Ein Vorgesetzter in dem norwegischen Unternehmen hatte den betroffenen Mitarbeiter darum gebeten, eine automatische Weiterleitung von seinem eigenen auf einen gemeinsamen geschäftlichen E-Mail-Account einzurichten. Zur Rechtfertigung dieser Vorgehensweise verwies das Unternehmen auf betriebliche Gründe. Dies hielt der Mitarbeiter für rechtswidrig und legte bei der norwegischen Datenschutzbehörde Beschwerde ein.
Diese prüfte den Fall und entschied mit Bekanntmachung vom 10.05.2021, dass dem Unternehmen für die Weiterleitung der E-Mails die Rechtsgrundlage fehle. Nach Auffassung der Behörde verstoße das Vorgehen sowohl gegen Vorgaben der DSGVO zur Verarbeitung personenbezogener Daten (seit dem 20.07.2018 gilt die DSGVO sowohl für die Mitgliedstaaten der EU als auch für die EWR-Staaten Norwegen, Island und Liechtenstein) als auch gegen nationale Vorschriften über den Zugriff des Arbeitgebers auf E-Mail-Accounts und anderes elektronisches Material. Darüber hinaus habe das Unternehmen bereits vor dem Vorfall über keine Verfahrensanweisungen für den Zugriff auf E-Mails verfügt. Die Behörde verdeutlichte, dass eine Verbesserung solcher Verfahren einem späteren unrechtmäßigen Zugriff vorbeugen könne.
Die Datenschutzbehörde forderte das Unternehmen dazu auf, die Kontrolle und die internen Richtlinien für den Zugriff auf die E-Mails der Mitarbeiter zu verbessern und verhängte für den Vorfall ein Bußgeld in Höhe von 25.000 Euro (250.000 Norwegische Kronen). Die Höhe eines Bußgeldes wegen Datenschutzverstößen orientiert sich gemäß Art. 83 DSGVO am Umsatz des Verantwortlichen. Ursprünglich war ein Bußgeld in Höhe von 40.000 Euro (400.000 Norwegische Kronen) vorgesehen. Wegen Umsatzrückgangs aufgrund der Covid-19-Pandemie wurde die Höhe des Bußgeldes in diesem Fall entsprechend angepasst.
In einem weiteren Vorfall, über den ebenfalls die norwegische Aufsichtsbehörde entschied, hatte ein Unternehmen eine automatische Weiterleitung von E-Mails im Rahmen der krankheitsbedingten Abwesenheit des Mitarbeiters eingerichtet. Diese blieb aber für die Dauer eines Monats auch nach dessen Rückkehr bestehen. Auch hier sah die Behörde einen Verstoß gegen das Gesetz, verwies hier ebenfalls auf die Pflicht zur Verbesserung interner Richtlinien und verhängte ein Bußgeld in Höhe von 40.000 Euro (400.000 Norwegische Kronen).
Hinweis
Besonders auffällig sind die Höhen der Geldbußen in diesen Fällen. Grund dafür kann nicht allein die Tatsache sein, dass in dem Fall norwegische Behörden entschieden haben. In der gesamten Union sind in der Vergangenheit Geldbußen in empfindlicher Höhe für Datenschutzverstöße verhängt worden. Um solche Strafen zu vermeiden, sollten Unternehmen ihren Umgang mit E-Mail-Accounts von Angestellten auf die von der Behörde gerügten Aspekte hin überprüfen und interne Verfahrensanweisungen für den Zugriff auf solche E-Mails aufstellen. Sofern eine Weiterleitung von E-Mail-Verkehr in Fällen von krankheitsbedingter Abwesenheit stattfindet, ist besonders darauf zu achten, dass eine Weiterleitung nach Rückkehr des Mitarbeiters umgehend eingestellt wird.
Wollte man - wofür in der Praxis ja durchaus plausible Gründe sprechen - als Unternehmen und Arbeitgeber weiterhin die automatisierte Weiterleitung von E-Mails in Krankheitsfällen etc. nutzen, so müsste man aus unserer Sicht sicherstellen, dass die Privatnutzung des E-Mail-Accounts der Mitarbeiter verboten ist und sich zusätzlich eine entsprechende Einwilligungserklärung von den Arbeitnehmern einholen oder diese Thematik über eine entsprechende Betriebsvereinbarung regeln. Gerne unterstützen wir Sie bei einem solchen Vorgehen zur Minimierung der vorstehend dargestellten Haftungsrisiken!
