Inhalt:

• Mailkonten von Mitarbeitern: Zugriff durch die Unternehmensführung
• Datensicherung ist kein Randproblem

 

 

Mailkonten von Mitarbeitern: Zugriff durch die Unternehmensführung

Personalisierte Postfächer am betrieblichen Mailserver führen offenbar immer wieder zu komplizierten Streitfällen. Jüngst hat die italienische Datenschutzbehörde zum zweiten Mal innerhalb weniger Monate entschieden, dass ein Arbeitgeber, diesmal eine Versicherungsgesellschaft, seinem ehemaligen Mitarbeiter auch nach seinem Ausscheiden aus dem Unternehmen Zugriff auf seine persönlichen Mails und die persönlichen Unterlagen auf seinem PC gewährleisten muss. Die Sachlage ist komplex, wurde aber bereits in mehreren Ländern ziemlich ähnlich von den Gerichten beurteilt.

Die Komplexität entsteht daraus, dass personifizierte Mailkonten an einem Schnittpunkt von Menschenrechten, Verfassungsrecht, Strafgesetz, Datenschutzrecht und Arbeitsrecht liegen und eine endgültige Beurteilung lediglich im Einzelfall nach ausführlicher Prüfung und Interessenabwägung stattfinden kann. Keinesfalls zulässig ist eine pauschale Kontrolle des persönlichen Mailverkehrs von Mitarbeitern durch den Arbeitgeber. Dessen ungeachtet kann aber das betriebliche Interesse an der Kenntnisnahme des Inhaltes von Mails das gerechtfertigte Interesse am Schutz der persönlichen Kommunikation überwiegen.

Neben der Frage des persönlichen Zugriffs eines Mitarbeiters auf seine persönlichen Daten nach seinem Ausscheiden aus dem Betrieb stellt sich ja auch die Frage, ob der Nachfolger nicht auf die Daten seines Vorgängers zugreifen muss, z.B. um festzustellen, ob laufende Geschäftsvorgänge zu bearbeiten sind.

Die Gemeinsamkeit in allen Behörden- und Gerichtsentscheidungen ist die Achtung der Persönlichkeitsrechte, ohne jedoch die betrieblichen Interessen grundsätzlich als unbedeutend einzustufen. So hat etwa der österreichische Oberste Gerichtshof (OGH) den Revisionsantrag der entlassenen Mitarbeiterin eines Unternehmens abgewiesen. Die hatte sich mit einer Kollegin, die in der gleichen Firma beschäftigt war, per Mail u.a. dahingehend unterhalten, dass sie die Geschäftsführung für idiotisch hielt und einen anderen Arbeitgeber suchte. Nachdem sowohl die Absenderin als auch die Empfängerin Zugriff auf die Mails ihrer Vorgänger hatten, musste beiden Frauen bekannt gewesen sein, dass die Mailkonten als rein betrieblich angesehen wurden. Darüber hinaus musste seitens der Geschäftsleitung aufgrund der Adressierung (beide Frauen arbeiteten in der Geschäftsleitung) angenommen werden, dass es sich um den Austausch betrieblicher Informationen handelte, weshalb die Einsichtnahme durch die Geschäftsführung rechtens war, urteilte der OGH.

Speziell ist der Fall der deutschen Wirtschaftsministerin, Katherina Reiche, die im Jänner 2026 die Mailkonten von 36 Mitarbeitern durchsuchen ließ. Anlass war die Vermutung, dass einer von ihnen Teilnehmerlisten einer Wirtschaftsdelegation und Geschäftsgeheimnisse von Firmen an das "Handelsblatt" unerlaubt weitergegeben hätte. Nach Medienberichten wurden dabei aber nicht die Inhalte der Mails kontrolliert, sondern lediglich die "Metadaten", also wer an wen Mails verschickt hatte.

Aufgrund der Überschneidung so vieler Rechtsmaterien beim Betrieb personifizierter Mailkonten im betrieblichen Umfeld sollten wenigstens folgende Tips berücksichtigt werden:

1. Zur Vermeidung von Unsicherheiten wäre im Interesse eines Unternehmens einer funktionsbezogenen Mailadresse der Vorzug vor einer personenbezogenen Mailadresse zu geben (z.B. "sekretariat@ordination.at"). Damit wäre klargestellt, dass der Mailverkehr an diesen Adressen rein betrieblich ist.

2. Die Benützer sollten schon am Beginn ihrer Tätigkeit - womöglich schriftlich - darauf hingewiesen werden, dass der Mailverkehr ein betriebliches Kommunikationsmittel ist und die Betriebsleitung im Anlassfall (z.B. dringliche Maßnahmen bei Abwesenheit, Urlaub, Krankenstand) in den Mailverkehr Einsicht nehmen muss.

3. Schon bei der Übergabe der Zugangsdaten zum Postfach sollte unmissverständlich klargelegt werden, dass das Postfach als funktionsbezogenes, betriebliches Arbeitsmittel dem Nachfolger im Betrieb übergeben wird, sobald ein Mitarbeiter ausscheidet oder innerhalb des Betriebes eine andere Funktion übernimmt.

4. Wenn ein Geschäftsführer, Betriebsleiter, Arzt, Anwalt, Notar od. dgl. in die Mails seiner Mitarbeiter Einsicht nimmt, hat er die Kenntnisnahme von Inhalten zu unterlassen, sobald er erkennt, dass sie rein persönlich sind. Das entspricht nicht nur der Rechtslage sondern auch dem gebotenen menschlichen Anstand.

