Salta al contenuto
PL Consulting
IT DE
Mit einem Berater sprechen

← Alle

Der Garante della Privacy hat eine öffentliche Einrichtung (CNPI) mit 3.000 Euro Bußgeld belegt, weil diese am Ende des…

Garante per la protezione dei dati personali · IT · 29. April 2026 · Sanktion € 3.000

Vollständigen Beschluss lesen ↗

Auf einen Blick

Der Garante della Privacy hat eine öffentliche Einrichtung (CNPI) mit 3.000 Euro Bußgeld belegt, weil diese am Ende des Mandats eines ihrer Ratsmitglieder dessen institutionelles E-Mail-Postfach nicht geschlossen hat. Stattdessen leitete sie alle an ihn gerichteten E-Mails an ein Gruppenpostfach um, das vielen Personen der Einrichtung zugänglich war. Dies wurde als unrechtmäßig angesehen, da es ohne triftigen Grund (Rechtsgrundlage) und ohne Information Dritter erfolgte, was die Privatsphäre sowohl des ehemaligen Ratsmitglieds als auch der Absender verletzte.

Was zu tun ist

  • Wenn Ihr Unternehmen ein Arbeitsverhältnis oder eine Tätigkeit beendet, stellen Sie sicher, dass die E-Mail-Konten korrekt deaktiviert werden.
  • Erstellen Sie keine automatischen Weiterleitungen an Gruppenpostfächer ohne triftigen Grund und ohne alle zu informieren.
  • Wenn eine Person das Unternehmen verlässt, richten Sie eine automatische Antwort ein, um Absender zu informieren, dass die E-Mail nicht mehr aktiv ist, und geben Sie einen allgemeinen alternativen Kontakt des Unternehmens an.
  • Seien Sie immer klar und transparent gegenüber Ihren Mitarbeitern und Kollegen, wie ihre E-Mails verwaltet werden, insbesondere nach Beendigung des Verhältnisses.

Was zu vermeiden ist

  • Lesen Sie keine persönlichen (oder auch institutionellen) E-Mails ehemaliger Mitarbeiter ohne Genehmigung oder eine klare Rechtsgrundlage.
  • Lassen Sie E-Mail-Postfächer von Personen, die das Unternehmen verlassen haben, nicht offen oder leiten Sie diese nicht weiter, ohne ein transparentes und DSGVO-konformes Verfahren definiert zu haben.
  • Unterschätzen Sie nicht die Bedeutung der Datenschutzerklärung: Sie muss klar sein und alle Praktiken im Zusammenhang mit der E-Mail-Verwaltung abdecken.

Hintergrund

Herr XX, ehemaliges Mitglied des Nationalen Rates der Wirtschaftsingenieure und Graduierten Wirtschaftsingenieure (CNPI), hat Beschwerde eingelegt, da nach Beendigung seiner Amtszeit sein individuelles E-Mail-Postfach nicht deaktiviert wurde. Stattdessen wurde ein automatisches Weiterleitungssystem (Alias) eingerichtet, das alle Nachrichten von seinem individuellen Postfach ([nome].[cognome]@cnpi.it) an ein kollektives Postfach (cnpi@cnpi.it) weiterleitete. Dieses kollektive Postfach war 7 Mitarbeitern und 11 Ratsmitgliedern des CNPI zugänglich. Der CNPI begründete diese etwa zwei Jahre lang praktizierte Vorgehensweise als notwendig, um die Kontinuität der institutionellen Aktivitäten während einer Wahlprüfung und der Einsetzung des neuen Rates zu gewährleisten. Der Garante leitete eine Untersuchung ein und benachrichtigte den CNPI über die Einleitung des Verfahrens wegen unrechtmäßiger Datenverarbeitung und mangelnder Transparenz, wobei er die Verletzung von Art. 5 Abs. 1 lit. a), 6, 12, 13 und 14 der Verordnung rügte.

