Rechte über Mail-Adressen

[Tician]

Moin,

ich wollte mal einen Fall schildern und euch fragen was ihr dazu denkt:

Bei uns haben Mitarbeiter ihre eigenen Mail-Adressen mit Firmendomäne und dürfen Telefon, Internet und Mail privat benutzen sofern sie damit einverstanden sind (jeder Mitarbeiter hat unterschrieben), dass dies Protokolliert werden KANN, von uns verwaltet wird und ehrlich gesagt finde ich den genauen Wortlaut nicht mehr, sind noch ein paar andere Klauseln dabei.

Folgender Fall: Bisher haben Teamleiter immer Vertretungszugriffe bestimmt (Vertretungszugriff heißt, dass ein Mitarbeiter vollen Zugriff auf das Postfach eines anderen hat - zu jeder Zeit und auch in dessen Namen Mails schreiben kann). Dabei werden die betroffenen Mitarbeiter zur Info bei neuen Vertretungs-anforderungen über Mail informiert. Jetzt gibt es aber Mitarbeiter x der nicht möchte dass Mitarbeiter y auf 'sein' Postfach Zugriff hat.

Was meint ihr wie die rechtliche Lage hier aussieht? Dürfen wir als Admins trotzdem den Vertretungszugriff einrichten?

[mylurid]

Gebt es dem Rechtsanwalt der Firma. Eine solche Frage sollte definitiv nicht in der IT entschieden werden - sondern lediglich umgesetzt werden.

[Gast relax220]

Für was genau haben die Mitarbeiter denn unterschrieben?

[allesweg]

Eine Einschätzung der rechtlichen Lage ist nur bei Kenntnis des genauen Wortlautes möglich.

Und selbst dann würde für die Mehrheit der User hier gelten: IANAL.

Siehe @mylurid : übergebt es dem Firmenanwalt.

[charmanta]

ohne den genauen Wortlaut kann man dazu leider nichts sagen

Es ist nach wie vor ob das TKG hier greift oder nicht. Weiterhin muss die Fachabteilung zur eigenen Absicherung am besten die Änderungen in Anwesenheit eines Vertreters des Datenschutzeams durchführen um zu belegen dass sie keinen Einblick genommen hat.

EDIT: Das ist nur dann ein Thema für einen Anwalt, wenn das ein Datenschutzspezi ist Das ist ein Fall für den DSB

[charmanta]

Nachtrag: die Firma hat nach DSGVO in diesem Fall ein berechtigtes Interesse auf den Zugriff ... um eine Umlenkung zu setzen ist aber der lesende Zugriff auf Mails nicht erforderlich bzw durch technische Maßnahmen einfach zu unterbinden.

Der Mitarbeiter sollte durch seine Nutzung dies zur Info bekommen haben. Wenn er was unterschrieben hat reden wir über einen Einwilligung ... und dann hätte der DSB der Firma "ungeschickt" gearbeitet

 

und auch hier Edit:

Vertretungszugriff ist ein Problem ... aber da hilft auch kein Urteil. Es gibt kein klares Urteil ob hier TKG ( würde das verbieten ! ) oder DSGVO ( würde das u.U. erlauben ) greifen.

Das ist ergo nur durch eine Einwilligung zu erschlagen ... und wenn ein Angestellter die widerruft muß er entweder die Nutzung privat lassen oder den Drops lutschen

 

 

Bearbeitet 26. März 2019 von charmanta
genauer gelesen

[Maniska]

vor 16 Minuten schrieb Tician:

Jetzt gibt es aber Mitarbeiter x der nicht möchte dass Mitarbeiter y auf 'sein' Postfach Zugriff hat.

Was meint ihr wie die rechtliche Lage hier aussieht? Dürfen wir als Admins trotzdem den Vertretungszugriff einrichten?

Ist es die konkrete Konstellation X zu Y? Wäre X mit einer Vertretung durch Z einverstanden oder ist das das Besitzdenken "meins, da soll keiner gucken"?

[Tician]

Ich bin noch am überlegen wie ich dieses 3-seitige Dokument hier zeigen kann... hier mal Ausschnitte:

"Absender und Empfänger von privaten Emails sind allein für deren weitere Verwendung verantwortlich; sie entscheiden über Speicherung, Löschung und Weiterleitung im Rahmen der gesetzlichen und betrieblichen Regelungen"

"Eine Unterscheidung von dienstlicher und privater Nutzung auf technischem Weg erfolgt nicht"

"Durch die private Nutzung des Internetzugangs erklärt der Mitarbeitter seine Einwilligung in die Protokollierung und Kontrolle gemäß Ziffer 5 (Missbrauch, Vestoß gegen Gesetze, Vergündeter Verdacht,....) für den Bereich der privaten Nutzung. Insoweit stimmt er auch einer EInschränkung des Telekommunikationsgeheimnisses zu."

Mehr relevante Zeilen für diesen Fall finde ich nicht.

[charmanta]

Klare Sache. Er "stimmt zu", damit ists ne Einwilligung und die kann der Mitarbeiter jederzeit widerrufen. Nun kann er sich nur noch entscheiden ob er von jetzt ab ! die private Nutzung einstellt oder es weiter akzeptiert.

Mit dem Widerruf darf bis zur Klärung aber die IT sicherheitshalber nicht mehr reinschauen ... habt Ihr nen DSB ? Der sollte jetzt aktiv werden und den Prozess prüfen

[Heins]

Hört sich an, als ob sich die Firma bei der Erstellung der Richtlinien ein Ei gelegt hat.

