Vertreterregelung - Zugriff auf Daten bei Krankheit
Hallo Zusammen,
wie regelt ihr das in euerem Unternehmen:
Mitarbeiter meldet sich krank.
Während seiner Krankheitszeit muss (dringend?) auf seine E-Mails zugegriffen werden oder eine Weiterleitung auf Kollegen X oder Vorgesetzten Y erstellt werden.
Private Nutzung ist in der Betriebsordnung/IT-Richtlinie ausgeschlossen.
Kann man als Admin eine Weiterleitung/Zugriff zu X oder Y einrichten?
Soll vorher der Mitarbeiter durch eine neutrale Person, vorzugsweise Personalabteilung wegen Datenschutz und privater Telefonnummer, kontaktiert und die Freigabe eingeholt werden? Falls Mitarbeiter nicht erreichbar ist, kann der GF seine Freigabe erteilen?
Wir sind dabei, diesen Prozess im QM-Handbuch zu definieren, hatten es so beschrieben, aber weiß nicht, ob das korrekt ist bzw. vielleicht gibt es eine Idee, die ich nicht kenne, was aber rechtlich auch dann sicher ist?
Vielen Dank!
wie regelt ihr das in euerem Unternehmen:
Mitarbeiter meldet sich krank.
Während seiner Krankheitszeit muss (dringend?) auf seine E-Mails zugegriffen werden oder eine Weiterleitung auf Kollegen X oder Vorgesetzten Y erstellt werden.
Private Nutzung ist in der Betriebsordnung/IT-Richtlinie ausgeschlossen.
Kann man als Admin eine Weiterleitung/Zugriff zu X oder Y einrichten?
Soll vorher der Mitarbeiter durch eine neutrale Person, vorzugsweise Personalabteilung wegen Datenschutz und privater Telefonnummer, kontaktiert und die Freigabe eingeholt werden? Falls Mitarbeiter nicht erreichbar ist, kann der GF seine Freigabe erteilen?
Wir sind dabei, diesen Prozess im QM-Handbuch zu definieren, hatten es so beschrieben, aber weiß nicht, ob das korrekt ist bzw. vielleicht gibt es eine Idee, die ich nicht kenne, was aber rechtlich auch dann sicher ist?
Vielen Dank!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 544550
Url: https://administrator.de/contentid/544550
Ausgedruckt am: 05.11.2024 um 00:11 Uhr
8 Kommentare
Neuester Kommentar
@westberliner:
Hallo.
Was hier juristisch korrekt wäre, weiß ich nicht, ich kann Dir nur beschreiben, wie das bei uns läuft:
Vorgesetzter des Erkrankten schreibt mir, daß ich Vertreter(in) XY direkt am Exchange die Rechte "Vollzugriff", "Senden als" und "Senden im Auftrag" geben soll. Da tu' ich dann, drucke die E-Mail aus als Beweis, daß ich dazu Weisung erhalten habe, und hefte die E-Mail in einem Leitz-Ordner ab, den ich nur für diese Fälle angelegt habe. Chronologisch sortiert. Ich denke, damit bin ich aus der Verantwortung.
Der Vertreter meldet sich neu an, öffnet sein Outlook und hat das volle Postfach seines erkrankten Kollegen eingehängt und kann vollwertig als dieser damit agieren. Solange, bis die Weisung - ebenfalls per E-Mail (die dann ebenso abgeheftet wird) - wieder rückgängig gemacht wird.
Sicherlich gibt es hierzu juristisch und technisch korrektere und elegantere Methoden, aber so wie beschrieben kommen wir so mit dem Thema bisher einwandfrei klar.
Viele Grüße
von
departure69
Hallo.
Was hier juristisch korrekt wäre, weiß ich nicht, ich kann Dir nur beschreiben, wie das bei uns läuft:
Vorgesetzter des Erkrankten schreibt mir, daß ich Vertreter(in) XY direkt am Exchange die Rechte "Vollzugriff", "Senden als" und "Senden im Auftrag" geben soll. Da tu' ich dann, drucke die E-Mail aus als Beweis, daß ich dazu Weisung erhalten habe, und hefte die E-Mail in einem Leitz-Ordner ab, den ich nur für diese Fälle angelegt habe. Chronologisch sortiert. Ich denke, damit bin ich aus der Verantwortung.
Der Vertreter meldet sich neu an, öffnet sein Outlook und hat das volle Postfach seines erkrankten Kollegen eingehängt und kann vollwertig als dieser damit agieren. Solange, bis die Weisung - ebenfalls per E-Mail (die dann ebenso abgeheftet wird) - wieder rückgängig gemacht wird.
Sicherlich gibt es hierzu juristisch und technisch korrektere und elegantere Methoden, aber so wie beschrieben kommen wir so mit dem Thema bisher einwandfrei klar.
Viele Grüße
von
departure69
Hi
ist bei uns im MA Handbuch verankert, dass Personen die keine Personalverantwortung haben Ihre Postfächer für den Vertreter freigeben müssen und auch Weiterleitungen einrichten müssen bei Abwesenheit. Ist in Summe eine organisatorische Frage, aber wenn die private Nutzung verboten wurde, steht da rechtlich auch nicht im Weg.
