HomeIco

Home

 InternIco

Intern
Deutsch|English
Weltweit
Themen Zugriff des Arbeitgebers auf die Mailbox des gekündigten Arbeitnehmers: Der italienische Datenschutzbehörde bekräftigt seine Ausrichtung

Zugriff des Arbeitgebers auf die Mailbox des gekündigten Arbeitnehmers: Der italienische Datenschutzbehörde bekräftigt seine Ausrichtung

PrintMailRate-it

​​​​​​veröffentlicht am 9. Dezember 2024 | Lesedauer ca. 7 Minuten


In seiner Entscheidung vom 17. Juli 2024 bekräftigte die italienische Datenschutzbehörde ihre nunmehr ständige Orientierung in Bezug auf den Zugang zu und die Verarbeitung der Daten von Firmen-E-Mail-Konten gekündigter Angestellter oder Mitarbeiter durch den Arbeitgeber und bestätigte gleichzeitig das notwendige Vorhandensein einer Reihe von Schutzmaßnahmen, die der Arbeitgeber selbst ergreifen muss, um sicherzustellen, dass diese Tätigkeit sowohl unter dem Gesichtspunkt des Schutzes personenbezogener Daten als auch unter arbeitsrechtlichen Gesichtspunkten rechtmäßig erfolgt.

 
  
Insbesondere hat der Datenschutzbehörde nicht ausgelassen, die Informations- und Organisationspflichten des Arbeitgebers zu erwähnen, die von der vorherigen Aushändigung eines Dokuments, in dem die Funktionsweise der Unternehmensinstrumente und die Modalitäten der Interaktion mit ihnen seitens des Arbeitgebers so genau wie möglich erklärt werden (besser bekannt als die Verordnung über die Unternehmensinstrumente), bis hin zur Aushändigung eines spezifischen Informationsschreibens reichen, in dem die Modalitäten und der Zweck der Verarbeitung im Zusammenhang mit dem Zugriff auf die Unternehmens-Mailbox nach Beendigung des Arbeitsverhältnisses bestätigt werden.

Ohne jedoch die Frage der Aufbewahrung der im E-Mail-Konto enthaltenen Daten und deren Sicherung zu vergessen, die nach Ansicht des Datenschutzbehörde auf eine Aufbewahrungszeit verankert werden muss, die dem verfolgten Zweck angemessen ist (d.h. Geschäftskontinuität oder Schutz der IT-Sicherheit des Unternehmens).
Gehen wir der Reihe nach vor.

Auslöser für die Untersuchung der Behörde war die Beschwerde eines ehemaligen Mitarbeiters (genauer gesagt eines Handelsvertreters) eines Unternehmens, das im Bereich des Handels mit Elektromaterialien tätig ist (im Folgenden: „das Unternehmen“): Der ehemalige Mitarbeiter beschwerte sich insbesondere darüber, dass das Unternehmen sein Firmen-E-Mail-Konto aktiv gehalten und auf den gesamten Inhalt der Korrespondenz zugegriffen hatte, die später im Rahmen eines Rechtsstreits vor dem Gericht von Venedig vorgelegt werden würde.

Wie auch aus den der Behörde vorgelegten Unterlagen hervorgeht - insbesondere aus dem Dokument über die Regelung der für die Erbringung der Arbeitsleistung und die Aufzeichnung der Zugriffe und Anwesenheiten verwendeten Instrumente -, soll das Unternehmen das Konto des ehemaligen Mitarbeiters aktiv gehalten haben, um die Kontinuität des Unternehmens zu gewährleisten, dann aber dessen Inhalt, der sich auf die Zeit des Aufenthalts des Mitarbeiters bezieht, zur Verteidigung in dem gegen ihn angestrengten Verfahren verwendet haben. Eine Diskrepanz, die, wie wir sehen werden, die Behörde in ihren Beurteilungen nicht verschwiegen hat.

Darüber hinaus wurde die Überprüfung des E-Mail-Kontos mit Hilfe einer firmeneigenen Software, die auf den Computern des Unternehmens installiert war, angeblich an ein drittes Forensikunternehmen vergeben, um dessen Rechte in dem oben erwähnten Gerichtsverfahren gegen den ehemaligen Mitarbeiter zu wahren.

Ebenfalls mit Hilfe der oben erwähnten Software hätte das Unternehmen außerdem:
  • eine Sicherungskopie des Inhalts des Firmenpostfachs des ehemaligen Mitarbeiters zu Zwecken der IT-Sicherheit erstellt hat, insbesondere zum Schutz der Integrität der Daten vor möglichen Cyberangriffen, und diese Sicherungskopie für einen Zeitraum von drei Jahren nach Beendigung der Beziehung aufbewahrt hat;
  • Aufbewahrung einer Reihe von Log-Protokollen, die den Zugriff auf das Firmen-E-Mail-Konto des ehemaligen Mitarbeiters über einen Zeitraum von insgesamt sechs Monaten belegen.

