private nutzung emails zugriff arbeitgeber

Datenschutz im Beschäftigungsverhältnis: Wann dürfen Arbeitgeber auf E-Mails, Logs und Dateien zugreifen?

/von

Die Frage, ob und wann Arbeitgeber auf E-Mails, Protokolle der Internetnutzung oder Dateiablagen von Beschäftigten zugreifen dürfen, sorgt in vielen Unternehmen regelmäßig für Unsicherheit. Besonders bedeutsam wird das Thema, wenn gleichzeitig die private Nutzung der betrieblichen IT-Infrastruktur genehmigt ist oder zumindest geduldet wird. Der rechtliche Rahmen ist komplex – und variiert je nach Nutzungsszenario.

Für den Zugriff auf die E-Mails kommt es in der Praxis daher häufig auf die Frage an, ob eine private Nutzung erlaubt, untersagt oder bislang ungeregelt ist.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) hat sich dem Thema in seinem 40. Tätigkeitsbericht gewidmet. Zuvor hatte sich dem Thema die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) bereits in ihrem 29. Tätigkeitsbericht für die Jahre 2023 und 2024 gewidmet. Eine zentrale Fragestellung kam dabei in der Vergangenheit der Geltung des Fernmeldegeheimnisses zu.

Fernmeldegeheimnis beachten bei erlaubter privater Nutzung(?)

Bei erlaubter privater Nutzung befinden sich im E-Mailpostfach gegebenenfalls auch private E-Mails. Umstritten war lange Zeit, ob in solchen Fällen das Fernmeldegeheimnis gemäß § 3 Abs. 2 Nr. 2 und 4 TDDDG greift. Da die Frage nicht abschließend geklärt ist, empfiehlt beispielsweise der LfDI BW, vorsorglich von der Anwendbarkeit des Fernmeldegeheimnisses auszugehen. Arbeitgeber dürfen aus seiner Sicht daher nur in sehr engen Grenzen auf Kommunikationsdaten zugreifen, etwa zur Aufrechterhaltung des technischen Betriebs oder mit expliziter Zustimmung der betroffenen Personen.

Zahlreiche andere deutsche Aufsichtsbehörden (die bereits erwähnte LDI NRW , der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit [Anm.: Gemeint ist der ehemalige Bundesbeauftragte Ulrich Kelber], sowie weitere Landesdatenschutzbehörden) gehen hingegen davon aus, dass sich die rechtliche Bewertung geändert hat:

Arbeitgeber*innen, die ihren Beschäftigten die private Nutzung von Internet und E-Mail erlauben oder dulden, unterliegen nicht mehr dem Telekommunikationsrecht. Deshalb haben sie gegenüber ihren Beschäftigten auch nicht das Fernmeldegeheimnis zu garantieren [Auszug aus dem Tätigkeitsbericht der LDI NRW].

Demnach ist dieses Thema aus Sicht vieler Aufsichtsbehörden für den Datenschutz endlich vom Tisch.

Auch die Gerichte, früher häufig noch im Lager der „Fernmeldegeheimnis-Befürworter“ zu finden, lehnen das Vorliegen des Fernmeldegeheimnisses mittlerweile in der Regel ab (siehe LG Erfurt, Urt. v. 28.4.2021 – 1 HK O 43/20). Künftig ist also nicht mehr dogmatisch jeglicher Zugriff auf die E-Mails mit Verweis auf das Fernmeldegeheimnis zunächst abzulehnen und nur in den sehr engen Grenzen des TDDDG zulässig, sondern die Erlaubnis eines Zugriffs ist an den Vorgaben der DSGVO zu messen. Positiv ist zunächst: Die Strafverfolgung gemäß § 206 StGB steht nicht mehr im Raum. Zu beachten ist aber auch, dass das Risiko für die Rechte und Freiheiten betroffener Personen bei einem Zugriff auf E-Mails seitens des Arbeitgebers gleichwohl höher ist, wenn die private Nutzung erlaubt ist, als wenn diese untersagt ist. Der risikobasierte Ansatz der DSGVO führt daher auch künftig dazu, dass für die Zulässigkeit eines Zugriffs auf die E-Mails der Beschäftigten höhere Hürden zu überwinden sind, wenn davon auszugehen ist, dass auch private Kommunikation betroffen sein kann.

Für private Dateien, die lokal oder auf einem Server des Arbeitgebers gespeichert sind, war übrigens schon immer unumstritten, dass diese nicht dem Fernmeldegeheimnis unterliegen. Dies liegt daran, dass das Fernmeldegeheimnis die Kommunikation schützt, nicht die Dateiablage.

