de en
Nexia Ebner Stolz

Rechtsberatung

Norwegische Datenschutzbehörde: Bußgeld wegen Weiterleitung von E-Mails

Die na­tio­nale Da­ten­schutz­behörde Nor­we­gens (Da­ta­til­synet) hat ge­gen ein Un­ter­neh­men ein Bußgeld in Höhe von 25.000 Euro aus­ge­spro­chen, weil es E-Mails ei­nes Mit­ar­bei­ters wei­ter­glei­tet hat. Die Wei­ter­lei­tung ver­stieß nach Auf­fas­sung der Behörde ge­gen die DS­GVO und na­tio­nale Vor­schrif­ten.

Ein Vor­ge­setz­ter in dem nor­we­gi­schen Un­ter­neh­men hatte den be­trof­fe­nen Mit­ar­bei­ter darum ge­be­ten, eine au­to­ma­ti­sche Wei­ter­lei­tung von sei­nem ei­ge­nen auf einen ge­mein­sa­men ge­schäft­li­chen E-Mail-Ac­count ein­zu­rich­ten. Zur Recht­fer­ti­gung die­ser Vor­ge­hens­weise ver­wies das Un­ter­neh­men auf be­trieb­li­che Gründe. Dies hielt der Mit­ar­bei­ter für rechts­wid­rig und legte bei der nor­we­gi­schen Da­ten­schutz­behörde Be­schwerde ein.

Diese prüfte den Fall und ent­schied mit Be­kannt­ma­chung vom 10.05.2021, dass dem Un­ter­neh­men für die Wei­ter­lei­tung der E-Mails die Rechts­grund­lage fehle. Nach Auf­fas­sung der Behörde ver­stoße das Vor­ge­hen so­wohl ge­gen Vor­ga­ben der DS­GVO zur Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Da­ten (seit dem 20.07.2018 gilt die DS­GVO so­wohl für die Mit­glied­staa­ten der EU als auch für die EWR-Staa­ten Nor­we­gen, Is­land und Liech­ten­stein) als auch ge­gen na­tio­nale Vor­schrif­ten über den Zu­griff des Ar­beit­ge­bers auf E-Mail-Ac­counts und an­de­res elek­tro­ni­sches Ma­te­rial. Darüber hin­aus habe das Un­ter­neh­men be­reits vor dem Vor­fall über keine Ver­fah­rens­an­wei­sun­gen für den Zu­griff auf E-Mails verfügt. Die Behörde ver­deut­lichte, dass eine Ver­bes­se­rung sol­cher Ver­fah­ren einem späte­ren un­rechtmäßigen Zu­griff vor­beu­gen könne.

Die Da­ten­schutz­behörde for­derte das Un­ter­neh­men dazu auf, die Kon­trolle und die in­ter­nen Richt­li­nien für den Zu­griff auf die E-Mails der Mit­ar­bei­ter zu ver­bes­sern und verhängte für den Vor­fall ein Bußgeld in Höhe von 25.000 Euro (250.000 Nor­we­gi­sche Kro­nen). Die Höhe ei­nes Bußgel­des we­gen Da­ten­schutz­verstößen ori­en­tiert sich gemäß Art. 83 DS­GVO am Um­satz des Ver­ant­wort­li­chen. Ur­sprüng­lich war ein Bußgeld in Höhe von 40.000 Euro (400.000 Nor­we­gi­sche Kro­nen) vor­ge­se­hen. We­gen Um­satzrück­gangs auf­grund der Co­vid-19-Pan­de­mie wurde die Höhe des Bußgel­des in die­sem Fall ent­spre­chend an­ge­passt.

In einem wei­te­ren Vor­fall, über den eben­falls die nor­we­gi­sche Auf­sichts­behörde ent­schied, hatte ein Un­ter­neh­men eine au­to­ma­ti­sche Wei­ter­lei­tung von E-Mails im Rah­men der krank­heits­be­ding­ten Ab­we­sen­heit des Mit­ar­bei­ters ein­ge­rich­tet. Diese blieb aber für die Dauer ei­nes Mo­nats auch nach des­sen Rück­kehr be­ste­hen. Auch hier sah die Behörde einen Ver­stoß ge­gen das Ge­setz, ver­wies hier eben­falls auf die Pflicht zur Ver­bes­se­rung in­ter­ner Richt­li­nien und verhängte ein Bußgeld in Höhe von 40.000 Euro (400.000 Nor­we­gi­sche Kro­nen).

Hinweis

Be­son­ders auffällig sind die Höhen der Geldbußen in die­sen Fällen. Grund dafür kann nicht al­lein die Tat­sa­che sein, dass in dem Fall nor­we­gi­sche Behörden ent­schie­den ha­ben. In der ge­sam­ten Union sind in der Ver­gan­gen­heit Geldbußen in emp­find­li­cher Höhe für Da­ten­schutz­verstöße verhängt wor­den. Um sol­che Stra­fen zu ver­mei­den, soll­ten Un­ter­neh­men ih­ren Um­gang mit E-Mail-Ac­counts von An­ge­stell­ten auf die von der Behörde gerügten As­pekte hin überprüfen und in­terne Ver­fah­rens­an­wei­sun­gen für den Zu­griff auf sol­che E-Mails auf­stel­len. So­fern eine Wei­ter­lei­tung von E-Mail-Ver­kehr in Fällen von krank­heits­be­ding­ter Ab­we­sen­heit statt­fin­det, ist be­son­ders dar­auf zu ach­ten, dass eine Wei­ter­lei­tung nach Rück­kehr des Mit­ar­bei­ters um­ge­hend ein­ge­stellt wird.

Wollte man - wofür in der Pra­xis ja durch­aus plau­si­ble Gründe spre­chen - als Un­ter­neh­men und Ar­beit­ge­ber wei­ter­hin die au­to­ma­ti­sierte Wei­ter­lei­tung von E-Mails in Krank­heitsfällen etc. nut­zen, so müsste man aus un­se­rer Sicht si­cher­stel­len, dass die Pri­vat­nut­zung des E-Mail-Ac­counts der Mit­ar­bei­ter ver­bo­ten ist und sich zusätz­lich eine ent­spre­chende Ein­wil­li­gungs­erklärung von den Ar­beit­neh­mern ein­ho­len oder diese The­ma­tik über eine ent­spre­chende Be­triebs­ver­ein­ba­rung re­geln. Gerne un­terstützen wir Sie bei einem sol­chen Vor­ge­hen zur Mi­ni­mie­rung der vor­ste­hend dar­ge­stell­ten Haf­tungs­ri­si­ken!

nach oben