E-MAIL-WEITERLEITUNG IN VERTRETUNGSFÄLLEN

Insbesondere die bevorstehende Urlaubszeit lässt vermehrt die datenschutzrechtlichen Fragestellungen im Zusammenhang mit einer möglichen Weiterleitung von E-Mails in Vertretungsfällen aufkommen. Doch die weitaus größere Herausforderungen stellen die kurzfristigen und ungeplanten Abwesenheiten, zum Beispiel aufgrund von Krankheiten, dar. Von elementarer Bedeutung ist diesbezüglich, ob die verantwortliche Stelle die private Nutzung dienstlicher Kommunikationsmittel erlaubt. Der Beitrag umreißt in diesem Zusammenhang Problemfälle und Möglichkeiten.


AUSSCHLIEßLICH DIENSTLICHE NUTZUNG DER E-MAIL-POSTFÄCHER?

Ist die private Nutzung der E-Mail-Postfächer nicht ausdrücklich untersagt, ergeben sich für die verantwortlichen Stellen bereits hier die ersten Probleme. Grundsätzlich ist dann davon auszugehen, dass auch private und persönliche Inhalte durch Beschäftigte per E-Mail kommuniziert werden könnten. Ein Zugriffsrecht der verantwortlichen Stelle oder durch andere Beschäftigte – und dementsprechend erst recht eine automatisierte Weiterleitung der E-Mails – verbietet sich insoweit bereits aufgrund des  dann einschlägigen Fernmeldegeheimnisses nach § 88 TKG (Telekommunikationsgesetz). Gemäß § 88 Abs. 1 TKG unterliegen sämtliche Inhalte und näheren Umstände der Kommunikation, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war, dem Fernmeldegeheimnis.

Wird aufgrund einer kurzfristigen und ungeplanten Abwesenheit von Beschäftigten zeitnah ein Zugriff zu einem Postfach benötigt, bedarf es dann einer informierten Einwilligung des jeweiligen Beschäftigten sowie unter Umständen ebenfalls der Einbeziehung der jeweiligen Beschäftigtenvertretung. Während die Einbeziehung der Beschäftigtenvertretung womöglich zeitnah möglich ist, kann in bestimmten Situationen das Einholen der Einwilligung der betroffenen Person nahezu unmöglich sein. Verantwortliche Stellen sind – unter anderem – aus diesem Grund gut beraten, die private Nutzung der dienstlichen Kommunikationsmittel ausdrücklich zu untersagen.


WEITERLEITUNG AUF PRIVATE E-MAIL-POSTFÄCHER

In Abwesenheitsfällen gänzlich ungeeignet ist die Weiterleitung der dienstlichen E-Mails auf private E-Mail-Postfächer der jeweiligen Beschäftigten. Da die personenbezogenen Daten hierbei den unmittelbaren Wirkungsbereich der verantwortlichen Stelle verlassen, stellt eine solche Weiterleitung regelmäßig eine Übermittlung an Dritte dar, für welche es einer einschlägigen Rechtsgrundlage bedarf. Darüber hinaus kann so durch die verantwortliche Stelle nicht vollumfänglich die Sicherheit der Verarbeitung gemäß Art. 32 Abs. 1 DS-GVO (Datenschutz-Grundverordnung) sichergestellt werden. Weiterhin verliert die verantwortliche Stelle hierbei die Zugriffsmöglichkeit auf die entsprechenden E-Mails und die darin enthaltenen personenbezogenen Daten, welches grundsätzlich auch die Umsetzung und Überprüfung von regelmäßigen Löschroutinen unmöglich macht.


WEITERLEITUNG AUF DIENSTLICHE E-MAIL-POSTFÄCHER

Grundsätzlich unproblematisch – ein Verbot der privaten Nutzung vorausgesetzt – ist die Weiterleitung von E-Mails von sogenannten Funktionspostfächern (z.B. info@xyz.de). Hier ist für den Absender bereits eindeutig erkennbar, dass ein solches E-Mail-Postfach nicht zwingend einer einzelnen Person zugeordnet ist, sondern gegebenenfalls mehrere Personen die eingehenden E-Mails bearbeiten. Im Abwesenheitsfall kann somit eine Weiterleitung auf eine Vertretung vorgenommen werden, soweit die internen Abläufe eine solche erfordern.

