E-Mail am Arbeitsplatz, Zugriffsmöglichkeit des Arbeitgebers, Beschäftigtendatenschutz und das Fernmeldegeheimnis – auch unter der Datenschutz-Grundverordnung (DSGVO) und dem neuen Bundesdatenschutzgesetzes (BDSG) taucht immer wieder die Frage auf, ob, in welchem Umfang und wie Arbeitgeber auf die E-Mail-Postfächer ihrer Mitarbeiter zugreifen dürfen. Dieser Beitrag gibt einen Überblick über die wesentlichen Fragen an der Schnittstelle von Arbeitsrecht, Datenschutzrecht und Telekommunikationsrecht und bietet erste Lösungsvorschläge mit Praxistipps für Unternehmen.
Inhalt
Zugriffsmöglichkeiten auf betriebliche E-Mail-Accounts: Worum geht es?
Nicht immer geht es Arbeitgebern darum, das Verhalten oder die Leistung der Mitarbeiter zu kontrollieren. Viel häufiger dürfte das Bedürfnis, auf den betrieblichen E-Mail-Account eines Mitarbeiters zuzugreifen, spontan und ungeplant entstehen: Der Mitarbeiter ist krank, oder der Mitarbeiter ist aus einem anderen Grund länger abwesend, z.B. wegen Urlaub oder Elternzeit, und für diese Fälle sind keine Vorkehrungen getroffen worden.
Schwierig wird es vor allem, wenn die Mitarbeiter ihr Postfach nicht nur für dienstliche E-Mails nutzen dürfen, sondern auch für private Nachrichten. Das gilt zunächst für Arbeitnehmer und andere Beschäftigte. Ähnliche Rechtsfragen stellen sich, wenn es nicht um das E-Mail-Konto eines Arbeitnehmers geht, sondern um den Account eines Geschäftsführers oder Vorstandes, der kein Gesellschafter ist und keinen maßgeblichen Einfluss auf die Gesellschafterversammlung hat, sondern mit dem Unternehmen in einem Vertragsverhältnis steht.
Zugriffsmöglichkeiten auf betriebliche E-Mail-Accounts: Grundsätze
Durch die Brille des Datenschutzrechts betrachtet, beinhaltet jeder Zugriff auf ein E-Mail-Postfach grundsätzlich eine Verarbeitung personenbezogener Daten. Auch unter der DSGVO und dem neuen BDSG gilt im Datenschutzrecht das „Verbot mit Erlaubnisvorbehalt“: Die Verarbeitung personenbezogener Daten ist nur dann zulässig, wenn sie entweder durch einen gesetzlichen Erlaubnistatbestand oder durch eine wirksame Einwilligung der betroffenen Person legitimiert ist. Dabei kommt es nicht darauf an, ob es sich um personenbezogene Daten von Arbeitnehmern oder von Geschäftsführern handelt.
_ Erlaubnistatbestand für Zugriff auf E-Mail-Postfächer von Beschäftigten
Arbeitgeber können sich bei der Verarbeitung personenbezogener Daten ihrer Beschäftigten grundsätzlich auf § 26 Absatz 1 Satz 1 BDSG berufen. Diese Norm erlaubt die Verarbeitung personenbezogener Daten von Beschäftigten unter anderem dann, wenn dies zur Durchführung des Beschäftigungsverhältnisses erforderlich ist. Notwendig ist dabei immer eine Verhältnismäßigkeitsprüfung: Die Interessen des Arbeitgebers, auf das E-Mail-Postfach zugreifen zu können, sind gegen die Interessen des Beschäftigten abzuwägen, dass der Zugriff auf dessen Account unterbleibt.
_ Erlaubnistatbestand für Zugriff zur Aufdeckung von Straftaten
§ 26 Absatz 1 Satz 2 BDSG beinhaltet einen besonderen Erlaubnistatbestand wenn es darum geht, sich zur Aufdeckung von Straftaten Zugang zu dem E-Mail-Account eines Beschäftigten zu verschaffen. Auch hier ist eine Verhältnismäßigkeitsprüfung erforderlich, die sehr strengen Maßstäben unterliegt.
_ Erlaubnistatbestand für Zugriff auf E-Mail-Postfächer von Geschäftsführern und Vorständen
Welche Personen zu den Beschäftigten im Sinne des BDSG zählen, ergibt sich aus § 26 Abs. 8 BDSG. Geschäftsführer oder Vorstände sind dort nicht mit aufgezählt. Auf sie ist § 26 BDSG also mangels Beschäftigteneigenschaft nicht anwendbar.
