Illegales E-Mail-Archiv

Question

Hallo,

Wir gehen von einem theoretischem Fall aus.

Welche Konsequenzen drohen, wenn ein Administrator ein illegales E-Mail-Archiv nach unten genannten Kriterien betreibt?

In diesem Archiv werden alle E-Mails des Unternehmens unverschlüsselt(!) gespeichert.
Leider ist das ganze noch schlimmer. Wegen fahrlässigem Management des Servers wäre es möglich, dass alle Mitarbeiter der IT auf die E-Mails zugreifen können, ohne dass der Zugriff nachverfolgt werden kann.
In den abgelegten E-Mails sind Patientendaten, Vertrags-Inhalte,E-Mails des Betriebsrats und generell E-Mails von allen Mitarbeitern des Unternehmens einsehbar.

Rechtsanwältin Sonja Stadler · Accepted Answer

Antwort vom Rechtsanwalt: Sehr geehrter Fragesteller,    auf Grundlage der durch Sie mitgeteilten Informationen beantworte ich Ihre Frage wie folgt:    Man muss zwei Dinge unterscheiden:     1. Die Pflichtverletzung des Administrators und 2. die datenschutzrechtlichen und IT-Sicherheits-Konsequenzen.    Bezüglich der Pflichtverletzung des Administrators kommt in Betracht, dass man den Servicevertrag oder den Arbeitsvertrag mit diesem kündigt. Das gilt vor allem, wenn diese Vorgehensweise ein Verstoß gegen eine dem Administrator erteilte Weisung ist. Aber auch wenn der Administrator nur generell die Aufgabe hat den Server nach den üblichen Standards zu administrieren wäre das eine Pflichtverletzung, die man zum Anlass nehmen kann das Vertragsverhältnis außerordentlich fristlos zu kündigen.    Datenschutzrechtlich liegt in erster Linie ein Verstoß gegen geltende Sicherheitsstandards im Hinblick auf die technischen und organisatorischen Maßnahmen vor. Z.B. aufgrund der fehlenden Protokollierung von Zugriffen, dem fehlenden Berechtigungskonzept und dem offensichtlichen Verstoß gegen das need-to-know-Prinzip.    Was die IT-Sicherheit betrifft ist das ebenfalls ein Risiko, wenn Zugriffe nicht getrackt werden und die einzelnen E-Mail-Konten nicht abgeschirmt sind.    Datenschutzrechtlich kommen in diesem Fall in erster Linie Bußgelder nach Art. 83 Abs. 4 DSGVO in Betracht, weil gegen die oben dargestellten Prinzipien verstoßen wird. Soweit es auch tatsächlich zu unbefugtem Zugang zu den personenbezogenen Daten gekommen ist, kommen jedenfalls für die Beschäftigten, deren evtl. private Inhalte oder vertraulichen Daten zum Arbeitsverhältnis unbefugt zur Kenntnis genommen worden und die Personen um deren Gesundheitsdaten es sich handelt Schadensersatzansprüche nach Art. 82 DSGVO in Betracht.    Das ist ein Problem, das man grundsätzlich zunächst der Geschäftsleitung zur Kenntnis bringen sollte, wenn man dort Mitarbeiter ist. Damit können am effektivsten Abhilfemaßnahmen getroffen werden. Evtl. muss das Unternehmen dann auch nach Art. 33 und 34 DSGVO eine Datenschutzverletzung an die zuständige Datenschutzaufsichtsbehörde melden.    Eine Kontaktaufnahme mit der Datenschutzaufsichtsbehörde kommt ebenfalls in Betracht, wird aber nicht zu einer kurzfristigen Beseitigung der Schwachpunkte führen, da dort dann erst einmal das Unternehmen angehört wird und Stellung zu den Vorwürfen nehmen muss. Als Mitarbeiter, der weiterhin im Unternehmen beschäftigt bleiben möchte sollte man mit einer solchen Meldung an die Behörde auch vorsichtig sein und das nur als ultima ratio erwägen, wenn intern keine Bemühungen angestoßen werden.    Als Person, die von dem Vorfall betroffen ist, weil die eigenen personenbezogenen Daten in den E-Mails enthalten sind &lpar;aus dem Beschäftigungsverhältnis oder Gesundheitsdaten&rpar; sollte man vorrangig entweder durch eine Stellungnahme des Unternehmens oder durch eine Meldung bei der Datenschutzaufsichtsbehörde den Sachverhalt klären. Im Nachgang kann man dann auf dieser Grundlage vor einem Zivilgericht einen Schadensersatzanspruch nach Art. 82 DSGVO geltend machen.    Mit freundlichen Grüßen  -Rechtsanwältin-

Illegales E-Mail-Archiv

Datenschutzrecht

Rechtsanwältin Sonja Stadler

Antwort

Aktuelle Auszeichnungen