Ob nun wegen eines anstehenden Urlaubs oder eine andere längere Abwesenheit: Die Abwesenheitsnotiz ist für einen reibungslosen Ablauf hier das Maß aller Dinge. Aber ist sie unter Datenschutzgesichtspunkten wirklich so alternativlos, wie man es so häufig zu hören bekommt?
Der Inhalt im Überblick
Regelfall ist die Einrichtung einer Abwesenheitsnotiz
Im beruflichen Kontext läuft der Großteil der Kommunikation über E-Mails. Die wenigsten greifen dagegen schnell zum Hörer. Zum einen ist die telefonische Kontaktaufnahme mittlerweile in vielen Bereichen gar nicht mehr so einfach möglich. Zum anderen bietet die die schriftliche Kontaktaufnahme auch viele Vorteile. So ist doch der Gesprächsinhalt gleich dokumentiert.
Ist der Adressat der E-Mail nun aber für eine gewisse Zeit nicht in der Lage auf die E-Mails zu antworten, stellt sich die Frage, wie die Anfragen oder Mitteilungen dennoch zeitnah durch eine Vertretung beantwortet werden können. Hier hat sich schon aus rein organisatorischen Gründen die Einrichtung eines elektronischen Abwesenheitsassistenten als das Mittel der Wahl etabliert.
Was spricht eigentlich gegen die Abwesenheitsnotiz?
Manche werden sich spätestens an dieser Stelle fragen, wo überhaupt das Problem liegt. Denn die Abwesenheitsnotiz ist bei gängigen E-Mail-Programmen schnell und unkompliziert eingerichtet. Mit dem richtigen Inhalt ist der automatische Abwesenheitsresponder überdies datenschutzrechtlich absolut unbedenklich.
Der Absender der E-Mail erhält dann von dem Empfänger die Nachricht, dass der E-Mail-Posteingang während der Abwesenheit nicht überprüft und auch nicht weitergeleitet wird. Im besten Fall wird dem Kontaktsuchenden die Option eröffnet, sich im Falle von dringenden Angelegenheiten direkt an die Vertretung zu wenden. Wenn auch noch praktischerweise der E-Mail-Kontakt der vertretenden Person in der Notiz angegeben ist, kann sich der Absender mit seinem Anliegen einfach mittels „copy and paste“ an diese wenden.
Und doch gibt es Fälle und Konstellationen im Unternehmen oder innerhalb einer Organisation, in denen man sich die Möglichkeit einer etwas geradlinigeren Einbindung der Vertretung ohne unnötige Umwege wünscht. Die Gründe hierfür sind gar nicht unbedingt so fernliegend:
- Dringlichkeit: In manchen Angelegenheiten kann es für beide Seiten besonders wichtig sein, dass der Adressat die Mitteilung sofort und ohne Umwege erhält. So kann es beispielsweise vorkommen, dass der Absender davon ausgeht, dass sein Anliegen zur Kenntnis genommen wird, aber die Mitteilung des Autoresponders nicht sofort mitkriegt. Oder er geht aber irrtümlich davon aus, dass sein Anliegen gar nicht dringlich ist, wobei tatsächlich Handlungsbedarf besteht.
- Effektiver Kundenservice: Für manche Kunden dürfte auch das nochmalige Verfassen der E-Mail bzw. das Abändern von Anrede und E-Mail-Adresse lästig sein. Gerade in Fällen, in denen es dem Kunden nur auf die effektive Lösung eines Problems und weniger auf die Identität des konkreten Empfängers ankommt, käme eine dynamische Zustellung an die Vertretung dieser Erwartungshaltung näher.
- Zeitfaktor: Je länger die Abwesenheit dauert und je unerwarteter diese eintritt, desto unpraktischer wird die Abwesenheit für alle Beteiligten.
Und was spricht gegen eine Weiterleitung?
Präferiert man nun die Weiterleitung aus den oben genannten Gründen und fragt einen Datenschützer danach, schlackern diesem wahrscheinlich erstmal die Ohren und ein vehementes Kopfschütteln wird die Antwort sein. In aller Regel wird erstmal pauschal dazu geraten, aus datenschutzrechtlichen Gründen lieber auf eine automatische Weiterleitung zu verzichten. Aber was genau sind diese Gründe?
