Mit Bescheid vom 7. Dezember 2022 hat sich die Datenschutzbehörde mit der Frage auseinandergesetzt, ob die Kontrolle von E-Mail-Protokollen von MitarbeiterInnen aus datenschutzrechtlicher Sicht zulässig ist.
Das Verfahren wurde auf Grund der Beschwerde dreier Angestellter gegen die Beschwerdegegnerin eingeleitet, welche eine Verletzung im Grundrecht auf Geheimhaltung nach § 1 Abs. 1 Datenschutzgesetz (DSG) behaupteten. Zusammengefasst wurde vorgebracht, dass die Beschwerdegegnerin – ohne Einwilligung und Kenntnis der Beschwerdeführer – die technischen Mail-Serverprotokolle aller 6.000 Angestellten auf eine spezifische Emfängerdomain überprüft habe. Anlass für diese Kontrollmaßahme sei der Verdacht einer Verletzung des Geschäftsgeheimnisses gewesen.
Die Datenschutzbehörde sprach im vorliegenden Fall aus, dass die Beschwerdegegnerin eine gesetzliche Grundlage benötigt, um eine solche Kontrollmaßahme durchzuführen. Eine hinreichend determinierte gesetzliche Grundlage für eine derartige Kontrollmaßnahme war im gegenständlichen Fall nicht ersichtlich.
Unter der Annahme, dass die Beschwerdegegnerin sich auf berechtigte Interessen iSd § 1 Abs. 2 DSG bzw. Art. 6 Abs. 1 lit. f DSGVO stützen könnte, würde eine solche Interessenabwägung gegen die Beschwerdegegnerin ausfallen. Die Datenschutzbehörde kam zu dem Ergebnis, dass die Kontrollmaßnahme, die erst sechs Monate nach dem anlassgebenden Vorfall stattgefunden hat, auf Grund des fehlenden zeitlichen Konnexes und der Aktualität nicht verhältnismäßig war. Im Rahmen der Interessenabwägung war auch als Faktor zu berücksichtigen, dass nach Ansicht der Datenschutzbehörde keine gültige Zustimmung des Betriebsrats vorhanden war.
Im Ergebnis wurde ausgesprochen, dass eine Verletzung im Recht auf Geheimhaltung vorliegt. Dieser Bescheid ist nicht rechtskräftig.
Quelle: DSB Österreich