Im Rahmen von persönlichen E-Mail-Postfächern ist davon auszugehen, dass der Absender einer E-Mail grundsätzlich annimmt, dass ausschließlich der jeweilige Beschäftigte Zugriff auf eingehende E-Mails erhält. Eine Weiterleitung sollte aus diesem Grund auch bei untersagter Privatnutzung der E-Mail-Postfächer regelmäßig ausbleiben und stattdessen eine Abwesenheitsnotiz mit einem einfachen Verweis auf die Vertretung bei eilbedürftigen Anliegen verwendet werden. Der Absender kann so selbst entscheiden, ob er das Anliegen der Vertretung vorträgt oder eine persönliche Klärung mit dem ursprünglich vorgesehenen Empfänger bevorzugt.

Etwas anderes kann sich unter Umständen dann ergeben, wenn die Beschäftigten häufig fristgebundene Angelegenheiten bearbeiten und es aus organisatorischen Gründen zwingend der Gewährleistung einer zeitnahen Bearbeitung von derartigen Anliegen bedarf. Eine mögliche Rechtsgrundlage einer Weiterleitung von E-Mails bilden hierbei die Durchführung des Beschäftigtenverhältnisses gemäß § 26 Abs. 1 BDSG (Bundesdatenschutzgesetz) beziehungsweise die jeweiligen Interessen der verantwortlichen Stelle gemäß Art. 6 Abs. 1 Satz 1 lit. f DS-GVO, sofern nicht beispielsweise spezialgesetzliche Verschwiegenheitsverpflichtungen einer solchen Weiterleitung entgegenstehen. Hierunter können unter anderem Kommunikationen mit Personalvertretungen oder auch dem Datenschutzbeauftragten fallen.

In jedem Fall ist der Absender (möglichst zuvor) über eine Weiterleitung zu informieren. Die Vergabe von Vollzugriffen auf das E-Mail-Postfach der zu vertretenden Beschäftigten ist jedoch zu vermeiden.


UMGANG BEI AUSSCHEIDEN VON BESCHÄFTIGTEN

Mit dem Ausscheiden von Beschäftigten sind die mit der jeweiligen Person in Verbindung stehenden persönlichen E-Mail-Postfächer umgehend zu deaktivieren und zu löschen, sodass auf diesen keine weiteren E-Mails eingehen können. Dies ist insbesondere mit Blick auf Art. 17 Abs. 1 lit. a DS-GVO zeitnah umzusetzen, da die verantwortliche Stelle die Verpflichtung zur Löschung personenbezogener Daten trifft, welche für die Verarbeitungszwecke nicht mehr notwendig sind, für welche diese erhoben oder auf sonstige Weise verarbeitet wurden.

Der Absender der E-Mail erhält bei dem Versand einer E-Mail an ein gelöschtes E-Mail-Postfach durch den jeweiligen E-Mail-Server automatisiert eine Benachrichtigung, dass der entsprechende Empfänger nicht existiert und die E-Mail nicht zugestellt werden konnte. Hierdurch bekommt dieser die Möglichkeit sich über andere bekannte Kontaktwege an die verantwortliche Stelle zu wenden – und sofern nicht bereits geschehen – Kontaktmöglichkeiten zur neuen Ansprechperson in Erfahrung zu bringen.

