Weiterleitung von E-Mails an die private Adresse – ist das zulässig?

In diesem Beitrag tauchen wir in die spannende Welt der E-Mails ein. Konkret geht es um die Frage:

Darf ich dienstliche E-Mails an meine private Adresse weiterleiten?

Vielleicht haben sie das auch schon mal gemacht – aus Bequemlichkeit, um flexibel zu bleiben oder weil sie dachten, es sei doch so praktisch. Gerade in Zeiten von Homeoffice und flexiblen Arbeitszeitmodellen, die durch die Corona Pandemie noch einmal ordentlich Fahrt aufgenommen haben, mag das verlockend sein. Aber Achtung, hier lauern rechtliche Fallstricke.

E-Mail-Adressen sind mehr als nur eine Ansammlung von Buchstaben, Zahlen und Punkten. Sie gehören sehr häufig zu den personenbezogenen Daten und sind damit schützenswert. Und nicht nur die E-Mail-Adresse selbst, sondern auch die Inhalte der E-Mails stellen häufig personenbezogene Daten dar. Das gilt übrigens nicht nur, wenn die E-Mail-Adresse den vollen Namen einer Person enthält, sondern auch für allgemeine Adressen. Sobald eine E-Mail-Adresse einen Bezug zu einer realen Person herstellen könnte, greift der Datenschutz. Und das bedeutet: Eine Weiterleitung solcher E-Mails ist nicht ohne weiteres erlaubt.

Was ist eigentlich eine E-Mail-Adresse?

Die DSGVO schreibt vor, dass Unternehmen nicht nur personenbezogene Daten schützen, sondern auch deren Verarbeitung , gleich welcher Art, nur nach den Grundsätzen des Art. 5 DSGVO zulässig ist. Auch die reine Speicherung personenbezogener Daten stellt eine Verarbeitung dar, siehe auch Art. 4 Nr. 2 DSGVO. Geschäftliche E-Mails müssen also sicher aufbewahrt und archiviert werden, um den gesetzlichen Anforderungen zu entsprechen. Gemäß Art. 32 DSGVO müssen dabei Maßnahmen ergriffen werden, die die Integrität, Verfügbarkeit und vor allem der Vertraulichkeit der Daten sicherstellen. Durch die Weiterleitung an private Adressen entzieht man die E-Mails jedoch der strukturierten und sicheren Verarbeitung beim Verantwortlichen was einen Verstoß gegen die Vorgaben der DSGVO bedeutet. Darüber hinaus gelangen die weitergeleiteten E-Mails im Postfacher der privaten Empfänger*innen in den meisten Fällen auch an einen Dienstleister, mit dem für die Verarbeitung eigentlich eine Vereinbarung zur Auftragsverarbeitung geschlossen werden müsste, dies aber meist nicht möglich ist. Im Gegenteil, zahlreiche Anbieter nehmen sich in den AGB das Recht heraus, die Inhalte der E-Mails auswerten zu dürfen und damit meist nur blumig beschriebene Zwecke zu verfolgen.

Warum leiten Beschäftigte E-Mails weiter? – Ein Blick in die Köpfe

Im Homeoffice hat sich die Arbeitsweise vieler grundlegend verändert. Die Trennung von Beruflichem und Privatem verschwimmt, und die Versuchung ist groß, E-Mails schnell an die private Adresse weiterzuleiten. Die Gründe sind hierfür:

  • Flexibilität und Erreichbarkeit: Viele Beschäftigte möchten auch nach Feierabend oder unterwegs Zugriff auf wichtige Informationen haben. Die private E-Mailadresse scheint hier eine einfache Lösung zu sein, um auf dem Laufenden zu bleiben und Aufgaben flexibel zu bearbeiten. Ein einfaches Beispiel wäre, kurz im Homeoffice etwas vom privaten Rechner oder Smartphone zu drucken.
  • Sicherheitsdenken und „Backup“: Einige sehen die Weiterleitung als eine Art Sicherheitsnetz – eine zusätzliche Sicherung der Informationen, falls mal etwas verloren geht oder der Zugriff auf das Firmennetzwerk eingeschränkt ist. Oder auch als eine Art Beweissicherung.
  • Bequemlichkeit: Oft ist es auch schlichtweg Bequemlichkeit. Die private E-Mail-App ist immer auf dem Smartphone dabei, und es fühlt sich einfach praktischer an, als ständig den Firmen-Laptop hochzufahren.

