Generische E-Mail-Adressen und geteilte E-Mail-Postfächer sind aus dem Arbeitsalltag vieler Unternehmen nicht mehr wegzudenken. Sie erleichtern die Bearbeitung von Anfragen und erleichtern und verbessern die Zusammenarbeit der Mitarbeiter. Doch aus Datenschutzsicht bergen sie Risiken, die oft unterschätzt werden. Unkontrollierte Zugriffe, mangelnde Protokollierung und unklare Verantwortlichkeiten können zu Problemen mit dem Datenschutz führen.
Der Inhalt im Überblick
Jeder für sich oder doch zusammen?
In den meisten Fällen der Unternehmenskommunikation besitzt jeder Mitarbeiter eine E-Mail-Adresse und ein Postfach über welche die Mehrheit seiner beruflichen Kommunikation abgewickelt wird. Hier ist die Zuständigkeit klar: Jeder kann seine eigenen empfangenen und gesendeten E-Mails einsehen und bearbeiten.
Nun erfordert der Arbeitsalltag doch zumeist die Arbeit im Team. Oft müssen mehrere Mitarbeiter, die gleichzeitig an einem Projekt arbeiten, dieselbe Mail erhalten. Es kommt jedoch nicht selten vor, dass jemand „in CC“ vergessen wird oder ein Externer nicht weiß, wer die Informationen letztlich erhalten sollte. Abhilfe sollen hier sogenannte generische E-Mail-Adressen schaffen. Diese können projektbezogen erstellt werden und bieten die Möglichkeit, allen beteiligten Mitarbeitern auf dieses Postfach Zugriff zu verschaffen.
Probleme durch geteilte Postfächer
Aus einer rein praktischen Sicht scheinen diese geteilten Postfächer die perfekte Lösung für die Team- und Projektarbeit in Bezug auf den E-Mail-Verkehr. In der Arbeit mit personenbezogenen Daten, die in derartigen Arbeitsprozessen häufig verarbeitet werden, gilt jedoch: Nur berechtigte und für die Aufgabe erforderliche Personen dürfen Zugriff auf die Daten erhalten. Es gibt daher einige wichtige Punkte bei der Nutzung dieser generischen E-Mail-Postfächer, die aus datenschutzrechtlicher Sicht zu beachten sind.
Ein zentrales Problem von geteilten E-Mail-Postfächern ist die unklare Zuständigkeit. Regelmäßig haben mehrere Mitarbeitende Zugriff auf ein gemeinsames Postfach, aber es ist nicht klar geregelt, wer welche E-Mails lesen, beantworten oder weiterleiten darf. Dies kann dazu führen, dass personenbezogene Daten wie beispielsweise Kundendaten an Personen weitergegeben werden, die keinerlei Befugnis zur Einsicht haben. Zudem fehlt es häufig an einer Kontrolle darüber, welche Mitarbeitenden Zugriff behalten, selbst wenn sie das Unternehmen verlassen oder intern in andere Abteilungen wechseln. Es fehlt häufig an durchdachten und ausgearbeiteten Berechtigungssystemen, wodurch sensible Daten weiterhin für Personen einsehbar sind, die eigentlich keinen Zugang mehr haben sollten.
Hinzu kommt, dass in vielen Unternehmen nicht protokolliert wird, wer welche E-Mails geöffnet oder bearbeitet hat. Dies kann nicht nur zu organisatorischen Problemen in der Zusammenarbeit führen. Es verstößt auch im Rahmen der Datenverarbeitung gegen Grundprinzipien wie Transparenz und Vertraulichkeit. Demnach sollen Verarbeitungen von personenbezogenen Daten klar beschrieben und nachvollziehbar sein. Zudem sollen Datenverarbeitungen auch möglichst vertraulich ausgestaltet sein, was bedeutet, dass nicht eine Handvoll Mitarbeiter pauschal Zugriff auf Daten erhält.
