Ein interesssanter Fall zum Thema Weiternutzung dienstlicher E-Mails von Ex-Mitarbeitern wird auf der Seite von Datenschutzticker.de berichtet.
Die belgische Datenschutzaufsichtsbehörde (GBA) hatte ein Unternehmen gerügt, weil es das dienstliche E-Mail-Konto und die Mobiltelefonnummer eines ausgeschiedenen Geschäftsführers über einen längeren Zeitraum weitergeführt hatte.
Der Betroffene hatte das Unternehmen mehrfach aufgefordert, sein dienstliches E-Mail-Konto, die ihm zugewiesene Mobiltelefonnummer sowie zugehörige private Nachrichten zu löschen. Dennoch blieben sowohl der E-Mail-Account als auch die Mobilnummer längere Zeit aktiv.
Die Aufsichtsbehörde hat das Verhalten gerügt, denn nach Art. 5 Abs. 1 lit. b DSGVO dürfen personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke verarbeitet werden. Mit dem Ausscheiden eines Mitarbeiters seien die Zwecke, für die die dienstliche E-Mail-Adresse und eine Mobiltelefonnummer bereitgestellt wurden jedoch entfallen. Auch verstieße das Unternehmen damit gegen die Grundsätze der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) und der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO).
Das richtige Vrogehen wäre nach Ansicht der Aufsichtsbehörde gewesen, wenn das Unternehmen spätestens mit dem tatsächlichen Ausscheiden des Geschäftsführers einen automatischen Abwesenheitshinweis einrichtet hätte, der über das Ende der Tätigkeit informiert und einen neuen Ansprechpartner benennt. Es sei sogar so, dass auch ein solcher Hinweis grundsätzlich nur für einen Zeitraum von etwa einem Monat, in Ausnahmefällen auch bis zu drei Monaten, aktiv bleiben dürfe. Anschließend sind die E-Mail-Adresse und das Postfach zu löschen. Eine längere Übergangsfrist wäre nur mit Zustimmung oder zumindest vorheriger Information des Betroffenen zulässig gewesen. (Da stellt sich natürlich die Frage, ob das mit etwaigen handels und steuerrechtlichen Aufbewahrungspflichten vereinbar wäre, die E-Mail einfach zu löschen).
Neben diese Frage ging es der Aufsichtsbehörde auch um die fortgesetzte Nutzung der dienstlichen Mobiltelefonnummer. Insbesondere, da der Betroffene die Mobilnummer über mehr als zehn Jahre hinweg auch privat nutzen durfte. Die fortgesetzte Nutzung der dienstlichen Mobiltelefonnummer stellte nach Ansicht der Aufsichtsbehörde einen Verstoß gegen die DSGVO dar. Argumentiert wurde damit, dass sich auf dem Gerät (?? ) zwangsläufig private Nachrichten und Kommunikationsinhalte befanden. Hier ist wahrscheinlich zu berücksichtigen, dass es sich um die Rufnummer Mobiltelefonnummer eines ausgeschiedenen Geschäftsführers handelte, denn normalerweise sind Rufnummer ja, zumindest in größerren Unternehmen, eher abteilungsbezogen und stammen aus Rufnummerkreisen, die einem Unternehmen zugeordnet sind.
Im Ergebnis hätte das Unternehmen berücksichtigen müssen, dass die Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten, die sich auf Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) stützte, mit der Beendigung des Arbeitsverhältnisses entfallen ist und eine weitere Verarbeitung insofern nicht mehr zulässig war. Im konkreten Fall beließ es die belgische Datenschutzbehörde aufgrund der besonderen Umstände, insbesondere der Liquidation des Unternehmens und der fehlenden Wiederholungsgefahr, bei einer Rüge.
Wer sich die Orginalentscheidung ansehen möchten, findet sie hier.