Unbefugter Zugriff und Datenintegrität
Eine automatische Weiterleitung könnte dazu führen, dass sensible Informationen in die Hände unbefugter Personen gelangen. Dies stellt grundsätzlich eine Verletzung der Datenintegrität und der Vertraulichkeit Art. 5 Abs. 1 f) DSGVO dar. Dieses Problem ließe sich aber bei einer sorgfältigen Auswahl der Vertretung durchaus lösen. Wird nämlich die Weiterleitung innerhalb einer bestimmten Abteilung (z.B. Personalabteilung oder Kundenservice) eingerichtet, wäre ein Zugriff Unbefugter ausgeschlossen und das „need-to-know“-Prinzip eingehalten.
Besondere Vertraulichkeit und unerwünschtes Offenbaren von persönlichen Informationen
Schreibt jedoch der Absender an eine E-Mail mit der Intention, dass die darin enthaltenen Information nur eine bestimmte Person erhalten soll, wird es schon problematischer. Wenn nämlich zwischen Absender und Empfänger ein besonderes Vertrauensverhältnis besteht, dürfte kein Interesse bestehen, dass einer andere als die direkt angesprochene Person den Inhalt der E-Mail einsieht und bearbeitet.
Gerade, wenn im Unternehmens oder in der Organisation die private Nutzung des dienstlichen E-Mail-Accounts nicht untersagt ist, wäre nicht auszuschließen, dass der Absender der Vertretung höchstpersönliche Informationen über sich selbst, den Empfänger oder eine dritte Person mitteilt. Würde eine E-Mail mit derartigem Inhalt also automatisch weitergeleitet werden, wären gleich mehrere Verstöße gegen Grundsätze der DSGVO denkbar; ganz abgesehen von etwaigen Geschäftsgeheimnissen.
Verstoß gegen Transparenzgebot und Informationspflichten
Personen, deren Daten verarbeitet werden, müssen über verschiedene Aspekte der Datenverarbeitung informiert werden, einschließlich der Weiterleitung an Dritte. Wenn die betroffenen Personen nicht über die Weiterleitung informiert werden oder keine angemessenen Informationen darüber erhalten, kann dies nicht nur gegen das Transparenzgebot oder Treu und Glauben, sondern auch gegen die Informationspflichten nach Art. 13 und 14 DSGVO verstoßen. Denn Transparenz bildet die Grundlage für die informationelle Selbstbestimmung der betroffenen Person. Nur wer weiß, was mit seinen Daten passiert, kann entscheiden, ob er mit der Datenverarbeitung einverstanden ist.
Grundsatz der Zweckbindung
Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben und anschließend nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet werden, vgl. Art. 5 Abs. 1 b) DSGVO. Wenn eine E-Mail ohne klare Berechtigung oder Zustimmung des Absenders weitergeleitet wird, kann dies als Verstoß gegen den Grundsatz der Zweckbindung angesehen werden.
Erforderlichkeit der Datenverarbeitung
Die Weiterleitung von E-Mails sollte auf das erforderliche Maß beschränkt sein und nur diejenigen Daten umfassen, die für den jeweiligen Zweck relevant sind. Wenn unnötige oder übermäßige Daten weitergeleitet werden, verstößt dies gegen den Grundsatz der Datenminimierung und das Erforderlichkeitsprinzip nach Art. 5 Abs. 1 c) DSGVO. Unternehmen bzw. Organisationen sind verpflichtet sicherzustellen, dass personenbezogene Daten auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sind. Falls es zu einer E-Mail-Weiterleitung kommt und dabei sensible oder nicht relevante Informationen preisgegeben werden, kann dies als Verstoß gegen den Grundsatz der Datenminimierung betrachtet werden.
Rechtmäßigkeit der Datenverarbeitung
Zu guter Letzt könnte die (automatische) Weiterleitung einer E-Mail mit höchstpersönlichem Inhalt auch eine rechtsgrundlose Weiterverarbeitung darstellen und damit gegen Art. 5 Abs. 1 a) DSGVO verstoßen. Denn prinzipiell müsste der Absender der automatischen Weiterleitung gem. Art. 6 Abs. 1 a) DSGVO zustimmen. Dies ließe sich in der Praxis schon bei bekannten Geschäftskontakten u.U. nur sehr schwer bewerkstelligen. Bei „Neukontakten“, die erstmals eine Kontaktaufnahme anstreben, wäre dies praktisch nicht zu umzusetzen. Ein berechtigtes Interesse i.S.d. Art. 6 Abs. 1 f) DSGVO an der Verarbeitung höchstpersönlicher Daten wäre wohl ebenso wenig zu rechtfertigen. Denn die Weitergabe von Inhalten einer E-Mail entgegen des (mutmaßlichen) Willen des Absenders aufgrund des Art. 6 Abs. 1 f) DSGVO ließe sich nur rechtfertigen lassen, wenn bei einer Abwägung zwischen dem Vertraulichkeits- und das Weiterleitungsinteresse letzteres klar überwiegt.
