Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) ist seit dem 25. Mai 2018 in Kraft. Sie kann für Akteure, die auf dem Gebiet der EU tätig sind, unmittelbar anwendbar sein. Mit den neuen Bestimmungen erhalten Bürgerinnen und Bürger mehr Kontrolle über ihre Personendaten; zudem nimmt die DSGVO die Unternehmen vermehrt in die Verantwortung, während gleichzeitig ihre Meldepflichten abgebaut werden. Des Weiteren wird die Rolle der Datenschutzbehörden gestärkt. Zahlreiche Schweizer Unternehmen könnten von der Datenschutz-Grundverordnung direkt betroffen sein. Hier sei auf die Mitteilung des eidgenössischen Datenschutzbeauftragten verwiesen: Die DGSVO und ihre Auswirkungen auf die Schweiz.
Nun hat sich ein Fall ereignet, welcher insbesondere für Schweizer Unternehmen mit Niederlassungen oder Tochtergesellschaften im Ausland bedeutend sein könnte: Gemäss Pressemitteilung hat norwegische Datenschutzbehörde ein Unternehmen mit einer Geldstrafe in Höhe von 40.000 EUR (400.000 NOK) belegt, weil es unrechtmässig eine automatische Weiterleitung der E-Mails eines Mitarbeiters eingerichtet hatte. Der Mitarbeiter wurde offenbar weder über diesen Vorgang informiert noch gab es nach Ansicht der Datenschutzbehörde eine Rechtsgrundlage nach der DSGVO.
Hintergrund des Norweger Falles
Hintergrund für diesen Fall ist die Beschwerde eines Mitarbeiters, der entdeckte, dass sein Arbeitgeber die automatische Weiterleitung seines Posteingangs aktiviert hatte.
Diese automatische Weiterleitung wurde im Zusammenhang mit der krankheitsbedingten Abwesenheit des Mitarbeiters aktiviert und blieb mehr als einen Monat lang aktiv. Auf dieser Grundlage hat die Datenschutzbehörde die Organisation angewiesen, ihre schriftlichen Verfahren für den Zugang zu E-Mail-Postfächern zu überarbeiten, und ein Bussgeld in Höhe von 40 000 EUR für die unrechtmäßige Weiterleitung verhängt. Nach Prüfung der Angelegenheit kam die Datenschutzbehörde zu dem Schluss, dass die Weiterleitung gegen nationale Vorschriften über den Zugang des Arbeitgebers zu E-Mail-Postfächern und anderen elektronischen Informationen sowie gegen die Anforderungen der DSGVO in Bezug auf die Rechtsgrundlage (Art. 6 DSGVO), die Unterrichtung der betroffenen Person (Art. 12, 13 DSGVO) und die Verpflichtung zur Berücksichtigung möglicher Einwände des Arbeitnehmers (Art. 21 DSGVO) verstösst. Nicht festgestellt wurde offenbar, dass es grundsätzlich unzulässig sei, die E-Mails von Mitarbeitenden weiterzuleiten (vergleiche hier auch den Beitrag auf datenrecht.ch).
Obgleich diese Rechtsauffassung kritisiert wird und der Entscheid angefochten wurde, zeigt dies, wie schnell es gehen kann und die Behörden offenbar mit Bussen nicht zurückhaltend sind.
Behandlung von E-Mail Accounts unter Schweizerischem Recht
Der eidgenössische Datenschutzbeauftragte hat Empfehlungen erlassen, wie mit E-Mail Konten von Arbeitnehmern umzugehen ist:
Es ist oftmals unklar, wie bei Beendigung eines Arbeitsverhältnisses in Bezug auf die Sperrung von Informatikmitteln wie personalisiertem E-Mail Account oder Serverzugang rechtlich korrekt vorzugehen ist. Dies betrifft sowohl Arbeitgeber als auch Arbeitnehmer. Dasselbe gilt, wenn ein Arbeitnehmer infolge Krankheit oder Unfall längere Zeit ausfällt und keine Gelegenheit hat, für eine saubere Übergabe seiner Informatikmittel und persönlichen Zugriffe zu sorgen.
Die nachfolgenden Erläuterungen geben Antwort auf die Fragen: Was muss bei der Sperrung des E-Mail-Accounts beachtet werden? Wann muss eine Sperrung des Serverzugangs und der Passwörter erfolgen? Was geschieht mit privaten Daten des Arbeitnehmers wie private E-Mails, Fotos und private Dokumente? Darf bei Abwesenheit in Folge von Krankheit oder Unfall auf die Mailbox zugegriffen werden, etc.?
Wir empfehlen Arbeitgebern, die wichtigsten diesbezüglichen Grundsätze in einem betriebsinternen Reglement schriftlich festzuhalten. Es sollte klar und leicht verständlich über die Nutzung von Informatikmitteln informieren und der Belegschaft aktiv bekannt gegeben werden, bspw. im Rahmen von internen Schulungen. Damit herrscht für alle Beteiligten Klarheit.
