Die Grenzen zwischen Arbeit und Privatleben verschwimmen. Viele Arbeitnehmer arbeiten nach Feierabend von zu Hause aus weiter. In manchen Firmen ist es Usus, dass sich Mitarbeiter geschäftliche E-Mails an ihren privaten Account weiterleiten, um sie in Ruhe bearbeiten oder um während des Urlaubs auf dringende Angelegenheiten reagieren zu können. Davon abgegrenzt werden muss, dass sich Mitarbeiter Firmenunterlagen zum Durchsehen oder Fertigstellen nach Hause schicken. Beides ist gut gemeint, und viele Arbeitgeber schätzen so viel Engagement bei ihren Mitarbeitern. Allerdings haben beide Fälle problematische Kehrseiten.
Geschäftliche E-Mails an den privaten Account weiterleiten
Privatpersonen haben in der Regel einen E-Mail-Account bei einem anderen Anbieter als die Firma, bei Providern wie Yahoo, GMX, Web.de, AOL. Wenn geschäftliche E-Mails an das private Postfach weitergeleitet werden, stellt das eine Datenübermittlung an Dritte dar, das Weiterleiten ist also datenschutzrechtlich relevant und unterlegt den Anforderungen der DSGVO. Dabei kommen zwei Aspekte zum Tragen: Der ursprüngliche Absender muss in die Datenübermittlung an Dritte einwilligen, und der E-Mail-Anbieter für den privaten Account gerät in der Position eines Auftragsverarbeiters. Sie wissen schon, was das heißt: Verträge zur Auftragsdatenverarbeitung mit dem – jedem – Anbieter, bei dem die Mitarbeiter einen Account haben, an den sie weiterleiten wollen. Im Rahmen der Verträge ist dann zu prüfen bzw. regeln, wo sich die Standorte der Server bzw. der Rechenzentren befindet, ob und wie am Standort der Schutz vor unbefugtem Zugriff der DSGVO entsprechend gewährleistet ist und so weiter.
Diesen Aufwand wird kein Unternehmen auf sich nehmen wollen, ebenso wenig ein Bußgeld für unzulässige Datenübermittlung, und daher das Weiterleiten untersagen. In welcher Form und in welchem Wortlaut das geschehen sollte, ist am besten mit anwaltlicher Unterstützung zu klären. Für Arbeitgeber, die nicht darauf verzichten können oder wollen, dass ihre Mitarbeiter auch von zuhause aus Zugriff auf ihren dienstlichen Account haben, gibt es technische Lösungen, die sie nicht in Konflikt mit dem Datenschutz bringen, wie mobile Firmengeräte, die mittels einer Lösung für Mobile Device Management überwacht werden, und VPN.
Firmenunterlagen per E-Mail an den privaten Account schicken
Schicken Mitarbeiter geschäftliche Unterlagen per E-Mail an ihren privaten Account, steht zunächst nicht der Datenschutz im Vordergrund. Er kann betroffen sein, wenn die Unterlagen personenbezogene Daten enthalten. Diese sind auf einem privaten Rechner möglicherweise weniger gut vor unbefugtem Zugriff beispielsweise durch externe Angreifer geschützt als in der Firma oder können von nicht befugten Personen wie Familienmitgliedern eingesehen oder weitergeleitet werden. Vor diesem Hintergrund heißt das: Keine Unterlagen mit personenbezogenen und anderen sensiblen Daten auf Rechnern, die das Unternehmen nicht überwachen kann.
Durch das Mitnehmen von Unternehmensunterlagen, ob per E-Mail an den privaten Account oder auf einem USB-Stick, eignet sich der Mitarbeiter Informationen an, die dem Unternehmen gehören. Um Missverständnisse auszuschließen, insbesondere den Verdacht von Datendiebstahl, sollte der Mitarbeiter sich fürs Mitnehmen das Einverständnis des Unternehmens holen. Für personenbezogene Daten wird er die Erlaubnis nicht erhalten, siehe oben, und für sensible Informationen, die zu den Geschäfts- und Betriebsgeheimnissen gehören, auch nicht, wenn die Firma Wert auf den Schutz ihrer geschäftskritischen Informationen legt. Im optimalen Fall überwacht sie den Transfer sensibler Daten mit einer Lösung für Data Loss Prevention.
Datenschutz umsetzen heißt auch, mit Gewohnheiten zu brechen, die ein Risiko für die Daten darstellen. Die Flexibilität, die mit Weiterleiten und Nach-Hause-Schicken erreicht wird, lässt sich auch mit anderen Mitteln herstellen. Wenn es sinnvoll oder notwendig ist, dass Mitarbeiter E-Mails und digitale Unterlagen mit sensiblen Informationen aller Art außerhalb der Firma bearbeiten, dann sollte die Firma in ihrem eigenen Interesse eine sichere professionelle Lösung dafür einrichten und ihre Mitarbeiter dazu verpflichten, ausschließlich sie zu verwenden.