Auf der Grundlage der oben genannten Tatsachen leitete die Datenschutzbehörde eigene Untersuchungen ein und stellte eine Reihe von Verstößen gegen die Vorschriften über personenbezogene Daten gemäß der Verordnung (EU) Nr. 679/2016 (im Folgenden „DSGVO“) sowie, wie wir noch sehen werden, gegen das italienische Gesetz 300/1970 (im Folgenden „Arbeiterstatut“) fest.

Insbesondere:
  • die den Angestellten und Mitarbeitern erteilten Informationen über die Modalitäten des Zugriffs des Unternehmens auf die Postfächer des Unternehmens nicht den Bestimmungen der DSGVO entsprachen, insbesondere in Bezug auf die Zwecke und Formen des Zugriffs - nach Angaben des Bürgen unvollständig und unspezifisch - sowie in Bezug auf die Angabe der Aufbewahrungsfristen der darin enthaltenen personenbezogenen Daten, die fälschlicherweise mit 10 Jahren ab Beendigung des Arbeitsverhältnisses für die Durchführung aller damit verbundenen Tätigkeiten angegeben wurden;
  • die Durchführung von Sicherungskopien - bei denen es sich in jeder Hinsicht um eine Verarbeitung personenbezogener Daten im Sinne der Datenschutz-Grundverordnung handelt - wurde von der genannten Mitteilung nicht erfasst, da sie nicht ausführlich und konform beschrieben wurde. Außerdem hätte derselbe Hinweis nicht die Aufbewahrungsfrist von drei Jahren nach Beendigung des Arbeitsverhältnisses angegeben;
  • die Nachforschungen, über die auf den Geräten des Unternehmens gespeicherten Inhalte waren nicht Gegenstand einer angemessenen Unterrichtung der Angestellten und Mitarbeiter, da diese Tätigkeit nicht durch die vom Unternehmen erstellten Informationsunterlagen geregelt zu sein scheint, in denen im Übrigen auch die rechtmäßigen, spezifischen und nicht allgemeinen Gründe für die durchgeführten Kontrollen sowie die entsprechenden Verfahren nicht dargestellt sind;
  • die systematische und dauerhafte Aufbewahrung von E-Mails für einen Zeitraum von drei Jahren ab dem Zeitpunkt der Beendigung des Arbeitsverhältnisses wäre ungeeignet und unverhältnismäßig im Hinblick auf die Zwecke der Gewährleistung der Geschäftskontinuität - für die jedoch immer die Regel gilt, eine automatische Antwort für die Neuadressierung der betroffenen Personen an ein aktives Konto bereitzustellen - und der Computersicherheit. Das Gleiche gilt für die systematische Aufbewahrung von Zugriffsprotokollen auf E-Mails und auf das von den Arbeitnehmern genutzte Verwaltungssystem, die im Hinblick auf die oben genannten Zwecke ebenfalls unverhältnismäßig ist;
  • die auf das Arbeitsverhältnis beschränkte Aufbewahrung von E-Mails und deren Zugriffsprotokollen ist fähig, eine Kontrolle der von den Arbeitnehmern ausgeübten Tätigkeit zu ermöglichen, was einen Verstoß gegen die Bestimmungen des Arbeitnehmerstatuts darstellt. Durch den Einsatz der genannten Software hätte das Unternehmen nämlich eine Verarbeitung durchgeführt, die es ermöglicht hätte, die Tätigkeit im Detail und aus der Ferne zu rekonstruieren, und zwar sowohl durch die per E-Mail ausgetauschten Mitteilungen als auch durch die Prüfung der Zugangsprotokolle zu dem für die Ausübung der Arbeitstätigkeit verwendeten Verwaltungssystem.

Was können wir also aus dieser jüngsten von der Behörde verhängten Sanktion in Bezug auf die uralte Frage des Zugangs zum E-Mail-Postfach eines gekündigten Angestellten oder Mitarbeiters lernen?

