Weiterleitung dienstlicher E-Mails auf privaten E-Mail-Account: Erst denken, dann wei­ter­leiten

von Dr. Jochen Keilich, LL.M. (Exeter)

27.01.2018

Homeoffice machen zu wollen kann als Argument ausreichen, um sich berufliche Emails an den privaten Account weiterleiten zu dürfen. Tatsächlich wäre diese aber eine sehr laxe Regelung durch den Arbeitgeber, die demnächst teuer werden kann.

Fragt man Mitarbeiter danach, ob sie sich schon einmal auf ihren privaten E-Mail-Account dienstliche E-Mails weitergeleitet haben, wird häufig die Antwort sein: "Ja, warum denn nicht?". Dies ist aus mehreren Gründen aber problematisch. Wie ein Urteil des Landesarbeitsgerichts (LAG) Berlin-Brandenburg (Urt. v. 16.05.2017, AZ. 7 Sa 38/17) zeigt, kann die Weiterleitung betrieblicher E-Mails auf den privaten Account sogar eine fristlose Kündigung des Arbeitsverhältnisses rechtfertigen.

Hinzu kommt, dass sich die Rechtslage für Arbeitgeber durch die unmittelbare Geltung der Datenschutzgrundverordnung (DSGVO) ab 25. Mai 2018 ohnehin verschärft, so dass auch aus datenschutzrechtlichen Gründen das Senden der E-Mail an einen privaten Account problematisch ist. Dies erst recht, weil die Weiterleitung dienstlicher E-Mails durch die Nutzung von Smartphones mit E-Mail Exchange eher erleichtert wird. Dabei spielt auch die Frage eine Rolle, unter welchen Voraussetzungen der Arbeitgeber dienstliche E-Mails kontrollieren oder überwachen darf.

Rücksichtnahmepflicht ist entscheidend

Der Fall beim LAG Berlin war sicherlich speziell: Ein Vertriebsmitarbeiter hatte unbefugt in ungewöhnlich großem Umfang E-Mails mit betrieblichen Informationen an seinen privaten E-Mail-Account weitergeleitet. Und das, wo er kurz vor Abschluss eines Arbeitsvertrages mit einem Konkurrenten stand. Mindestens drei der weitergeleiteten E-Mails betrafen ein von einem Kollegen betreutes Projekt mit Angebots- und Kalkulationsgrundlagen, technischen Daten und Berechnungsparametern sowie Vertragsentwürfen und Wartungsverträgen.

Für das LAG war dies eine Vorbereitung für die Tätigkeit bei einem neuen Arbeitgeber und damit eine schwerwiegende Verletzung der vertraglichen Rücksichtnahmepflichten gemäß § 241 Abs. 2 Bürgerliches Gesetzbuch (BGB). Auch die schuldhafte Verletzung von Nebenpflichten sei an sich geeignet, einen wichtigen Grund im Sinne des § 626 Abs. 1 BGB darzustellen und damit eine fristlose außerordentliche Kündigung zu rechtfertigen. Dazu gehöre eben auch, dass es einem Arbeitnehmer verwehrt sei, sich ohne Einverständnis des Arbeitgebers betriebliche Unterlagen oder Daten anzueignen oder diese für betriebsfremde Zwecke zu verfolgen. Das Gericht berief sich auf ein Urteil des Bundesarbeitsgerichts (BAG, Urt. v. 08.05.2014, Az. 2 AZR 249/13).

Dennoch: Erst das LAG hielt die außerordentliche fristlose Kündigung für wirksam, die Vorinstanz hatte noch anders entschieden. Es argumentierte, die Weiterleitung an die private E-Mail-Adresse sei vom Arbeitsvertrag gedeckt und für die beabsichtigte Weiterleitung an Dritte habe der Arbeitgeber keine substantiierten Anhaltspunkte vorgetragen.

Frage der dienstlichen Notwendigkeit

Betreffen die Unterlagen ein Geschäfts- oder Betriebsgeheimnis so ist die Herstellung einer Kopie sogar gem. § 17 Abs. 2 Nr. 1b Gesetz gegen den unlauteren Wettbewerb (UWG) strafbewehrt. Dies zumindest dann, wenn zu Zwecken des Wettbewerbes aus Eigennutz, zugunsten eines Dritten oder in der Absicht gehandelt wurde, dem Unternehmen Schaden zuzufügen. Bei der vorzunehmenden Interessenabwägung seien die Motivation des Arbeitnehmers und die möglichen nachteiligen Folgen für den Arbeitgeber von wesentlicher Bedeutung.

In diesem Fall war nach Ansicht des LAG bedeutend, dass sich keine dienstliche Notwendigkeit ergeben hatte, warum Daten auf einen privaten E-Mail-Account übermittelt werden mussten. Der Arbeitnehmer hatte ein von der Beklagten bereitgestellten Laptop, auf den er auch dienstliche Daten speichern konnte, mit dem er zu Hause hätte arbeiten können. Hinzu kamen die Vertragsverhandlungen mit dem Konkurrenzunternehmen.

