TOM Technikgestaltung technische organisatorische Maßnahmen private nutzung kommunikationsmittel supportende windows 7

Private Nutzung betrieblicher E-Mail Accounts und Internet | Datenschutz

/von

Bei nahezu allen unserer Kunden ist es zu Beginn der Zusammenarbeit ein Thema: „Wir müssen in Ausnahmefällen oder bei Ausscheiden von Mitarbeitern auf deren E-Mailpostfach zugreifen können. Dürfen wir das?“ Die Antwort kann leider in den meisten Fällen nicht mit einem eindeutigen „Ja“ beantwortet werden.

Nicht nur E-Mail ist ein Thema

Neben dem Wunsch oder der Erforderlichkeit, in den beschriebenen Fällen auf E-Mailpostfächer zugreifen zu können, gibt es allerdings weitere Sachverhalte um den Komplex der privaten Nutzung betrieblicher Kommunikationsmittel herum, aber dazu später. Bleiben wir vorerst beim Beispiel „Zugriff auf E-Mails“.

Unter Umständen sind Sie Diensteanbieter

Fangen wir bei den Rahmenbedingungen an. In § 3 Nr. 6 TKG (Telekommunikationsgesetz) wird definiert, dass derjenige als „Diensteanbieter“ gilt, der „Telekommunikationsdienste ganz oder teilweise geschäftsmäßig erbringt“. Ob ein Arbeitgeber, der die private Nutzung der betrieblichen Kommunikationsmittel gestattet, nun tatsächlich diese Dienste zumindest teilweise geschäftsmäßig erbringt war bereits häufiger Gegenstand sehr uneinheitlicher gerichtlicher Entscheidungen. Eine eindeutige Aussage kann daher leider nicht getroffen werden. Die Aufsichtsbehörden sehen den Arbeitgeber bei erlaubter privater Nutzung der betrieblichen Kommunikationsmittel jedoch regelmäßig als Diensteanbieter im Sinne des TKG an. Um Risiken zu vermeiden empfehlen wir daher, weiterhin von dieser Rechtslage auszugehen. Und diese Eigenschaft des Arbeitgebers als Diensteanbieter führt dann unmittelbar zum Fernmeldegeheimnis gemäß § 88 TKG Abs. 2.  Alle Diensteanbieter werden durch diese Regelung verpflichtet, das Fernmeldegeheimnis zu wahren. Dem Fernmeldegeheimnis unterliegen neben den Kommunikationsinhalten auch die näheren Umstände, also die Metadaten. Hierzu zählen insbesondere, wer, wann, mit wem, wie lange, an welchem Ort kommuniziert hat. Es gilt darüber hinaus auch für erfolglose Verbindungsversuche (§ 88 Abs. 1 Satz 2 TKG).

Private Nutzung ≠ Arbeitsverhältnis

Was ändert sich nun im Rahmen der privaten Nutzung der betrieblichen Kommunikationsmittel? Ganz einfach: Diese findet nicht mehr im Rahmen des Dienst- und Arbeitsverhältnisses statt. Für diesen (privaten) Teil der Kommunikation gilt also das Fernmeldegeheimnis. Die Folge ist, dass wie in § 88 Abs. 3 TKG ein Zugriff auf Inhalte oder Umstände der Kommunikation außer für die „Erbringung der Telekommunikationsdienste einschließlich des Schutzes ihrer technischen Systeme“ verboten ist.

Wie unterscheiden?

Nun sieht man der Kommunikation „von außen“ ja nicht an, ob sie gerade privat oder im Rahmen der beruflichen Tätigkeit erfolgt. Die Folge ist, dass ein Zugriff auf E-Mailpostfächer in diesem Fall gar nicht mehr zulässig wäre. Egal aus welchem Grund, denn man wird mit einem solchen Zugriff den Schutz technischer Systeme nicht begründen können.

Kein Zugriff auf nichts…

Da jegliche Telekommunikation durch das TKG geschützt wird, beschränkt sich das Verbot des Zugriffs nicht auf das oben beschriebene Beispiel der Kommunikation per E-Mail. Genauso fallen Telefonie, Fax, Internet und SMS unter die durch das Fernmeldegeheimnis geschützte Übermittlung.

Also wirklich gar nichts!

Die Folge ist, dass bei erlaubter privater Nutzung des Firmen-Internetzugangs eine Überwachung des Netzwerkverkehrs, eine Spam- oder Virenfilterung (also eine Veränderung der Inhalte) oder Zugriffe auf Logs der Firewall durch Mitarbeiter der IT nicht mehr zulässig sind. Eine Situation, die – abgesehen vom Zugriff auf E-Mails bei Abwesenheit – für kein Unternehmen tragbar ist. Ist die private Nutzung von Telefonen oder Mobiltelefonen erlaubt, wird auch hier die Luft bezüglich Zu- und Eingriffen durch den Arbeitgeber eng.

2-stufige Lösung

Wie schafft man es nun, den Mitarbeitern die private Nutzung der Kommunikationsmittel zu erlauben ohne dabei jegliche Zugriffe auf zumindest die Metadaten zu verlieren? Hierfür wird in der Regel ein zweistufiges Vorgehen gewählt.