Quellen:

https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10239073#3
(18.4.2026)

https://www.dr-datenschutz.de/datenschutz-am-arbeitsplatz-zugriff-kontrolle-von-e-mails/
(18.4.2026)

https://www.dataprotect.at/2023/08/04/mitarbeiterin-bezeichnet-arbeitgeber-als-idiotenhaufen-einsichtnahme-des-gesch%C3%A4ftsf%C3%BChrers-in-die-e-mail-korrespondenz-ist-das-datenschutzkonform-ogh-ents/
(18.4.2026)

https://www.derstandard.at/story/2000078179904/wann-die-firma-mitarbeiter-mails-checken-darf
(18.4.2026)

Revisionsentscheidung des OGH
https://ris.bka.gv.at/Dokumente/Justiz/JJT_20190523_OGH0002_006OBA00001_18T0000_000/JJT_20190523_OGH0002_006OBA00001_18T0000_000.pdf
(6.5.2026)

https://www.n-tv.de/politik/Wirtschaftsministerium-durchleuchtet-Mailkonten-von-Mitarbeitern-id30747572.html?utm_source=firefox-newtab-de-de
(24.4.2025)

 

 

Datensicherung ist kein Randproblem

Nach einem technischen Gebrechen, nach einem Brand oder bei Elementarereignissen ist eine fehlende Datensicherung ein massives Problem, das die Fortführung eines Betriebes schwer behindern kann. Abgesehen von jahrzehntelang stets wiederholten Empfehlungen von Technikern, man möge doch für regelmäßige Datensicherung sorgen, sind Datensicherungsmaßnahmen Voraussetzung für die Zertifizierung nach ISO 9001, ISO 27001 und ISO 27002. Und durch die DSGVO ist die fehlende Sicherung personenbezogener Daten mittlerweile auch "strafbewehrt": Art. 5 Abs 1/f schreibt vor, dass Daten

"in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen ('Integrität und Vertraulichkeit')".

Wer keine ausreichende Datensicherung hat, risikiert Strafen.

Wie und wo werden Daten am besten gesichert? Das hängt von den Umständen ab. Manchmal ist schon ein USB-Stick als Backup-Medium, das an einem gesicherten Ort verwahrt wird, ausreichend. Jedenfalls sollte das Sicherungsmedium räumlich getrennt von der IT-Anlage aufbewahrt werden, damit bei Einbrüchen, Feuer o. dgl. das Backup keinen Schaden nimmt.

Werden Sicherungskopien online erstellt, sollte man auch die Frage der Verschlüsselung bzw. der Sicherung gegen unbefugten Zugriff von außen ausführlich prüfen. Ob ein Backup in einer US-amerikanischen Cloud als ausreichend sicher und verfügbar angesehen werden kann, wäre im Einzelfall genau zu überlegen. Für personenbezogene Daten kann eine Sicherung bei US-Anbietern - unabhängig vom Serverstandort - nicht empfohlen werden.

Hier sechs Vorschläge für die Praxis:

1. Die Klärung, welche Daten gesichert werden müssen, obliegt dem Verantwortlichen (DSGVO Art. 4). Beim Betrieb von komplexen Systemen gibt es zumindest zwei Bereiche: Das System selbst und die mit seiner Hilfe verarbeiteten Inhalte (Software einerseits und Daten andererseits). Um bei einer Wiederherstellung die Daten auch lesbar machen zu können, empfiehlt sich auch die Speicherung der Software, die zur Bearbeitung verwendet wurde.

2. Meistens sind wichtige zusammenhängende Informationen an verschiedenen Stellen gespeichert (z.b. Datenbanken und damit verlinkte externe Dokumente). Eine Datensicherung ist dann vollständig, wenn alle notwendigen Teile verlässlich kopiert und ausgelagert werden.

3. Nachdem die Sicherung eines Systems oft aus mehreren Einzelvorgängen besteht, hat es sich bewährt, diese unterschiedlichen Schritte in einem gemeinsamen Mini-Programm zu einem einzigen Vorgang zusammenzufassen. So wird die gesamte Prozedur mit einem einzigen Befehl abgerufen und man kann sicher sein, kein Detail zu vergessen.

4. Sicherung in "Generationen": Jede neue Sicherung soll nicht ihre Vorgänger ersetzen ("überschreiben"), sondern für sich stehen. So kann man im Fall eines Fehlers in einer Sicherung immer noch auf die zeitlich davor liegende Sicherung zurückgreifen. Wieviele "Generationen" man aufhebt, muss individuell geklärt werden.

5. Die Häufigkeit der Datensicherung hängt davon ab, wie umfangreich die Änderung des Datenbestandes innerhalb eines betrachteten Zeitraums ist. Sehr selten sind Datensicherungen häufiger als ein Mal innerhalb von 24 Stunden sinnvoll. In vielen Fällen wird eine wöchentliche Sicherung als ausreichend anzusehen sein. Die Sicherung sollte so häufig erfolgen, dass bei einem technischen Defekt die Wiederherstellung der Daten mit möglichst geringen Verlusten gewährleistet ist.

6. Sicherungsmedium: Je nach den Umständen kann das z.B. ein USB-Stick, ein externes Laufwerk, ein NAS, ein Server oder eine Cloud sein. Bei Verwendung externer Server oder Clouds ist eine vorherige ausführliche Prüfung notwendig, welche datenschutzrechtlichen Vorkehrungen zu treffen sind. Bei den übrigen Medien sind diese Fragen zwar auch zu prüfen, aber erheblich einfacher zu beantworten. Datensicherungen bei Unternehmen, die (auch) der US-Rechtsprechung unterliegen, können - unabhängig vom Standort der betreffenden Rechenzentren - wegen der bestehenden Rechtsunsicherheit nicht empfohlen werden.

Quellen:

https://dsgvo-gesetz.de/art-5-dsgvo/

https://dsgvo-gesetz.de/erwaegungsgruende/nr-39/

https://dsgvo-gesetz.de/erwaegungsgruende/nr-74/