Vor einer Löschung der jeweiligen E-Mail-Postfächer ist jedoch zu prüfen, ob bestimmte geschäftliche Inhalte gesetzlichen Aufbewahrungsfristen unterliegen, die einer Löschung entgegenstehen, Art. 17 Abs. 3 lit. b DS-GVO. Sofern im Rahmen einer solchen Überprüfung die Kenntnisnahme von privaten Kommunikationsinhalten nicht ausgeschlossen werden kann, ist der jeweilige Beschäftigte vor dem Ausscheiden darauf hinzuweisen, dass derartige Inhalte zuvor eigenständig zu löschen sind. Sollte dies bereits nichts nicht mehr möglich sein, so sollte eine vertrauliche Person benannt werden, welche – beispielsweise im Beisein der Beschäftigtenvertretung – das E-Mail-Postfach sichtet, um geschäftliche E-Mail-Kommunikation zu separieren und offensichtliche private oder anderweitig vertrauliche Nachrichten ohne weitere Einsichtnahme umgehend löscht.


FAZIT

Die Thematik der Weiterleitung von E-Mails in Vertretungsfällen ist aus datenschutzrechtlicher Sicht äußerst facettenreich. Verantwortliche Stellen sollten insbesondere vor diesem Hintergrund durch eine verbindliche Festlegung im Rahmen einer Richtlinie die private Nutzung der dienstlichen Kommunikationsmittel untersagen. Hierdurch lassen sich meist bereits eine Vielzahl von Problemfällen vermeiden. Darüber hinaus sind die jeweiligen (organisatorischen) Erfordernisse der verantwortlichen Stelle sowie die regelmäßigen internen Prozesse und sich hieraus ergebende Fristen zu berücksichtigen. Bei der Betrachtung der aufgeworfenen Thematik sollte aufgrund der Vielzahl der zu berücksichtigenden Umstände stets der Datenschutzbeauftragte einbezogen werden.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Abwesenheit
  • E-Mail
  • Funktionspostfächer
  • Vertretung
  • Weiterleitung
Lesen

DAS PROBLEM MIT DEM PHISHING

Vor dem Hintergrund des durch die Corona-Pandemie bedingten Anstiegs der im „Home-Office“ tätigen Beschäftigten ist es nahezu denklogisch, dass ebenfalls eine drastische Zunahme von sogenannten Phishing-E-Mails zu verzeichnen ist.

Dem neuen KnowBe4 Phishing-Report ist dabei zu entnehmen, dass zu den aktuellen Themen (Untersuchung von echten Phishing-E-Mail-Betreffzeilen aus der Praxis) u.a. folgende Themen gehören:  „IT: Jährliche Bestandsaufnahme der Geräte“, „Twitter: Sicherheitswarnung: Neuer oder ungewöhnlicher Twitter-Login“, „Amazon: Aktion erforderlich | Ihre Amazon Prime-Mitgliedschaft wurde abgelehnt“, „Zoom: Fehler bei geplanter Besprechung“, „Google Pay: Bezahlung gesendet“, „Microsoft 365: Aktion erforderlich: Aktualisieren Sie die Adresse für Ihren Xbox Game Pass für Konsolen-Abonnement“, „Arbeitstag: Erinnerung: Wichtiges Sicherheitsupgrade erforderlich“.

Daneben beobachtet das Bundesamt für Sicherheit in der Informationstechnik (BSI) insbesondere Phishing-E-Mails zu Themen Änderungen von Datenschutzbestimmungen (bspw. PayPal), Teilnahmen an Gewinnspielen, Sicherheitsüberprüfungen (z.B. von Bank- und Kreditinstituten) sowie Aktualisierung von Nutzerdaten.

Was ein Phishing-Angriff ist, wie ein solcher erkannt werden kann und wie man sich bei einer Reaktion auf eine Phishing-E-Mail verhalten muss, soll im folgenden Beitrag näher beleuchtet werden.


WAS IST EIGENTLICH PHISHING?

Phishing ist eine Form des Social Engineerings, einer Methode, um unberechtigten Zugang zu Informationen oder IT-Systemen durch soziale Handlungen zu erlangen. Beim Social Engineering werden menschliche Eigenschaften wie z. B. Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt. Dadurch können Beschäftigte so manipuliert werden, dass sie unzulässig handeln.

