Hallo zusammen,
ich habe mal eine Frage zur Legalität von Mailweiterleitungen.
Im konkreten geht es darum:
User möchte, dass alle seine Mails an seine Geschäftsadresse automatisch an seine private Mailadresse weitergeleitet werden.
(Technische Bedenken/Probleme spielen dabei keine Rolle. )
Gibt es rechtliche Probleme bei der Umsetzung?
Durch die automatische Mailweiterleitung geben Sie die betrieblichen Daten ungeschützt, unverschlüsselt ins WWW mit dem Risiko, dass die Mails bzw Ihr privater Mailaccount auch gehackt werden könnte.
Die Mails und Anhänge enthalten ggf. hochsensible Kundendaten, Mitarbeiterdaten oder Geschäftsgeheimnisse. Daher halte ich dies für unzulässig und ihr Verhalten könnte arbeitsrechtliche Konsequenzen zur Folge haben.
Sollte es erforderlich sein, dass Sie von außerhalb des Firmennetzwerkes Zugriff auf Ihren geschäftlichen Mailaccount benötigen, gibt es andere Möglichkeiten, wie dies sicher möglich ist.
-----------------
""
Erst mal Danke für die Antwort.
Ich bin derjenige, der eine Begründung sucht, warum ich das dem User nicht erlauben sollte.
Und wegen "Ober sticht Unter" und der damit verbundenen Wertlosigkeit sämtlicher Sicherheitsargumente versuche ich es jetzt eben auf die juristische Schiene.
Das sollte doch völlig easy sein Argumente zu finden - geht mal die Liste der in dem Unternehmen einzuhaltenden Gesetze, Verordnungen etc. (Compliance!) durch und du hast Tonnen von Material.
Datenschutz(nur personenbeszogene Daten) ist an sich sub-optimal, da nur 1% der Gesetze abgedeckt, die betroffen sind.
Aber dazu ein Fallbeispiel:
Personalabt. schickt Abmahnungsentwurf eines MA an Manager X über internes Mailsystem. Die Abmahnung enthält natürlich personenbezogene Daten und sensible Inhalte, z.B. sexuelle Belästigung.
X leitet alle Emails an Freemaileraccount. Damit verlassen die Daten den sicheren Bereich der Firma, andere Personen haben möglicherweie Zugang zu dem Mailaccount (Mischnutzung privat/dienstlich) und der Transport über Internet ist ungeschützt und ebenso ist der Zugangsschutz schwächer als in der Firma. Wer trägt das Risiko bzw. wer haftet?
Wenn das nicht reicht als Beispiel für die GL!?
-----------------
""
nein, das reicht leider nicht.
Der betroffene User bekommt solche Mails nicht. Und das ist ja alles konstruiert... "wenn" "eventuell" "kann sein"
Interessiert leider alles nicht.
Deswegen suche ich ja nach rechtlichen Vorschriften/Verboten.
Wenn Sie Arbeitgeber sind, dann erlassen Sie doch im Rahmen Ihres Direktionsrechtes eine Arbeitsanweisung zu Internet- und Email-Kommunikation.
Die Kenntnisnahme lassen Sie sich von jedem Mitarbeiter unterschreiben. Es kann doch nicht jeder Mitarbeiter machen, was er will und wie er will.
Im Übrigen kann man in den gängigen Mailprogrammen die Weiterleitungsfunktion auch einschränken oder ganz deaktivieren.
Sie würden doch wohl auch nicht erlauben, dass der Mitarbeiter Geschäftsunterlagen in Papierform mit nach Hause trägt und die Aktenordner für jedermann zugänglich auf dem Marktplatz zwischenlagert?
-----------------
""
Ich glaube, wir haben hier unterschiedliche Vorstellungen.
Ich bin leider der Unter in dem Spiel, also nciht der Arbeitgeber und ich kann auch nichts erlassen.
Aktuell ist es auch so, dass es gesperrt ist, aber UserX möchte es, und da UserX guter Freund von Ober ist, soll ich das jetzt (für alle User) freischalten. "Die werden schon nicht merken, dass das geht"
Ich bin ja für Vorschläge dankbar, aber leider bringt mich dieses könnte/müsste/dürfte/hätte nicht voran. Ich brauch harte Fakten in Form von "Paragraph XY BxxG verbietet das weiterleiten, wenn dem Absender der Mail das im vornherein nicht bewusst ist"
Irgendwie sowas...
Ahh, so langsam komme ich Ihrer Stellung im Betrieb näher.
Sie sind anscheinend der Netzwerkadministrator, umgangssprachlich auch PC-Fuzzi genannt.
Die Weiterleitung von E-Mails ist ja grundsätzlich nicht verboten, daher kann der Arbeitgeber Sie anweisen, dies so einzurichten, dass es möglich ist.
Sie können den Arbeitgeber über Ihre Bedenken zu den möglichen Sicherheitsrisiken informieren (auch nachweislich schriftlich!), aber wenn er es trotzdem so will...
Sehen Sie zu, dass Sie sich die arbeitgeberseitige Anweisung an Sie schriftlich geben lassen.
-----------------
""
Wenn du mit ...wenn ... dann nicht zufrieden bist und wir deine Firma und nicht kennen, dann musst du alle anwendbare Gesetze durchforsten. Du wirst aber nirgends einen § 08/15 finden, das es x verboten ist mails weiterzuleiten. So einfach ist das nicht.
Nur 3 Stichworte: Geschäftsführerhaftung, Grundschutzhandbuch des BSI als Referenz für Maßnahmen unteren Schutzbedarfes, BDSG-Forum
-----------------
""
quote:
Sie können den Arbeitgeber über Ihre Bedenken zu den möglichen Sicherheitsrisiken informieren (auch nachweislich schriftlich!), aber wenn er es trotzdem so will...
