Datenschutz Weiterleitung E-Mail

[Mustis]

Seit wann ist ein datenschutzbeauftragter weisungsbefugt? Ich sehe die einheitlicheliteraturmeinung in dem punkt nicht. Ich habe sogar einen entsprechenden anwalt verlinkt, der dies, wenn auch sicherheitshalber als letzte, so doch gangbare möglichkeit sieht. Gut, es könnte veraltet sein, mir wäre aber nicht bekannt das es dazu bereits urteile gibt

PS: Inwieweit ich persönlich haften kann, wenn ich als nicht weisungsbefugter datenschutzbeauftagter berate (Angestellter, nicht von extern) sei mal dahingestellt. Keiner der fachkundigen Anwälte sah hier eine ernsthafte gefahr sofern man seine Empfehlungen schriftlich festhält und nicht komplett gegen die dsgvo und die rechtsprechung argumentiert. In solchen unklaren fällen wie hier ohnehin nicht. Es ist nicht mal wahrscheinlich, dass in einem solchen fall direkt strafen drohen bei erstmaligem vergehen. Als datenschutzbeauftragter bin ich allerdings auch kein jurist und hafte dementsprechend wohl auch anders. Warum die dsgvo im falle der datenschutzbeauftragten allerdings rechtlich teils heikle rechtlich relevante beratungen ohne jurstischen abschluss zulässt ist wohl auch eine der merkwürdigkeiten dieser verordnung.

 

[hallo7]

Er ist nicht weisungsbefugt, aber wenn er eine datenschutzrechtlich unzulässige Aktion – aus welchen Gründen auch immer – bewusst „durchgehen lässt“ macht er sich nicht nur haftbar, sondern sogar strafbar (Beihilfe zur Datenschutzverletzung).

Ein interner Datenschutzbeauftragter ist bei mittlerer und grober Fahrlässigkeit dran, wobei grob Fahrlässig bereits ist, wenn er fachlich keine Expertise hat.
Ein externer Datenschutzbeauftragter ist noch schneller dran.

Deswegen würde ich hier jedem Datenschutzbeauftragten bei nicht ausjudizierten Entscheidungen zur sicheren Variante raten. Wie du auch sagst, er ist nicht Weisungsbefugt, das Unternehmen muss ihm nicht folgen - allerdings haftet dann das Unternehmen alleine (und sehr hoch, denn es wurde ja gewarnt).

Für die genannten Beispiele hier gibt es übrigens Lösungen die ein Weiterleiten weitgehend überflüssig machen. Für Kundenanfragen/Support kann man Sammelmailadressen einrichten etc.
Manche Unternehmen löschen Mails von im Urlaub befindlichen Mitabeitern auch einfach und der Absender bekommt eine entsprechende Meldung - funktioniert auch, also wird eine Meldung das man im Urlaub ist und sich in dringenden Fällen bitte an Person x wenden soll auch funktionieren.

 

[Mustis]

Das steht wo, dass ich als angestellter datenschutzbeauftragter persönlich hafte, vor allem 3. gegenüber? Als externer hafte ich auch dem vertragspartner gegenüber aber 3. gehenüber? Auf welcher basis? Und keine expertise zu haben, liegt ja wohl auch am AG bei internen. Er kann ja schlecht bennennen und der darf sich dann selbst qualifizieren. Zumal eine zertifzierung als vorraussetzung gilt, datenschutzbeauftragter zu sein, so zumindest die rechtsmeinung dazu. Weise ich das zertifikat und eine regelmässige auffrischung nach, kann ich wohl kaum fehlende Qualifikation haben.

Sammeladressen funktionieren, wenn ich keine persönliche weiter nutze. Ansonsten nutzt der 3. allgemein die ihm bekannte und geläufige mail über die die Korrespondenz statt fand. Selbst mehrfaches darauf hinweisen, eine andere mail zu nutzen, fruchtet reproduzierbar nicht zuverlässig, je größer diese firma desto schlechter. Damit dies funtkioniert, braucht es lange übergangsphasen. Wir erhalten regelmässig selbst nach einem halben jahr noch emails auf dealtivierte adressen mit automatischer antwort.