Doch diese vermeintlichen Vorteile kommen mit erheblichen Risiken. Durch die Weiterleitung wird der Datenschutz verletzt, die Sicherheit der Daten ist nicht mehr gewährleistet und die E-Mails sind außerhalb des kontrollierten Umfelds des Unternehmens – Stichwort CIA-Triade.

In einigen Fällen ist es zwar zulässig, eine Weiterleitung der E-Mails durchzuführen, diese sind jedoch selten und sollten gesondert betrachtet werden. Voraussetzung hierfür ist, dass weder Informationen über Dritte noch Geschäftsgeheimnisse in der E-Mail enthalten sind und die eingangs unter „Was ist eigentlich eine E-Mailadresse?“ erwähnten Kriterien erfüllt sind.

Ein Beispiel hierfür wäre, wenn bestimmte Tools, Werkzeuge oder Software vom Unternehmen nicht bereitgestellt werden, um Gehalts- oder Lohnabrechnungen ordnungsgemäß abzurufen oder herunterzuladen – zum Beispiel von einem privaten Endgerät. Es gibt hierfür viele elegante und technische Lösungen, wie auch viele Wege nach Rom führen. Ein möglicher Weg kann hier sein, dass die Beschäftigten in solchen Fällen ihre Gehalts- und Lohnabrechnungen von ihrer dienstlichen an ihre private E-Mail-Adresse weiterleiten. 

Führungskräfte und Vorstände: Absicherung oder Risiko?

Führungskräfte oder die Geschäftsleitung greifen übrigens ebenfalls manchmal auf diese „Schattenverarbeitung“ zurück.

  • Persönliche Absicherung und Verfügbarkeit: Viele Führungskräfte möchten jederzeit über wichtige Informationen verfügen, um schnell reagieren zu können, sei es auf Geschäftsreisen, im Homeoffice oder nach Feierabend. Manchmal dient die Weiterleitung auch als Schutzmechanismus, um Dokumente vor eventuellen Fehlinterpretationen oder Falschaussagen abzusichern. Die Idee ist, jederzeit einen persönlichen Überblick über wichtige Entscheidungen oder Absprachen zu haben.
  • Kontrollverlust und Datenschutzrisiko: Allerdings entsteht hierbei ein erhebliches Risiko für den Datenschutz. Die Vertraulichkeit sensibler Unternehmensdaten wird gefährdet, wenn diese auf private Server weitergeleitet werden. Auch der Verlust der Kontrolle über archivierte und gesicherte Daten kann schnell zum Problem werden. Führungskräfte stehen hier in der Verantwortung, die Richtlinien nicht nur vorzuleben, sondern auch selbst einzuhalten.
  • Bequemlichkeit und Kontrollwunsch: Einige Führungskräfte nutzen die private Weiterleitung auch, um den Überblick zu behalten oder schneller auf Informationen zugreifen zu können, ohne die firmeninternen Zugangswege nutzen zu müssen. Dies mag praktisch erscheinen, führt jedoch zu einem Bruch der Sicherheitsstandards und kann im Ernstfall die gesamte Datensicherheit des Unternehmens gefährden bzw. kompromittieren.

Was sagt die Rechtsprechung dazu?

