch an ande­rer Stel­le in unse­rem Blog emp­foh­len (https://datenschutz-am-bodensee.com/zugriffsmoeglichkeiten-auf-e-mail-konten-von-arbeitnehmern/), setzt dies jedoch vor­aus, dass der Abreit­ge­ber sei­nen Beschäf­tig­ten die pri­va­te Nut­zung der dienst­li­chen E‑Mails ver­bo­ten hat und die­se auch nicht »still­schwei­gend dul­det«. Wer hier vor­aus­schau­end und kon­se­quent gestal­tet und regelt, hat (auch daten­schutz­recht­lich) bei einem Wech­sel in der Beleg­schaft eine Sor­ge weni­ger.

Was Sie noch interessieren könnte:

Analoge Schlüsselverwaltung

25. Novem­ber 2020|

Oft lau­ern Ver­ar­bei­tun­gen per­so­nen­be­zo­ge­ner Daten in All­tags­hand­lun­gen, manch­mal muss ein Pro­zess auch erst in sei­nen Ein­zel­tei­len ana­ly­siert wer­den, um […]

Datenübermittlung beim Asset Deal Teil II

6. Novem­ber 2020|

In Teil I unse­rer Rei­he „Daten­über­mitt­lung beim Asset Deal“ haben wir uns ange­schaut, wor­in der Unter­schied zwi­schen Asset Deal […]

Autor des Arti­kels:

Matthias Herkert

Leiter Fachbereich Consulting und externer Datenschutzbeauftragter
MEHR ZUM AUTOR