Was sind die Folgen einer E-Mail-Weiterleitung?
Das Pferd von hinten aufgezäumt bedeutet das, dass bei einer E-Mail-Weiterleitung grundsätzlich ein Datenschutzvorfall angenommen werden könnte. Doch in den meisten Fällen wird die Vertretung – ausreichend sensibilisiert für die Thematik der aufgedrängten Datenverarbeitung – die E-Mail nicht weiterbearbeiten, diese ggf. löschen bzw. die Betroffenen darüber informieren.
Da in der Regel die Vertretung ebenso wie die vertretene Person innerhalb des Unternehmens oder Organisation auf die besondere Vertraulichkeit verpflichtet sein wird, dürfe i.S.d. Art. 33 DSGVO in den allermeisten Fällen nicht davon auszugehen sein,
„dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“
Wenn die Aufsichtsbehörde hiervon aber Wind bekommen sollte, stünde bei einem wiederholten Verstoß durchaus die Verhängung eines Bußgeldes gem. Art. 83 Abs. 5 a) DSGVO im Raume. Zumindest wäre aber erstmal mit einer Verwarnung i.S.d. Art. 58 Abs. 2 DSGVO zu rechnen.
Auch wenn die Risiken erstmal überschaubar erscheinen, ist zu bedenken, dass sich der Absender der E-Mail im Falle einer vorher nicht angekündigten Weiterleitung eventuell verschaukelt vorkommt, wenn anstatt des persönlichen Ansprechpartners eine Vertretung antwortet. Auch wenn sich die meisten wohl über die schnelle Bearbeitung ihres Anliegens freuen dürften, wird es auch vereinzelt Fälle geben, in denen das Vertrauen des Absenders in das Unternehmen oder die Organisation nachhaltig geschädigt wird. Ein Vertrauens- und Imageverlust kann für das Kundenverhältnis und die Auftragslage vielleicht sogar noch verheerendere Auswirkungen haben, als eine Verwarnung oder ein kleines Bußgeld der Aufsichtsbehörde.
Sind Alternativen zur Abwesenheitsnotiz denkbar?
Bei Berücksichtigung bestimmter Voraussetzungen und in gewissen Konstellationen kann auf die Einrichtung eines Autoresponders verzichtet werden.
Verbotene Privatnutzung des betrieblichen E-Mail-Accounts
Um die vorgenannten Risiken schon von Beginn ab einzudämmen, empfiehlt es sich, den Beschäftigten die Privatnutzung des betrieblichen E-Mail-Accounts zu verbieten. Dies hat nicht zur Folge, dass der gesamte E-Mail-Verkehr als geschäftliche Korrespondenz einzustufen ist und damit eigentlich keine persönlichen Inhalte an die Vertretung preisgegeben werden.
Sondern das Verbot der Privatnutzung dient nämlich auch als Grundvoraussetzung dafür, dass der Arbeitgeber im Fall längerer Abwesenheiten (z.B. im Krankheitsfall) E-Mail-Postfächer der Mitarbeiter kontrollieren kann. Ohne ein solches Verbot wäre vor einer ausnahmsweisen Einsichtnahme eine verschärfte Verhältnismäßigkeitsprüfung durchzuführen. Hierbei würde sich aber die Frage stellen, ob eine verdachtsunabhängige Einsichtnahme überhaupt eine rechtmäßige Datenverarbeitung darstellen kann.
Ein weiterer Vorteil ist, dass der Arbeitgeber damit die strittige Frage umgeht, ob er zur Einhaltung des Fernmeldegeheimnisses nach § 3 TDDDG verpflichtet ist.
Nutzung generischer E-Mail-Postfächer
Da wohl nicht alle Beschäftigten das Verbot der Privatnutzung gleichermaßen umsetzen oder sich gerade langjährige Kommunikationspartner zumindest am Rande auch mal gerne über private Angelegenheiten auszutauschen pflegen, lohnt es sich eventuell auch einmal darüber nachzudenken, in manchen Bereichen von der Nutzung personalisierter E-Mail-Accounts abzurücken und allgemeine generische Sammel-E-Mail-Postfächer einzurichten. In vielen Bereichen ist dies bereits gang und gäbe.