Die Verpflichtung von Arbeitnehmern, Betriebs- und Geschäftsgeheimnisse der Arbeitgeber nicht zu offenbaren, beruht auf § 242 BGB. Mit Betriebs- und Geschäftsgeheimnissen sind Tatsachen gemeint, die im Zusammenhang mit einem Geschäftsbetrieb bestehen und nur einen engen begrenzten Personenkreis bekannt sind bzw. auch nach dem bekannten bekundeten Willen des Betriebsinhabers geheim zuhalten sind. Außerdem muss das Unternehmen auch ein berechtigtes wirtschaftliches Interesse an der Geheimhaltung haben. Berechtigte Betriebs- und Geschäftsgeheimnis-se müssen grundsätzlich auch über die Beendigung des Arbeitsverhältnisses hinaus gewahrt werden.

Überwachung bei privater Nutzung der Betriebsmittel

In dem Kontext steht die private Nutzung betrieblicher Kommunikationsmittel, wie E-Mail, Internetzugang oder Telefon. Grundsätzlich hat der Arbeitnehmer ohne die entsprechende Erlaubnis kein Recht, dienstliche Kommunikationsmittel, sei es EDV, E-Mail-Dienste oder Internet privat zu nutzen. Außerdem darf der Arbeitgeber zwischen verschiedenen Kommunikationstypen, wie E-Mail oder Telefon, Handy und der Zulässigkeit ihrer Nutzung zu privaten Zwecken differenzieren. Sinnvoller Weise erlaubt er – im Arbeitsvertrag oder in einer Betriebsvereinbarung - gelegentliche private Telefonate und verbietet die private E-Mail-Nutzung. Dies insbesondere, weil er sonst nach Ausscheiden des Arbeitnehmers quasi keine Möglichkeit hat, auf die E-Mails insgesamt zuzugreifen.

Das BAG hat in einer Entscheidung vom 31. Mai 2017 (2 AZR 200/06) darauf abgestellt, dass kündigungsrelevant das Herunterladen erheblicher Datenmengen auf betriebliche Datensysteme sei und zusätzlich die verursachten Kosten und die Verletzung der Arbeitspflicht, wenn die Privatnutzung in der Arbeitszeit geschehe. Diese Grundsätze sind auch auf die private Nutzung des E-Mail Systems übertragbar.

Arbeitnehmer müssen die Ahnung einer unzulässigen Weiterleitung dienstlicher E-Mails an ihren privaten E-Mail Account indes nur dann befürchten, wenn dem Arbeitgeber rechtmäßige Überwachungs- und Kontrollmaßnahmen zur Verfügung stehen.

Die in der Vergangenheit relevante Unterscheidung danach, ob die private Nutzung des dienstlichen E-Mail Accounts gestattet ist oder nicht, verliert dabei zunehmend an Bedeutung. Denn dienstliche E-Mails und Internet unterliegen nicht den Schutzbestimmungen des Telekommunikationsgesetzes (TKG, vgl. zuletzt LAG BB, v. 14.01.2016, Az. 5 Sa 657/17). Daher ist die Einsichtnahme bei nur dienstlich genutzten E-Mails durch den Arbeitgeber möglich, wenn auch nicht unbegrenzt, wie etwas das Keylogger-Urteil des BAG zeigte (Urt. v. 27.07.2017, AZ. 2 AZR 681/16).

Mit der DSGVO wird es besonders teuer

Die datenschutzrechtlichen Aspekte der Weiterleitung dienstlicher E-Mails an private E-Mail Accounts werden mit Inkrafttreten der Datenschutzgrundverordnung (DSG-VO) noch erheblicher. Denn von Unternehmen werden dann sehr weitgehende Dokumentations- und Nachweispflichten verlangt. So muss beispielsweise jederzeit der Nachweis erbracht werden können, dass die eigene Datenverarbeitung zulässig ist. Korrespondierend hierzu werden die Auskunftsrechte der Betroffenen wesentlich gestärkt.

Eine Weiterleitung dienstlicher E-Mails auf einen privaten Account dürfte dann regelmäßig einen Verstoß gegen den Datenschutz für Unternehmen bedeuten, die eine Weiterleitung an den privaten Account dulden und damit zu den empfindlichsten Änderungen des Datenschutzes durch die DSGVO führen: den drastischen Erhöhungen der Geldbußen auf bis zu 20 Millionen Euro oder vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nach dem was höher ist.

Jede Weiterleitung dienstlicher E-Mails unterliegt dem Datenschutz, wenn darin personenbezogene Daten enthalten sind. Das ist schon dann gegeben, wenn sich die Informationen auf eine bestimmte oder bestimmbare Person beziehen. Sollte es im Einzelfall einmal erforderlich sein, dass Arbeitnehmer zuhause auf Ihrem privaten Computer Dokumente bearbeiten, so können die Dokumente allenfalls durch einen mit einer entsprechenden Verschlüsselung gesicherten mobilen Speicher (USB-Stick) „transportiert“ werden. Auch dann müssten Arbeitgeber jede Zwischenspeicherung auf dem privaten Endgerät untersagen. Eine Weiterleitung auf einen privat genutzten kommerziellen Account sollte aber auf jeden Fall untersagt werden.

