Die DSGVO macht vieles komplizierter. Unternehmen benötigen häufig eMail-Adressen die nicht Personen sondern Themen repräsentieren. Ein Online-Shop mit umfangreichen Sortiment könnte generische eMail-Adressen entsprechend der Abteilungen ([email protected], [email protected]) verwenden. Oder welche, die Prozesse abbilden ([email protected], [email protected]). Besonders häufig ist die [email protected]. Wer hat auf diese Konten Zugriff? Wer kann die personenbezogenen Informationen der ankommenden eMails einsehen und gegebenenfalls an Dritte weitergeben? Das ist im Rahmen der DSGVO durchaus relevant.
Häufig ist erforderlich, dass mehrere Personen für ein Thema verantwortlich sind. Das macht deswegen Sinn, weil Mitarbeiter manchmal krank werden, Urlaub machen oder aus Unternehmen ausscheiden. Cloud Enterprise Lösungen wie AWS, G Suite oder Office 365 bieten hierfür sogenannte Gruppenpostfächerer an. Konsequent organisiert könnte man für eine solche Anforderungen auch ein CRM– oder Helpdesk-System wie beispielsweise Zendesk oder OTRS einsetzen. Das eher improvisierte Themen-eMail-Konten-Verfahren findet sich jedoch häufig bei kleinen und mittleren Unternehmen und sollte im Verfahrensverzeichnis abgebildet werden.
Aber was hat das mit Datenschutz und DSGVO zutun? Wenn ich eine eMail an ein Unternehmen schreibe, kommuniziere ich mit einer juristischen Person. Wenn diese Kommunikation von einer unbefugten natürlichen Personen gelesen wird, einem ehemaligen Mitarbeiter beispielsweise der inzwischen aus dem Unternehmen ausgeschieden ist, dann ist der Schutz meiner personenbezogenen Daten (Name, eMail-Adresse) verletzt.
Wir benötigen also ein Verfahren das sicherstellt, dass nur aktuell befugte Personen Zugriff auf Kommunikation auf die Themen-eMail-Konten haben. Mitarbeiter, die aus dem Unternehmen ausscheiden sind nicht mehr Teil der juristischen Person mit der der Kunde kommuniziert. Diese müssen daher den Zugriff auf die Kommunikation und damit die personenbezogenen Daten des Unternehmens entzogen bekommen.
Zugangsdaten für alle Verantwortlichen
Eine Variante um die Kommunikation per Themen-Mail an den Mitarbeiter zu bringen ist, allen Verantwortlichen die Zugangsdaten zu dem Themen-Mail-Konto zukommen zu lassen. Das hat den Vorteil, dass Verantwortliche erkennen können falls ein Anliegen bereits durch einen anderen Verantwortlichen bearbeitet wurde. Sämtliche Kommunikation findet über die Themen-Adresse statt. Somit sind alle Verantwortlichen jederzeit im Bilde und können sich gegenseitig vertreten.
Umständlich wird es allerdings, wenn Verantwortlichen der Zugriff auf die Themen-Kommunikation des Unternehmens entzogen werden soll. In dem Fall müssten neue Zugangsdaten für das Konto vergeben werden und allen Verantwortlichen, bis auf den ausscheidenden Mitarbeiter, zugänglich gemacht werden. Die verbleibenden Mitarbeiter verwanden ab dem Zeitpunkt die neuen Zugangsdaten zum Themen-Konto.
Weiterleitung auf Personenkonten
Eine andere Variante ist, auf dem Themen-Konto eingehende eMails an die eMail-Adressen der verantwortlichen Mitarbeiter weiterzuleiten. Das hat den Vorteil, dass der Zugriff an einer Stelle kontrolliert werden kann: es wird nur an den Personenkreis weitergeleitet der mitlesen darf. Scheidet davon jemand aus dem Unternehmen aus, wird die Weiterleitung entfernt.
Umständlicher ist hierbei die Prozessorganisation. Es müsste ein Verfahren erarbeitet werden das sicherstellt, dass alle Verantwortlichen wissen wer einen Vorgang momentan mit welchem Stand bearbeitet. Sollte dieser Verantwortliche durch Krankheit ausfallen, könnte ein anderer Mitarbeiter übernehmen.
Digitalisierung als DSGVO TOM?
Mit dem Vormarsch der Enterprise Cloud Lösungen und der Evolution von Datenschutz und Datensicherheit werden solch organisatorische Belange hoffentlich bald auch für kleine und mittlere Unternehmen vollständig gelöst sein. Bei Googles G Suite können Posteingangs-Gruppen definiert werden wie unter https://support.google.com/a/answer/167430 beschrieben. Etwas Ähnliches bieten alle grossen Cloud Enterprise Plattformen. Lassen wir ausser Acht, dass es sich bei Google um einen US-Amerikanischen Konzern handelt, dann könnten wir diese Standardisierung nach DSGVO als TOM werten.
Ein grosser Fortschritt zeichnet sich dadurch ab: der Verbleib von Kompetenz in Form von Daten im Unternehmen, auch dann, wenn der entsprechende Mitarbeiter kurzzeitig ausfällt oder permanent ausscheidet. Die Herausforderung Kompetenzen und Prozesse persistent im Unternehmen abzubilden ist durch vermehrt individuelles Arbeiten durch Homeoffice und Smartphone zur grossen Herausforderung geworden. Gearbeitet wird nicht mehr primär am Arbeitsplatz im Unternehmen, sondern immer mehr von unterwegs und zuhause.
Durch Kollaborations-Suiten der Cloud Anbieter haben bestenfalls mehrere Mitarbeiter spezifischen Zugriff auf Dokumente, die im Cloud Speicher des Unternehmens liegen. Dadurch kommt es in Zukunft hoffentlich nicht mehr vor, dass die Gross-Income-Planung für die kommenden 5 Jahre dem Unternehmen, zusammen mit Herrn Müller, unwiederbringlich verloren geht.
Dedizierte Informationen zu Fristen und technischen Anforderungen bezügliche der Archivierung von eMails finden Sie übrigens bei der activeMind.AG. Mehr zum Thema DSGVO finde Sie hier.