Ein weiteres erhebliches Risiko besteht darin, dass Mitarbeitende durch unkontrolliertes oder unbedachtes Teilen von Nachrichten Datenschutzverstöße begehen könnten. Beispielsweise könnte eine falsch adressierte Weiterleitung dazu führen, dass sensible personenbezogene Daten an unbefugte Dritte geraten oder auf anderem Wege offengelegt werden.
Datenschutzrechtliche Risiken minimieren
Um personenbezogene Daten im Arbeitsalltag angemessen zu schützen und einen datenschutzkonformen Umgang der Mitarbeiter mit geteilten E-Mail-Postfächern zu fördern, sollten Unternehmen klare Berechtigungskonzepte einführen. Anstatt pauschale Zugriffsrechte für ganze Teams oder Mitarbeitergruppen zu vergeben, sollte der Zugriff individuell und nach dem „Need-to-know“-Prinzip geregelt werden. Mitarbeiter sollten nur auf die E-Mails zugreifen können, die sie tatsächlich für ihre Arbeit benötigen. Mitarbeiter, die „stumm mitlesen“ und keine Arbeitszwecke verfolgen, sollten keine Zugriffsrechte erhalten. Zudem sollten alle Berechtigungen regelmäßig überprüft und angepasst werden, insbesondere (aber nicht nur) wenn Mitarbeiter das Unternehmen verlassen oder ihre Position wechseln. Dabei kann es sinnvoll sein, regelmäßig Termine und Mitarbeiterressourcen für die Einhaltung und Überwachung aufzuwenden.
Eine weitere Maßnahme kann die Einführung von Logging- und Monitoring-Systemen. Unternehmen können auf diese Art und Weise nachvollziehen, wer wann auf ein gemeinsames Postfach zugegriffen hat und welche Änderungen vorgenommen wurden. Durch eine lückenlose Protokollierung können überdies auch mögliche Datenschutzverstöße schneller erkannt und im Ernstfall Verantwortlichkeiten geklärt werden. Hier ist jedoch Vorsicht geboten: Es darf daraus keine Überwachung der Mitarbeitenden entstehen, denn die ist weiterhin verboten!
Ein weiterer effektiver Ansatz ist die Nutzung alternativer Systeme. Anstatt geteilte Postfächer zu verwenden, können Unternehmen auf personalisierte E-Mail-Konten mit delegierten Berechtigungen umstellen. Zudem können moderne Ticket-Systeme oder CRM-Tools genutzt werden, um Kundenanfragen effizient und datenschutzkonform zu verwalten. Diese Systeme ermöglichen eine gezielte Zuweisung von Anfragen und reduzieren das Risiko, dass sensible Informationen an unbefugte Personen weitergegeben werden.
Automatisierte Workflows als alternativer Lösungsansatz?
Eine wirksame Alternative zu geteilten Postfächern kann auch die Einführung automatisierter Workflows sein. Moderne E-Mail-Management-Systeme ermöglichen es, Anfragen automatisch an die zuständigen Mitarbeitenden weiterzuleiten, ohne dass mehrere Personen auf ein gemeinsames Postfach zugreifen müssen. Diese Systeme analysieren die Inhalte eingehender E-Mails anhand vordefinierter Regeln und leiten sie an die entsprechenden Abteilungen oder Verantwortlichen weiter.
Indem sensible Informationen nur gezielt an autorisierte Personen weitergeleitet werden, lassen sich unkontrollierte Zugriffe verhindern. Grundlage ist hierbei jedoch ebenfalls ein durchdachtes Berechtigungskonzept, um derartige automatisierte Workflows definieren zu können. Ist dies jedoch geschafft, ist das Risiko eines unbefugten Zugriffs minimal. Überdies kann die schnelle Weiterleitung von Anfragen oder Aufgaben dazu führen, dass personenbezogene Daten nicht länger als erforderlich in Systemen des Unternehmens verbleiben und gespeichert werden.