Der Autor Dr. Jochen Keilich, LL.M. (Exeter) ist Rechtsanwalt und Fachanwalt für Arbeitsrecht. Er ist Partner bei Pusch Wahlig Legal in Berlin.

Zitiervorschlag

Dr. Jochen Keilich, LL.M. (Exeter), Weiterleitung dienstlicher E-Mails auf privaten E-Mail-Account: Erst denken, dann weiterleiten . In: Legal Tribune Online, 27.01.2018 , https://www.lto.de/persistent/a_id/26713/ (abgerufen am: 20.02.2018 )

Infos zum Zitiervorschlag
Kommentare
  • 27.01.2018 16:26, Prof. Dr. Wolfgang Hackenberg

    Dass die Weiterleitung dienstlicher E-Mails an einen privaten Account regelmäßig gegen die EU-DSGVO verstoße ist eine kecke Behauptung, die im Ergebnis jedenfalls dann falsch ist, wenn der Mitarbeiter die E-Mail in Erfüllung seiner dienstlichen Verpflichtungen weiter bearbeitet. Es ist daher auch schlicht falsch, dass die bisherig relevante Unterscheidung zwischen erlaubter/gedulteter und verbotener privaten Nutzung der Unternehmens-IT-Infrastruktur verschwimmen würde.
    Woher soll den das Verbot stammen? Weshalb sollen die bisher gezogenen Grenzen verschwimmen?

    Ich würde mir wünschen, wenn Sie Ihre Behauptungen auch rechtlich untermauern würden.

    Auf diesen Kommentar antworten
    • 27.01.2018 19:02, AS

      Danke für die klaren Worte. Mir fällt beim Thema Datenschutz immer wieder auf, dass alles irgendwie „bedenklich“ oder „problematisch“ ist. Damit kann ich nichts anfangen. Ich darf von solchen Vorschriften klare Handlungsgebote oder -verbote erwarten. Sonst bleibt mir nur, das Thema weiterhin zu ignorieren.

    • 29.01.2018 08:08, HolladieWaldfee

      @AS: Ignorieren Sie es ruhig. Der Staat brauch die Einnahmen aus den OWi-Geldern.

  • 27.01.2018 18:01, Rainer Breitrück,+Rechtsanwalt

    Die Erde ist eine Scheibe.

    Niemand hat die Absicht eine Mauer zu bauen.

    Die Vertraulichkeit der Datenübertragungen war zu jedem Zeitpunkt gesichert.

    Auf diesen Kommentar antworten
    • 27.01.2018 19:41, Alice im+Flunderland

      Die würde ich mir manchmal wieder wünschen: 36 Mark Miete, 1200 Netto und 8 Wochen Urlaub im Sommer, in Ungarn, Rumänien oder Bulgarien. Heute kann ich zwar überall hin, hab aber kaum noch Zeit. .... Auch eine Art Mauer, so ein Hamsterrad, in dem wir alle täglich laufen ....

    • 29.01.2018 08:09, HolladieWaldfee

      Wenn Sie Ihrem Hamsterrad nicht entkommen, dann ist das Ihr eigenes Problem - nicht der anderen.

    • 29.01.2018 09:20, Jemand_NRW

      @ Alice im Doofenland:

      Genau!

      Wer braucht schon solche Belanglosigkeiten wie Meinungsfreiheit!?
      Rechtsstaat ist doch völlig überbewertet.

  • 28.01.2018 07:20, M.D.

    Der Fall beim LAG Berlin war sicherlich speziell: Ein Vertriebsmitarbeiter hatte unbefugt in ungewöhnlich großem Umfang E-Mails mit betrieblichen Informationen an seinen privaten E-Mail-Account weitergeleitet. Und das, wo er kurz vor "Abschluss eines Arbeitsvertrages mit einem Konkurrenten stand."

    ...und genau deshalb lässt er sich nicht verallgemeinern.

    Auf diesen Kommentar antworten
  • 28.01.2018 19:00, AvD

    @all mit Bezug auf den Kommentar von Prof. Dr. Wolfgang Hackenberg:

    Ist der DS-Verstoß des Unternehmens nicht bereits daraus entstanden, dass schutzbedürftige Daten bei Weiterleitung an einen externen E-Mail-Anbieter das Unternehmen verlassen und sowohl der Kommunikationsweg als auch der neue Speicherort (ggf. Server im Ausland) als nicht sicher definiert werden kann?

    Auf diesen Kommentar antworten
    • 28.01.2018 19:04, Prof. Dr.+Wolfgang+Hackenberg

      Nein, wie kommen Sie denn darauf. Wie mein Mentor Prof. Gernhuber immer sagte: Sprechen Sie in Normen mit mir!

    • 29.01.2018 08:11, HolladieWaldfee

      Herr "Prof": Sie sollten es doch nach Dis und Hab gewohnt sein ebenfalls in Normen zu sprechen. Woraus nehmen Sie denn, dass die Weiterleitung von pers. Daten erlaubt ist? Haben Sie eine Einwilligung des Betroffenen? Nein. Also muss es eine gesetzliche Erlaubnis geben. Die Norm dazu bitte!

      Oder ist das wieder so ein Sockenpuppenaccount von einem ITler hier? Gibts ja seit der Berichterstattung über das beA häufig. ITler scheinen sich ja häufig unter falscher Flagge zu bewegen - wie man hier in den Kommentaren erkennt.

  • 29.01.2018 08:46, Prof. Dr.+Wolfgang+Hackenberg

    @HolladieWaldfee
    Jetzt vergessen wir mal Ihren unpassenden Ton und Ihre fehlerhaften Unterstellungen. In einer Debatte hat derjenige, der eine Behauptung aufstellt, sie auch zu belegen. Der Autor hier hat mehrere Behauptungen aufgestellt und sie nicht belegt. Es ist sinnvoll, dass er zunächst die Belege erbringt, damit man nicht im Kreis argumentiert.
    Auch Ihre Behauptung, man benötige eine Einwilligung, ist schlicht falsch. Es gibt bekanntermaßen verschiedene Erlaubnistatbestände für die Erhebung und Verarbeitung personenbezogener Daten. Gehen wir einmal davon aus, dass die in der an den privaten Account weitergeleiteten personenbezogenen Daten rechtmäßig erhoben wurden (sonst liegt der Fehler schon beim Unternehmen und nicht beim Mitarbeiter). Ich habe den Autor so verstanden, dass er der Meinung ist, dass die Weiterleitung auch für Zwecke der Bearbeitung im Rahmen eines "Homeoffice" rechtswidrig sein soll. Weshalb? Die Verarbeitung der personenbezogenen Daten erfolgt im Rahmen desselben Zwecks, für den die Einwilligung erteilt wurde. Die E-Mail geht auch nicht an einen Dritten zur weiteren Verarbeitung, sondern an einen Mitarbeiter. Ob dieser die Daten im Unternehmen auf einem PC oder mobil auf einem Smartphone oder Laptop bearbeitet ist egal. Auch das kopieren der Daten auf einen USB-Stick wäre zulässig. Bleibt also die Frage, ob die Versendung an einen privaten Host oder die Nutzung eines Carriers eine erlaubnispflichtige Weitergabe der Daten darstellt. Und das tut sie nicht. Diese Weitergabe ist nach meiner Auffassung in jedem Fall von Art. 6 Abs. 1 lit b EU-DSGVO gedeckt, respektive von demselben Erlaubnistatbestand, der das Unternehmen berechtigte, die Daten zu erheben und zu verarbeiten.
    Bleibt der Vorwurf, die Eröffnung der Möglichkeit der Weiterleitung an einen privaten Account sei nicht "Data Protection by Design und Data Protection by Default". Dafür fehlen hier aber jegliche Anhaltspunkte. Im Hinblick auf die vom Autor erörterte Möglichkeit, dass der Arbeitnehmer fristlos gekündigt werde, muss geprüft werden, wieso der Mitarbeiter überhaupt die Möglichkeit hat, sich private E-Mails weiter zu leiten, respektive, ob es sonstige TOM gibt, die ihm das untersagen etc.
    Darf ich jetzt im Gegenzug fragen, wie Sie auf Ihre Behauptungen kommen? Vielleicht ergibt sich ja ein interessanter sachlicher Austausch?

    Auf diesen Kommentar antworten
    • 29.01.2018 09:19, Sebastian T.

      Ich sehe da schon mehrere Probleme:
      - Privater E-Mail-Account: hier wird eine IT eines Dritten eingebunden. Über diese hat man keine Kontrolle. Hier dürfte es an einer ADV mangeln, daneben sehe ich Probleme im Hinblick auf Art 5 lit f) DSGVO.
      - Private IT: Dürfte bereits nicht im Verarbeitungsverzeichnis aufgeführt sein. Impliziert damit einen Verstoß der Bußgeldbewährt ist. Es stellt sich auch die Frage, wie die IT bzw. der Verantwortliche (GF) Zugriff auf die private IT haben können soll.

      Im Übrigen dürfte die Weiterleitung und Verarbeitund der personenbezogenen Daten auf der Privat-IT nicht erforderlich für die Vertragserfüllung sein. Denn die Daten können auch auf Betriebs-IT verarbeitet werden. Die Kontrollfrage ist ja: Kann der Vertrag nicht erfüllt werden, wenn die Daten nicht durch Privat.IT verarbeitet und an diese weitergeleitet werden? Doch, kann er. Nur weil der AG sich überlegt, dass AN die Daten kopieren können und es ggf. Homeoffice gibt, ist das keine Erlaubnis im Unionsrecht für die Erfüllbarkeit des Vertrages.