Zunächst einmal ist es ratsam, dass der für die Datenverarbeitung Verantwortliche den Angestellten oder Mitarbeiter im Voraus über die Anzahl der für die Ausführung der Arbeit zur Verfügung stehenden Instrumente und die Modalitäten sowie die Zwecke informiert, durch die und für die er sich das Recht auf Zugang zur Mailbox vorbehält. Dabei ist zu bedenken, dass der Zweck der Gewährleistung der Kontinuität des Geschäftsbetriebs nach gängiger Meinung des Datenschutzbeauftragten nicht mit einer solchen Kontrolle vereinbar ist, da letztere durch den Einsatz von Dokumentenverwaltungssystemen gewährleistet werden kann, die geeignet sind, Dokumente zu archivieren und ihre Authentizität, Integrität, Zuverlässigkeit und Verfügbarkeit im Laufe der Zeit zu garantieren.

Weiterhin ist es notwendig - in erster Linie zur Einhaltung von Art. 5(1)(e) der Datenschutz-Grundverordnung - eine Aufbewahrungsfrist für Daten und deren Sicherungen - aber wohlgemerkt auch für Mail-Log-Daten - einzuführen, die dem Zweck der zugrunde liegenden Verarbeitung angemessen ist; Dieser Zweck könnte von der Notwendigkeit, Beweise für die Verteidigung in einem Verfahren gegen den gekündigten Angestellten oder Mitarbeiter zu sammeln - ein Fall, der jedoch gemäß der ständigen Orientierung der Datenschutzbehörde aktuell und konkret und nicht nur hypothetisch sein muss - bis hin zum Zweck der Geschäftskontinuität reichen - der jedoch, wie oben erwähnt, rechtmäßig durch ein anderes Instrument als E-Mail verfolgt werden kann, da letztere die Integrität, Authentizität und Zuverlässigkeit der Daten nicht garantieren kann.

Nicht weniger wichtig ist die Notwendigkeit, eine kongruente Aufbewahrungsfrist für die über das Mailsystem gesammelten Protokolldaten festzulegen, insbesondere in Anbetracht der jüngsten Stellungnahme der Behörde, die in der Bestimmung „ Richtliniendokumen, Programme und Computerdienste für die Verwaltung der elektronischen Post am Arbeitsplatz und die Verarbeitung von Metadaten“ zusammengefasst ist, wonach die Speicherung über einen langen Zeitraum zu einer Fernkontrolle der vom Arbeitnehmer ausgeübten Tätigkeit führen könnte - da der Arbeitgeber durch die systematische Sammlung von Verkehrsdaten im Zusammenhang mit der Korrespondenz in der Lage sein könnte, zu überprüfen, ob der Arbeitnehmer seinen Arbeitspflichten nachkommt, wodurch die Gefahr besteht, dass er - wenn nicht die entsprechenden Schutzmaßnahmen in Form einer gewerkschaftlichen Vereinbarung oder Genehmigung getroffen werden - gegen die Bestimmungen von Art. 4 des Arbeiterstatuts zu verletzen.

Schließlich sei auf den Begriff der „Kontrolle“ des Arbeitgebers über den Arbeitnehmer und die Bedeutung, die ihm in der jüngsten Rechtsprechung des Obersten Gerichtshofs Italiens in diesem Zusammenhang beigemessen werde, hinzuweisen: Diesem zufolge stellt das E-Mail-Postfach des Arbeitnehmers seinen unverletzlichen Wohnsitz dar und bleibt daher verfassungsrechtlich geschützt; um ein solches Ungleichgewicht der Interessen zwischen dem Recht des Arbeitgebers, sein eigenes Recht vor Gericht zu verteidigen, einerseits und dem Recht des Arbeitnehmers auf Vertraulichkeit seiner Korrespondenz andererseits zu rechtfertigen, muss die Kontrolle notwendigerweise spezifisch sein und im Nachhinein auf der Grundlage eines „begründeten Verdachts“, dass der Arbeitnehmer eine Straftat begangen hat, durchgeführt werden. Gleichzeitig darf nicht vergessen werden, dass auch die geltenden Datenschutzbestimmungen eingehalten werden müssen, d. h. die vorige Übermittlung von Informationen gemäß Artikel 13 DSGVO, die sich auf den Gegenstand der Kontrollen beziehen, und die vorige Übermittlung eines Dokuments an die Bevölkerung des Unternehmens, das die Funktionsweise und die Interaktionsmodalitäten der den Arbeitnehmern für ihre Arbeit zur Verfügung gestellten Instrumente bestätigt.

Kontakt

Contact Person Picture

Tommaso Mauri

Avvocato

Associate

+39 02 6328 841

Anfrage senden

Contact Person Picture

Chiara Benvenuto

Attorney at Law (Italien)

Senior Associate

+39 0263 288 41

Anfrage senden

Wir beraten Sie gern!
Rödl & Partner in Italien

MEHR LESEN?

GUT ZU WISSEN
Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu