Zum Inhalt springen
View in the app

A better way to browse. Learn more.
Fachinformatiker.de

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Rechte über Mail-Adressen

Tician
in Systemadministratoren und Netzwerktechniker

Empfohlene Antworten

Veröffentlicht

Moin,

ich wollte mal einen Fall schildern und euch fragen was ihr dazu denkt:

Bei uns haben Mitarbeiter ihre eigenen Mail-Adressen mit Firmendomäne und dürfen Telefon, Internet und Mail privat benutzen sofern sie damit einverstanden sind (jeder Mitarbeiter hat unterschrieben), dass dies Protokolliert werden KANN, von uns verwaltet wird und ehrlich gesagt finde ich den genauen Wortlaut nicht mehr, sind noch ein paar andere Klauseln dabei.

Folgender Fall: Bisher haben Teamleiter immer Vertretungszugriffe bestimmt (Vertretungszugriff heißt, dass ein Mitarbeiter vollen Zugriff auf das Postfach eines anderen hat - zu jeder Zeit und auch in dessen Namen Mails schreiben kann). Dabei werden die betroffenen Mitarbeiter zur Info bei neuen Vertretungs-anforderungen über Mail informiert. Jetzt gibt es aber Mitarbeiter x der nicht möchte dass Mitarbeiter y auf 'sein' Postfach Zugriff hat.

Was meint ihr wie die rechtliche Lage hier aussieht? Dürfen wir als Admins trotzdem den Vertretungszugriff einrichten?

Für was genau haben die Mitarbeiter denn unterschrieben?

ohne den genauen Wortlaut kann man dazu leider nichts sagen ;)

Es ist nach wie vor ob das TKG hier greift oder nicht. Weiterhin muss die Fachabteilung zur eigenen Absicherung am besten die Änderungen in Anwesenheit eines Vertreters des Datenschutzeams durchführen um zu belegen dass sie keinen Einblick genommen hat.

EDIT: Das ist nur dann ein Thema für einen Anwalt, wenn das ein Datenschutzspezi ist ;) Das ist ein Fall für den DSB

    Nachtrag: die Firma hat nach DSGVO in diesem Fall ein berechtigtes Interesse auf den Zugriff ... um eine Umlenkung zu setzen ist aber der lesende Zugriff auf Mails nicht erforderlich bzw durch technische Maßnahmen einfach zu unterbinden.

    Der Mitarbeiter sollte durch seine Nutzung dies zur Info bekommen haben. Wenn er was unterschrieben hat reden wir über einen Einwilligung ... und dann hätte der DSB der Firma "ungeschickt" gearbeitet ;)

     

    und auch hier Edit:

    Vertretungszugriff ist ein Problem ... aber da hilft auch kein Urteil. Es gibt kein klares Urteil ob hier TKG ( würde das verbieten ! ) oder DSGVO ( würde das u.U. erlauben ) greifen.

    Das ist ergo nur durch eine Einwilligung zu erschlagen ... und wenn ein Angestellter die widerruft muß er entweder die Nutzung privat lassen oder den Drops lutschen

     

     

    Bearbeitet von charmanta
    genauer gelesen

    vor 16 Minuten schrieb Tician:

    Jetzt gibt es aber Mitarbeiter x der nicht möchte dass Mitarbeiter y auf 'sein' Postfach Zugriff hat.

    Was meint ihr wie die rechtliche Lage hier aussieht? Dürfen wir als Admins trotzdem den Vertretungszugriff einrichten?

    Ist es die konkrete Konstellation X zu Y? Wäre X mit einer Vertretung durch Z einverstanden oder ist das das Besitzdenken "meins, da soll keiner gucken"?

    • Autor

    Ich bin noch am überlegen wie ich dieses 3-seitige Dokument hier zeigen kann... hier mal Ausschnitte:

    "Absender und Empfänger von privaten Emails sind allein für deren weitere Verwendung verantwortlich; sie entscheiden über Speicherung, Löschung und Weiterleitung im Rahmen der gesetzlichen und betrieblichen Regelungen"

    "Eine Unterscheidung von dienstlicher und privater Nutzung auf technischem Weg erfolgt nicht"

    "Durch die private Nutzung des Internetzugangs erklärt der Mitarbeitter seine Einwilligung in die Protokollierung und Kontrolle gemäß Ziffer 5 (Missbrauch, Vestoß gegen Gesetze, Vergündeter Verdacht,....) für den Bereich der privaten Nutzung. Insoweit stimmt er auch einer EInschränkung des Telekommunikationsgeheimnisses zu."

    Mehr relevante Zeilen für diesen Fall finde ich nicht.

    Klare Sache. Er "stimmt zu", damit ists ne Einwilligung und die kann der Mitarbeiter jederzeit widerrufen. Nun kann er sich nur noch entscheiden ob er von jetzt ab ! die private Nutzung einstellt oder es weiter akzeptiert.

    Mit dem Widerruf darf bis zur Klärung aber die IT sicherheitshalber nicht mehr reinschauen ... habt Ihr nen DSB ? Der sollte jetzt aktiv werden und den Prozess prüfen

    Hört sich an, als ob sich die Firma bei der Erstellung der Richtlinien ein Ei gelegt hat.