Phishing (ein Kunstwort aus „Password“ und „Fishing“) beschreibt das Vorgehen, insbesondere über gefälschte Unternehmenswebseiten und E-Mails die Zugangsdaten, Bankdaten oder andere vertrauliche Informationen von Benutzern zu erlangen und damit einen Identitätsdiebstahl zu begehen. Grundlegend kann zwischen zwei Varianten von Phishing-E-Mails unterschieden werden:

Zum einen kann eine Phishing-E-Mail einen Link enthalten. Dieser führt zumeist auf einen täuschend ähnlichen Nachbau der Internetseite eines Dienstleisters. Auf diesem soll der Benutzer dann vertrauliche Informationen eintragen. Die hierbei eingegebenen Daten werden abgefangen und für die Zwecke der Betrüger missbraucht.

Zum anderen kann eine Phishing-E-Mail einen Anhang enthalten, der beispielsweise als angebliche Rechnung oder gar Mahnung getarnt ist. Öffnet der Empfänger den Anhang wird darin enthaltene Malware auf dem Endgerät des Nutzers übertragen. Diese Schadsoftware kann dann beispielsweise dafür sorgen, dass ein Zugriff auf einzelne Dokumente oder auf den gesamten Rechner nicht mehr möglich ist oder sämtliche Tastatur- und Bildschirmeingaben an unbefugte Dritte übermittelt werden.

Häufig verbreiten sich Phishing-E-Mails als Spam-E-Mails und erreichen somit unzählige Empfänger. Bei dem sogenannten Spear-Phishing richtet sich der Angriff gezielt gegen bestimmte Organisationen. Diese E-Mails sind oft mit hohem Aufwand auf einen bestimmten Empfänger zugeschnitten.


WORAN ERKENNE ICH EINE PHISHING-E-MAIL?

Auch wenn die meisten Phishing-E-Mails täuschend echt aussehen, können sich diese in den meisten Fällen anhand von einigen der folgenden Merkmale als solche identifizieren lassen:

Allgemeine Anrede: Viele Phishing-E-Mails beginnen mit einer allgemeinen Anrede, wie zum Beispiel „Sehr geehrte Damen und Herren“ oder „Sehr geehrter Kunde, sehr geehrte Kundin“. Unternehmen, bei denen Sie tatsächlich Kunde sind, werden Sie meist persönlich ansprechen. Diesen Schwachpunkt haben jedoch auch die Verfasser derartiger E-Mails entdeckt: Sie enthalten nun vermehrt auch persönliche Anreden, unter Umständen sogar die korrekte Anschrift oder Telefonnummern.
Handlungsempfehlung: Fragen Sie sich, ob der in der E-Mail genannte Dienstleister mit Ihnen in einer Geschäftsbeziehung steht, Ihre E-Mail-Adresse kennen kann und dieser mit Ihnen im Regelfall per E-Mail kommuniziert.

Inhalte: Mittels Phishing-E-Mails wird meist ein dringender Handlungsbedarf signalisiert, verbunden mit der Androhung von unangenehmen Folgen, sofern eine konkrete Handlung ausbleibt. Derartige Inhalte sollen bewirken, dass in den Empfängern Panik hervorgerufen wird, welche meist ein unvorsichtiges Handeln zur Folge hat. Sie werden zudem aufgefordert, vertrauliche Daten einzugeben. Anders als noch vor einigen Jahren weisen viele Phishing-Mails inzwischen keinerlei sprachliche Mängel mehr auf. Auch bei gut formuliertem Text sollten Sie deshalb wachsam sein.
Handlungsempfehlung: Hinterfragen Sie auch hier, ob der Dienstleister für das geschilderte Anliegen auf diese Weise normalerweise mit Ihnen in Kontakt treten würde. Gerade Finanzdienstleister versenden im Regelfall keine E-Mails, die Links oder Formulare enthalten oder in denen Sie zum Einloggen in Ihr Kundenkonto aufgefordert werden. Überprüfen Sie zudem gegebenenfalls genannte Transaktions-, Rechnungs- oder Bestellnummern. Öffnen Sie hierfür jedoch keine Anhänge.

