Belgische Datenschutzbehörde spricht Verwarnung aus
Ein aktueller Fall in Belgien (APD/GBA (Belgium) – 135/2023) wirft ein Licht auf die Konsequenzen einer Verletzung des Beschäftigtendatenschutzes. Die DPA beschäftigt sich mit einem belgischen Unternehmen, dass nach der Kündigung eines Mitarbeiters weiterhin dessen E-Mail-Account nutzte und gibt uns Anlass diese Thematik für Sie aufzubereiten.
Was ist geschehen?
Am 9. Mai 2023 erhielt der belgische Datenschutzbeauftragte (Belgian Data Protection Authority, DPA) eine Beschwerde, die die unzulässige Nutzung des E-Mail-Kontos eines ehemaligen Mitarbeiters seitens des Arbeitgebers betraf.
Die Beschwerde bezog sich auf einen Vorfall, bei dem ohne das Wissen des betroffenen Ex-Mitarbeiters mehrere E-Mails von seiner ehemaligen Mitarbeiter-E-Mail-Adresse versendet wurden. In diesen E-Mails wurde den Kunden des Verantwortlichen mitgeteilt, dass der betreffende Mitarbeiter nicht mehr bei ihm beschäftigt sei und ein neuer interner Ansprechpartner benannt.
Dies führte dazu, dass der Mitarbeiter auf diese unzulässige Verwendung aufmerksam wurde. Am 8. Juli 2023 bat er den Verantwortlichen, sein ehemaliges Mitarbeiter-E-Mail-Konto zu löschen. Auf sein Anliegen erhielt der ehemalige Mitarbeiter keine Antwort.
Am 17. Juli 2023 reichte der betroffene Mitarbeiter eine Beschwerde bei der belgischen DPA ein. Diese Untersuchung ergab Verstöße gegen gleich mehrere Artikel der Datenschutzgrundverordnung (DSGVO).
Bewertung der DPA
Die belgische DPA stellte fest, dass zwei Grundsätze der DSGVO, nämlich die der Datenminimierung und der Zweckbindung verletzt wurden. Das E-Mail-Konto des Mitarbeiters blieb auch nach Beendigung des Arbeitsverhältnisses und nach der Meldung vom 9. Mai 2023 aktiv. Der Arbeitgeber nutzte das Konto weiterhin, um mehrere E-Mails an externe Personen zu senden. Die Verarbeitung personenbezogener Daten muss nach Art. 5 Abs. 1 lit. c) auf das dem Zweck nach notwendigen Maß beschränkt werden.
Weiterhin wurde von der DPA festgestellt, dass der Arbeitgeber als Verantwortlicher keine rechtliche Grundlage für die fortgesetzte Verarbeitung der Daten des Mitarbeiters hatte. Weder Art. 6 Abs. 1 lit. b) DSGVO (Verarbeitung zur Erfüllung eines Vertrags) noch Artikel 6 Abs. 1 lit. f) DSGVO (Verarbeitung zur Wahrung berechtigter Interessen) waren anwendbar. Das Aufrechterhalten und Nutzen des E-Mail-Kontos nach Beendigung des Arbeitsverhältnisses wäre nur dann legitim gewesen, wenn dies im Einklang mit der DSGVO und unter Berücksichtigung der gesetzlichen Informationspflichten erfolgt wäre. Da der Mitarbeiter weder über die fortgesetzte Nutzung seines E-Mail-Kontos noch über den Vorfall am 9. Mai 2023 informiert wurde, handelte der Verantwortliche im Widerspruch zur DSGVO.
Als Reaktion auf die Verstöße gegen die DSGVO verhängte die belgische DPA eine Verwarnung.
Einordnung der Entscheidung
Dieser Fall zeigt, dass die DSGVO ernst genommen wird und Verstöße Konsequenzen haben. Datenschutzverletzungen sollten vermieden werden, und Unternehmen müssen sicherstellen, dass sie die Datenschutzbestimmungen und -pflichten umfassend verstehen und einhalten. Auch wenn das belgische Unternehmen hier mehr als glimpflich davongekommen ist, ist auch eine Verwarnung ernst zu nehmen.
Eine Verwarnung darf nämlich nicht einfach auf die leichte Schulter genommen werden, denn mit Bestandskraft des Bescheids einer Verwarnung steht ein Datenschutzverstoß des Unternehmens fest. Kommt in der Folge zu weiteren Verstößen und zu einem Bußgeld, kann dies für das betreffende Unternehmen teuer werden. Bei der Bußgeldbemessung sind „einschlägige frühere Verstöße“ ein Kriterium, das eine Erhöhung des Bußgelds rechtfertigt.
Bildnachweis für diesen Beitrag © Maxisport stock. adobe. com