Wenn die private Nutzung ausgeschlossen und verboten wurde, sollte eine Anweisung des Abteilungsleiters ausreichen das der Admin den Zugriff einrichtet, ich würde das immer schriftlich per Mail machen. Wir erfassen solche Anforderungen im Ticketsystem um es nachvollziehbar zu haben.
Gruß
@clSchak
ist bei uns im MA Handbuch verankert, dass Personen die keine Personalverantwortung haben Ihre Postfächer für den Vertreter freigeben müssen und auch Weiterleitungen einrichten müssen bei Abwesenheit. Ist in Summe eine organisatorische Frage, aber wenn die private Nutzung verboten wurde, steht da rechtlich auch nicht im Weg.
Wenn die private Nutzung ausgeschlossen und verboten wurde, sollte eine Anweisung des Abteilungsleiters ausreichen das der Admin den Zugriff einrichtet, ich würde das immer schriftlich per Mail machen. Wir erfassen solche Anforderungen im Ticketsystem um es nachvollziehbar zu haben.
Gruß
@clSchak
Zitat von @westberliner:
seiner Krankheitszeit muss (dringend?) auf seine E-Mails zugegriffen werden oder eine Weiterleitung ....
seiner Krankheitszeit muss (dringend?) auf seine E-Mails zugegriffen werden oder eine Weiterleitung ....
Gibt es nicht
Es gibt namensbezogene Postfächer und funktionsbezogene Postfächer. Für die "funktionsbezogenen" haben alle, die es brauchen, auch den Zugriff. Ein Mail geht nicht an hans.maier@irgendwas sondern an personalvertreter@irgendwas oder verkauf@ ... oder einkauf@.... oder Ablage_rund@ oder Salzamt@ .............
IANAL, aber IMHO rein rechtlich seid ihr safe, wenn ihr die private Nutzung ausgeschlossen habt.
Aber oft gibt's ja Betriebsvereinbarungen und Betriebsräte usw.
Bei uns ist das so geregelt:
Wenn der Besitzer des Postfachs nicht erreichbar ist und das damit nicht selbst ändern kann, dann muss sein Vorgesetzter mit einem aus dem BR zur IT gehen und den Zugriff auf das Postfach anfordern. Das wird protokolliert. Der ITler setzt ein neues PW, lässt den Vorgesetzten in beisein des BRs auf das Postfach gucken und setzt danach wieder ein neues PW.
Weiterleitungen einrichten erfolgt auch nur durch Anforderung des Vorgesetzten und nur wenn er dabei bestätigt das er versucht hat den MA zu erreichen bzw er das halt eben nicht selbst machen kann.
Was ich aber unabhängig von einer BV nicht machen würde, wäre, den Zugriff ohne schriftliche Anforderung und ohne Protokoll zu geben. CYA. Immer.
Aber oft gibt's ja Betriebsvereinbarungen und Betriebsräte usw.
Bei uns ist das so geregelt:
Wenn der Besitzer des Postfachs nicht erreichbar ist und das damit nicht selbst ändern kann, dann muss sein Vorgesetzter mit einem aus dem BR zur IT gehen und den Zugriff auf das Postfach anfordern. Das wird protokolliert. Der ITler setzt ein neues PW, lässt den Vorgesetzten in beisein des BRs auf das Postfach gucken und setzt danach wieder ein neues PW.
Weiterleitungen einrichten erfolgt auch nur durch Anforderung des Vorgesetzten und nur wenn er dabei bestätigt das er versucht hat den MA zu erreichen bzw er das halt eben nicht selbst machen kann.
Was ich aber unabhängig von einer BV nicht machen würde, wäre, den Zugriff ohne schriftliche Anforderung und ohne Protokoll zu geben. CYA. Immer.
Sers,
in unserem Fall recht einfach:
Unterordner aus dem Emailpostfach werden nicht benötigt, die relevanten Vorgänge und Historien sind im ERP hinterlegt.
Grüße,
Philip
in unserem Fall recht einfach:
- Privatnutzung verboten
- Klare Vertreterregelung: primärer und sekundärer Vertreter
- Klare Kommunikation, dass der Manager und die beiden benannten Vertreter bei Abwesendheit automatisch Zugriff auf den Eingang vom Emailpostfach erhalten (hängt am Kalender der Zeiterfassung)
- Wenn weitere Personen Zugriff wollen dürfen sich bei uns DSB und GF drum streiten. BR gibts keinen.
Unterordner aus dem Emailpostfach werden nicht benötigt, die relevanten Vorgänge und Historien sind im ERP hinterlegt.
Grüße,
Philip
Von der technischen Umsetzung habe ich keine Ahnung.
Aber dass die Sache "safe" ist, wenn man eine private Nutzung ausschliesst, kann ich nicht bestätigen.
Denn wie immer kommt es auf den Einzelfall an.