Zusammenfassend empfehlen wir punkto E-Mail-Verwaltung und Serverzugang bei Austritten oder Absenzen in Folge Krankheit oder Unfall folgendes Vorgehen:
Bei einem geplanten Austritt des Arbeitnehmers soll dieser die noch laufenden Geschäfte und E-Mails intern an die zuständige Person übergeben.
Der Arbeitnehmer bestätigt die Übergabe sämtlicher Geschäftsdokumente an die in der Unternehmung zuständige Person.
Der austretende Mitarbeiter hat die Möglichkeit, seine privaten E-Mails und anderen Dokumente auf private Datenträger wie USB-Stick etc. zu speichern und von den Servern des Arbeitgebers zu löschen.
Spätestens am letzten Arbeitstag werden der E-Mail-Account des austretenden Mitarbeiters sowie auch alle anderen IT-Accounts und seine Inbox gesichert und gesperrt. Nach einer gewissen Zeit sollten seine Accounts gelöscht werden.
Bei einer fristlosen Kündigung, Freistellung oder im Todesfall wird der E-Mail-Account des betroffenen Mitarbeiters sofort gesperrt und werden die Daten gesichert. Anschliessend sollten die privaten E-Mails und sonstigen privaten Daten (im Todesfall unter Beizug der Angehörigen des Verstorbenen) nach dem 4-Augen-Prinzip ausgesondert werden.
Absender, die E-Mails an die gesperrte E-Mail-Adresse senden, nachdem der entsprechende Arbeitnehmer die Firma bereits verlassen hat, werden automatisch informiert, dass die Empfängeradresse hinfällig geworden ist. In der automatischen Antwort wird eine geeignete Ersatz-E-Mail-Adresse der Firma angegeben. Es erfolgt keine automatische Weiterleitung auf eine andere E-Mail-Adresse des Unternehmens.
Um Problemen bei Absenzen aufgrund von Krankheit oder Unfall vorzubeugen, sollten Stellvertretungen rechtzeitig definiert und eingerichtet werden. Wurde dies nicht gemacht und die Rückkehr der Mitarbeiterin oder des Mitarbeiters kann nicht abgewartet werden, so empfiehlt sich auch hier ein Vorgehen nach dem 4-Augen-Prinzip.
Die Beachtung dieser Grundsätze trägt zu einem geordneten Verlassen des Arbeitsplatzes in gutem Einvernehmen bei respektive verhindert Unstimmigkeiten bei Krankheit oder Unfall.
Im vorliegenden Zusammenhang, insbesondere dem Datenschutz, sind auch die nachfolgenden Beiträge relevant:
- Illegal beschaffte Screenshots
- Datenlieferung in die USA als Persönlichkeitsverletzung?
- Lieferung von Mitarbeiterdaten in die USA
- Videoüberwachungen am Arbeitsplatz
- Sicherheitsüberprüfungen
- Fragen und Antworten im Bewerbungsverfahren
- Personaldossier – was steht da drinn?
- Arbeitnehmerrechte bei internen Untersuchungen
- Das Recht auf die Personalakte
- Coronavirus: Messung der Körpertemperatur durch den Arbeitgeber
- Die Überwachung von Geschäftsfahrzeugen mit GPS-Geräten
- Absichtliche Täuschung im Bewerbungsverfahren
Autoren: Nicolas Facincani / Matteo Ritzinger
Wie kann ein Unternehmen in diesem Fall kontrollieren, dass der Mitarbeiter keine Firmendaten herunterlädt und an Dritte sendet?
Mir ist etwas ähnliches passiert. Auch bei mir hat der Arbeitgeber meine Mail so eingerichtet, dass sie automatisch auch an ihn weitergeleitet wurde. Ich überlege nun einen Rechtsanwalt für Arbeitsrecht zu beauftragen.
Mein Onkel ist derzeit auf der Suche nach einem Rechtsanwalt für Arbeitsrecht. Dabei ist es gut zu wissen, dass Emails auch nur unter bestimmten Bedingungen weitergeleitet werden dürfen. Ich hoffe, dass er einen passenden Anbieter finden wird.
Eine Kollegin von mir hat nun einen Rechtsstreit mit ihrem Arbeitgeber. Durch den Beitrag weiß ich, dass sie eigentlich im Unrecht ist, da man keine privaten Mails vom Geschäftsaccount verschicken darf. Dennoch wird sie einen Rechtsberater engagieren.
Das war damals am 25. Mai 2018 ein großes Thema. Ich war von der Datenschutz-Grundverordnung nicht so begeistert. Jetzt verstehe ich den Nutzen aber.
Vielen Dank für diesen Beitrag zum Thema Arbeitsrecht. Ich suche eine Anwaltskanzlei für Arbeitsrecht. Interessant, dass mit den neuen Bestimmungen Bürgerinnen und Bürger mehr Kontrolle über ihre Personendaten erhalten.