 

[h00bi]

Wenn es in der Firma ein Problem sein soll dass deine Vertretung deine E-Mails zugestellt bekommt dann habt ihr nicht nur ein Datenschutzproblem.

Der Sender kontaktiert primär die Firma, nicht die Person. Deswegen ist es auch eine Firmenadresse.
Privatmails haben auf der Firmenadresse nichts verloren oder sollten höchstens billigend geduldet werden, auf keinen Fall sollte man das explizit erlauben.
Bitte auch nicht "private Emails während der Arbeitszeit" verwechseln mit "Nutzung der geschäftlichen Emailadresse zu privaten Zwecken". Ersteres ist üblich (Nutzung des privaten Emailkontos), zweiteres ist einfach nur unprofessionell.

 

[ayngush]

Eine unkontrollierte Weiterleitung von extern empfangenen E-Mails ist in der Tat problematisch. Auch wenn die private Nutzung des E-Mail-Systems innerhalb der Organisation schriftlich gegengezeichnet verboten ist heißt das noch lange nicht, dass man technisch keine E-Mail folgendem Beispiels empfangen kann:

Von: frau@firmatralala.com
An: mann@firma-verbot-privater-emails.de
Betreff: Scheidung
Inhalt: Hallo Schatz, ich reiche die Scheidung ein. RA Härtefallregelung wird sich mit dir bezüglich der Details kabeln.

Das Problem bei einer automatischen Eingangsweiterleitung ist übrigens nicht der "DSGVO-Unfug" (ich finde ihn ja gut, bin ja selbst auch Verbraucher), sondern schlichtweg die Verletzung des Briefgeheimnis. Das ist laut §202 StGB eine Straftat. Verbot privater E-Mail-System-Nutzung hin oder her, verhindert das ja technisch keinen Empfang von E-Mails mit privaten Inhalt. Manchmal reicht es schon, wenn ein Pärchen innerhalb einer Firma ihre dienstlichen E-Mails, die sich schreiben mit "Küsschen" anstatt "Schönen Gruß" abschließen. Schon sind das dienstliche E-Mails mit privatem Inhalt. Wie sind die einzustufen? Im Zweifelsfall siegt wohl eher das Briefgeheimnis (Grundrecht).

Die DSGVO kommt dann ins Spiel, wenn der Absender eine geschäftliche E-Mail mit vertraulichen Inhalt an definierten Empfänger sendet und nichts von automatischen Weiterleitungen weiß. Das Beispiel Betriebsrat (die für ihre BR-Tätigkeiten am besten ein eigenes Postfach mit eigener Adresse haben sollten - trotzdem kann der Absender das auch mal verwechseln) wurde ja schon genannt.

Übrigens genau so problematisch aus Sicht des Datenschutzes ist das Versenden automatischer Abwesenheitsbenachrichtigungen. Von Leistungskontrolle über "Es geht niemanden etwas an, ob ich krank bin oder Urlaub mache und wenn ja, wie lange" ist da alles in diesen "gut gemeinten Nachrichten" vertreten.

Wie auch immer, die DSGVO tut da nochmal ihren Teil zu beitragen aber das Briefgeheimnis ist bei E-Mail recht schnell verletzt, deswegen Obacht mit den Dingern. Ich persönlich würde E-Mail für interne Prozesse mittlerweile ohnehin überdenken, es gibt da sehr viel bessere Kollaborationstools, die nicht solche Probleme haben, da sie rechtlich nicht als "Brief" eingestuft werden. (Social Intranets, Tools wie Slack / MS Teams, Sharepoint, interne Wiki, usw.)

