Deaktivierung von Mitarbeiter E-Mail-Kontos datenschutzwidrig?

Deaktivierung von Mitarbeiter E-Mail-Kontos datenschutzwidrig?

Die italienische Datenschutzbehörde musste sich mit einer Beschwerde einen Betroffenen gegen die Sperre seines dienstlichen E-Mail-Kontos und Remotezugangs beschäftigen und hat im vorliegenden Fall die Vorgehensweise des Verantwortlichen als datenschutzwidrig beurteilt.

E-Mail-Konto und Remotezugang wegen krankheitsbedingter Abwesenheit gesperrt

Dem Betroffenen waren vom Verantwortlichen, ohne weitere Erklärungen der Zugang zu seinem dienstlichen E-Mail-Konto als auch der Remotezugang zum Firmennetzwerk gesperrt worden.

In der Folge hatte der Betroffene keinen Zugang zu ein- und ausgehenden Nachrichten des auf seinen Namen lautenden Firmenkontos und beantragte seinerseits eine Reaktivierung des Zugangs zum E-Mail-Postfach, ua um sein Verteidigungsrecht vor dem Arbeitsgericht ausüben zu können.

Weiters beschwerte sich der Betroffen darüber, dass sein über das Konto geführter Schriftverkehr, ua mit Informationen zu seinem Gesundheitszustand samt abwertenden Kommentaren, vom Personalchef teilweise an weitere firmeninterne Empfänger bzw eine Anwaltskanzlei weitergeleitet worden sei.

Unternehmen verweigert Zugang zu den gesperren Konten

Die Zugangsperren wurde seitens des Verantwortlichen als normale und systematische Anwendung von Sicherheitsrichtlinien aufgrund der länger andauernden Krankschreibung und damit verbundenen Abwesenheit des Betroffenen begründet. Das Unternehmen erklärte, dass die Deaktivierung des E-Mail-Postfachs des Unternehmens für den Zeitraum der Krankheit durchgeführt worden wäre, ohne die Daten des Mitarbeiters weiter zu verarbeiten.

Aus Sicht des Unternehmens enthalte die E-Mail-Adresse, aufgrund einer bestehenden Verwendungsbeschränkung auf rein dienstlichen E-Mail-Verkehr, zudem keine personenbezogenen Daten des Betroffenen.

Zu den fehlenden Informationen erklärte das Unternehmen, dass die Vorschriften für die Nutzung von IT-Systemen in einem bestimmten Ordner im Intranet des Unternehmens veröffentlicht worden seien. Die Veröffentlichung wurde den Mitarbeitern (einschliesslich dem Betroffenen) durch eine vom System gleichzeitig generierte Echtzeit-E-Mail mitgeteilt. Die internen Vorschriften wurden ebenfalls am Schwarzen Brett des Unternehmens zur Verfügung gestellt.

Datenschutzbehörde bewertet Vorgehensweise als datenschutzwidrig

Die Tatsache, dass zu dem Vorgehen keinerlei Aufklärung erfolgte und das Unternehmen zudem denunzierend und Mobbing angrenzende Kommunikation führte, rief sowohl das Arbeitsgericht als auch die Datenschutzbehörde auf den Plan.

Geahndet wurde seitens der Aufsichtsbehörde schliesslich der, zur Erhaltung der Arbeitsfähigkeit des Betroffenen unangemessene Umgang mit den personenbezogenen Daten im Zusammenhang mit dessen E-Mail-Konto. Die Aufsichtsbehörde ging, aufgrund fehlender Nachweise, davon aus, dass das Unternehmen, das Konto nicht im Zuge der Implementierung von “Standardsicherheitsverfahren” deaktiviert habe. Der Nachweis, dass eine derartige Vorgehensweise auch auf andere Arbeitnehmer angewandt worden sei, konnte seitens des Unternehmens ebenfalls nicht erbracht werden.

Seitens der Aufsichtsbehörde wird daher angenommen, dass das Unternehmen den Mitarbeiter vor der Kontensperre nicht ausreichend nicht informiert habe. Dies bedeute wiederum einen Verstoß gegen Art 13 DSGVO, welcher den Verantwortlichen verpflichte, dem Betroffenen festgelegte Informationen zur Verarbeitung personenbezogener zur Verfügung zu stellen.

Trotz der gezeigten Kooperationsbereitschaft wurde durch die Aufsichtsbehörde, vor allem aufgrund der involvierten sensiblen Daten, ein Bußgeld von 20.000 Euro gegen das Unternehmen verhängt.

Anmerkungen

  • Der Fall zeigt, wieder einmal, die bestehende Problematik beim Umgang mit personenbezogenen E-Mail-Konten von Mitarbeiterinnen und Mitarbeiter auf. Auch wenn es sich im konkreten Fall um eine rein dienstliche E-Mail-Adresse (mit den Namen des Betroffenen) gehandelt hat, beurteilte die Aufsichtsbehörde die mit der Adresse verknüpften Informationen als personenbezogene Daten, dh die im E-Mail-Konto enthaltenen Daten wie Nachrichten, Anhänge usw unterliegen der DSGVO;
  • Für die Geltendmachung der Anwendung von von Sicherheitsverfahren, zB Sperre von E-Mail-Konten im Krankheitsfall, ist eine Dokumentation der Sicherheitsmassnahmen zur Erfüllung der Nachweispflicht unabdingbar.
  • Die Übermittlung von Inhalten dienstlicher E-Mail-Konten, zB durch Weiterleitung von E-Mails an interne und/oder externe Empfänger, erfordert eine entsprechende Rechtsmässigkeitsgrundlage.

Quelle

Einstweilige Verfügung gegen Burgo Group SpA – 9. Juli 2020 [9474649] (Googel Übersetzung, URL: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9474649;