Im ersten Schritt wird jegliche private Nutzung betrieblicher Kommunikationsmittel flächendeckend verboten. Den Mitarbeitern wird allerdings angeboten, per einzelvertraglicher Regelung die private Nutzung zu erlauben. Ein Bestandteil dieser Regelung ist die Vereinbarung, dass der Mitarbeiter darüber informiert wird, dass der Arbeitgeber im Rahmen des Betriebs seiner Anlagen (seien es Netzwerk, Telefonie, Mobiltelefone oder E-Mailserver) auf die vom Fernmeldegeheimnis betroffenen Daten Zugriff nehmen wird, sofern es notwendig ist. Die Notwendig ergibt sich nicht nur aus dem Schutz der Anlagen, wie in § 88 TKG beschrieben, sondern eben auch aus dem Wunsch, Eindringlinge zu entdecken, potenzielle Gefahren wie Spam oder Viren im Netzwerk zu entdecken und zu eliminieren, bevor Schaden entstehen kann. Darüber hinaus möchte der Arbeitgeber gegebenenfalls ein Data leakage prevention system (DLP), also eine automatisierte Software zur Entdeckung und Verhinderung ungewollter Datenabflüsse betreiben. Alles das stellt im Rahmen der privaten Nutzung eigentlich einen Verstoß gegen das Fernmeldegeheimnis dar.

Neben der reinen Information darüber, welche Zugriffe der Arbeitgeber tätigen kann, enthält die Vereinbarung zwischen Arbeitgeber und Arbeitnehmer auch eine Zustimmungserklärung des Mitarbeiters und die Erklärung, dass er darüber informiert ist, dass er auf einen Teil des Schutzes des Fernmeldegeheimnisses verzichtet.

Private Nutzung von E-Mail immer verbieten

Sollte die private Nutzung des E-Mailpostfachs erlaubt werden, könnten auf den Arbeitgeber darüber hinaus weitere Pflichten, wie Backup oder im Rahmen des Rechts auf Datenübertragbarkeit (Art. 20 DSGVO) die Herausgabe der privaten E-Mails im Rahmen des Arbeitgeberwechsels zukommen. Daher raten wir von der Erlaubnis der privaten Nutzun des Firmen E-Mailpostfachs stets ab. Hierfür können sich alle Mitarbeiter kostenlos bei den bekannten Anbietern eine private E-Mailadresse registrieren, die dann über Webmail abgerufen werden kann.

Betriebsrat nicht vergessen …

Bei allen Regelungen darf nicht vergessen werden, dass ein eventuell vorhandener Betriebsrat mit einzubeziehen ist. Zu dem gesamten Themenkomplex sollte eine umfassende Betriebsvereinbarung geschlossen werden.

… ePrivacy-Verordnung auch nicht

Wir sollten auch im Hinterkopf behalten, dass die ePrivacy-Verordnung aktuell im Entstehen ist. Diese wird mit ziemlicher Sicherheit große Auswirkungen auf TMG und TKG haben. Daher wird dieser Artikel vermutlich nur Bestand bis zum Inkrafttreten (bzw. zum Ende der Übergangsfrist danach) haben.

Ist die private Nutzung betrieblicher Kommunikationsmittel in Ihrem Unternehmen vollständig und sachgerecht geregelt? Falls nicht, rufen Sie uns an. Wir unterstützen Sie beim Entwurf praxistauglicher Regelungen bis hin zu einer Betriebsvereinbarung.

Das könnte Sie auch interessieren
bdsg-neu abdsg recht gesetz ldsg bdsg landesdatenschutzgesetz bundesdatenschutzgesetz datenschutzbeauftragter besondere arten kategorien personenbezogener daten ds-gvo bundesrat bundestag ausweis kopieren scannen pauswg personalausweisgesetz beschäftigtendatenschutz abmahnung eprivacy-verordnung epvo stberg steuerberater auftragsverarbeitungSteuerberater und Auftragsverarbeitung – Novellierung des Steuerberatungsgesetzes schafft Klarheit
bdsg-neu bdsg ds-gvo eu-dsgvo dsanpug-eu 203 stgb berufsgeheimnistraeger voßhoff kelber bundesdatenschutzbeauftragter ttdsgTTDSG passiert Bundesrat – endlich verbindliche Regelungen für Cookies
bdsg-neu bdsg ds-gvo eu-dsgvo dsanpug-eu 203 stgb berufsgeheimnistraeger voßhoff kelber bundesdatenschutzbeauftragter ttdsgTTDSG – Das Telekommunikations-Telemedien-Datenschutz-Gesetz
aufsichtsbehörde prüft rechtsgrundlage öffentliches interesse öffentliche gewalt hoheitliche aufgabe 6 1 e dsgvo tom passwörter bsi risikoanalyse zawas kontrollpflicht auftragsverarbeitung awareness awarenesskampagnenDSGVO Datenschutzprüfung in Bayern und Niedersachen
beschwerde aufsicht 77Serie Betroffenenrechte: Das Recht auf Beschwerde bei der Aufsicht nach Art. 77 DSGVO
sicherheitsrisiko mitarbeiterMitarbeiter – ein unterschätztes Sicherheitsrisiko für Datenschutz
Schulungen zum Datenschutz – eine Unternehmerpflichtbetriebsrat personal vortrag schulung seminar beschäftigungsverhältnis beschäftigte standortbestimmung dsgvo fachkunde fortbildungdatenschutzerklärung werbung ds-gvo datenpanne automatisierte einzelfallentscheidung schadenersatz meldung des datenschutzbeauftragten auskunft verweigert verschlüsselungMeldung des Datenschutzbeauftragten an die Aufsichtsbehörde – Erstes...