Im Grunde genommen kenne ich in der Hinsicht nur zwei Ansätze:

a) Betrieb erlaubt oder duldet private Nutzung => hohe Hürden für Zugriff auf Postfächer durch andere (>TKG)

b) Betrieb verbietet private Nutzung => Zugriff geringes Problem

Worst Case: Du gestattest den Zugriff. Später stellt sich heraus, dass das gar nicht rechtens war. => Du bist schuld. Nicht der Betrieb, Du.

Bearbeitet 26. März 2019 von Heins

[Maniska]

Mit nur dem Ausschnitt darfst du aber so wie ich das verstehe keine Mails archivieren oder Backupen.

Afaik ist das nur die Einwilligung ins Logging, nicht mehr, Wenn sich in dem Dokument kein Hinweis auf "was einmal rein kam wird nie wieder zu 100% gelöscht" gibt, seh ich das irgendwie grenzwertig.

Muss die Vertretung denn unbedingt "Senden als" haben? Reicht ein "Senden im Auftrag von" nicht genauso aus? Mit "Senden als" hätte ich auch so meine Bauchschmerzen, vor allem weil es für den Betrieb nicht notwendig ist.

 

[OpenWorld]

vor 3 Stunden schrieb Tician:

Moin,

ich wollte mal einen Fall schildern und euch fragen was ihr dazu denkt:

Bei uns haben Mitarbeiter ihre eigenen Mail-Adressen mit Firmendomäne und dürfen Telefon, Internet und Mail privat benutzen sofern sie damit einverstanden sind (jeder Mitarbeiter hat unterschrieben), dass dies Protokolliert werden KANN, von uns verwaltet wird und ehrlich gesagt finde ich den genauen Wortlaut nicht mehr, sind noch ein paar andere Klauseln dabei.

Folgender Fall: Bisher haben Teamleiter immer Vertretungszugriffe bestimmt (Vertretungszugriff heißt, dass ein Mitarbeiter vollen Zugriff auf das Postfach eines anderen hat - zu jeder Zeit und auch in dessen Namen Mails schreiben kann). Dabei werden die betroffenen Mitarbeiter zur Info bei neuen Vertretungs-anforderungen über Mail informiert. Jetzt gibt es aber Mitarbeiter x der nicht möchte dass Mitarbeiter y auf 'sein' Postfach Zugriff hat.

Was meint ihr wie die rechtliche Lage hier aussieht? Dürfen wir als Admins trotzdem den Vertretungszugriff einrichten?

Nein. Dürft ihr nicht, der Mitarbeiter muss ausschließlich erlauben dass Person XY Zugriff auf das Postfach haben darf. Oder ihr fragt den Geschäftsführer / Teamleiter der darf im Notfall bei Geschäftskritischen E-Mails erlauben.

[Crash2001]

Also wenn jemand in meinem Namen senden würde, hätte ich da aber auch Bauchschmerzen mit. Was weiß ich, was der für Stuss rumschickt, für den ich nachher noch den Kopf hinhalten soll? Was spricht denn dagegen, dass er in seinem eigenen Namen sendet?

[Tician]

Fall ist erstmal mit dem DSB geklärt, wir werden keine Vertretungen einrichten wenn ein Mitarbeiter das nicht will^^

[RipperFox]

Btw: Die erlaubte private Nutzung kann auch dazu führen, dass das Unternehmen private Mails oder die ganze Adresse/Konto(!) beim Ausscheiden des Mitarbeiters nicht einfach löschen darf:

 https://www.faz.net/aktuell/beruf-chance/mein-urteil/kolumne-mein-urteil-darf-der-chef-private-mails-nach-der-kuendigung-loeschen-12123688.html

  http://www.cbh.de/News2/Geistiges-Eigentum-Medien/2013/Arbeitgeber-darf-E-Mail-Account-ausgeschiedener-Mitarbeiter-nicht-ohne-Rueckfrage-loeschen

https://www.lto.de/recht/job-karriere/j/ausscheiden-mitarbeiter-email-postfach-personenbezogene-daten/

[Tician]

Das sollte kein Problem sein, denn die Zustimmung zur Löschung nach Arbeitsbeendigung haben alle Mitarbeiter mit einer Unterschrift bestätigt. Hatte ich nicht zitiert ist aber auch Teil des Dokumentes.

Dementsprechend haben wir die Zustimmung schon bei Arbeitsbeginn.

[Crash2001]

Das kann aber durchaus auch bei Konten mit nicht privater Nutzung der Fall sein, denn es gibt in Deutschland für bestimmte Sachen  Aufbewahrungspflichten (von z.B. 10 Jahren). Da ist dann halt die Frage, ob man das Konto nach entsprechenden Sachen durchsucht, oder aber es einfach 10 Jahre als .pst-file o.ä. weg sichert, um bei Bedarf noch einmal drauf zugreifen zu können.

[spix]

Egal was mit wem und warum festgelegt etc wurde.  Seit Mai 2018 greift hier der Dampfhammer DSGVO.  Sehr viele Firmen arbeiten so wie bisher und machen sich klar Strafbar.

Hier ist konrekte Hilfe des DSB gefragt. Passt bloß auf, das ihr euch nicht die Finger verbrennt.