Für die richtige Verwendung von E-Mail Postdächern bei Abwesenheit oder dem Ausscheiden aus dem Betrieb habe ich in diesem Artikel einige Beispiele und auch Hinweise gesammelt.
Dieser Beitrag wurde Inspiriert durch einen Beitrag auf der Webseite der Landesbeauftragte für Datenschutz des Landes Bremen.
Wir empfehlen in Unternehmen immer die Unternehmens-E-Mail-Postfächer der Mitarbeiter(innen) nur zu betrieblichen Zwecken zu gestatten und keine private Nutzung der bereitgestellten Unternehmens-E-Mail-Adresse(n) zu erlauben.
Unternehmen dürfen natürlich die private Nutzung von E-Mails Adressen gestatten, doch dies birgt unnötige Datenschutzrisiken, weshalb wir davon abraten.
Wenn keine explizite Regelung Zwischen Arbeitgeber und Arbeitnehmer(in) vereinbart wurde so ist die Nutzung von Unternehmenspostfächern nur zu beruflichen Zwecken zu verwenden.
Dies nimmt ihnen aber nicht die Verantwortung ab, alle Mitarbeiter in ihrem Hause auch darüber zu Informieren. Darauf können sie explizit bereits mit der Datenschutzinformation für Mitarbeiter hingewiesen werden. Achten Sie darauf beim Mitarbeiter Onboarding diese Information auch jeden Mitarbeiter auszuhändigen. Eine gute Idee ist es nach dem erstellen des Benutzer dem/der neuen Kollegen/in eine Willkommens E-Mail zukommen zu lassen und dieser z.B. die Datenschutzinformation für Mitarbeiter als PDF-Datei im Anhang zur Verfügung zu stellen mit bitte diese zu lesen.
Wir empfehlen darüber hinaus im Rahmen der wiederkehrenden Datenschutzschulung auf die korrekte Verwendung der Unternehmens-E-Mail-Adresse(n) und dem ausschließlichen Zweck zur betrieblichen Nutzung hinzuweisen.
Weisen sie also ihre Mitarbeiter ausdrücklich darauf hin das E-Mails nur zu betrieblichen Zwecken verwendet werden dürfen und wiederholen Sie diese Information auch in der wiederkehrenden z.B. in der Regelmäßig wiederkehrenden Datenschutzschulung.
–
Die richtige Wahl des E-Mail Adressnamens ist wichtig!
Eine E-Mail Adresse eines Benutzer(in)s sollte sinnvoll anonymisiert werden. Es ist nicht notwendig auf dem ersten Blick zu erkennen wie der Vorname der betroffenen Person ist. Da Familiennamen meistens nicht Eindeutig sind, hat man hiermit schon einmal eine gute Grundeinstellung getroffen.
Auch wenn persönliche E-Mail Adressen für die Geschäftsprozesse im Unternehmen sinnvoll und wichtig sind, so sollten Sie dennoch so viele Geschäftsprozesse wie möglich auf Funktionspostfächer auslagern um keine Probleme mit Abwesenheitsnachrichten und unbearbeiteten E-Mails zu bekommen.
Z.B. wäre die Wahl der E-Mail Adresse mmustermann@firma.de für den Herrn Max Mustermann eine valide Möglichkeit um aus Kürzel des Vornamens + Nachnamen voll ausgeschrieben den tatsächlichen Vornamen nicht unnötig offensichtlich mitzuteilen.
Besser wäre die E-Mail Adresse mm@firma.de – oder nur nachname@firma.de – Jedoch sind einige Namen wie Meyer oder Schulze in Deutschland so häufig anzutreffen, dass man schnell beginnt die E-Mail Adressen numerisch „Hochzuzählen“ oder weitere Buchstaben des Vornamenskürzels zu verwenden.
Auch wenn es früher gängige Praxis in Unternehmen war, Benutzerbezogene E-Mail Adressen mit dem Einverständnis des Benutzers während seiner Abwesenheit an ein anderes Postfach eines Kollegen(in) weiterzuleiten so raten wir heute dringend davon ab so vorzugehen.
Empfohlen ist es nur eine Abwesenheitsnotiz zurückzumelden mit dem Hinweis das die E-Mail nicht weitergeleitet wird und sich in dringenden Fällen an ein anderes Funktionspostfach z.B. abteilung@firma.de gewendet werden kann.
So werden alle Mailabsender informiert, dass die E-Mails aktuell nicht weitergeleitet werden. Auch zu viele Information wer warum wohin und wie lange Abwesend sind halte ich für unnötig gefährlich, weil hieraus gefährliches Konfliktpotenzial entstehen kann.
–
Fiktives Beispiel zur Abwesenheitsnotiz:
Mitarbeiter Max Mustermann hat eine Abwesenheitsnotiz mit dem Hinweis:
Ich bin erst am 14.04.20xx persönlich wieder für sie erreichbar. Während meiner Abwesenheit werden ihre E-Mails mit meinem Einverständnis an meinen Kollegen XYZ weitergeleitet.