Absender: Die Absender-E-Mail-Adresse stimmt meist nicht mit dem des vorgegebenen Unternehmens überein.
Handlungsempfehlung: Überprüfen Sie in Zweifelsfällen die Angaben im E-Mail-Header. Eine ausführliche Anleitung hierzu finden Sie im Artikel der Verbraucherzentrale „So lesen Sie den Mail-Header“.

Links und Anhänge: Die in einer Phishing-E-Mail eingefügten Links stimmen in der Regel nicht mit dem im E-Mail-Text angegebenen Internetadressen überein. Vorsicht bei Anhängen mit Formaten wie .exe oder .scr. Diese können Schadsoftware direkt auf Ihr Gerät laden. Manchmal werden Nutzer oder Nutzerinnen auch durch Doppelendungen wie Dokument.pdf.exe in die Irre geführt.
Handlungsempfehlung: Wenn Sie Ihre E-Mails mit einem Browser verwalten, werfen Sie einen Blick auf den sogenannten Quelltext der HTML-Mail. In einem gängigen E-Mail-Programm können Sie den Cursor einfach mit der Maus über die Absenderzeile führen, aber ohne darauf zu klicken. Dann sehen Sie die, ob in der Absenderzeile eine andere Adresse eingebettet ist.

Bestehen nach der Überprüfung der E-Mail weiterhin Zweifel, kontaktieren Sie den Dienstleister über die Ihnen bekannten Kontaktdaten – nutzen Sie hierfür unter keinen Umständen die in der E-Mail angegebenen Daten und antworten Sie auch nicht auf diese.


WIE VERHALTE ICH MICH WENN ICH EINE PHISHING-E-MAIL ERHALTEN HABE?

Haben Sie eine eingehende E-Mail als Phishing-Versuch enttarnt, verschieben Sie die betreffende E-Mail umgehend in den Spam-Ordner. Zusätzlich können Sie eine Meldung an den „echten“ Dienstleister vornehmen sowie die Phishing-E-Mail der Verbraucherzentrale über phishing@verbraucherzentrale.nrw melden.


WAS IST ZU UNTERNEHMEN, WENN AUF EINE PHISHING-E-MAIL REAGIERT WURDE?

Sollte sich erst nach der Bearbeitung einer entsprechenden E-Mail herausstellen, dass es sich um eine Phishing-Attacke gehandelt hat, sollte das jeweilige Endgerät umgehend auf Schadsoftware überprüft werden. Wurden im Zusammenhang mit der Phishing-E-Mail-Zugangsdaten eingegeben, sind diese unverzüglich abzuändern und betroffene Nutzerkonten gegebenenfalls zu sperren (für eine anschließende Entsperrung sollten ausschließlich die neuen Zugangsdaten verwendet werden). Sofern Unternehmensdaten betroffen sind, sollte eine Strafanzeige wegen des Ausspähens von Daten erstattet werden.

Eine Reaktion auf eine Phishing-E-Mail stellt eine Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DS-GVO dar. Bei derartigen Vorkommnissen sollte demnach der betriebliche / behördliche Datenschutzbeauftragte in den Vorfall einbezogen werden. Unter Umständen erwachsen dem Verantwortlichen Melde- und Informationspflichten gemäß Art. 33 und Art. 34 DS-GVO.


FAZIT

Aufgrund der steigenden Angriffszahlen ist es ratsam die Beschäftigten auf das Thema Phishing-E-Mails zu sensibilisieren und – sofern noch nicht geschehen – notwendige Verhaltensweise wie beispielsweise Meldewege bei Datenschutzverletzungen zu implementieren und zu dokumentieren. Angebracht ist Skepsis bei E-Mails unbekannter Absender. Weiterführende Informationen zum Thema „Phishing“ sind auf den Seiten des BSI sowie auf den Seiten der Verbraucherzentrale aufrufbar. Dort finden Sie auch ein „Phishing-Radar“ mit aktuellen Meldungen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzverletzung
  • E-Mail
  • Homeoffice
  • Phishing
  • Social Engineering
Lesen