    Im Grunde genommen kenne ich in der Hinsicht nur zwei Ansätze:

    a) Betrieb erlaubt oder duldet private Nutzung => hohe Hürden für Zugriff auf Postfächer durch andere (>TKG)

    b) Betrieb verbietet private Nutzung => Zugriff geringes Problem

    Worst Case: Du gestattest den Zugriff. Später stellt sich heraus, dass das gar nicht rechtens war. => Du bist schuld. Nicht der Betrieb, Du.

    Bearbeitet von Heins

    Mit nur dem Ausschnitt darfst du aber so wie ich das verstehe keine Mails archivieren oder Backupen.

    Afaik ist das nur die Einwilligung ins Logging, nicht mehr, Wenn sich in dem Dokument kein Hinweis auf "was einmal rein kam wird nie wieder zu 100% gelöscht" gibt, seh ich das irgendwie grenzwertig.

    Muss die Vertretung denn unbedingt "Senden als" haben? Reicht ein "Senden im Auftrag von" nicht genauso aus? Mit "Senden als" hätte ich auch so meine Bauchschmerzen, vor allem weil es für den Betrieb nicht notwendig ist.

     

    vor 3 Stunden schrieb Tician:

    Moin,

    ich wollte mal einen Fall schildern und euch fragen was ihr dazu denkt:

    Bei uns haben Mitarbeiter ihre eigenen Mail-Adressen mit Firmendomäne und dürfen Telefon, Internet und Mail privat benutzen sofern sie damit einverstanden sind (jeder Mitarbeiter hat unterschrieben), dass dies Protokolliert werden KANN, von uns verwaltet wird und ehrlich gesagt finde ich den genauen Wortlaut nicht mehr, sind noch ein paar andere Klauseln dabei.

    Folgender Fall: Bisher haben Teamleiter immer Vertretungszugriffe bestimmt (Vertretungszugriff heißt, dass ein Mitarbeiter vollen Zugriff auf das Postfach eines anderen hat - zu jeder Zeit und auch in dessen Namen Mails schreiben kann). Dabei werden die betroffenen Mitarbeiter zur Info bei neuen Vertretungs-anforderungen über Mail informiert. Jetzt gibt es aber Mitarbeiter x der nicht möchte dass Mitarbeiter y auf 'sein' Postfach Zugriff hat.

    Was meint ihr wie die rechtliche Lage hier aussieht? Dürfen wir als Admins trotzdem den Vertretungszugriff einrichten?

    Nein. Dürft ihr nicht, der Mitarbeiter muss ausschließlich erlauben dass Person XY Zugriff auf das Postfach haben darf. Oder ihr fragt den Geschäftsführer / Teamleiter der darf im Notfall bei Geschäftskritischen E-Mails erlauben.

    Also wenn jemand in meinem Namen senden würde, hätte ich da aber auch Bauchschmerzen mit. Was weiß ich, was der für Stuss rumschickt, für den ich nachher noch den Kopf hinhalten soll? Was spricht denn dagegen, dass er in seinem eigenen Namen sendet?

    Btw: Die erlaubte private Nutzung kann auch dazu führen, dass das Unternehmen private Mails oder die ganze Adresse/Konto(!) beim Ausscheiden des Mitarbeiters nicht einfach löschen darf:

     https://www.faz.net/aktuell/beruf-chance/mein-urteil/kolumne-mein-urteil-darf-der-chef-private-mails-nach-der-kuendigung-loeschen-12123688.html

      http://www.cbh.de/News2/Geistiges-Eigentum-Medien/2013/Arbeitgeber-darf-E-Mail-Account-ausgeschiedener-Mitarbeiter-nicht-ohne-Rueckfrage-loeschen

    https://www.lto.de/recht/job-karriere/j/ausscheiden-mitarbeiter-email-postfach-personenbezogene-daten/

    • Autor

    Das sollte kein Problem sein, denn die Zustimmung zur Löschung nach Arbeitsbeendigung haben alle Mitarbeiter mit einer Unterschrift bestätigt. Hatte ich nicht zitiert ist aber auch Teil des Dokumentes.

    Dementsprechend haben wir die Zustimmung schon bei Arbeitsbeginn.

    Das kann aber durchaus auch bei Konten mit nicht privater Nutzung der Fall sein, denn es gibt in Deutschland für bestimmte Sachen  Aufbewahrungspflichten (von z.B. 10 Jahren). Da ist dann halt die Frage, ob man das Konto nach entsprechenden Sachen durchsucht, oder aber es einfach 10 Jahre als .pst-file o.ä. weg sichert, um bei Bedarf noch einmal drauf zugreifen zu können.

    Egal was mit wem und warum festgelegt etc wurde.  Seit Mai 2018 greift hier der Dampfhammer DSGVO.  Sehr viele Firmen arbeiten so wie bisher und machen sich klar Strafbar.

    Hier ist konrekte Hilfe des DSB gefragt. Passt bloß auf, das ihr euch nicht die Finger verbrennt.

     

    Erstelle ein Konto oder melde dich an, um einen Kommentar zu schreiben.

    Zur Themenliste gehen

    Configure browser push notifications
    Chrome (Android)
    1. Tap the lock icon next to the address bar.
    2. Tap Permissions → Notifications.
    3. Adjust your preference.
    Chrome (Desktop)
    1. Click the padlock icon in the address bar.
    2. Select Site settings.
    3. Find Notifications and adjust your preference.