Ermächtigungsgrundlage für den Zugriff auf das E-Mail-Postfach eines Geschäftsführers oder Vorstandes ist vielmehr Art. 6 Absatz 1 lit. f DSGVO. Hiernach muss der Arbeitgeber ein berechtigtes Interesse am Zugriff auf den E-Mail-Account haben. Erneut ist eine Verhältnismäßigkeitsprüfung erforderlich: Eine Abwägung der Interessen des Arbeitgebers gegen diejenigen des Geschäftsführers oder Vorstandes muss zu Gunsten des Arbeitgebers ausfallen.
_ Weitere Einschränkung durch Gebot der Datenminimierung
Unabhängig davon, ob es um den E-Mail-Account eines Beschäftigten geht oder um den eines Geschäftsführers oder Vorstandes: Eine weitere Einschränkung der Zugriffsrechte ergibt sich aus dem Grundsatz der Datenminimierung, Art. 5 Absatz 1 lit. c DSGVO. Die Verarbeitung personenbezogener Daten muss dem Zweck der Verarbeitung angemessen und erheblich sowie auf das notwendige Maß beschränkt sein. Das Prinzip des Jägers und Sammlers ist im Datenschutzrecht ausgeschlossen – eine übermäßige und betrieblich nicht mehr Datenverarbeitung ist unzulässig.
Rein dienstliche Nutzung des E-Mail-Postfachs
Aus der Sicht des Arbeitgebers ziemlich eindeutig und einfach ist die Sach- und Rechtslage, wenn der E-Mail-Account nur für die dienstliche Kommunikation verwendet werden darf.
_ Verbot der Privatnutzung
Ein dienstliches E-Mail-Postfach ist Betriebsmittel. Stellt der Arbeitgeber Betriebsmittel zur Verfügung, ohne die Privatnutzung ausdrücklich zuzulassen, gilt der Grundsatz, dass derartige Betriebsmittel nur dienstlich genutzt werden dürfen und deshalb eine Privatnutzung verboten ist.
_ Zugriff auf E-Mail-Postfächer von Beschäftigten
§ 26 Abs. 1 Satz 1 BDSG ist Rechtsgrundlage, wenn der Beschäftigte abwesend ist und es deshalb erforderlich ist, auf dessen E-Mail-Postfach zuzugreifen: Der Zugriff auf das E-Mail-Postfach ist zur Durchführung des Beschäftigungsverhältnisses erforderlich. In dieser Zeit können die eingehenden E-Mails also mitgelesen werden.
_ Zugriff zur Aufdeckung von Straftaten
§ 26 Abs. 1 Satz 1 BDSG hingegen ist Rechtsgrundlage, wenn der Arbeitgeber dagegen auf das E-Mail-Postfach eines Beschäftigten zugreifen will, weil er eine mögliche Pflichtverletzung des Beschäftigten aufklären möchte, um dann gegebenenfalls gegen den Beschäftigten arbeitsrechtliche Sanktionen wie etwa Abmahnung oder Kündigung in die Wege zu leiten. Hierzu müssen mehrere Voraussetzungen erfüllt sein:
Voraussetzung 1 – der Beschäftigte muss im Verdacht stehen, die Straftat im Beschäftigungsverhältnis begangen haben. Eine Straftat, die mit dem Beschäftigungsverhältnis nichts zu tun hat, kommt also nicht in Betracht.
Voraussetzung 2 – der Verdacht muss sich auf tatsächliche Anhaltspunkte stützen, die zu dokumentieren sind. Ein vages Bachgefühl reicht also nicht aus.
Voraussetzung 3 – der Zugriff auf das E-Mail-Postfach muss erforderlich sein, um die Straftat aufzudecken. Kann der Verdacht auf andere Weise erhärtet oder ausgeräumt werden, ist der Zugriff auf das E-Mail-Postfach unzulässig.
Voraussetzung 4 – die Verhältnismäßigkeit muss gewahrt werden. Das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Verarbeitung darf nicht überwiegen. Insbesondere dürfen Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sein. Hier spielt wieder der Grundsatz der Datenminimierung gemäß Art. 5 Absatz 1 lit. c DSGVO eine Rolle: Der Zugriff auf das E-Mail-Postfach ist nur in demjenigen Umfang zulässig, wie er erforderlich ist, um den Verdacht der Pflichtverletzung aufzuklären. Es dürfen also nicht alle E-Mails überprüft werden. Vielmehr ist die Überprüfung auf denjenigen Zeitraum beschränkt, der für die Pflichtverletzung relevanten ist.