Dennoch ist ein Zugriff auch hier in vielen Fällen unzulässig und es ist für jeden Einzelfall zu prüfen, ob und welche Rechtsgrundlage Anwendbarkeit finden kann. Ein mögliche Rechtfertigung des Zugriffs wäre, wenn dieser der konkreten Abwehr von IT-Sicherheitsvorfällen oder der Erfüllung rechtlicher Verpflichtungen dient, wie beispielsweise der Meldepflichten nach Art. 33 und 34 DSGVO. Die Datenverarbeitung muss in allen Fällen verhältnismäßig und zweckgebunden sein.

Einwilligung der Beschäftigten bei privater Nutzung

Erlauben Arbeitgeber die private Nutzung dienstlicher E-Mailkonten oder Internetzugänge, sind neben der Frage des Fernmeldegeheimnisses stets auch die hohen datenschutzrechtlichen Anforderungen zu beachten. Schließlich kann jeglicher E-Mailverkehr auch private Inhalte umfassen, auf die nur in Ausnahmefällen Zugriff genommen werden darf. Vielfach wird daher versucht, den Zugriff über eine Einwilligung zu regeln. Die Beschäftigten haben demnach die Wahl, entweder die dienstlichen Kommunikationsmittel nicht privat zu nutzen oder das Angebot der Erlaubnis der privaten Nutzung durch den Arbeitgeber anzunehmen und gleichzeitig in bestimmte Zugriffsszenarien einzuwilligen.

Eine solche Einwilligung muss jedoch freiwillig und informiert erfolgen. Besonders kritisch ist die Frage der Freiwilligkeit im Beschäftigungsverhältnis – hier ist sicherzustellen, dass das nicht Erteilen der Einwilligung keine negativen Konsequenzen für die Beschäftigten nach sich zieht. Ein transparenter Umgang mit der Kopplung an die private Nutzung ist dabei unerlässlich. Optimalerweise sollten private Inhalte, zum Beispiel persönliche E-Mails, getrennt von dienstlichen Inhalten und eindeutig als privat erkennbar abgelegt und vom Zugriff ausgenommen sein.

Grenzen der Einwilligung bei der Einsichtnahme in private E-Mails

Eine Einwilligung der Beschäftigten kann nicht als rechtliche Grundlage für die Einsichtnahme in personenbezogene Daten Dritter in private E-Mails dienen. Eine Person, die mit einer erkennbar dienstlichen E-Mailadresse kommuniziert, muss jedoch damit rechnen, dass andere Personen im Unternehmen Kenntnis von der Kommunikation erlangen könnten. Daher ist beispielsweise nach Ansicht des LfDI BW ( 40. Tätigkeitsbericht )die Schutzbedürftigkeit dieser Person reduziert. Dies gilt insbesondere, wenn keine Einsichtnahme durch den Arbeitgeber in Inhalte privater E-Mails erfolgt. Darüber hinaus rückt der Arbeitgeber nach Ansicht des LfDI BW aus Sicht der privaten Kommunikationspartner stärker in die Rolle eines scheinbar Beteiligten an der Kommunikation, agiert tatsächlich jedoch nicht als Kommunikationspartner. Dies rechtfertigt es nach Ansicht des LfDI BW anzunehmen, dass das Fernmeldegeheimnis in solchen Fällen nicht gegenüber den privaten Kommunikationspartnern der Beschäftigten gilt. Wir gehen davon aus , dass diese Annahme des LfDI BW zukünftig noch Inhalt gerichtlicher Auseinandersetzungen sein und daher irgendwann bestätigt oder widerlegt werden wird.

Im Hinblick auf den Zugriff auf dienstliche E‑Mailkonten ist stets ein legitimes dienstliches Interesse erforderlich. Solche Interessen liegen zum Beispiel vor, wenn es um die Ausübung von Leitungs- und Kontrollfunktionen, die Bearbeitung laufender Geschäftsvorgänge, die Sicherstellung der Vertretung bei Abwesenheiten oder auch die Überwachung der Einhaltung von Unternehmensrichtlinien, wie dem Verbot einer privaten Nutzung, geht.