Erlaubt / duldet man dann auch noch die private E-Mail-System-Nutzung, ist ohnehin komplett Schluss mit Einsichtnahme im Krankheitsfall, automatischen Weiterleitungen oder Zugriffsberechtigungen jeglicher Art. Und zum E-Mail-Provider, selbst über das ausscheiden eines MA aus der Firma drüber hinaus, wird man dann auch gleich noch.

Aber Recht haben und Recht bekommen sind auch immer zwei Paar Schuhe.

 

[h00bi]

Das ist quatsch. Eine Email ist kein Brief. Eine Email ist eine Postkarte.

Die DSGVO kommt dann ins Spiel, wenn der Absender eine geschäftliche E-Mail mit vertraulichen Inhalt an definierten Empfänger sendet und nichts von automatischen Weiterleitungen weiß.

Auch das ist quatsch, die DSGVO hat nicht mit vertraulichen Inhalten zu tun sondern mit personenbezogenen und personenbeziehbaren Daten.

Übrigens genau so problematisch aus Sicht des Datenschutzes ist das Versenden automatischer Abwesenheitsbenachrichtigungen

Wieso soll das denn bitte problematisch sein? Der User bestimmt doch selbst was er da rein schreibt.
Oder meinst du wenn für erkranke Mitarbeiter durch jemand anderen eine Abwesenheitsnotiz gesetzt wird?
Dann ist aber nicht das Versenden automatischer Abwesenheitsbenachrichtigungen das Problem, sondern die Publizierung der darin enthaltenen Informationen durch Dritte.

Es ist auch kein Problem wenn die Beispiels-Dame ihre Scheidungsankündigung an die Firmenadresse des Ehegatten schickt.
Die Weiterleitung an einen Kollegen stellt keinen Verstoß gegen das Datenschutzgesetz dar, die Email ist an das Unternehmen adressiert. Möchte die Dame nicht dass das alles in der Firma des Noch-Ehegatten publik wird, dann soll sie es nicht in die Firma schicken.

Das ist von der Dame extrem unschön gegenüber ihrem Noch-Ehemann, aber stellt keinen Verstoß gegen das Datenschutzgesetz dar.

 

[fireblade_xx]

Ich habe nicht alle Antworten im Detail gelesen, aber grundsätzlich sehe ich die vollständige automatische Weiterleitung auch als problematisch an. Datenschutz ist hier nur eins der Themen.

Warum kann ein ordentlicher Mailboxzugriff per Stellvertreterregelung keine Lösung sein? Über diesen Weg sind nur unverschlüsselte E-Mails zugänglich und alle andere bleiben max. beim Betreff. Bei uns sendet HR, Betriebsrat etc. nur verschlüsselte E-Mails d. h. max. kann man sehen das jemand Kontakt mit betreffender Stelle hat und bzgl. Betreff sind die Mitarbeiter auch sensibilisiert, diesen neutral zu halten genau aus dem Grund.

Zum Thema DSB: Verantwortliche Stelle ist und bleibt die Geschäftsführung. Ein DSB ist im Regelfall nicht haftbar für Datenschutzverstöße. Die Umsetzung obliegt der verantwortlichen Stelle, während der DSB hierzu berät und prüft. Das ist ein klares Rollenmodell - ich weiß das es in der Praxis oft anders aussieht Diese Verantwortung ist aber nicht delegierbar.

 

[ayngush]

@h00bi Naja, das was du da jetzt erzählst ist halt leider Quatsch. Kann man ja auch leicht recherchieren, dass das Quatsch ist.

