(Private) E-Mailnutzung am Arbeitsplatz –
Einsicht, Kontrolle & Auswertung durch den Arbeitgeber
Häufig haben Arbeitgeber ein Interesse daran, auf betriebliche Informationen in Mitarbeitern-Mails zuzugreifen.
Das kommt beispielsweise dann vor, wenn ein Mitarbeiter krank ist und der ihn ersetzende Mitarbeiter zur Einarbeitung Einblick in die betriebliche Kommunikation haben muss.
Eine weitere Situation ist etwa der Pflichtverstoß eines Beschäftigten.
Die wesentliche Frage für Arbeitgeber ist in solchen Fällen:
"Welche Informationen dürfen aus den E-Mails meiner Mitarbeiter ausgewertet werden und an welche Voraussetzungen ist dieser Zugriff geknüpft?"
Die nachfolgende Aufstellung gibt dabei einen Überblick über die Anforderungen und spricht Handlungsempfehlungen für Arbeitgeber aus, wie rechtssicher mit personenbezogenen Daten umgegangen werden kann.
1. Personenbezogene Daten und Kommunikation – Problemaufriss
In vielen Gesetzen, insbesondere. der DS-GVO und dem BDSG, finden sich Vorschriften, die Verarbeitung, Speicherung & Eingriffe in personenbezogene Daten umfassend regeln.
Problematisch sind datenschutzrechtliche Regelungen dabei vor allem für Arbeitgeber. Denn diese sind an eine Reihe von Regelungen gebunden, wie unternehmensinterne Prozesse datenschutzrechtlich auszusehen haben und greifen damit in Betriebsabläufe ein.
Einer dieser Bereiche ist die Kommunikation. Hier treffen die betrieblichen Interessen des Arbeitgebers an einem reibungslosen Ablauf von Prozessen und der Schutz des Arbeitnehmers und dessen personenbezogener Daten aufeinander.
2. Konsequenzen eines Verstoßes durch den Arbeitgeber
Weshalb ist eine Beschäftigung mit der Thema Datenschutz im Bereich Kommunikation für Sie als Arbeitgeber so wichtig?
Verstöße gegen die Verwertung von personenbezogenen Daten eines Beschäftigten können für den Arbeitgeber neben Bußgeldvorschriften sogar strafrechtliche Konsequenzen haben. Insoweit ist es ratsam, sich einen Überblick über die Vorschriften zu verschaffen.
3. Unterschiedliche datenschutzrechtliche Anforderungen
Der Handlungsspielraum des Arbeitgebers bezüglich der Zulässigkeit und des Umfangs von Email-Kontrollen hängt maßgeblich davon ab, ob im Unternehmen eine Privatnutzung gestattet wird oder nicht.
3.1 Rein betriebliche Emailnutzung
In Hinblick auf die Kontrolle und Einsicht rein betrieblicher Kommunikation stehen Arbeitgebern umfassende Einsichts- und Kontrollrechte zu.
3.2 Privat- bzw. Mischnutzung (private Nutzung betrieblicher Kommunikationsdienste)
Problematisch und komplex ist dagegen die Einsicht und Kontrolle eines auch zu privaten Zwecken genutzten dienstlichen Kommunikationsdienstes durch den Arbeitgeber. Das betrifft in der Praxis vor allem den Fall des privat genutzten betrieblichen Email-Accounts. Die Schwierigkeit liegt hier darin, dass der Arbeitnehmer einen umfassenden datenschutzrechtlichen Schutz seiner personenbezogenen Daten genießt.
Diese umfassenden Rechte stehen einer Kontrolle und Einsicht durch den Arbeitgeber entgegen, da der Arbeitgeber grundsätzlich nur dann Arbeitnehmerdaten verarbeiten darf (worunter auch die private E-Mails fallen), wenn dies für die Durchführung des Arbeitsverhältnisses bzw. der Wahrung arbeitsvertraglicher Rechte und Pflichten erforderlich ist.
Eine darüber hinausgehende Verarbeitung von Arbeitnehmerdaten, insbesondere Daten privater Natur, die keinen Zusammenhang zu dem Arbeitsverhältnis aufweisen, ist nur im Ausnahmefall zulässig, da die Schutzwürdigkeit des Arbeitnehmers (insb. das verfassungsrechtlich verankerte Allgemeine Persönlichkeitsrecht und die Informationelle Selbstbestimmung) höher zu bewerten ist, als das Interesse des Arbeitgebers.
Um diesen datenschutzrechtlichen Problemen zu entgehen, ist es aus rechtlicher Perspektive ratsam, die Privatnutzung des dienstlichen Email-Accounts zu untersagen.
4. Empfehlungen
4.1 Keine private Nutzung der betrieblichen Email
Am einfachsten ist es, wenn Sie die private Nutzung des betrieblichen Email-Accounts untersagen. Das empfehlen im Übrigen auch die Datenschutzbehörden.