Es gibt Gerichtsurteile, wo z.B. das Unternehmen eine private Nutzung verboten hat, die Mitarbeiter aber dennoch Mail und Web für eigene Zwecke nutzten und das Unternehmen von dieser Nutzung sowohl wusste als auch nichts dagegen unternahm. Daraus wurde dann so etwas wie eine "betriebliche Übung". Was bedeutet, dass die private Nutzung doch erlaubt war und damit z.B. bei den Mails das "Postgeheimnis" gilt. Die - womöglich verdeckte - unbefugte Einsichtnahme in private Mails ist eine Straftat.
Außerdem gibt es in fast allen Unternehmen mit mehr als ein paar Mitarbeitern Stellen, die einen besonderen Vertrauensschutz geniessen, wie z.B. Personal- und Betriebsräte, Datenschutzbeauftragte oder Leute, die fürs BEM zuständig sind (betriebliches Eingliederungsmanagement bei Krankheit).
Die Einsichtnahme in deren Mails ist - auch wenn das Unternehmen eine private Nutzung verbietet - nicht erlaubt. Eine automatisierte Weiterleitung ebenfalls nicht. Bei vertraulichen Mails an Datenschutzbeauftragte wäre das z.B. ein klarer Verstoß gegen DSGVO bzw. BDSG, was die Beschäftigtendaten sowieso unter besonderem Schutz stellt.
Wenn die ganzen "besonderen Postfächer" allerdings mit Sicherheit von Weiterleitungen oder Ausspähmaßnahmen ausgenommen werden können, dann stünde aus meiner Sicht nichts dagegen, wenn qualifizierte Personen Einsicht in die Postfächer bekommen.
Bei automatischen Weiterleitungen muss man aus Datenschutzgründen vorsichtig sein, denn ein Absender einer Mail wird meist nicht wissen, dass seine Mail weitergeleitet wird. Er/sie könnte z.B. eine Mail mit privatem Inhalt an einen Mitarbeiter senden, ohne damit zu rechnen, dass die an "alle@unternehmen" weitergeleitet wird.
Weil es eben KEIN einfaches Thema ist, würde ich dringend dazu raten, mit einem Datenschutzbeauftragten bzw. Anwalt zu reden, damit das rechtlich sicher wird. Und ansonsten (wie ein paar VorrednerInnen auch schon anmerkten): als Admin niemals von sich aus irgendwas weiterleiten oder irgendwo reingucken. Die Anweisungen dazu immer schriftlich und nachvollziehbar anfordern (zumindest in Textform bzw. als Mail).
Aber dass die Sache "safe" ist, wenn man eine private Nutzung ausschliesst, kann ich nicht bestätigen.
Denn wie immer kommt es auf den Einzelfall an.
Es gibt Gerichtsurteile, wo z.B. das Unternehmen eine private Nutzung verboten hat, die Mitarbeiter aber dennoch Mail und Web für eigene Zwecke nutzten und das Unternehmen von dieser Nutzung sowohl wusste als auch nichts dagegen unternahm. Daraus wurde dann so etwas wie eine "betriebliche Übung". Was bedeutet, dass die private Nutzung doch erlaubt war und damit z.B. bei den Mails das "Postgeheimnis" gilt. Die - womöglich verdeckte - unbefugte Einsichtnahme in private Mails ist eine Straftat.
Außerdem gibt es in fast allen Unternehmen mit mehr als ein paar Mitarbeitern Stellen, die einen besonderen Vertrauensschutz geniessen, wie z.B. Personal- und Betriebsräte, Datenschutzbeauftragte oder Leute, die fürs BEM zuständig sind (betriebliches Eingliederungsmanagement bei Krankheit).
Die Einsichtnahme in deren Mails ist - auch wenn das Unternehmen eine private Nutzung verbietet - nicht erlaubt. Eine automatisierte Weiterleitung ebenfalls nicht. Bei vertraulichen Mails an Datenschutzbeauftragte wäre das z.B. ein klarer Verstoß gegen DSGVO bzw. BDSG, was die Beschäftigtendaten sowieso unter besonderem Schutz stellt.
Wenn die ganzen "besonderen Postfächer" allerdings mit Sicherheit von Weiterleitungen oder Ausspähmaßnahmen ausgenommen werden können, dann stünde aus meiner Sicht nichts dagegen, wenn qualifizierte Personen Einsicht in die Postfächer bekommen.
Bei automatischen Weiterleitungen muss man aus Datenschutzgründen vorsichtig sein, denn ein Absender einer Mail wird meist nicht wissen, dass seine Mail weitergeleitet wird. Er/sie könnte z.B. eine Mail mit privatem Inhalt an einen Mitarbeiter senden, ohne damit zu rechnen, dass die an "alle@unternehmen" weitergeleitet wird.
Weil es eben KEIN einfaches Thema ist, würde ich dringend dazu raten, mit einem Datenschutzbeauftragten bzw. Anwalt zu reden, damit das rechtlich sicher wird. Und ansonsten (wie ein paar VorrednerInnen auch schon anmerkten): als Admin niemals von sich aus irgendwas weiterleiten oder irgendwo reingucken. Die Anweisungen dazu immer schriftlich und nachvollziehbar anfordern (zumindest in Textform bzw. als Mail).