Italien: Leitfaden der „Garante“ zur Speicherung von E-Mail-Metadaten

veröffentlicht am 6. September 2024 | Lesedauer ca. 4 Minuten

Im Anschluss an die am 22. Februar 2024 eingeleitete öffentliche Konsultation zu der Maßnahme vom 21. Dezember 2023 - Leitfaden „Computerprogramme und -dienste für die Verwaltung von E-Mails im Arbeitskontext und die Verarbeitung von Metadaten“ - veröffentlichte die italienische Datenschutzbehörde, „Garante“, am 6. Juni 2024 ihre endgültige Entscheidung.

Diese Veröffentlichung enthielt eine Klärung der Definition von „Metadaten“, d. h. Informationen, die von E-Mail-Systemen automatisch in Protokollen (MTA - Mail Transport Agent) und in Clients aufgezeichnet werden und die Absender- und Empfänger-E-Mail-Adressen, IP-Adressen, Sendezeiten, die Größe der Nachricht, das Vorhandensein und die Größe von Anhängen sowie den Betreff der gesendeten oder empfangenen Nachricht umfassen können.

Mit dieser Bestimmung hat die „Garante“ klargestellt, dass Metadaten für einen Zeitraum von 21 Tagen nachverfolgt werden können, wenn ihre Verarbeitung der ordnungsgemäßen Arbeitdes Mailsystems dient. In diesem Fall ist es ausreichend, Informationen gemäß Artikel 13 GDPR und 4, c. 3 Stat. Lav., Verordnung über die Geschäftsinstrumente, die Aktualisierung der Verarbeitungsprotokolle und die Durchführung von Folgenabschätzungen und Bewertungen des berechtigten Interesses mitzuteilen.

Dabei handelt es sich um die Anforderungen, die typischerweise an alle Verantwortlichen der Datenverarbeitung gestellt werden, wenn sie Arbeitnehmerdaten verarbeiten, um die Erfüllung der Arbeitspflichten und damit die ordnungsgemäße Durchführung des Arbeitsvertrags zu gewährleisten, und zwar innerhalb der Grenzen der arbeitsrechtlichen Vorschriften, die das generelle Verbot der Fernüberwachung von Arbeitnehmern vorsehen. Der Arbeitgeber kann daher den Arbeitnehmern mehr oder weniger anspruchsvolle betriebliche Instrumente zur Verfügung stellen (von der betrieblichen E-Mail bis hin zu intelligenten Instrumenten zur Verwaltung bestimmter Verpflichtungen), sofern deren Überwachung zum Schutz des Unternehmensvermögens und der Informationssicherheit nicht zu einer willkürlichen und belastenden Verfolgung der Person führt.

Um die Einhaltung der Datenschutzbestimmungen durch den Verwantwortlichen zu bewerten, wird in der Regel eine Bestandsaufnahme der Systeme des Unternehmens durchgeführt, um deren Funktionalitäten und die damit verbundenen Verarbeitungen zu ermitteln und so die typischen Elemente und möglichen Risiken in den genannten Dokumenten zusammenzufassen (die Informationsmitteilung gemäß Artikel 13 GDPR und 4, c. 3 Stat. Lav., die Verordnung über die Unternehmensinstrumente), sowie das inhärente Risiko der durchgeführten Verarbeitung, die ermittelten Abhilfemaßnahmen und die Auswirkungen auf die Betroffenen zu bewerten.

Sollten die Metadaten hingegen auch nach Ablauf der 21-Tage-Frist noch auffindbar sein (wenn auch auf anderen Systemen als der Mail), wenn ihre Verarbeitung zu anderen Zwecken als dem ordnungsgemäßen Funktionieren des E-Mail-Verwaltungssystems erfolgt (z. B. Einhaltung der Cybersicherheitsvorschriften, Betrugsbekämpfung, Audits, Verteidigungszwecke), so wäre nicht nur eine Mitteilung gemäß Artikel 4, c. 3 Stat. Lav., die Regulierung von Unternehmenswerkzeugen, die Aktualisierung von Verarbeitungsaufzeichnungen und die Durchführung einer Folgenabschätzung und einer Bewertung des berechtigten Interesses, sondern angesichts des Potenzials für eine indirekte Kontrolle der Arbeitstätigkeiten wird es notwendig sein, eine vorherige Vereinbarung gemäß Art. 4 c. 1 des Arbeitsstatuts, eine Gewerkschaftsvereinbarung/eine Verwaltungsgenehmigung der zuständigen Aufsichtsbehörde einzuholen.

Die italienische Datenschutzbehörde vertrat daher die Auffassung, dass eine langfristige Speicherung dieser Datenkategorie zu einer potenziellen indirekten Kontrolle der Arbeitstätigkeiten führen könnte, was zur Folge hat, dass Unternehmen, die bisher eine Metadatenspeicherung von mehr als 21 Tagen und zu anderen Zwecken als der reinen Verwaltung von Unternehmens-E-Mails eingeführt haben, Maßnahmen ergreifen müssen, um nach dem üblichen Verfahren eine spezielle Gewerkschaftsvereinbarung oder eine Genehmigung des ITL einzuholen.

Was sind also die nächsten Schritte für italienische Unternehmen, um Sanktionen zu vermeiden?

Vorbereitung/Aktualisierung der Zuordnung von Unternehmensinstrumenten, um den Status der sogenannten Transportprotokolle (jetzt als Metadaten bekannt) zu dokumentieren;
Identifizierung der Datenaufbewahrung von Metadaten und der einzelnen Verwaltungs-/Bewahrungszwecke;
Prüfung mit Unterstützung des Referenzanbieters, ob es möglich ist, die Datenaufbewahrung auf 21 Tage zu verkürzen, unter Berücksichtigung der tatsächlichen geschäftlichen Anforderungen an die Aufbewahrung;
Wenn es für das Unternehmen unerlässlich ist, die Daten länger als 21 Tage aufzubewahren, leiten Sie das Verfahren zur Einholung einer gewerkschaftlichen Zustimmung/Genehmigung vom ITL ein;
Überprüfung/Aktualisierung des Verarbeitungsverzeichnisses und der entsprechenden Risikobewertung für den Datenschutz;
Überprüfung/Aktualisierung der Folgenabschätzung;
Überprüfung/Aktualisierung der Bewertung des berechtigten Interesses
Überprüfung/Aktualisierung der Informationen gemäß Art. 13 GDPR und Art. 4 St. Lav;
Überprüfung/Aktualisierung der Verordnung über Unternehmenswerkzeuge.