Was im Falle der automatisierten Workflows jedoch nicht außer Acht gelassen werden darf, ist, dass der Einsatz solcher automatisierten Workflows nicht nur eine konsistente Rechtgrundlage benötigt, sondern möglicherweise auch unter Art. 22 DSGVO („Automatisierte Entscheidungsfindung“) fallen kann. Bei der Implementierung derartiger Tools sollte daher unbedingt eine umfassende datenschutzrechtliche Bewertung der Ist-Situation im Unternehmen erfolgen.
Niemand kommt ums Berechtigungskonzept herum
Geteilte E-Mail-Postfächer mögen aus organisatorischer Sicht praktisch erscheinen, bergen jedoch aus Datenschutzsicht auch einige Risiken. Unternehmen, die geteilte Postfächer nutzen wollen, werden nicht umhinkommen, zunächst ein ordentliches Berechtigungskonzept aufzusetzen. Diese Berechtigungen müssen regelmäßig überprüft und geeignete Schutzmaßnahmen implementiert werden.
Welche Technologien oder Tools man letztlich zur Organisation einsetzt oder ob man strengere Zugriffsregelungen im generischen Postfach einführt, bleibt jedem Unternehme selbst überlassen. Wichtig ist, dass die datenschutzrechtlichen Grundprinzipien gewahrt und in jedem Schritt beachtet werden.
Die Nutzer von sogen. Gruppenpostfächern sind doch regelmäßig im AD (Active Directory) gespeichert, wo die Gruppen für Postfächer und E-Mailverteiler an einer Stelle verwaltet werden? Über diese Gruppen können dann gleichzeitig z. B. auch die Berechtigungen in Sharepoint gesteuert werden. Zudem gibt es regelmäßig nicht nur einen zuständigen Mitarbeiter und es muss die Vertretung im Fall geplanter und ungeplanter Abwesenheiten sichergestellt sein. Die Berechtigungsvergabe findet m. E. deswegen eher auf der Ebene der Unternehmensorganisation bzw. Abteilungsebene und nur sehr selten auf der Ebene der einzelnen Mitarbeitenden statt. Die Vergabe von Einzelberechtigungen stellt auch einen erheblichen Verwaltungsaufwand dar und erschwert schließlich den Überblick über die Berechtigungsvergabe.
Bei meinen Kunden kämpfe ich „tagtäglich“ gegen eine wilde gegenseitige und vor allem unkontrollierte Freigabe von Zugriffen auf persönliche E-Mail-Postfächer und propagiere die Nutzung von Funktionspostfächern wann immer es möglich bzw. erforderlich ist.
Die Nutzung eines persönlichen/personalisierten Postfaches durch mehrere Personen ist aus meiner Sicht stets ein höheres Risiko, als es bei Funktionspostfächern entstehen könnte. Der Artikel deutet in einem Satz an, dass „personalisierte E-Mail-Konten mit delegierten Berechtigungen“ besser geeignet sein könnten. In keinem Fall! Was ist mit der vertraulichen Kommunikation mit HR, Betriebsrat, Betriebsarzt, Sozialberatung, …? Das geht niemanden etwas an, daher bekommt auch niemals ein Dritter Zugriff auf meine Mails. Gleichzeitig wird der Absender regelmäßig nicht erwarten, dass Dritte Nachrichten lesen, die an ein persönliches Postfach gesandt werden. Die Freigabe persönlicher Postfächer kann m. E. nur mit Einwilligung erfolgen. Die Freiwilligkeit muss hier stets angezweifelt werden („Jetzt mach schon, wir machen das alle so und schon immer…“).
Sicherlich wird es nicht die eine perfekte Lösung für alle Sonderfälle geben. Persönliche Postfächer sollten aber stets persönlich bleiben. Ich gebe ja auch nicht meinem Nachbarn den Schlüssel zu meinem Briefkasten und lasse ihn jeden Brief lesen.
Danke Ralf, kann ich nur so unterschreiben. Für Sonderfälle gibt es keine perfekte Lösung aber man dementsprechende Arbeitsanweisungen erstellen. Hochsensible Inhalte kann man verschlüsselt t verschicken oder man greift halt, sofern keine Dokumente übermittelt werden müssen zum Telefonhörer/persönliches Gespräch.