Wichtige Grundsätze:
- Zweckbindung: Daten dürfen nur für den vorgesehenen Zweck verwendet werden.
- Vertraulichkeit und Integrität: Daten müssen vor unbefugtem Zugriff, Verlust und Veränderung geschützt werden.
- Datenminimierung: Es dürfen nur so viele Daten verarbeitet werden, wie unbedingt notwendig.
2. Technische und organisatorische Maßnahmen (TOMs)
Unternehmen sind verpflichtet, sogenannte TOMs zu ergreifen, um die Sicherheit der Datenverarbeitung zu gewährleisten. Dazu gehören:
- Verschlüsselung von E-Mails und Daten
- Zugriffsbeschränkungen (z.B. nur autorisierte Personen)
- Sichere Passwörter und Zwei-Faktor-Authentifizierung
- Regelmäßige Schulungen der Mitarbeitenden
Problem: Private E-Mail-Accounts erfüllen diese Anforderungen in der Regel nicht. Die Kontrolle über die Daten geht verloren, und das Risiko eines Datenabflusses steigt erheblich.
3. Typische Szenarien und Risiken
a) Automatische Weiterleitung aller Mails:
Einige Mitarbeitende richten eine automatische Weiterleitung aller eingehenden dienstlichen Mails an ihre private Adresse ein. Dies ist besonders kritisch, da keinerlei Kontrolle mehr besteht, welche Daten das Unternehmen verlassen.
b) Manuelles Weiterleiten einzelner Mails:
Auch das gezielte Weiterleiten einzelner E-Mails kann problematisch sein, wenn diese sensible Informationen enthalten.
c) Zugriff über private Geräte:
Selbst wenn keine Weiterleitung erfolgt, sondern der Zugriff auf das dienstliche Postfach über ein privates Gerät (Smartphone, Laptop) erfolgt, müssen diese Geräte ausreichend geschützt und ggf. vom Unternehmen verwaltet werden.
Risiken im Überblick:
- Datenpannen: Verlust oder Diebstahl des privaten Geräts kann zum Datenleck führen.
- Unbefugter Zugriff: Familienmitglieder oder Dritte könnten E-Mails lesen.
- Cloud-Speicherung: Private E-Mail-Provider speichern Daten oft auf Servern außerhalb der EU, was weitere Datenschutzprobleme aufwirft.
4. Konsequenzen bei Verstößen
Verstöße gegen die DSGVO können schwerwiegende Folgen haben:
- Bußgelder: Bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes.
- Abmahnungen: Durch Betroffene oder Mitbewerber.
- Strafrechtliche Konsequenzen: In besonders schweren Fällen.
- Reputationsschäden: Vertrauensverlust bei Kunden und Geschäftspartnern.
5. Alternativen zur Weiterleitung
Statt E-Mails weiterzuleiten, gibt es sichere Alternativen:
- VPN-Zugang: Sicherer Zugriff auf das Firmennetzwerk und die dienstlichen E-Mails.
- Mobile Device Management (MDM): Das Unternehmen verwaltet und schützt private Geräte, auf denen dienstliche Daten verarbeitet werden.
- Webmail mit Zwei-Faktor-Authentifizierung: Zugriff auf das dienstliche Postfach über einen gesicherten Webbrowser.
- Verschlüsselte E-Mail-Kommunikation: Nutzung von S/MIME oder PGP für besonders schützenswerte Inhalte.
6. Pflichten und Verantwortung
Arbeitgeber:
- Müssen klare Richtlinien und Anweisungen geben.
- Müssen technische Lösungen bereitstellen.
- Müssen Mitarbeitende regelmäßig sensibilisieren und schulen.
Arbeitnehmer:
- Müssen sich an die Vorgaben halten.
- Müssen bei Unsicherheiten Rücksprache mit IT oder Datenschutzbeauftragten halten.
- Müssen auf die Sicherheit ihrer Geräte achten (z.B. keine Nutzung offener WLANs, regelmäßige Updates).
7. Fazit und Handlungsempfehlungen
Die Weiterleitung dienstlicher E-Mails an private Adressen ist ein klarer Verstoß gegen die Grundprinzipien des Datenschutzes und sollte unbedingt unterlassen werden. Unternehmen und Mitarbeitende sollten gemeinsam auf sichere Lösungen setzen, um mobiles Arbeiten und Datenschutz in Einklang zu bringen.
Checkliste für Unternehmen:
- Gibt es eine Richtlinie zum Umgang mit dienstlichen E-Mails?
- Sind sichere Zugriffswege eingerichtet?
- Werden Mitarbeitende regelmäßig geschult?
- Gibt es eine Anlaufstelle für Fragen zum Datenschutz?
Checkliste für Mitarbeitende:
- Leite ich dienstliche E-Mails an private Adressen weiter? (Wenn ja: sofort unterlassen!)
- Nutze ich sichere Zugriffswege?
- Kenne ich die Datenschutzrichtlinien meines Arbeitgebers?
- Habe ich Fragen oder Unsicherheiten? (Dann: Kontakt zur IT oder Datenschutzbeauftragten aufnehmen)
---
Datenschutz ist Teamarbeit! Nur gemeinsam können sensible Daten geschützt und rechtliche Risiken minimiert werden.
(Autor: Datenschutz Frick mit Hilfe durch AI Chat)
