Sichere E-Mails am Arbeitsplatz

E-Mail-Postfächer sind eine persönliche Angelegenheit. Zumindest im privaten Bereich. Aber wie verhält es sich mit der geschäftlichen E-Mail-Adresse? Wer darf darauf zugreifen und wie verhält es sich mit dem Datenschutz? Sichere E-Mails und der richtige Umgang damit sind wichtig, damit keine internen Daten nach außen dringen. Dafür sollte es Regelungen geben.

Wer darf auf die E-Mails zugreifen?

Das E-Mail-Postfach von Mitarbeitern ist im Grunde privat. Obwohl es sich um ein Firmenpostfach handelt, darf der Arbeitgeber nur unter bestimmten Umständen darauf zugreifen. 

Das hat zum einen arbeitsrechtliche Gründe, zum anderen aber auch die Einhaltung des Bundesdatenschutzgesetzes (BDSG) im Blick. Bei E-Mail-Postfächern handelt es sich um einen persönlichen Bereich mit persönlichen Daten, auf die nicht ohne weiteres zugegriffen werden darf.

Das BDSG erlaubt die Verarbeitung von personenbezogenen Daten durch den Arbeitgeber, wenn dies im Rahmen des Beschäftigungsverhältnisses erforderlich ist. Dafür kommt das E-Mail-Postfach aber eher nicht infrage. Jederzeit erlaubt ist der Zugriff auf E-Mails, wenn es um die Aufdeckung von Straftaten geht.

Grundsätzlich gilt, dass ein Zugriff auf das E-Mail-Postfach durch Dritte, „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.“ Oder in verständlichem Deutsch: Man darf nicht einfach willkürlich in den E-Mails herumwühlen. Um eine E-Mail zu lesen, muss ein guter Grund vorliegen und es darf dann auch nur die entsprechende E-Mail gelesen werden.

Private Nutzung des betrieblichen E-Mail-Accounts

Ob der betriebliche E-Mail-Account auch privat genutzt werden darf, ist vom Arbeitgeber abhängig. Dieser darf die private Nutzung verbieten. Ist das der Fall, darf die Einhaltung dieses Verbots überprüft werden. Das bedeutet, dass ein Grund vorliegt, um auf das E-Mail-Postfach zuzugreifen.

Dabei müssen allerdings ebenfalls gesetzliche Vorgaben beachtet werden. Die Mitarbeiter müssen darüber informiert werden, dass auf die E-Mail-Postfächer zugegriffen wird. Auch der Umfang des Zugriffs muss bekannt gegeben werden.

Außerdem muss immer eine Abwägung stattfinden, ob es andere Wege der Kontrolle gibt. So können beispielsweise allgemeine Auswertungen der Verkehrsdaten stattfinden. In dem Fall muss nicht mehr direkt auf die E-Mail-Postfächer zugegriffen werden, um die Einhaltung des Verbots von privater Nutzung eingehalten wird.

Was ist bei einem Zugriff zu beachten?

Dass es einen Grund für den Zugriff auf das E-Mail-Postfach eines Mitarbeiters geben muss, haben wir geklärt. Liegt ein Grund vor, sollten einige Dinge beachtet werden.

Angenommen, Sie müssen auf das E-Mail-Postfach eines Mitarbeiters zugreifen, weil dieser für längere Zeit abwesend sein wird. Sie holen sich zuerst ein zweites Paar Augen hinzu. Das soll heißen: Sie greifen niemals alleine auf ein fremdes Postfach zu. Holen Sie sich beispielsweise einen Datenschutzbeauftragten dazu oder den Betriebsrat. Wichtig ist, dass jemand zugegen ist, der im Zweifelsfall bezeugen kann, dass der Zugriff rechtens und im Rahmen der Gesetze war.

Der Zugriff darf ausschließlich auf die E-Mails erfolgen, die für den Zweck wichtig sind – wie wir bereits oben erwähnt haben. Das beinhaltet beispielsweise auch, dass nur E-Mails aus einem bestimmten Zeitraum angeschaut werden dürfen. In unserem Beispiel dürften dann E-Mail aus dem Zeitraum, als der Mitarbeiter noch anwesend war, nicht geöffnet werden.

Ein schriftliches Protokoll über den Zugriff kann auch nicht schaden. Wann fand der Zugriff statt? Auf welche E-Mails wurde zugegriffen? Warum wurde auf diese E-Mails zugegriffen?

Mögliche Alternativen zum Zugriff

Wenn bereits im Vorfeld eine gute Planung stattfindet, kann es auch andere Wege geben als den direkten Zugriff auf die E-Mail-Postfächer von abwesenden Mitarbeitern.

Eine Vertretungsregelung für Abwesenheitszeiten kann vorab festgelegt werden. In dem Fall darf dann beispielsweise ein anderer Mitarbeiter während der Abwesenheit auf die E-Mails zugreifen. Natürlich gelten dann dieselben Regelungen für den Zugriff wie bei anderen Gründen.

Es ist auch möglich, während der Abwesenheit eine Weiterleitung aller ankommenden E-Mails einzurichten. In dem Fall gehen die Mails direkt in das Postfach eines anderen Mitarbeiters.

Eine weitere Möglichkeit ist die generelle Nutzung von generischen E-Mail-Accounts. Diese werden von allen Mitarbeitern eines Bereichs genutzt und es haben durchgehend alle Zugriff darauf.

Umgang mit ehemaligen E-Mail-Adressen

Wenn Mitarbeiter separate E-Mail-Accounts erhalten, kommt früher oder später der Zeitpunkt, an dem gewisse E-Mail-Accounts nicht mehr genutzt werden. Mitarbeiter verlassen das Unternehmen und neue kommen hinzu.

Allerdings sollten E-Mail-Adressen nicht weiterverwendet werden. Zumindest nicht länger als notwendig. Anfangs kommen sicher noch einige Mails rein, bis diese auf andere Accounts umgelegt werden.

Sobald das E-Mail-Postfach nicht mehr gebraucht wird, sollte der Account gelöscht werden. Mitarbeiter haben einen Anspruch auf die Löschung personenbezogener Daten, nachdem sie ein Unternehmen verlassen haben. Der E-Mail-Account gehört dazu.

Allerdings muss dabei beachtet werden, dass für E-Mails Aufbewahrungspflichten gelten. Befinden sich also noch archivierte E-Mails im entsprechenden Account, müssen diese woanders archiviert werden.

Eine sinnvolle Methode dafür ist die Erstellung eines generellen E-Mail-Kontos, das als Archiv für alle E-Mails dient.

Fazit

Der Umgang mit E-Mails im Unternehmen sollte vorgegebenen Regelungen unterliegen. Nicht nur, weil gesetzliche Vorgaben eingehalten werden müssen. Auch innerhalb des Unternehmens sollte eine Struktur vorliegen, an der sich alle Mitarbeiter orientieren können.