Oftmals lässt sich das mit dem Zugriff auf die E-Mails verfolgte Ziel auch dadurch erreichen, dass Beschäftigte angehalten werden, relevante E‑Mails selbst vorzulegen oder weiterzuleiten. Nur wenn dies nicht möglich ist, weil beispielsweise die Person lange abwesend ist, nicht erreichbar ist oder das Arbeitsverhältnis bereits beendet wurde, kann ein direkter Zugang zum E‑Mailpostfach datenschutzrechtlich gerechtfertigt sein. Dabei ist es essenziell, die Beschäftigten im Voraus klar und transparent über mögliche Zugriffe und die Gründe zu informieren. Stößt man bei einem solchen Zugriff versehentlich auf eine private Nachricht, muss der Zugriff auf diese Nachricht sofort gestoppt werden, sobald der private Charakter erkennbar wird. Die E-Mail darf nicht gelesen werden und die betroffene Person ist bei verbotener privater Nutzung des E-Mailpostfachs, sofern möglich, aufzufordern, die E-Mail zu löschen.

Zugriff auf Protokolldateien bei privater Nutzung nur mit Einwilligung oder bei konkretem Anlass

Auch bei Protokolldateien (etwa zu aufgerufenen Webseiten oder versandten beziehungsweise empfangenen E-Mails) ist bei erlaubter Privatnutzung ein Zugriff grundsätzlich nur bei Vorliegen einer Einwilligung der Beschäftigten zulässig, es sei denn, es bestehen konkrete, zu dokumentierende Anhaltspunkte für Missbrauch, eine technische Notwendigkeit, etwa zur Fehlerdiagnose oder IT-Sicherstellung oder eine dienstliche Notwendigkeit, beispielsweise zu Nachweiszwecken.

Dies betrifft insbesondere die Daten, aus denen sich ergibt, wer, welche Internetseiten wann aufgerufen wurden. Ausnahmen gelten allerdings, wie oben ausgeführt, zum Schutz der technischen Systeme (zum Beispiel erforderliche Maßnahmen zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern an Telekommunikationsanlagen). Rechtsgrundlagen hierfür können sich Art. 6 Abs. 1 lit. c, e oder f DSGVO ergeben.

12 Abs. 4 TDDDG kann allerdings immer dann eine Grundlage für den Zugriff auf dem Fernmeldegeheimnis unterliegende Protokolldaten sein, wenn tatsächliche Anhaltspunkte für die rechtswidrige Inanspruchnahme eines Telekommunikationsnetzes oder Telekommunikationsdienstes vorliegen.

Insbesondere für eine Leistungserschleichung, einen Betrug oder eine unzumutbare Belästigung nach § 7 UWG dürfen nach § 3 Abs. 2 Satz 1 TDDDG Verpflichtete die zur Unterbindung erforderlichen Verkehrsdaten zur Sicherung ihrer Entgeltansprüche sowie zum Schutz der Endnutzer*innen vor der rechtswidrigen Inanspruchnahme des Telekommunikationsdienstes oder des Telekommunikationsnetzes verarbeiten.

Bei untersagter privater Nutzung klare Regeln und klare Rechte

Einfacher wird es für die Arbeitgeber, wenn die Privatnutzung ausdrücklich untersagt wird. In diesem Fall besteht kein Risiko, dass private Kommunikation durch den Arbeitgeber zur Kenntnis genommen werden kann. Ein Zugriff auf dienstliche Inhalte durch den Arbeitgeber ist grundsätzlich zulässig – allerdings nur, soweit dies zur Wahrnehmung berechtigter Interessen oder zur Erfüllung arbeitsvertraglicher beziehungsweise dienstrechtlicher Pflichten erforderlich ist.

Was passiert ohne eine Regelung zur Privatnutzung?

Liegt keine explizite Regelung vor, kann grundsätzlich davon ausgegangen werden, dass die private Nutzung zumindest nicht erlaubt ist. In der Praxis kann jedoch eine sogenannte „betriebliche Übung“ entstehen. Wenn zum Beispiel Verstöße bekannt sind, aber keine Maßnahmen ergriffen werden, kann dies dazu führen, dass Beschäftigte davon ausgehen dürfen, dass eine Privatnutzung stillschweigend geduldet wird.

Hierzu werden zwei Thesen vertreten:

These 1: Selbst bei einem ausdrücklichen Verbot reicht fehlende Kontrolle oder Sanktionierung privater Nutzung, um auf eine betriebliche Übung zu schließen (Barton NZA 2006, 460,461; Brink / Wirtz ArbRAktuell 2016, 255, 255, leider können wir die Quelle mangels öffentlicher Zugänglichkeit nicht verlinken).