      Bei Art 6 lit b) DSGVO geht es um den Fall, dass eine Verarbeitung personenbezogener Daten jedenfalls immer dann erforderlich ist, wenn der Vertrag ohne sie nicht so erfüllt werden könnte. Der Vertrag kann aber sehr wohl erfüllt werden - ohne dass die Daten auf einen Privat-Account weitergeleitet werden.

    • 29.01.2018 09:20, Sebastian T.

      "Nicht schon jede dem Vertragszweck dienliche Verarbeitung ist bereits erforderlich, wenngleich sie auch nicht erst für den Vertragszweck unverzichtbar sein muss." (BeckOK DatenschutzR/Albers DS-GVO Art. 6 Rn. 28-33, beck-online)

  • 29.01.2018 10:11, Prof. Dr.+Wolfgang+Hackenberg

    @Sebastian T.
    Der Mitarbeiter ist nicht Dritter im Sinne des Datenschutzes. Das ergibt sich bereits aus Art. 4 Nr. 10 DSGVO.
    Über die Frage, ob ein Provider Dritter im Sinne des Datenschutzrechtes ist, der die Daten auch im Sinne des Datenschutzrechtes verarbeitet, darf man streiten. Es spricht vieles dafür, dass er kein Dritter ist. Er ist lediglich "Transporteur". Ansonsten wäre es auch unzulässig E-Mails mit pbD zu verschicken, wenn der E-Mail Host nicht in der unmittelbaren Verantwortung des Unternehmens steht (was jedenfalls bei Telekom und Co. nicht der Fall ist.

    Auf diesen Kommentar antworten
    • 29.01.2018 12:26, Sebastian T.

      Der Betreiber des privaten E-Mail-Account des Mitarbeiters ist für diese Datenverarbeitung immer Dritter.

      Ihren Ausführungen entnehme ich, dass Sie auch nach geltendem Recht nichts von einer Vereinbarung über die Auftragsdatenverarbeitung halten und es für zulässig erachten, dass pbD stets auch über Kanäle offen versendet werden dürfen, die nicht im Einfluss des IT-Verantwortlichen stehen? Wir gestaltet Sie denn bisher das Verfahrensverzeichnis?

    • 29.01.2018 12:32, Bankmitarbeiter

      Beruhigend, dann kann ich mir ja als Bankmitarbeiter die Kontoauszüge und Kreditanträge mit Unterlagen der Kunden eben an meine GMX-Adresse senden, um die zu Hause noch zu prüfen. Das macht es natürlich einfacher.

  • 29.01.2018 12:36, Prof. Dr.+Wolfgang+Hackenberg

    Wie kommen Sie dazu zu behaupten, dass der Betreiber des privaten E-Mail Accounts Dritter ist? Ich antworte jetzt auf keine pauschalen Behauptungen mehr.
    Die Frage des Verfahrensverzeichnisses hat nichts mit der Frage der Legitimation der Weiterleitung zu tun.
    @Bankmitarbeiter: Sie sehen schon, dass die Frage der Einhaltung vertraglicher Verpflichtungen nichts mit dem Datenschutz zu tun hat?
    Ich habe meinen Beitrag zu sachlichen Diskussion geleistet. Streitig mag manches bleiben. So eindeutig wie der Autor das darstellt, ist es aber in jedem Falle nicht. ich verabschiede mich aus der Diskussion. Vielen Dank für den anregenden Austausch. Wer sich mit mir weiter unterhalten möchte, kann mir gern eine PN schicken.

    Auf diesen Kommentar antworten
    • 29.01.2018 13:04, Bankmitarbeiter

      Wie soll man denn hier eine PN schicken?

    • 29.01.2018 13:09, Sebastian T.

      Indem ich den Wortlaut der DS-GVO lese.

      Der IT-Anbieter des MItarbeiters, den er privat verwendet, ist zu keinem Zeitpunkt ein Auftragsverarbeiter des Unternehmens, welches die Einwilligung des Betroffenen hat, da dieser IT-Anbieter zu keinem Zeitpunkt einen Auftrag vom Unternehmen hat. Auch steht der IT-Anbieter nicht unter der unmittelbaren Verantwortung des Verantwortlichen des Unternehmens.

      Wie wäre es, wenn Sie mal "Butter bei die Fische" geben, und belastbar darlegen, warum der IT-Anbieter des Mitarbeiters, den er nur für private Kommunikation verwendet, plötzlich nicht Dritter sein soll?

  • 29.01.2018 13:07, Prof. Dr.+Wolfgang+Hackenberg

    Lieber Bankmitarbeiter. So viel Fantasie beim Schreiben von posts und keine Fantasie beim recherchieren von E-Mailadressen?

    Auf diesen Kommentar antworten
    • 29.01.2018 13:11, Bankmitarbeiter

      Das Vertragsrecht habe ich völlig außen vor gelassen. Es ging um den datenschutzrechtlichen Aspekt. Der dürfte nach Ihren bisherigen Ausführungen ja so in Ordnung sein. Das wundert mich, da es mir bisher anders kommuniziert worden war. Ich bin aber auch kein Jurist.