Aus dem Verhältnismäßigkeitsgrundsatz kann sich darüber hinaus die Pflicht ergeben, den Beschäftigten im Nachhinein) über den Zugriff zu informieren.
_ Persönlichkeitsrecht des Beschäftigten
Bei rein dienstlich veranlasster Nutzung des E-Mail-Accounts ist das Persönlichkeitsrecht des Beschäftigten nur in geringem Maß betroffen. Eine Interessenabwägung im Rahmen der Verhältnismäßigkeitsprüfung wird deshalb der Regel zugunsten der unternehmerischen Freiheit des Arbeitgebers ausfallen. Dies gilt wohl auch, wenn der Beschäftigte sein dienstliches E-Mail-Postfach pflichtwidrig auch privat nutzt. Schließlich stellt in diesem Fall jede private Nutzung schon eine arbeitsvertragliche Pflichtverletzung des Beschäftigten dar. Der pflichtwidrig handelnde Beschäftigte kann einem Zugriff auf das E-Mail-Postfach deshalb grundsätzlich kein schützenswertes Interesse entgegenhalten.
_ Zugriff auf E-Mail-Postfächer von Geschäftsführern und Vorständen
Handelt es sich nicht um Beschäftigte, sondern um Geschäftsführer oder Vorstände, sind ähnliche Erwägungen vorzunehmen.
Rechtsgrundlage für den Zugriff ist Art. 6 Absatz 1 lit. f DSGVO. Ist die Nutzung des E-Mail-Accounts nur zu dienstlichen Zwecken gestattet, sind im Rahmen der Verhältnismäßigkeitsprüfung die berechtigten Interessen des Arbeitgebers an einem Zugriff in der Regel höher zu bewerten als die Interessen des Geschäftsführers oder Vorstandes, dass der Zugriff unterbleibt.
Zu beachten ist auch, dass der betroffene Geschäftsführer oder Vorstand bei einer auf Art. 6 Absatz 1 lit. f DSGVO gestützten Datenverarbeitung der betroffene Geschäftsführer nach Art. 21 DSGVO ein Widerspruchsrecht gegen die Verarbeitung hat. Widerspricht der Geschäftsführer oder Vorstand, so ist ein Zugriff auf dessen E-Mail-Postfach zunächst nicht mehr zulässig. Aber auch hier greift eine Interessenabwägung: Kann der Arbeitgeber zwingende schutzwürdige Gründe für den Zugriff nachweisen, die die Interessen des Geschäftsführers überwiegen, oder dient die Datenverarbeitung dazu, Rechtsansprüchen des Arbeitgebers gegen den Geschäftsführer oder Vorstand auszuüben oder zu verteidigen, bleibt der Widerspruch möglicherweise unbeachtlich. Bei einem Widerspruch ist also eine zusätzliche, strengen Anforderungen unterliegende, Interessensabwägung und Zweckkontrolle durchzuführen.
Privatnutzung des E-Mail-Postfachs ausdrücklich erlaubt
Erlaubt der Arbeitgeber, das E-Mail-Postfach nicht nur für die dienstliche Korrespondenz, sondern zusätzlich auch für private Nachrichten zu nutzen, wird es kompliziert. Bei ausdrücklich gestatteter Privatnutzung von betrieblichen E-Mail-Accounts ist nämlich umstritten, zusätzlich zum Datenschutzrecht das Fernmeldegeheimnis nach § 88 Telekommunikationsgesetz (TKG) gilt. Das Fernmeldegeheimnis hätte zur Folge, dass ein unberechtigter Zugriff auf das E-Mail-Postfach gemäß § 206 StGB strafbar wäre, und zwar unabhängig davon, ob es sich bei der betroffenen Person um einen Beschäftigten oder um einen Geschäftsführer oder Vorstand handelt.
_ Arbeitgeber = Diensteanbieter?
Das TKG würde eingreifen, wenn der Arbeitgeber Diensteanbieter im Sinne von § 3 Nr. 6 TKG wäre. Nach dieser Vorschrift ist „Diensteanbieter“ jeder, der ganz oder teilweise geschäftsmäßig Telekommunikationsdienste erbringt oder an der Erbringung solcher Dienste mitwirkt. „Geschäftsmäßig“ bedeutet hierbei nicht, dass der eigentliche Unternehmenszweck darin besteht, Telekommunikationsdienstleistungen anzubieten, wie dies beispielsweise bei E-Mail-Dienstleistern wie 1&1, GMX oder der Deutschen Telekom der Fall ist. Es genügt, dass im Rahmen des Unternehmens, über die betriebliche IT-Infrastruktur, solche Telekommunikationsdienste erbracht werden.
