Bußgeld für die weitere Einsichtnahme des E-Mail Postfaches eines ehemaligen Mitarbeiters

von Franziska

Die italienische Datenschutzbehörde musste sich mit einem Fall befassen, in dem ein Unternehmen das E-Mail Postfach eines ehemaligen Mitarbeiters zum Zwecke der Weiterleitung darauf eingehender E-Mails aktiv hielt.

Sachverhalt: Weiterleitung des E-Mail-Postfachs nach Ausscheiden

Ein ehemaliger Mitarbeiter eines Unternehmens stellte nach der Beendigung des Arbeitsverhältnisses zweierlei Ersuchen, die beide seitens des Unternehmens unbeantwortet blieben. Zum einen wollte der Mitarbeiter eine Löschung des betrieblichen E-Mail-Kontos und zum anderen die Auskunft hinsichtlich aller darauf eingegangener Nachrichten. Der ehemalige Arbeitgeber reagierte jedoch nicht auf die Anfragen des Betroffenen, worauf dieser Beschwerde bei der italienischen Datenschutzbehörde einlegte.

Begründung des Unternehmens

Die Anfrage der italienischen Datenschutzbehörde bewegte das Unternehmen doch zu einer Reaktion und begründete die verspätete Rückmeldung mit der Umstrukturierung des Unternehmens aufgrund der plötzlichen Entscheidung des Beschwerdeführers das Unternehmen zu verlassen.

Das Unternehmen gab keine genaue Auskunft darüber, wann die Nutzung des Postfachs beendet wurde. Über einen längeren Zeitraum blieb das Konto aktiv, während ein automatisches System eingehende Nachrichten weiterleitete.

Zur Rechtfertigung verwies das Unternehmen auf die Notwendigkeit, Kundenbeziehungen aufrechtzuerhalten. Die Datenverarbeitung habe sich angeblich nur auf betriebliche Inhalte bezogen. Zudem berief sich der Arbeitgeber auf die im Arbeitsverhältnis erteilte Zustimmung zur Nutzung des Namens in der geschäftlichen E-Mail-Adresse. Eine sofortige Löschung hätte nach eigener Darstellung zu erheblichen wirtschaftlichen Verlusten geführt.

Entscheidung der italienischen Aufsichtsbehörde

Diese Ausführungen des Unternehmens konnte die italienische Datenschutzbehörde nicht überzeugen und verhängte ein Bußgeld in Höhe von 8000 €. Die Aufsichtsbehörde sah in dem Vorgehen des Unternehmens mehrere Datenschutzverstöße und merkte gerade die fehlende Reaktion des Unternehmens auf die Aufforderungen des Beschwerdeführers als besonders kritisch an. Da das Unternehmen nicht innerhalb der gem. Art. 12 Abs. 3 DSGVO vorgesehenen Frist von maximal 30 Tagen geantwortet hat und zudem keine zufriedenstellende Begründung zur Verfügung stellte, wurde ein Verstoß gegen Art. 12, 15 und 17 DSGVO angenommen. Gerade hinsichtlich des Rechts auf Auskunft muss ein Unternehmen innerhalb der 30-Tages Frist dem Betroffenen zumindest Informationen über die Gründe der Ablehnung des Auskunftsantrages zukommen lassen. Darüber hinaus stellte die Behörde mehrere weitere Verstöße fest. Der ehemalige Mitarbeiter wurde nicht darüber informiert, dass sein Postfach weiter genutzt wurde. Damit sah die Behörde den Grundsatz der Transparenz und Fairness gemäß Art. 5 Abs. 1 lit. a DSGVO verletzt.

Zudem lagen Verstöße gegen die Grundsätze der Zweckbindung, der Datenminimierung und der Speicherbegrenzung vor. Die Behörde stellte klar, dass der Zugriff auf sämtlichen eingehenden Nachrichten eine Verarbeitung personenbezogener Daten darstellt – unabhängig davon, ob es sich um private oder geschäftliche Inhalte handelt. Die Datenverarbeitung betrifft dabei nicht nur die Angabe des Nachnamens, wie von dem Unternehmen angeführt, sondern der allgemeine Zugriff auf alle sich dort befindlichen und eingehenden Nachrichten stellt nach der Auffassung der Aufsichtsbehörde bereits eine Verarbeitung personenbezogener Daten dar.

Die genannten Verstöße brachte die italienische Aufsichtsbehörde dazu, ein Bußgeld in der Höhe von 8000 € zu verhängen.

Die Entscheidung im Detail ist abrufbar unter: GDPRhub-italienischer Fall

Konsequenzen für Unternehmen

Der Fall zeigt, dass die weitere Nutzung des E-Mail-Postfachs eines ehemaligen Mitarbeiters ein erhebliches Risiko darstellen kann. Werden Anfragen auf Löschung oder Auskunft nicht fristgerecht beantwortet, drohen Unternehmen empfindliche Strafen.

Notwendig sind klare Prozesse für das Onboarding und Offboarding von Mitarbeitern. Dazu gehört eine transparente Kommunikation, wie mit betrieblichen E-Mail-Konten nach dem Ausscheiden umgegangen wird. Ohne ein dokumentiertes Datenschutzmanagement lassen sich Verstöße gegen die DSGVO kaum vermeiden.

Fazit: Datenschutzkonformes Management von Mitarbeiterpostfächern

Die Entscheidung der italienischen Datenschutzbehörde verdeutlicht, wie wichtig ein umfassendes Datenschutzmanagement ist. Bereits beim Eintritt in das Unternehmen sollten Mitarbeitende umfassend informiert werden. Ebenso muss der Offboarding-Prozess eindeutig regeln, wann und wie E-Mail-Postfächer deaktiviert oder gelöscht werden.

Unternehmen, die ihre Prozesse nicht DSGVO-konform gestalten, riskieren Bußgelder und Imageschäden.

Ein vertiefender Beitrag von Tobias Gerauer Business Continuity – Grundsätzliche Organisation der betrieblichen Dokumentenablage zeigt, wie der datenschutzkonforme Umgang mit Mitarbeiterpostfächern in der Praxis umgesetzt werden kann.

Falls Sie Fragen zum geschilderten Thema und/oder zu anderen datenschutzrelevanten Themen haben, kontaktieren Sie uns einfach!

Zentrale Hutthurm: +49 (0) 8505 91927 – 0

Niederlassung München: +49 (0) 89 413 2943 – 0

Oder nutzen Sie unser Kontaktformular.

Franziska

Franziska hat Rechtswissenschaften an den Universitäten Passau und Salzburg studiert und bringt wertvolle Kenntnisse sowohl des deutschen als auch des österreichischen Rechts mit. Frisch von der Universität überzeugt sie nicht nur durch ihre neuen Perspektiven und innovativen Ideen, sondern auch durch ihre offene und freundliche Art, die sie zu einer geschätzten Kollegin macht.

Mit ihrem umfassenden juristischen Fachwissen steht Franziska unseren KundInnen kompetent und engagiert in allen datenschutzrechtlichen Fragen zur Seite.

Schlagworte: Datenschutz