  • 29.01.2018 13:23, Prof. Dr.+Wolfgang+Hackenberg

    Lieber Sebastian T.
    Ein Mitarbeiter, der sich eine geschäftliche E-Mail mit pbD an seine private Adresse schickt, um sie im Homeoffice zu bearbeiten, handelt doch nicht privat, sondern dienstlich!
    Wenn Sie die DSGVO lesen, dann zitieren Sie einfach die Norm, aus der sich ergibt, dass ein E-Mail-Provider stets Dritter im Sinne des Datenschutzrechtes ist. Es wäre hilfreich, wenn Sie sich an die Debattierregeln halten würden und nicht dauernd pauschale Forderungen aufstellen, hinter denen Sie selbst in Ihrer Argumentation zurück bleiben. Wie gesagt - wer weiter diskutieren will, darf mich gern persönlich anschreiben. Adresse kann man datenschutzkonform aus dem Netz ziehen.

    Auf diesen Kommentar antworten
    • 29.01.2018 16:19, Sebastian T.

      Wie wollen Sie dann eigentlich Art. 7 Abs. 3 S. 1 DSGVO durchsetzen? Der Arbeitgeber hat überhaupt keine rechtliche Handhabe auf den privaten Account des Mitarbeiters einzuwirken.

    • 29.01.2018 16:23, Sebastian T.

      "An die Debattenregeln halten". Jawoll. So im Stil der 1950er oder wie? Käffchen durch Frau X serviert und wir Honorigen überlegen uns dann was? Mein Gott, wir leben im Jahr 2018 und das ist das Internet. Zumal ich von Ihnen noch mal auf belastbare Verweise warte.

      Wenn ein Mitarbeiter also kraft eigener Entscheidung Daten vom Unternehmensrechner auf den privaten Account zieht/weiterleitet, dann wird er in dienstlicher Eigenschaft tätig? Das halte ich für gewagt. Insbesondere, wenn es eine klare Dienstanweisung gibt, nur Unternehmens-IT zu verwenden. Aber auch so ist ja nicht jedes Handeln des Mitarbeiters dienstlich, nur weil er es macht.

      Wenn das für Sie aber dienstlich ist, wiederhole ich gerne meine Frage: Wie sieht das Verarbeitungsverzeichnis aus?

    • 29.01.2018 16:24, Sebastian T.

      Für ein Homeoffice stellt der Unternehmer Unternehmens-IT zur Verfügung (VPN, E-Mail etc.) Damit gibt es keine Notwendigkeit die pbD auf den privaten Account zu ziehen. (siehe auch den Sachverhalt)

      Wo sehen Sie denn da eine dienstliche Tätigkeit?

    • 01.02.2018 17:25, DSinteressiert

      1. Dass die Unterscheidung, ob die private Nutzung des dienstlichen E-Mail Accounts gestattet ist oder nicht, zunehmend an Bedeutung verliert verstehe ich auch noch nicht. Werde mir aber das genannte Urteil einmal genauer ansehen.
      2. Ich muss Sebastian T. recht geben!
      Sowohl im BDSG-alt (§3 Abs. 8) als auch in der DSGVO ist ein Dritter klar definiert! Ein Provider der nicht gleichzeitig Auftragsdatenverarbeiter ist, ist Dritter!
      §3 BDSG-alt Abs. 8: "...Dritter ist jede Person oder Stelle außerhalb der verantwortlichen Stelle. Dritte sind nicht der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen."
      DSGVO: Artikel 4 Abs.10. "„Dritter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;"
      Zudem ist nach DSGVO auch der Empfänger nach Artikel 4 Abs. 9 legaldefiniert:
      "9. „Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, denen personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht."
      Denn offengelegt werden die personenbezogenen Daten jedem Provider, und jedem Internetknoten, sofern sie nicht wirksam verschlüsselt sind.
      Bei der Post greift das Postgeheimnis. Daher ist die Post nur Transporteur von Briefen, mit evtl. personenbezogenen Daten, welche aber nicht offenbart werden. Man darf ja auch keine personenbezogenen Daten (Ausnahme ist hier natürlich die Adresse an sich) einfach per Postkarte versenden.
      Nach BDSG als auch DSGVO gilt aber nach wie vor das Verbot mit Erlaubnisvorbehalt. Sofern also keine Einwilligung vom Betroffenen vorliegt reicht ein normaler Erlaubnistatbestand eben nicht aus, um die Verarbeitung mit Zugriff Dritter zu rechtfertigen, wie von Sebastian T. bereits richtig erwähnt. Genau dafür gibt es ja das Kontruckt der Auftragsdatenverarbeitung und den entsprechenden § 11 (BDSG). Damit der Autragsdatenverarbeiter als verlängerter Arm des Auftraggebers eben nicht als Dritter eingestuft wird, sondern der Autraggeber weiterhin Verantwortlicher bleibt. Das bedeutet aber weiterhin volle Kontrolle über die Daten besitzen.
      Was aber bei offener (nicht wirksamer Verschlüsselung) Kommunikation immer der Fall ist.
      Und nicht nur der Privat-Provider ist hier Dritter auch alle weiterleitenden Stellen des Internets sind Dritte!!
      Jedem Fachanwalt für IT oder Datenschutz sollte dies eigentlich bekannt sein. Nichts desto trotz habe ich schon unverschlüsselte falsch abgesendete anwältliche Korrespondenz (mit sehr sensiblen personenbezogenen Daten) von einem Fachanwalt für DS-Recht zugesendet bekommen.
      Wir leben wohl doch noch nicht im 21 Jahrhundert, denn wirksame Verschlüsselung sollte zumindest für Berufe die sensibelste Daten versenden ein Musst-Have sein.
      Wir wollen aber Prof. Dr.Wolfgang Hackenberg seine Unwissenheit verzeihen. Ein Anwalt/Anwaltskanzlei auch wenn er/sie Fachanwalt für Bau und IT ist, kann halt nicht über das umfangreiche Fachwissen eine Datenschützers oder Datenschutzbeauftragten verfügen.