_ Aufsichtsbehörden für Diensteanbieter-Eigenschaft
Mehrere Aufsichtsbehörden, unter anderem das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), bejahen diese Diensteanbieter-Eigenschaft. In der vom BayLDA redaktionell bearbeiteten „Orientierungshilfe der Datenschutzaufsichtsbehörden zur datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz“ heißt es unter B II 1 und der Überschrift „Nutzung des betrieblichen E-Mail-Accounts“ ausdrücklich:
„Ist die private E-Mail-Nutzung erlaubt (oder gilt sie als erlaubt, (…)), ist der Arbeitgeber gegen-über den Beschäftigten und ihren Kommunikationspartnern zur Einhaltung des Fernmeldegeheimnisses verpflichtet.“
Das Fernmeldegeheimnis gelte jedenfalls, solange der Übertragungsvorgang in Bezug auf die betreffende E-Mail noch nicht beendet sei. Bei Einsatz von in der Praxis üblichen IMAP-Protokollen oder von Exchange-Postfächern sei dies regelmäßig der Fall, da die E-Mail bei jedem Zugriff neu übertragen werde.
Da es sich um eine (gemeinsame) Orientierungshilfe der Datenschutzaufsichtsbehörden handelt, ist davon auszugehen, dass dies die Aufsichtsbehörden der anderen Bundesländer ebenso sehen. Folgt man dieser Auffassung, ist das Fernmeldegeheimnis also bei erlaubter Privatnutzung immer zu beachten.
_ Bundesverfassungsgericht: Umfang des Fernmeldegeheimnisses
Das Bundesverfassungsgericht entschied mit Beschluss vom 16.06.2009, Az. 2 BvR 902/06, dass der Schutz des Fernmeldegeheimnisses fortbesteht, solange der Arbeitgeber ungehindert auf die E-Mails zugreifen kann.
Konsequenz: Unterliegt der Arbeitgeber dem Fernmeldegeheimnis, weil er auch die Privatnutzung des E-Mail-Accounts erlaubt, macht sich der Arbeitgeber durch eine Einsichtnahme in die E-Mail-Korrespondenz nach § 206 StGB strafbar, ist also eine rechtlich zulässige Inhaltskontrolle der E-Mail-Konten durch den Arbeitgeber weitgehend ausgeschlossen.
_ Uneinheitliche Rechtsprechung der übrigen Gerichte
Die Rechtsprechung der übrigen Gerichte zur Frage, ob der Arbeitgeber Diensteanbieter ist und dem Fernmeldegeheimnis unterliegt, wenn er private Korrespondenz über den dienstlichen E-Mail-Account gestattet oder zumindest hinnimmt, ist uneinheitlich.
Das LAG Köln ließ die Frage zuletzt in seinem Beschluss vom 19.07.2019, Az. 9 TaBV 125/18, offen.
Das Hessische Landesarbeitsgericht hingegen optierte in seinem Urteil vom 21.09.2018, 10 Sa 601/18 ebenso wie das LAG Rheinland-Pfalz in seinem Urteil vom 04.12.2017, 3 Sa 143/17, pro Fernmeldegeheimnis.
Gegen die Einordnung des Arbeitgebers als Diensteanbieter und damit gegen die Unterwerfung unter das Fernmeldegeheimnis hingegen entschieden
- ArbG Düsseldorf, Urteil vom 29.10.2007, Az. 3 Ca 1455/07,
- Hessischer VGH, Beschluss vom 19.05.2009, Az. 6 A 2672/08.Z,
- LAG Niedersachsen, Urteil vom 31.05.2010, Az. 12 Sa 875/09,
- LAG Hamm, Urteil vom 10.07.2012, Az. 14 Sa 1711/10,
- VG Karlsruhe, Urteil vom 27.05.2013, Az. 2 K 3249/12,
- VGH Baden-Württemberg Urteil vom 30.07.2014, Az. 1 S 1352/13,
- LAG Berlin-Brandenburg, Urteil vom 14.01.2016, Az. 5 Sa 657/15,
- LG Krefeld, Urteile vom 07.02.2018, Az. 7 O 175/17 und 7 O 198/17.