Die Entscheidung

Der Garante für den Schutz personenbezogener Daten erklärte die Unrechtmäßigkeit der vom Nationalen Rat der Wirtschaftsingenieure und Graduierten Wirtschaftsingenieure (CNPI) durchgeführten Verarbeitung personenbezogener Daten. Die Maßnahme stellte die Verletzung der Artikel 5 Absatz 1 Buchstabe a) (Grundsätze der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz), 6 (Rechtmäßigkeit der Verarbeitung), 12 (Transparenz der Kommunikation), 13 (Informationspflicht bei Erhebung von Daten bei der betroffenen Person) und 14 (Informationspflicht, wenn die Daten nicht bei der betroffenen Person erhoben wurden) der DSGVO-Verordnung fest. Die Verletzung bestand in der Einrichtung eines „Alias“ für das individuelle E-Mail-Postfach des Beschwerdeführers, eines ehemaligen Ratsmitglieds, nach Beendigung seiner Amtszeit, wobei die Nachrichten an ein kollektives Postfach umgeleitet wurden, das zahlreichen Mitarbeitern und Ratsmitgliedern des CNPI zugänglich war. Der Garante befand, dass diese Verarbeitung ohne gültige Rechtsgrundlage und unter Verletzung der berechtigten Erwartung der Vertraulichkeit des Beschwerdeführers und der dritten Absender sowie des Transparenzgebots erfolgte. Die Argumente des CNPI bezüglich der institutionellen Kontinuität wurden zurückgewiesen. Der Garante stufte die Schwere der Verletzung als „mittel“ ein, und da das rechtswidrige Verhalten mit der Deaktivierung des Alias bereits beendet war, wurden keine weiteren Korrekturmaßnahmen gemäß Art. 58 Abs. 2 der Verordnung auferlegt. Es wurde eine Geldbuße von 3.000 Euro verhängt und die Veröffentlichung der Bußgeldverfügung auf der Website des Garante angeordnet.

Ratio decidendi Die Ratio Decidendi basiert auf der Verletzung der Grundsätze der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz (Art. 5 Abs. 1 lit. a) und 12 DSGVO) sowie dem Fehlen einer Rechtsgrundlage (Art. 6 DSGVO) für die Verarbeitung personenbezogener Daten. Der Garante bekräftigte, dass die elektronische Korrespondenz, auch im Arbeits- oder institutionellen Kontext, einer geschützten Erwartung der Vertraulichkeit unterliegt. Nach Beendigung einer Tätigkeit ist der Verantwortliche verpflichtet, das individuelle Konto zu deaktivieren und automatische Systeme zu implementieren, um Absender über die Beendigung zu informieren und alternative Adressen bereitzustellen, ohne auf den Inhalt eingehender Mitteilungen zuzugreifen. Die automatische Weiterleitung (Alias) an ein kollektives Postfach, das einer Vielzahl von Personen zugänglich ist, stellt eine unbefugte Verarbeitung und eine unrechtmäßige Übermittlung personenbezogener Daten dar. Darüber hinaus verletzt die mangelnde Information des Beschwerdeführers und der dritten Absender bezüglich dieser Praxis die Transparenzpflichten gemäß Art. 12, 13 und 14 der Verordnung. Die Notwendigkeit der institutionellen Kontinuität rechtfertigt solche Verstöße nicht, da weniger invasive und DSGVO-konformere Maßnahmen hätten ergriffen werden können.

Verletzte DSGVO-Artikel

ArtikelBeschreibungRelevanz
5 par.1 lett.a
GDPR 		Grundsätze der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz der cnpi hat die personenbezogenen daten des beschwerdeführers und dritter durch automatische weiterleitung ohne rechtsgrundlage und ohne information der betroffenen personen verarbeitet, wodurch diese grundsätze verletzt wurden.
6
GDPR 		Rechtmäßigkeit der Verarbeitung die verarbeitung der e-mail-nachrichten, einschließlich des zugriffs und der weitergabe an interne dritte der einrichtung, erfolgte ohne eine gültige rechtsgrundlage.
12
GDPR 		Transparenz der Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person der cnpi hat keine klaren und verständlichen informationen über die praxis der automatischen e-mail-weiterleitung bereitgestellt, wodurch die transparenz der verarbeitung verhindert wurde.
13
GDPR 		Informationspflicht bei Erhebung von Daten bei der betroffenen Person der beschwerdeführer wurde weder über die einrichtung des alias noch über die weiterleitung seiner post informiert, obwohl er die primäre betroffene person war.
14
GDPR 		Informationspflicht, wenn die Daten nicht bei der betroffenen Person erhoben wurden die absender, deren daten über den alias verarbeitet und übermittelt wurden, wurden nicht darüber informiert, dass ihre nachrichten nicht direkt vom vorgesehenen empfänger empfangen, sondern an ein kollektives postfach weitergeleitet wurden.

