Dies ist eine Frage, die uns in unserer Beratungspraxis immer wieder beschäftigt. Häufig haben Arbeitgeber ein Interesse daran, Zugang zu betrieblichen Informationen zu erhalten, die in den E-Mails der Beschäftigten enthalten sind. Dies ist beispielsweise der Fall, wenn ein Arbeitnehmer erkrankt und der Vertreter Einblick in die Unternehmenskommunikation benötigt.
Dann stellen sich verschiedene Fragen. Dürfen betriebliche E-Mail-Accounts auch für private Zwecke genutzt werden? Darf der Arbeitgeber auf diese Accounts zugreifen? Wenn ja, welche Einsichts- und Kontrollrechte hat er? Diesen Fragen wollen wir in folgendem Beitrag genauer auf den Grund gehen.
Du hast konkrete Fragen zum Thema Datenschutz am Arbeitsplatz oder suchst einen kompetenten Ansprechpartner im Datenschutz? Durch unser breit aufgestelltes Team mit umfassender Fachkompetenz in der Datenschutzberatung und Informationssicherheitsberatung unterstützen wir Dich und Dein Unternehmen bei allen offenen Fragen. Vereinbare jetzt ein unverbindliches Erstgespräch mit unseren Experten.
Praxisbeispiel
Ein ehemaliger Beschäftigter beschwerte sich darüber, dass sein ehemaliger Arbeitgeber nach seinem Ausscheiden auf seinen dienstlichen E-Mail-Account zugegriffen habe, um die gesamte Korrespondenz zu archivieren. Dabei wurden auch private E-Mails entdeckt und eingesehen, die unzulässigerweise Geschäftsgeheimnisse enthielten und an unbefugte Dritte offenbart wurden. Obwohl der Beschäftigte den E-Mail-Account laut IT-Vereinbarung nicht privat hätte nutzen dürfen, rügte er die Sichtung seiner privaten E-Mails.
Rechtsgrundlage
Ein Arbeitgeber darf nicht grundlos auf die E-Mails seiner Mitarbeiter zugreifen. Es muss dafür immer eine Rechtsgrundlage vorhanden sein. Gemäß § 26 Abs. 1 Satz 1 BDSG darf der Arbeitgeber personenbezogene Daten des Arbeitnehmers verarbeiten, wenn dies zur Begründung, Durchführung oder Beendigung eines Arbeitsverhältnisses erforderlich ist. Hiervon ist auch der Zugriff auf E-Mails erfasst.
Dabei ist stets eine Interessenabwägung vorzunehmen. Die Interessen des Arbeitgebers müssten gegenüber den Interessen des Arbeitnehmers überwiegen. Entscheidend für die Abwägung ist, ob die private Nutzung des dienstlichen E-Mail-Accounts vom Arbeitgeber ausgeschlossen oder erlaubt ist.
Private bzw. Mischnutzung
Bei der Mischnutzung genießt der Arbeitnehmer einen umfassenden datenschutzrechtlichen Schutz seiner personenbezogenen Daten. Dieser steht einer Einsichtnahme und Kontrolle des Arbeitgebers zumeist entgegen, da hier das allgemeine Persönlichkeitsrecht und das Recht auf informationelle Selbstbestimmung des Beschäftigten höher zu gewichten sind.
Hat der Arbeitgeber die private Nutzung ausdrücklich erlaubt, ändert sich die Rechtslage grundlegend. In diesem Fall wird der Arbeitgeber einem Telekommunikationsanbieter gleichgestellt und es gilt das Fernmeldegeheimnis. Dann darf der Arbeitgeber weder private noch betriebliche E-Mails lesen. Ausnahmen sind nur möglich, wenn ein konkreter Verdacht besteht, dass der Arbeitnehmer seine arbeitsvertraglichen Pflichten verletzt oder strafbare Handlungen begangen hat. Diese Rechtsauffassung ist jedoch im Wandeln und wurde schon von mehreren Gerichten abgelehnt. Eine höchstrichterliche Rechtsprechung steht jedoch noch aus.
Auch wenn der Arbeitgeber die private Nutzung betrieblicher E-Mail-Konten verbietet, kann sie als erlaubt gelten, wenn der Arbeitgeber über längere Zeit keine Kontrolle ausübt. Die Duldung wird dann als Genehmigung betrachtet (sog. betriebliche Übung).
Rein betriebliche Nutzung
Bei der rein betrieblichen Nutzung fällt die Abwägung in der Regel zugunsten des Arbeitgebers aus. Hier hat der Arbeitgeber wesentlich stärkere Einsichts- und Kontrollrechte als bei einer gemischten Nutzung. Er darf die E-Mails der Mitarbeiter mitlesen und anderen die Nutzung der Konten ermöglichen. Voraussetzung hierfür ist jedoch, dass betriebliche Umstände dies erforderlich machen. Dies ist z.B. der Fall bei längerer Abwesenheit, Urlaub oder Krankheit des Arbeitnehmers.
Die systematische und lückenlose Überwachung ist jedoch verboten. Werden bei der Einsicht private E-Mails gefunden, darf ihr Inhalt nicht weitergelesen werden, sobald ihr privater Charakter erkannt wurde. Bei Zuwiderhandlung macht sich der Arbeitgeber wegen der Verletzung des Fernmeldegeheimnisses strafbar (§ 206 Abs. 1 StGB). Arbeitnehmer sollten daher ihre privaten E-Mails als solche kennzeichnen, um das Risiko des Mitlesens durch den Arbeitgeber auszuschließen.
Empfehlung
Grundsätzlich kann der Arbeitgeber frei darüber entscheiden, ob und in welchem Umfang er dem Arbeitnehmer die private Nutzung des E-Mail-Accounts erlaubt. Aus datenschutzrechtlicher Sicht ist eine rein dienstliche Nutzung grundsätzlich vorzugswürdig.
Der Umgang hinsichtlich der Nutzung von E-Mails am Arbeitsplatz sollte aber im Detail schriftlich geregelt werden. Dies kann in Form einer IT-Richtlinie oder in Form von Betriebs- oder Dienstvereinbarungen geschehen.
Dabei sollten folgende Punkte klar geregelt werden:
Private Nutzung: Klären Sie, ob die private Nutzung von E-Mail-Accounts erlaubt oder ausgeschlossen ist. Bei Ausschluss der privaten Nutzung sind die Zugriffsmöglichkeiten des Arbeitgebers umfassender.
Ausscheiden von Beschäftigten: Legen Sie fest, dass Beschäftigte vor ihrem Ausscheiden ihr Postfach sichten und private E-Mails löschen.
Unerwartete Abwesenheit oder Tod: Regeln Sie den Zugriff auf E-Mail-Accounts in diesen Fällen klar und eindeutig.
Zugriffsszenarien: Definieren Sie Anforderungen und Vorgehensweisen bei möglichen Zugriffen auf dienstliche E-Mail-Accounts.
Du benötigst Unterstützung im Datenschutz?
Unser Team besteht aus Juristen, Datenschutzbeauftragten, Auditoren, IT-Sicherheitsberatern und Risk Managern, die im gesamten Bundesgebiet und in Luxemburg für Dich tätig werden. Als spezialisierte Unternehmensberater unterstützen wir Dich ganzheitlich bei den Themen Datenschutz, Informationssicherheit und Cybersicherheit. Komm jederzeit für ein unverbindliches Erstgespräch auf uns zu.