Allerdings: Auch diese Entscheidungen sind nicht als Freifahrtschein zu verstehen. Die Prüfung, ob ein Zugriff auf das E-Mail-Postfach und eine Kontrolle des Inhalts der Nachrichten zulässig ist, würde zunächst den oben skizzierten datenschutzrechtlichen Grundsätzen folgen, die gelten, wenn der E-Mail-Account nur zu dienstlichen Zwecken genutzt werden darf. Allerdings kommt dann dem Recht auf informationelle Selbstbestimmung des Postfach-Inhabers – Beschäftigter oder Geschäftsführer bzw. Vorstand – ein besonderes Gewicht zu. Die private E-Mail-Korrespondenz betrifft regelmäßig die besonders schutzwürdige Privatsphäre des Postfachinhabers. Der Postfachinhaber kann bei erlaubter Privatnutzung davon ausgehen, dass der Arbeitgeber seine Privatsphäre wahrt. Er darf darauf vertrauen, dass der Arbeitgeber seine Privatsphäre nicht unzulässig verletzt. An die Zulässigkeit von Zugriffen auf E-Mail-Postfächer, in denen sich auch private Nachrichten befinden, sind daher auch dann sehr hohe Anforderungen zu stellen, wenn man der Auffassung folgen will, der Arbeitgeber sei kein Diensteanbieter und sei daher nicht dem Fernmeldegeheimnis unterworfen.
Auch nach dieser Rechtsauffassung dürfte der Zugriff auf den E-Mail-Account in der Praxis nur selten möglich sein.
Ganz schlecht: Privatnutzung ohne klare Regelung
Weitere Fragen stellen sich, wenn sich die Privatnutzung über die Zeit hinweg im Unternehmen eingebürgert hat und die Geschäftsleitung diese Gewohnheit widerspruchslos hingenommen hat. Ist nun durch „betriebliche Übung“ ein vertraglicher Anspruch der Arbeitnehmer auf Privatnutzung entstanden oder kann die zur Gewohnheit gewordene Privatnutzung mit Wirkung für die Zukunft durch das arbeitgeberseitige Weisungsrecht wieder verboten werden?
Gute Gründe sprechen dagegen, überhaupt an eine betriebliche Übung zu denken: Gestattet der Arbeitgeber die Nutzung des dienstlichen E-Mail-Accounts auch zu privaten Zwecken, so gewährt er hierdurch wohl nur eine Annehmlichkeit. Eine solche bloße Annehmlichkeit kann aber noch nicht Gegenstand einer betrieblichen Übung sein. Freilich: Für die Frage, ob, unter welchen Bedingungen und in welchem Umfang der Arbeitnehmer auf einen betrieblichen E-Mail-Account zugreifen kann, ist die Diskussion um eine betriebliche Übung am Ende weniger von Bedeutung.
Empfehlung für die Praxis
Auch unter dem Gesichtspunkt einer weit verstandenen Fürsorge und unter dem Motto „Benefits am Arbeitsplatz“ besteht im Zeitalter von erschwinglichen Smartphones und billigen Mobilfunk-Datenflatrates keine Veranlassung, die private Mitbenutzung der betrieblichen IT-Infrastruktur zu gestatten. Am besten beraten sind Arbeitgeber sicherlich, wenn sie die private Nutzung des dienstlichen E-Mail-Postfaches generell und ausdrücklich untersagen.
Wurde die Privatnutzung des E-Mail-Postfachs in der Vergangenheit ausdrücklich erlaubt oder ist zu befürchten, dass ein derartiger Parallelbetreib im Unternehmen zur Gewohnheit geworden ist, sollten Arbeitgeber prüfen, ob sie nicht ihr Weisungsrecht ausüben, die Privatnutzung untersagen und zukünftig nur noch die rein dienstliche Nutzung gestatten wollen.
Soll die private Nutzung tatsächlich zulässig sein, so ist eine Disclaimer-Lösung dringend zu empfehlen: Der einzelne Beschäftigte, Geschäftsführer oder Vorstand entbindet den Arbeitgeber durch ausdrückliche Erklärung vom womöglich einschlägigen Fernmeldegeheimnis und erklärt die Einwilligung in bestimmte Zugriffs- und Kontrollmöglichkeiten. Bei Gestaltung einer solchen Erklärung sind die strengen Voraussetzungen aus dem Datenschutzrecht für die Wirksamkeit einer Einwilligung im Beschäftigtenkontext zu beachten. Gibt es im Unternehmen einen Betriebsrat, sind auch dessen zwingende Mitbestimmungsrechte zu beachten.
© RA Stefan Loebisch | Kontakt