Die Weiterleitung dienstlicher E-Mails an private Adressen ist aus rechtlicher Sicht heikel – und ein aktuelles Urteil des OLG München vom 31.07.2024 (Az. 7 U 351/23 e) zeigt eindrucksvoll, weshalb. In diesem Fall ging es um ein Mitglied des Vorstands, das sensible Unternehmensdaten und E-Mails mit vertraulichen Informationen an den privaten E-Mail-Account (… @gmx.net) weiterleitete. Das Ergebnis? Eine fristlose Kündigung – trotz der gehobenen Position – wegen schwerwiegender Datenschutzverstöße.

Die Richter stellten klar: Zwar ist nicht jeder Verstoß gegen die DSGVO sofort ein Kündigungsgrund, aber in diesem Fall wog die Missachtung der Datenschutzregeln besonders schwer. Ein Vorstand trägt besondere Verantwortung. Die Weiterleitung von E-Mails mit personenbezogenen Daten ohne Einhaltung der Vorgaben der DSGVO stellt einen erheblichen Eingriff in die Datensicherheit dar. Dies kann gemäß § 626 Abs. 1 BGB als wichtiger Grund für eine fristlose Kündigung gewertet werden.

Das Urteil macht deutlich, dass insbesondere für Führungskräfte und Vorstände, die in ihrer Position ein erhöhtes Maß an Vertrauen und Verantwortung tragen, die Einhaltung der Vorgaben der DSGVO unabdingbar ist. Es geht nicht nur um ein paar „harmlose E-Mails“, sondern um den Schutz sensibler Informationen, deren Weiterleitung ohne ausreichende Sicherheitsvorkehrungen ein enormes Risiko darstellt.

Fazit

Die Weiterleitung dienstlicher E-Mails an private Adressen mag auf den ersten Blick bequem, praktisch und sinnvoll erscheinen, birgt jedoch erhebliche Risiken für den Datenschutz und die Datensicherheit. Besonders in Zeiten von Homeoffice und flexiblen Arbeitsmodellen darf man nicht vergessen, dass die Sicherheit sensibler Daten oberste Priorität hat. Verstöße gegen die DSGVO, wie sie beispielsweise bei der unkontrollierten Weiterleitung von E-Mails entstehen können, gefährden nicht nur die Vertraulichkeit der Daten, sondern auch die Rechtssicherheit des gesamten Unternehmens.

Auch für Führungskräfte ist dies ein wichtiges Thema. Sie tragen nicht nur die Verantwortung, die Sicherheit und den Datenschutz im Unternehmen zu gewährleisten, sondern müssen dies auch vorleben. Führungskräfte sind Vorbilder für ihre Teams. Wenn sie die notwendigen Datenschutzmaßnahmen nicht selbst einhalten, senden sie das falsche Signal an ihre Beschäftigten. Indem sie sich konsequent an die Richtlinien halten, schaffen sie ein Bewusstsein für die Risiken und fördern eine verantwortungsvolle Handhabung sensibler Daten.

____________________________________

Die bITs GmbH berät Ihre Kunden zu allen Themen des Datenschutzes und stellt auf Wunsch den externen Datenschutzbeauftragten.

Haben Sie weitere Fragen an uns? Gerne können Sie sich dazu an uns wenden. Hier finden Sie unsere Kontaktdaten. Unser Team stellt sich übrigens hier vor.

Ähnliche Beiträge

Sitemap

Kontakt

Wir freuen uns über Ihr Interesse an unseren Leistungen!
Zum Kontaktformular

bITs GmbH

Datenschutz und Hinweisgebermanagement

Detmolder Straße 204
33100 Paderborn

Kostenloser Newsletter

Abonnieren Sie unseren kostenlosen, monatlich erscheinenden Newsletter mit aktuellen Informationen rund um das Thema Datenschutz. Mit dem Absenden Ihrer Daten willigen Sie ein, dass wir Ihnen den Newsletter an Ihre angegebene E-Mail Adresse senden dürfen und bestätigen, dass Sie unsere Datenschutzhinweise zur Kenntnis genommen haben. Eine Abmeldung ist jederzeit über den in jedem Newsletter zur Verfügung gestellten Link möglich.

  • © 2023 bITs GmbH, Paderborn