Auferlegte Maßnahmen

Zahlung einer Geldbuße; Veröffentlichung der Maßnahme auf der Website des Garante

Sanktion

Administrativrechtliche Geldbuße wegen Verletzung der Art. 5 Abs. 1 lit. a), 6, 12, 13 und 14 der Verordnung. Die Sanktion wurde unter Berücksichtigung der Verletzung der berechtigten Erwartung der Vertraulichkeit, der etablierten Praxis, des fahrlässigen Charakters des Verhaltens (fehlerhafte Auslegung des Rechtsrahmens im öffentlichen Interesse), der guten Zusammenarbeit des CNPI und des Fehlens relevanter Vorverstöße festgelegt.

Fristen: innerhalb von 30 Tagen nach Zustellung dieser Maßnahme

Praktische Auswirkungen

Diese Maßnahme unterstreicht die Bedeutung der korrekten Verwaltung von E-Mail-Postfächern, insbesondere derjenigen, die Mitarbeitern oder Beauftragten zugewiesen sind, nach Beendigung des Arbeitsverhältnisses oder Mandats. Auch für öffentliche Einrichtungen und Berufsverbände ist die Erwartung der Vertraulichkeit bei der Korrespondenz ein Kernprinzip. Es reicht nicht aus, institutionelle Kontinuitätsbedürfnisse geltend zu machen, um den Zugriff oder die allgemeine Weiterleitung von E-Mails an kollektive Postfächer zu rechtfertigen. Organisationen müssen klare Verfahren einführen, die die Deaktivierung individueller Konten, die Verwendung automatischer Antworten zur Information der Absender und die Angabe alternativer und institutioneller Kontaktkanäle vorsehen. Das Fehlen von Transparenz und einer gültigen Rechtsgrundlage für die Verarbeitung und Übermittlung von Daten, auch innerhalb der Organisation, kann Sanktionen nach sich ziehen.

Zu vermeidende Fehler

  • E-Mails von Einzelpersonen nicht automatisch an Sammelpostfächer weiterleiten, ohne Rechtsgrundlage und Information.
  • Nicht auf den Inhalt individueller E-Mails von ehemaligen Mitarbeitern/Beauftragten zugreifen.
  • Keine entscheidenden Informationen in den Datenschutzerklärungen bezüglich der E-Mail-Verwaltung weglassen.
  • Die Vertraulichkeitserwartung auch bei institutioneller Korrespondenz nicht außer Acht lassen.

Fragen zur Selbsteinschätzung

  • Haben wir eine Richtlinie für die Verwaltung von E-Mail-Postfächern von ausgeschiedenen Beauftragten/Mitarbeitern?
  • Deckt unsere Datenschutzerklärung die Verarbeitung von E-Mails angemessen ab?
  • Gibt es Mechanismen zur Weiterleitung oder zum Zugriff auf individuelle Postfächer durch andere Personen?
  • Haben wir eine klare Rechtsgrundlage für den Zugriff auf oder die Weiterleitung von E-Mails ehemaliger Beauftragter?
  • Gewährleisten unsere E-Mail-Verwaltungssysteme Vertraulichkeit und Transparenz?

Verweise

EDPB-Leitlinien: Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR

Nationales Recht: D.Lgs. 196/2003 · l. 24 novembre 1981, n. 689 · D.Lgs. 10 agosto 2018, n. 101 · Codice Privacy art. 157 · Codice Privacy art. 166 · Codice Privacy art. 168 · Codice Privacy art. 152 · Codice Privacy art. 2-ter · Codice Privacy art. 2-sexies · Codice Penale art. 616 · Costituzione art. 2 · Costituzione art. 15 · D.Lgs. 82/2005 (Codice dell'amministrazione digitale) art. 49 · D.Lgs. 150/2011 art. 10

Anmerkungen

Die Maßnahme nennt als mildernden Umstand den fahrlässigen Charakter des Verhaltens des CNPI, der auf eine fehlerhafte Auslegung des Rechtsrahmens zurückzuführen ist, wobei im Glauben gehandelt wurde, dem öffentlichen Interesse zu dienen. Trotz des öffentlichen Charakters der Einrichtung und der angeführten institutionellen Kontinuität bekräftigte der Garante die Unverletzlichkeit der Vertraulichkeitserwartung bei der Korrespondenz.

Verwandte Entscheidungen

[1387522] Beschluss Nr. 1387522
[10026277] Beschluss Nr. 10026277
[10140282] Beschluss Nr. 10140282
[9942133] Beschluss Nr. 9942133
[9920814] Beschluss Nr. 9920814