Dies hat den großen Vorteil, dass der Absender bereits vor Versendung der E-Mail von einem größeren Adressatenkreis ausgehen darf. Gerade in dringlichen Angelegenheiten ist so gewährleistet, dass eine zeitnahe Kenntnisnahme und Bearbeitung des Anliegens erfolgt. Zudem müssen so weder Autoresponder eingerichtet noch offizielle Vertreter benannt werden.
Natürlich ist darauf zu achten, dass auch hier der zugriffberechtigte Personenkreis nach dem „Need-to-know“-Prinzip möglichst klein gehalten werden sollte. Ungünstig wäre es natürlich auch, wenn alle empfangsberechtigten Personen gleichzeitig abwesend oder sich gleichermaßen unzuständig für die Beantwortung der E-Mail fühlen. Denn sonst verläuft die E-Mail im Sande oder verliert sich endgültig im Posteingangs-Nirvana.
Um hier unnötigen Frust zu vermeiden, empfiehlt es sich genaue Zuständigkeits- und Abwesenheitsabsprachen zu treffen und Prozesse zu etablieren, welche dafür Sorge tragen, dass keine E-Mails unbeantwortet bleiben. Hierfür bietet es sich an, die eingehenden E-Mails intern an verschiedene Sachbearbeiter weiter zu verteilen. Alle gängigen E-Mail-Programme dürften mittlerweile die Möglichkeit bereithalten, über Festlegung von Regeln die einkommenden E-Mails vorzugsweise anhand eines Bearbeitungszeichens oder der Absender-E-Mail intern an bestimmte Sachbearbeiter und mittels einer Shared-Mailbox an ganze Teams weiterzuleiten.
Zugriffsrechte auf bestimmte E-Mail-Ordner
Eine weitere Möglichkeit bestünde darin, dass sich Sachbearbeiter innerhalb einer Abteilung oder eines Teams dauerhaft oder für die Zeit der Abwesenheit Zugriffrechte auf bestimmte Posteingangsordner erlauben oder übergeordneter Stelle einräumen lassen.
Durch Festlegung von Posteingangsregeln werden eingehende E-Mails bestimmter Kommunikationspartner direkt in einen dafür vorgesehenen Ordner verschoben, auf den dann nach entsprechender Einräumung einer (temporären) Berechtigung die Kollegen zugreifen, Einsicht nehmen und bei Bedarf auf die E-Mail antworten können.
Der Effekt ist somit ähnlich wie bei der Weiterleitung, nur dass der Absenderkreis sehr überschaubar und besser steuerbar ist. Der klare Vorteil hierbei liegt auf der Hand: Es werden nicht sämtliche Posteingänge weitergeleitet. Für die Person, die in ihrer Abwesenheit vertreten werden möchte, ist so auf jeden Fall besser abzuschätzen und zu selektieren, ob der potenzielle Inhalt der eingehenden E-Mail eines bestimmten Kommunikationspartners unter Umständen persönlichen oder vertraulichen Charakter haben könnte.
Individuelle Risikoabschätzung immer erforderlich
Gewiss bleibt auch hierbei ein – wenn auch sehr überschaubares – Restrisiko. Denn es bedarf in jedem Fall im Vorfeld der geplanten Abwesenheit immer der individuellen Risikoabschätzung der vertretenen Person. Wenn sich aber ein Kommunikationspartner z.B. in der Vergangenheit in dienstlichen E-Mails nicht zu persönlichen oder höchstvertraulichen Inhalten geäußert hat, wird er dies voraussichtlich auch nicht während der Abwesenheit tun.
Dennoch wäre es gerade bei einem derart überschaubaren Absenderkreis sicherlich sinnvoll, diesen darüber zu informieren, dass während der Abwesenheit unter Umständen andere Kollegen dringende E-Mails beantworten. Es sei denn, der bisherige Schriftverkehr oder die Natur der regelmäßig geäußerten Anliegen legen nahe, dass es den Absendern der E-Mail nicht so sehr darauf ankommt, wer genau ihnen antwortet, sondern dass ihre Anliegen so schnell wie möglich bearbeitet werden.
