Organisatorische Unterstützung durch geteilte E-Mail-Postfächer birgt datenschutzrechtliche Risiken. b-pi sec zeigt Ihnen, wie Sie diesen Risiken entgegenwirken können 👇

Eine allseits bekannte und gängige Praxis: Generische E-Mail-Adressen und geteilte E-Mail-Postfächer erleichtern die Bearbeitung von (externen) projektbezogenen Anfragen und fördern die Erreichbarkeit an die richtige, zuständige Person sowie die Zusammenarbeit der Mitarbeiter. Aus Datenschutzsicht ist diese Praxis jedoch ein Sammelsurium an Risiken. Neben Problembereichen wie unkontrollierten Zugriffen auf (sensible) personenbezogene Daten, mangelnder Protokollierung und unklaren Verantwortlichkeiten gibt b-pi sec Ihnen Handlungsempfehlungen mit, wie Sie geteilte E-Mail-Postfächer datenschutzkonform in Ihrem Geschäftsalltag nutzen können:

• Einführung klarer Berechtigungskonzepte
  Zugriffe individuell nach dem „Need-to-know“-Prinzip regeln sowie Mitarbeitern, die die E-Mails nur „stumm mitlesen“, den Zugriff verweigern.
• Überprüfung und Anpassung aller Berechtigungen
  Insbesondere bei Ausscheiden oder Abteilungswechsel eines Mitarbeiters regelmäßige Termine und Mitarbeiterressourcen für die Überprüfung nutzen.
• Einführung von Logging- und Monitoring-Systemen
  Dadurch kann nachvollzogen werden, wer welche Änderungen vorgenommen hat. Zudem ist eine Protokollierung möglich, was das Erkennen von Datenschutzverstößen fördert. (⚠️ Aber Achtung: Überwachen der Mitarbeiter ist strikt verboten!)
• Nutzung alternativer Systeme:
  Personalisierte E-Mail-Konten mit delegierten Berechtigungen einstellen. Alternative Ticket-Systeme und CRM-Tools können Abhilfe bei der Zuweisung von Anfragen schaffen. Sie ermöglichen gezielte Zuweisungen von Anfragen und reduzieren das Risiko unbefugter Weiterleitungen.
• Einführung automatischer Workflows:
  Moderne E-Mail-Management-Systeme ermöglichen anhand eingehender Analysen und vordefinierten Regeln eine automatische Zuordnung an die zuständigen Mitarbeiter. Ein durchdachtes Berechtigungskonzept ist ausschlaggebend! (Hinweis: Hierbei wird eine konkrete Rechtsgrundlage (ggf. Art. 22 DSGVO) und eine umfassende datenschutzrechtliche Bewertung der Ist-Situation benötigt!)

Kurz gesagt: Organisatorisch sind geteilte E-Mail-Postfächer sehr praktisch, erfordern jedoch zwingend ein ordentliches Berechtigungskonzept, welches regelmäßig überprüft und mit geeigneten Schutzmaßnahmen implementiert werden muss.