4.1.1 Allgemeines
Die Entscheidung, welche Art der betrieblichen Kommunikation Sie als Arbeitgeber innerhalb Ihres Unternehmens zulassen, ist eine Organisationsentscheidung und obliegt allein Ihnen. Um datenschutzrechtlichen Problemen in der Praxis zu entgehen, ist es dahingehend empfehlenswert jegliche Nutzung dienstlicher Kommunikationsmittel (Email-Accounts, PCs) für den privaten Gebrauch zu untersagen.
Es sei wiederholt darauf hingewiesen, dass ein Beschäftigter insoweit keinen Anspruch auf die private Emailnutzung hat. Dabei gilt es allerdings zu beachten, dass sich im Einzelfall dann etwas anderes ergeben kann, wenn – und nur dann – in der Betriebsvereinbarung/Tarifvertrag/Arbeitsvertrag innerhalb Ihres Unternehmens explizit etwas anderes vereinbart wurde.
Falls Sie von der Privatnutzung einiger Mitarbeiter erfahren, ist es ratsam, diese Nutzung nicht stillschweigend zu dulden, sondern die Nutzung zeitnah zu versagen.
Es ist weiterhin davon abzuraten, einzelnen Ihrer Mitarbeiter die Privatnutzung zu erlauben, da sich hieraus für alle anderen nicht begünstigten Beschäftigten Ansprüche aus dem Allgemeinen Gleichbehandlungsgrundsatz ergeben können.
4.1.2 Kontroll- und Einsichtsrechte
Wenn die Privatnutzung wie vorstehend empfohlen untersagt wird, sind die Kontroll- und Einsichtsrechte als Arbeitgeber recht umfänglich. Da ein ausdrückliches Verbot der Privatnutzung vorliegt und die Korrespondenz damit rein dienstlichen Charakter aufweist, sind die Eingriffe in die Persönlichkeitsrechte des betroffenen Mitarbeiters gering. Als Arbeitgeber steht Ihnen insoweit ein umfassendes Einsichtsrecht zu.
4.2 Wenn private Nutzung, dann…
Für den Fall, dass Sie sich dazu entschließen, Ihren Beschäftigten die private Nutzung des betrieblichen Email-Accounts zu erlauben, gilt es nachfolgende Punkte besonders zu beachten:
Um spätere Kontrollen und Eingriffe in die personenbezogenen Daten der Mitarbeiter vornehmen zu können, schreibt § 26 BDSG das Vorliegen einer Einwilligung seitens der Beschäftigten vor. Dabei gilt:
Die Einwilligung des Mitarbeiters muss schriftlich erfolgen. Hierfür ist die Unterschrift auf dem Originaldokument erforderlich.
Freiwilligkeit der Einwilligung
Weiterhin muss die Einwilligung freiwillig erfolgen. Davon kann jedenfalls immer dann ausgegangen werden, wenn dem Beschäftigten ein rechtlicher oder wirtschaftlicher Vorteil gewährt wird. Das ist der Fall, wenn Sie Ihren Mitarbeitern die (möglicherweise beschränkte) private Nutzung des dienstlichen Email-Accounts erlauben, da Ihre Mitarbeiter hierauf keinen Anspruch haben & die Nutzungserlaubnis daher ein „rechtliches Mehr“ für den Mitarbeiter darstellt. Als Arbeitgeber haben Sie dann auch die Möglichkeit gewisse Vorgaben der Art & Weise und des Umfangs der privaten Nutzung festzulegen (und sollten davon auch Gebrauch machen).
Inhaltliche Anforderungen an die Einwilligung
Dem Beschäftigten müssen zum Zeitpunkt der Einwilligung alle Informationen über
zur Verfügung stehen. Hintergrund ist, dass es dem Mitarbeiter möglich sein muss, eine informierte Entscheidung auf Basis aller Informationen zu treffen. Dabei ist stets darauf Acht zu geben, dass keine Verschleierung darüber stattfindet, was die Einwilligung mit sich bringt und alle Informationen in einfacher Schriftsprache verfasst sind, sodass es den Beschäftigten auch tatsächlich klar ist, was sie da unterschreiben. Unklarheiten wirken sich dabei in der Regel zulasten des Arbeitgebers aus.
Eindeutige Dienst-/Betriebsvereinbarung bezüglich Nutzung
Es empfiehlt sich die E-Mail-Nutzung durch eindeutige Dienst-/Betriebsvereinbarungen zu regeln. Dies gewährleistet eine interessengerechte Ausgestaltung und gibt sowohl dem Arbeitgeber als auch den einzelnen Beschäftigten Klarheit und Rechtsicherheit für den täglichen Umgang.
Des Weiteren werden damit präventiv Probleme vermieden, die sich aus dem Allgemeinen Gleichbehandlungsgrundsatz oder der betrieblichen Übung ergeben können (siehe oben unter 4)b.i).
Aus vorstehenden Gesichtspunkten sollte daher eine klare Vereinbarung bezüglich der Privatnutzung getroffen werden.