    • 01.02.2018 21:49, hgs

      Beitrag DSinteressiert +1

      Ich halte die Thematik mit der Weiterleitung einer EMail auf einen privaten Account für eindeutig und zwingend.

    • 02.02.2018 14:00, DSinteressiert

      Eine Weiterleitung an einen privaten E-Mail-Account ist datenschutzrechtlich ohne Probleme durch Verschlüsselung möglich.
      Z.B.: E-Mail-Text in eine Word-Datei kopieren und diese mit einem Passwort (Mitteilung auf zweiten Kommunikationsweg, z.B. Telefon) sicher verschlüsseln. Anhänge in einer Zip-Datei sicher verschlüsseln.
      Damit wird eine Offenlegung an Dritte weitgehend verhindert!

      Darüber hinaus geltende firmeninterne Richtlinien sollten natürlich auch eingehalten werden, ansonsten drohen arbeitsrechtliche Maßnahmen.

    • 02.02.2018 17:35, DSinteressiert

      Anwälte und Ärzte machen sich zudem strafbar, wenn Sie unverschlüsselt personenbezogene Daten versenden, laut Sachsens Landesdatenschutzbeauftragten:
      https://www.heise.de/newsticker/meldung/Datenschuetzer-Rechtsanwaelte-Aerzte-und-Versandapotheken-muessen-verschluesseln-3876385.html

  • 01.02.2018 17:30, DSinteressiert

    Korrektur:
    Was aber bei offener (nicht wirksamer Verschlüsselung) Kommunikation "nicht" der Fall sein kann.

    Auf diesen Kommentar antworten
  • 02.02.2018 22:07, AS

    Meine Mandanten wollen aber möglichst unkompliziert mit mir per E-Mail kommunizieren. Da bleibt mir wohl nichts übrig, als mich tagtäglich mehrfach strafbar zu machen.
    Ich warte schon auf den LTO-Beitrag: „Datenschützer zeigt Rechtsanwalt an, weil er seinem Mandanten eine E-Mail geschickt hat“. Das sind die wirklichen Probleme unserer Zeit. Sorry für diese etwas launige Einlassung, aber die Hybrid mancher Datenschützer ist schon erstaunlich.

    Auf diesen Kommentar antworten
    • 05.02.2018 12:07, DSinteressiert

      Hybrid oder Hybris? *Zwinker*
      Ich denke aber nicht, dass sich Datenschützer hier etwas anmaßen.
      Dies scheint mir lediglich die wortgetreue Auslegung der bestehenden Gesetze zu sein. Ich denke eher, dass einigen Anwälten die geltenden Gesetze nicht gefallen.

  • 05.02.2018 17:11, DSinteressiert

    Übrigens:
    Mit einer informierten gültigen Einwilligung dürfte auch das offenbaren an Dritte kein Problem sein.
    § 203 Abs. 1 StGB: "Wer *unbefugt* ein fremdes Geheimnis ... offenbart..."
    Sofern also der Mandant sich bewusst ist, dass Provider/Weiterleiter und die NSA (welche ja auch zur Indurstiespionage gegründet wurde) mitlesen kann und nichts dagegen hat, ist man doch aus dem Schneider! :)

    Auf diesen Kommentar antworten
  • 08.02.2018 15:53, Thomas K

    Auch wenn die Email verschlüsselt ist, ist die Nutzung privater IT eines Mitarbeiters nicht ohne weiteres möglich, insbesondere mit "modernen" Betriebssytemen... Der Verantwortliche muss jederzeit die Sicherheit und die Kontrolle der Daten nachweisen und gewährleisten können. Wie dies auf der privaten IT des Mitarbeiters ohne weiteres geschehen soll, muss mir erstmal jemand erklären.