Nun gehen, wir mal hoffentlich davon aus das Herr Mustermann wirklich sein Einverständnis gegeben hat, somit ergeben sich aber dennoch mögliche Probleme im Zusammenhang mit dem Datenschutz.
Herr Mustermann ist Abwesend da er wegen einer Krankheit eine „Klinik“ besucht. Während der Reha freundet er sich flüchtig mit einem Leidensgenossen an. Er berichtet ihm sogar von seiner Arbeitsstelle bei der „Firma GmbH“.
Nach dem Aufenthalt kommt der neue Bekannte auf die Idee Herr Mustermann eine E-Mail zu senden. Er weiß ja noch bei welchem Unternehmen die Person arbeitet.
Auf der Firmenhomepage wird der bekannte fündig und stößt auf die E-Mail Adresse von Herrn Mustermann und schickt ihm eine Nachricht in der Annahme das nur Herr Mustermann diese E-Mail erhält. Der Inhalt der E-Mail ist leider sehr brisant der er vertrauliche Daten über das Krankheitsbild von Herrn Mustermann erhält.
Auch wenn Herr Mustermann bisher darüber informiert wurde, dass E-Mails nur zu betrieblichen Zwecken verwendet werden dürfen, und er selbst freiwillig die Weiterleitung zu einem Kollegen(in) eingerichtet hat – birgt dieser Punkt nun Konfliktpotenzial.
Herr Mustermann wollte nicht das die sensiblen Informationen über sein Krankenbild in Umlauf geraten nun ist dies aber geschehen.
Leider hat nun eben dieser Kollege sämtliche Informationen über sein Krankenbild usw. alles sensible personenbezogene Daten die besonders Schützenswert sind.
Solch vertrauliche Informationen hätte man vermutlich nicht an die Funktions-E-Mail Adresse buchhaltung@firma.de gesendet.
Natürlich kann die Firma und auch Herr Mustermann in diesem Beispiel wenig dafür, dass diese E-Mail gesendet wurde und doch können solche Fälle eintreten.
Dieses Problem könnten sie frühzeitig aus den Weg gehen, wenn man keine klar erkennbaren E-Mail Adressen im Unternehmen verwenden. Nutzen sie z.B. den Kürzel mm@firma.de als Abkürzung für Max Mustermann oder veröffentlichen Sie gleich nur Funktionsadressen z.B. Einkauf-, Verwaltung-, Vertrieb- und Service@firma.de.
Deshalb kann es bereits beim verwenden der Mail Adresse ohne zutun des eigenen Mitarbeiters und auch trotz seiner Einwilligung über mögliche Weiterleitung im Falle seiner Abwesenheit zu sensiblen Datenschutzverletzungen kommen.
Unsere empfohlene Strategie ist es solchen Konfliktsituation frühzeitig vorzubeugen. Ein Mittel dazu ist eben die korrekte Verwendung von E-Mail Adressen und dem zugehörigen Abwesenheitsassistenten.
–
Zusammenfassung:
Tipp 1:
Postfachnamen der Mitarbeiter Anonymisieren
Verwenden Sie keine eindeutig personalisierten Benutzer Postfächer, wo anhand der Namens der E-Mail Adresse sich bereits ableiten lässt das der Mensch identifizierbar ist.
mustermann@firma.de = gut
max.mustermann@firma.de = unnötig
–
Tipp 2:
Favorisieren Sie die Arbeiten mit Funktionspostfächern, soweit möglich und sinnvoll.
–
Tipp 3:
Verwenden Sie den Abwesenheitsassistenten ohne automatische Weiterleitung.
Wenn ich jetzt „Abwesend“ bin, kann ich natürlich eine Abwesenheitsnotiz einstellen.
Empfohlener Wortlaut:
Sie erreichen mich momentan nicht bis einschließlich dem Datum. Ihre E-Mails werden nicht weitergeleitet.
Wenn Sie dringende Fragen haben wenden Sie sich bitte an info@dynamics-business-solutions.de (einem Funktionspostfach).
Generell ist das Arbeiten mit Funktionspostfächern empfohlen, da dann mehrere Mitarbeiter informiert werden, und keine wichtigen Kundeninformation im persönlichen Postfach eines Benutzers verloren gehen.
–
Tipp 4:
Mitarbeiter Onboarding
Weisen Sie den Mitarbeiter beim „Onboarding“ in die korrekte Verwendung der E-Mail Adresse ein. Weisen Sie ihn darauf hin das er seine Unternehmens E-Mail Adresse nur zu geschäftlichen Zwecken verwenden darf. Senden sie den/der neuen Kollegen/in die Datenschutzinformation für Mitarbeiter als PDF-Datei mit einer Willkommens-E-Mail.
–
Tipp 5:
Mitarbeiter Offboarding
Deaktivieren Sie das Postfach des Mitarbeiters/der Mitarbeiterin umgehend zum Ende seiner/ihrer Betriebszugehörigkeit. Schreiben Sie hierfür eine verbindliche Unternehmensanweisung und stimmen Sie den Prozess zwischen Personalabteilung und IT-Abteilung ab.
No responses yet