Richtig, das Direktionsrecht des AG geht hier in jedem Fall vor.
Es gibt grundsätzlich kein Gesetz, das eine solche Weiterleitung pauschal untersagt, somit gibt es auch keine Rechtsgrundlage, eine solche Anweisung des AG zu verweigern.
Mehr als mit "best practices" kommen kann man als AN da also nicht.
Im übrigen ist es durchaus normal, daß Mails weitergeleitet werden; in vielen Fällen werden auch vertrauliche Informationen zwischen zwei Firmen unverschlüsselt über normale Mail ausgetauscht. Was sollte auch dagegen sprechen, wenn beide Seiten damit einverstanden sind?
-----------------
""
"Ober sticht Unter" ist zwar ein schwaches Argument, jedenfalls für "Unter", aber es gilt. Soll heißen: Wenn die Firmenleitung keine Bedenken hat, dass Mails an einen privaten Account weitergeleitet werden, dann kann das gemacht werden. Der Netzwerkadministrator kann das mögen oder nicht, aber es ist nunmal nicht sein Netzwerk.
Ich würde mir das aber auch schriftlich geben lassen.
Nur mal so: es kommt mir irgendwie bekannt vor, dass die User von den ITis als Querulanten empfunden werden, deren Wünsche es zu boykottieren gilt. Das ist anscheinend überall so.
-----------------
""
quote:Naja, ich arbeite selbst in der IT und es mag Aussenstehenden so vorkommen, das hat aber in der Regel nichts mit Boykott zu tun. Der Grund ist ein anderer. Ab einer bestimmten Grösse wird, abgesehen davon, dass manche Wünsche einfach nicht machbar sind, der Wartungsaufwand einfach zu hoch, wenn man jedem User sein eigenes Würstchen brät.
Nur mal so: es kommt mir irgendwie bekannt vor, dass die User von den ITis als Querulanten empfunden werden, deren Wünsche es zu boykottieren gilt. Das ist anscheinend überall so.
Der Fall hier sollte jedoch kein Problem darstellen, solange der AG diese Weiterleitungsmöglichkeit wünscht. Verkehrt ist es jedoch trotzdem nicht, sichin vielen Dingen auch über die rechtliche Seite Gedanken zu machen, denn nicht alles, was möglich ist, ist auch erlaubt und auf "Chef hat aber gesagt ich soll..." kann man sich nicht immer berufen. Und in diesem Fall würde ich mir auch eine schriftliche Absicherung holen, denn Unternehmen geben oft viel Geld für Data Leakage Prevention aus, da möchte ich auch nicht hinterher der sein, der die Verantwortung dafür übernehmen möchte, dass durch Ermöglichung solcher Bequemlichkeiten sensible Daten nach aussen gelangen.
Ich würde eher mal drüber nachdenken, warum ich dem User nicht lieber Zugriff auf seine Mails per Outlook Anywhere, Outlook Web Access oder IMAP gebe, was sicherlich die bessere Lösung darstellt. 
-----------------
""
@florian3011
Ich bezeichne mich ja eher als IT-Legasthenikerin, aber find es gut, dass auch nen IT-Profi meine Auffassung teilt!
Was der Chef will und machbar ist, darf grundsätzlich, im Rahmen der Gesetze, natürlich gemacht werden. Gegen Mailweiterleitung gibt es keine Gesetzesvorschrift.
Aber hier ist für den IT-Mitarbeiter wichtig, sich selbst abzusichern!
Schriftlich die Bedenken mitteilen und den AG auffordern, die Anweisung trotz der vorgebrachten Sicherheitsbedenken auch schriftlich zu erteilen!
Damit sind die Verantwortlichkeiten dahin zurückdelegiert, wo sie in diesem Fall hingehören.
Leider sind auch Chefs meist IT-Legastheniker und überblicken ihre Entscheidungen nicht. Daran ändert auch der Besitz des neuesten Smartphones und Tablet-PC nix.
-----------------
""
quote:
Der Grund ist ein anderer. Ab einer bestimmten Grösse wird, abgesehen davon, dass manche Wünsche einfach nicht machbar sind, der Wartungsaufwand einfach zu hoch, wenn man jedem User sein eigenes Würstchen brät.
Und der Grund ist auch, daß sich User in der Regel wenig Gedanken über die Konsequenzen machen, während die IT in der Regel für ihre Sicherheits-Awareness bezahlt wird.
Beliebt sind ja auch so Sachen wie "die Filiale in Puckenhausen soll auch auf unsere Userverwaltung zugreifen können" und das würde sich dann technisch übersetzen in "wir müssen unsere gesicherten internen Rechner ans Internet hängen", was z.B. gegen eine Sicherheitsrichtlinie verstoßen kann etc.
-----------------
""
Wenn Daten von Privatpersonen (Kunden) in den Mails dabei sind, gelten auch die Vorschriften des Bundesdatenschutzgesetzes für den sicheren Umgang damit. Dann sind Weiterleitungen an Privat-Emailaccounts ein No-Go.
Die Firma wird sicherlich keine Auftragsdatenverarbeitung mit dem Mailprovider vereinbart haben.
Der Datenschutzbeauftragte des Unternehmens wäre hier ein Ansprechpartner.
Es liegt sicherlich auch keine Zustimmung der Personen für eine Weitergabe an private Email-Accounts vor.
Das sind so Geschichten da würde nach dem unfriedlichen Ausscheiden von Mitarbeiter die Landesdatenschutzbehörde der Firma Ärger machen können.
-----------------
""
quote:
Dann sind Weiterleitungen an Privat-Emailaccounts ein No-Go.
Für 60€ beurteilt einer unserer Partneranwälte diese Sache.