Posteingangsregeln und E-Mail Filterung
Diese Risikoabschätzung dem E-Mail-Programm oder einer KI-Software zu überlassen, die eingehende E-Mails vor der Weiterleitung nach bestimmten Inhalten und Schlüsselwörtern scannt, bedarf einer genauen datenschutzrechtlichen Überprüfung der hierfür eingesetzten Software und setzt schließlich ebenso das Know-How voraus, diese Einstellungen richtig vornehmen zu können.
Die meisten E-Mail-Dienste bieten theoretisch Funktionen zur Filterung von E-Mails. Es lassen sich Regeln erstellen, die E-Mails anhand bestimmter Kriterien, wie Absender, Betreff, Inhalt, Phrasen oder Anhänge identifizieren. Im zweiten Schritt ließen sich dann bestimmte Folgeaktionen festlegen, ob und an wen die E-Mails weitergeleitet werden können. Wichtig wäre nur, daran zu denken, was mit den nicht weiterleitungsfähigen E-Mails geschieht und wie bzw. ob der Absender darüber informiert wird.
Eine sorgfältige Testphase und regelmäßige Überprüfung der eingerichteten Filterregeln wären unumgänglich. Nur so kann sichergestellt werden, dass die Filterkriterien korrekt sind und die gewünschten E-Mails tatsächlich identifiziert werden. Insgesamt doch ein eher aufwendiges und heikles Thema.
Soll ich’s wirklich machen oder lass ich’s lieber sein
Jein! Bei einer personalisierten E-Mail-Adresse ist die Weiterleitung an Kollegen im selben Zuständigkeitskreis in den Fällen datenschutzrechtlich eher unbedenklich, wenn die Nutzung von dienstlich eingerichteten E-Mail-Adressen für private Zwecke untersagt ist und nach einer individuellen Risikoeinschätzung davon auszugehen ist, dass eingehenden E-Mails keinen vertraulichen Inhalt haben, welcher allein für den Adressaten gedacht war (z.B. bei einer bestehenden persönlichen Beziehung).
Dies lässt sich wohl am besten mit einem klaren Konzept regeln, welches die genauen Regeln bei einer Abwesenheit festlegt. Hierbei sollte man aber die Bewertung im Einzelfall nicht vernachlässigen. Zudem sollte der Abwägungsmaßstab klar zum Ausdruck kommen.
Werden entsprechende Prozesse innerhalb Unternehmen oder in der Organisation zur E-Mail-Weiterleitung oder dem Teilen von Posteingangsordnern eingerichtet, ist u.U. darauf zu achten, dies durch eine Betriebsvereinbarung festzulegen (vgl. Ordnung des Betriebes nach § 87 Abs. 1 Nr.1 BetrVerfG).
Letztendlich ist die Frage, ob man sich nun mit den vorgestellten Alternativen und den damit verbundenen Anforderungen und Unsicherheiten wirklich einen Gefallen tut. Vielleicht ist die gute alte Abwesenheitsnotiz dann doch die einfachere und bessere Wahl.
Warum wieder nur der Blick auf die Interessen der Unternehmen/Arbeitgeber? Ich möchte auch als Arbeitnehmer nicht jedem x-beliebigem mitteilen müssen, dass ich bis in 3 Wochen wahrscheinlich gerade mit Familie in den Ferien bin und meine Wohnung leer und überwacht ist.
Vielen Dank für Ihre Anmerkung zu dem Artikel und die Ergänzung um einen weiteren sehr nachvollziehbaren Aspekt, der bei der Einrichtung einer Abwesenheitsnotiz möglicherweise bei einigen Mitarbeitenden zu Unbehagen führen kann. Sollte der mögliche Absenderkreis eine Vielzahl unbekannter Personen umfassen und deswegen ernsthafte Bedenken bestehen, dass eine dieser Personen die Informationen aus dem Autoresponder dazu nutzt, um etwaige Abwesenheiten für einen Einbruchsdiebstahl zu ermitteln, wäre es ratsam, den Inhalt der Abwesenheitsnotiz entsprechend anzupassen. Zum einen ist die Angabe des Abwesenheitsgrundes nicht zwingend erforderlich. Zum anderen dürfte es bei derartigen Bedenken vertretbar sein, auch die genaue Dauer der Abwesenheit vom Arbeitsplatz nicht anzugeben. In Fällen, in denen der Erstkontakt fast ausschließlich über E-Mail erfolgt, erscheint es aber ohnehin sinnvoller, eine generische E-Mail-Kontaktadresse einzurichten und mit geteilten Postfächern zu arbeiten.