These 2: Eine solche betriebliche Übung entsteht nur, wenn Arbeitgeber oder deren bevollmächtigte Personen ausdrücklich von der Privatnutzung wissen und dennoch nicht eingreifen (DSK, Orientierungshilfe der Datenschutzaufsichtsbehörden zur datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz, Januar 2016, S. 4; LAG Berlin-Brandenburg, Urt. v. 14. Januar 2016 – 5 Sa 657 / 15).

Die entscheidende Frage ist, ob Beschäftigte berechtigterweise den Eindruck haben können, dass eine private Nutzung (in nicht störendem Umfang) erlaubt ist. Wenn die private Nutzung verboten ist, die private Nutzung in der Praxis aber ohne merkbare Konsequenzen toleriert wird, entsteht ein tatsächliches Recht auf private Nutzung. Der LfDI BW vertritt allerdings auch die Ansicht, dass dieses Recht auch beim Ausbleiben von Kontrollen nicht entsteht, solange die Kontrollen ausbleiben, weil der Arbeitgeber darauf vertraut, dass die Beschäftigten sich an das bestehende Verbot halten werden. Diese Ansicht des LfDI BW vertreten wir ausdrücklich nicht.

Wir empfehlen stets eine klare Kommunikation: Arbeitgeber sollten klare, eindeutige und ausdrückliche Regelungen schaffen und dann deren Einhaltung überwachen und Verstöße sanktionieren.

Kontrollen müssen stichprobenartig und verhältnismäßig erfolgen

Bei der Überwachung der Einhaltung bestehender Regelungen – insbesondere zum Verbot der Privatnutzung – sind stichprobenartige Kontrollen zulässig, sofern sie verhältnismäßig sind. Die Maßnahme muss geeignet, erforderlich und angemessen sein. Eine tiefgreifende Analyse personenbezogener Daten ist dabei nur zulässig, wenn ein konkreter Verdacht besteht.

Eine zu häufige oder umfassende Kontrolle kann als unverhältnismäßig angesehen werden. Der LfDI BW empfiehlt hier dokumentierte Schwellenwerte, etwa eine Auswertung von maximal 1 % der jährlich anfallenden Protokolldaten. Dieser Umfang an Protokolldaten ist auf Auffälligkeiten zu prüfen. Zu solchen Auffälligkeiten gehören insbesondere stark erhöhtes Datenvolumen oder Besuche von Seiten, die typischerweise privat genutzt werden.

Fazit

Um datenschutzrechtlichen Konflikten vorzubeugen, sollten Arbeitgeber den Umgang mit E-Mail, Internet und Dateiablagen möglichst konkret regeln. idealerweise in Form von Dienst- beziehungsweise Betriebsvereinbarungen oder internen Richtlinien. Dabei müssen die Arbeitgeber entscheiden, ob die private Nutzung erlaubt sein soll. Ist dies der Fall, sind zusätzliche Schutzmechanismen notwendig. Wird die private Nutzung untersagt, muss dies konsequent kontrolliert und kommuniziert werden. Bei Verstößen muss konsequent gehandelt werden, um eine Duldung auszuschließen.

So lässt sich verhindern, dass private Nutzung dienstlicher Ressourcen als betriebliche Übung anerkannt wird.

Das könnte Dich auch interessieren
facebook fanpageAufsichtsbehörden fordern Abschaltung von Facebook-Fanpages von Behörden
Einwilligung PIMS 26 ttdsg tdddg einwilligungsverwaltungsverordnung werbeanrufe opt-in generierungAnforderungen an Einwilligungen in Werbeanrufe
berechtigtes interesse 6 1 f dsgvo bundesgerichtshof bgh eugh europäischer gerichtshof privacyshield gericht bußgeld 1&1 risiko bgh auskunftsrecht lag sachsen olg münchen schadenersatz google fonts eugh löschbegehren sicherheit e-mail auskunft frist unverzüglichDas EuGH-Urteil zum Beschäftigtendatenschutz
berechtigtes interesse 6 1 f dsgvo bundesgerichtshof bgh eugh europäischer gerichtshof privacyshield gericht bußgeld 1&1 risiko bgh auskunftsrecht lag sachsen olg münchen schadenersatz google fonts eugh löschbegehren sicherheit e-mail auskunft frist unverzüglichSchadenersatz für den Einsatz von Google Fonts auf der Webseite
e-mail marketing einwilligung informationspflichten 7 uwgFallen beim E-Mail-Marketing gegenüber Bestandskunden
Abmahnung uwg edsa bußgeldzumessung bußgeld leitlinien 900000 löschpflicht eugh urteil anredeLöschpflichten im Fokus: Ein teures Beispiel aus Hamburg