    Auf diesen Kommentar antworten
    • 08.02.2018 16:02, DSinteressiert

      In Normen gesprochen (für Anwälte):
      - § 9 BDSG
      - Anlage zu § 9 BDSG
      ;-)

Neuer Kommentar
TopJOBS
Rechts­an­walt (m/w) für den Be­reich Ban­king & Fi­nan­ce

Bird & Bird LLP, Mün­chen und 1 wei­te­re

As­so­cia­te (w/m) Dis­pu­tes & In­ves­ti­ga­ti­ons / Li­ti­ga­ti­on

Taylor Wessing, Frank­furt/M.

RECHTS­AN­WALT (m/w) im Be­reich IP/IT/Da­ten­schutz

GSK Stockmann, Ber­lin

Rechts­an­wäl­te (m/w) und Wis­sen­schaft­li­che Mit­ar­bei­ter (m/w) für die Pra­xis­grup­pe Li­fe Sci­en­ces & Health­ca­re (Re­gu­lato­ry & Com­p­li­an­ce)

Covington, Brüs­sel

Rechts­an­walt (m/w) für den Be­reich Com­p­li­an­ce

Bird & Bird LLP, Düs­sel­dorf

RECHTS­AN­WÄL­TE (M/W)

Menold Bezler Rechtsanwälte Partnerschaft mbB, Stutt­gart

Rechts­an­wäl­te (m/w) für die Be­rei­che M&A und Ar­beits­recht

Oppenhoff & Partner, Frank­furt/M.

Rechts­re­fe­ren­da­rin/Rechts­re­fe­ren­dar bei Le­gal and Com­p­li­an­ce / deut­sch­land­weit

Siemens, Mün­chen und 2 wei­te­re

As­so­cia­te (w/m) im Be­reich Kon­f­likt­lö­s­ung

Freshfields Bruckhaus Deringer, Düs­sel­dorf

Rechts­an­wäl­te (m/w) Ban­king & Fi­nan­ce, ins­be­son­de­re Un­ter­neh­mens­fi­nan­zie­rung und Fi­nan­zie­rung von Un­ter­neh­mens­über­nah­men

Clifford Chance, Frank­furt/M. und 1 wei­te­re

Com­p­li­an­ce Of­fi­cer (m/w)

Bird & Bird LLP, Frank­furt/M.

Rechts­an­walt (m/w) für die Be­rei­che IT- und Da­ten­schutz, Ge­werb­li­cher Rechts­schutz und Wirt­schafts­recht

Dr. Fandrich Rechtsanwälte Partnerschaftsgesellschaft mbB, Stutt­gart und 1 wei­te­re

Rechts­an­walt (m/w) Un­ter­neh­mens- und Kon­zern­steu­er­recht

Flick Gocke Schaumburg, Bonn

Rechts­an­wäl­te (m/w)

Hogan Lovells LLP, Düs­sel­dorf

Rechts­an­wäl­te (m/w) für die Be­rei­che M&A, IT&C, Pro­zess­füh­rung/Schieds­ge­richts­ver­fah­ren, Ge­werb­li­cher Rechts­schutz und Ar­beits­recht

Oppenhoff & Partner, Köln

be­ruf­s­er­fah­re­nen Rechts­an­walt (m/w) für den Be­reich Com­mer­cial (Da­ten­schutz/IT)

Bird & Bird LLP, Mün­chen

Rechts­an­walt (m/w) In­tel­lec­tual Pro­per­ty und Me­di­en­recht

ESCHE SCHÜMANN COMMICHAU, Ham­burg

Rechts­an­walt (m/w) Ge­sell­schafts­recht mit Spe­zia­li­sie­rung im Ak­ti­en- und Ka­pi­tal­markt­recht

fieldfisher, Düs­sel­dorf

Rechts­an­walt (m/w) für den Fach­be­reich Um­welt- und Pla­nungs­recht

Linklaters, Ber­lin

RECHTS­AN­WALTS­FACH­AN­GE­S­TELL­TE (M/W)

FPS Partnerschaftsgesellschaft von Rechtsanwälten, Frank­furt/M.

Wirt­schafts­ju­ris­ten (m/w) als Tran­sac­ti­on La­wy­er im Be­reich Ban­king & Fi­nan­ce

Clifford Chance, Frank­furt/M. und 1 wei­te­re

Pa­ten­tin­ge­nieur/Pa­tent­re­fe­rent (m/w)

BRITA GmbH, Tau­nus­stein

Neueste Stellenangebote
RECHTS­AN­WÄL­TE (M/W)
Ge­schäfts­füh­rungs­se­k­re­tärin / Ge­schäfts­füh­rungs­se­k­re­tär (w/m)
Voll­ju­rist / As­so­cia­te Lead Ex­pert (m/w) IT­Recht & Out­sour­cing
Steu­er­fach­an­ge­s­tell­ter / Buch­hal­ter (m/w)
Steu­er­re­fe­rent (m/w/d)
Se­nior Ma­na­ger Le­gal Com­pe­ti­ti­on Law (w/m)
Rechts­an­walt Kon­zern­recht und Cor­po­ra­te Go­ver­nan­ce (m/w)
Re­fe­rent / Re­fe­ren­tin für Qua­li­täts­si­che­rung