Eine E-Mail ist kein Brief und keine Postkarte, sondern eine E-Mail. Sie wird voll vom Fernmeldegeheimnis erfasst (das wurde in der Vergangenheit auch schon mehrfach richterlich festgestellt). Das Lesen, wenn man nicht der Adressat ist, ist nicht erlaubt. Weder bei Briefen, Postkarten und auch nicht bei E-Mails. Noch schwerer wiegt es natürlich, wenn man diese zu unrecht gelesenen Informationen dann auch noch veröffentlicht aber schon das Lesen an sich ist nicht erlaubt. Dabei geht es nicht, das habe ich auch nie behauptet, um die DSGVO, sondern um das Briefgeheimnis in Deutschland. Interessanter Beitrag dazu: https://www.heise.de/tp/features/Gilt-fuer-E-Mails-das-Brief-und-Fernmeldegeheimnis-3407952.html

Dann: Eine E-Mail ist immer einen spezifischen Adressaten zugeordnet und nicht allgemein einem Unternehmen. Außer es handelt sich um so technische Adressen wie info@ oder service@ oder abteilung@
Auch wenn es sich um eine dienstliche E-Mail-Adresse handelt, gibt es bei einer personenbezogenen E-Mail-Adresse immer genau einen bestimmten Adressaten. Und nur dieser Adressat ist zunächst berechtigt die E-Mail zu lesen und niemand anderes. Firmen können dann für dienstliche E-Mails aufgrund der Interessen der Firma davon abweichende Regelungen festlegen, das gilt aber niemals für E-Mails mit privaten Inhalten. Und, bleiben wir bei den fiktiven Fall mit der "Scheidungsmitteilung", sollte es dort eine automatische Weiterleitung geben, könnte der Mann daraufhin erfolgreich eine Anzeige wegen Verletzung des Fernmeldegeheimnis stellen und höchstwahrscheinlich würden die Verantwortlichen der Firma dafür auch einen auf den Deckel bekommen. Damit das nicht passiert und aus reiner Treuepflicht dem AG gegenüber weißen Datenschutzbeauftragte und anderes, geschultes Personal auch entsprechend darauf hin, dass automatische Posteingangsweiterleitungen zu unterbleiben haben. Das hat auch alles nichts mit dem Datenschutz zu tun, es geht immer noch um das Fernmeldegeheimnis, welches E-Mails gleichermaßen wie Postkarten und andere Kommunikation umfasst.

Die DSGVO kommt dann in das Spiel, wenn personenbezogene Daten von Betroffenen verarbeitet werden. Wenn ich eine E-Mail an einen Adressaten einer Firma schreibe, gehe ich davon aus, dass der Adressat den Inhalt liest und entsprechend bearbeitet. Wird die E-Mail aber automatisch weitergeleitet und ich als Betroffener darüber nicht im Vorfeld informiert, dann verstößt man an der Stelle gegen die DSGVO, da meine Daten durch die Weiterleitung in einer Weise verarbeitet werden, über die man mich vorher im Rahmen meiner Betroffenenrechte hätte aufklären müssen. Diese automatische Datenverarbeitung ist zumindest strittig.

Bei automatischen E-Mail-Respondern, die der Welt mitteilen von wann bis wann man was macht, ist das Vorhandensein, die Form und der Inhalt häufig vorgegeben. Oftmals müssen Angestellte via Firmenrichtlinie da reinschreiben, dass sie von dann bis dann Urlaub haben und wie die Vertretung lautet. Diese Angaben einfach so in die Welt oder in den Konzern rauszublasen verstößt gegen die DSGVO, die meine Daten als Arbeitnehmer innerhalb des Konzerns und in Richtung der Kunden selbstverständlich ebenfalls schützt. Deswegen sind diese automatischen Abwesenheitsbenachrichtigungen ebenfalls oftmals problematisch.

 

[uincom]

Rechtsberatung?! Holt euch halt einen kompetenten Datenschutzbeauftragten oder Anwalt.

 

[BridaX]

Oder entsprechend im Arbeitsvertrag vermerkten bzw. eine Einwilligungserklärung rum gehen lassen. "Private E-Mails untersagt", "Mails sind geschäftlich und Eigentum der Firma"... aber da sollte der DaSchuBe oder ein Rechtsanwalt entsprechend was aufsetzen können.