Eindeutige Dienst-/Betriebsvereinbarung bezüglich Kontrolle
Ebenso sollte in diesem Zug eine Festlegung von Kontroll-und Einsichtsrechten des Arbeitgebers stattfinden. Dies ist für den Fall der ausdrücklichen Gestattung der Privatnutzung im Rahmen der Einwilligung möglich, da der Beschäftigte wie oben beschrieben (i.2) einen rechtlichen Vorteil durch die Gewährung der Privatnutzung erhält. Daher können in diesem Zug auch Kriterien für eine Einsicht und Kontrolle seitens des Arbeitgebers festgelegt werden. Wichtig ist natürlich, dass diese auch von der Einwilligung des Mitarbeiters gedeckt sind.
Ordnungsvorgaben für Mitarbeiter festlegen
Die Beschäftigten sollten verpflichtet werden, eine Kennzeichnung für private Emails vorzunehmen (beispielsweise durch einen gesonderten Betreff) und/oder private Emails direkt in einen extra Ordner zu verschieben. Dadurch kann auf einfache Weise eine Zuordnung erreicht werden, die Kontrollen & Einsichten durch den Arbeitgeber später erleichtern.
Vorsorgliche Einhaltung des TKG und TMG
Ein weiteres Problem, das mit der Erlaubnis einer Privatnutzung einhergeht, ist die Anwendbarkeit des TKG und TMG. Bis dato ist noch nicht höchstrichterlich geklärt, ob Arbeitgeber als Telekommunikations- dienstleister im Sinne des Telekommunikationsgesetzes einzuordnen sind und sich damit an die gesetzlichen Vorschriften des TKG und TMG zu halten haben. Das ist deshalb relevant, weil hiervon die Anwendung einer strafrechtlichen Haftung nach § 206 StGB abhängig ist. Daher ist es anzuraten, sich insoweit bis zur abschließenden Klärung vorsorglich an die Einhaltung der Vorschriften zu halten.
Konkret sind dabei folgende Dinge zu beachten:
Arbeitgeber dürfen sich Kenntnis über nähere Umstände und Inhalte der Telekommunikation verschaffen, soweit dies zum Schutz der technischen Systeme erforderlich ist. Hiervon gedeckt ist beispielsweise der Einsatz von Virenfiltern. Nicht gedeckt ist der Einsatz von Spamfiltern. Da bei Spamfiltern eine Löschung oder Filterung von Daten stattfindet, besteht hier für Arbeitgeber zusätzlich die Gefahr einer Strafbarkeit aus § 303a StGB aufgrund der Unterdrückung von Daten.
Die Protokollierung der privaten Nutzung ist nur soweit zulässig, als dass diese die Nutzung des Telemediums selbst ermöglicht oder zu Abrechnungszwecken notwendig ist. Da die Zurverfügungstellung des betrieblichen Email-Accounts und dessen Nutzung in aller Regel kostenlos erfolgt, scheidet die Erforderlichkeit der Protokollierung zu Abrechnungszwecken zumeist aus.
Im Fall einer Kontrolle/Einsicht in Daten des Mitarbeiters
Die Einsicht/Kontrolle des privat genutzten dienstlichen Email-Accounts eines Mitarbeiters sollte nie ohne vorherige Hilfe eines Datenschutzbeauftragten erfolgen.
Grundsätze für die Durchführung einer Kontrolle:
Das Lesen offensichtlich privater E-Mails ist ausgeschlossen, mit Ausnahme des Falls, dass konkrete Anhaltspunkte vorliegen, dass sich eine Straftat gerade aus dem Inhalt dieser privaten E-Mail(s) ergibt (beispielsweise Geheimnisverrat).
Ähnliche spannende Beiträge
Verarbeitungsverzeichnis
Was ist ein Verarbeitungszeichnis und welche Vorgaben gilt es einzuhalten? Alle Informationen auf einen Blick. Von Datenschutzexperten für die Praxis.
Videoüberwachung DSGVO
Ist die Videoüberwachung nach der DSGVO zulässig? In diesem Artikel erhalten Sie alle wichtigen Informationen für die Praxis.
Datenschutz als Einzelunternehmer
Datenschutz für Einzelunternehmer: Diese Bereiche sind relevant für Sie. Jetzt informieren und Haftungsfallen vermeiden.
Bußgeld veraltete Software
Löschung durch Anonymisierung: Alles zu den Voraussetzungen und Anforderungen. Datenschutzexperten informieren.
Löschung durch Anonymisierung
Löschung durch Anonymisierung: Alles zu den Voraussetzungen und Anforderungen. Datenschutzexperten informieren.
EDSA: Neue Leitlinien zur Bußgeldberechnung
Erfahren Sie mehr über die neuen Richtlinien, bei denen Unternehmen bald mit höheren Strafen für Verstöße gegen die Allgemeine Datenschutzverordnung (DSGVO) rechnen müssen.
