Datenschutz am Arbeitsplatz: Zugriff und Kontrolle von E-Mails

Fachbeitrag

Das E-Mail-Postfach eines jeden ist etwas sehr Persönliches. Aber wie verhält es sich mit dem E-Mail-Postfach am Arbeitsplatz? Darf der Arbeitgeber darauf zugreifen oder die E-Mails seiner Mitarbeiter sogar kontrollieren? Wir geben datenschutzrechtliche Hinweise zum Thema.

Darf der Arbeitgeber E-Mail-Postfächer der Mitarbeiter kontrollieren?

Der Arbeitgeber darf unter gewissen Umständen auf die E-Mail-Postfächer seiner Mitarbeiter zugreifen. Allerdings nicht einfach grundlos und nicht dauerhaft. Vor einem solchen Zugriff bedarf es neben einer Rechtsgrundlage, einer Verhältnismäßigkeitsprüfung und einer Interessenabwägung. Im Arbeitsverhältnis sind dabei auch die Grundrechte (zumindest mittelbar) zu berücksichtigen. Da der Zugriff auf E-Mail-Postfächer eine Verarbeitung personenbezogener Daten darstellt, kommt hier auch das Datenschutzrecht zur Anwendung

Als mögliche Rechtsgrundlage kommt § 26 Absatz 1 Satz 1 BDSG in Betracht. Dieser erlaubt dem Arbeitgeber die Verarbeitung personenbezogener Daten von Beschäftigten, wenn dies im Rahmen des Beschäftigungsverhältnisses erforderlich ist. Ein Zugriff auf E-Mail-Postfächer ist auch möglich, wenn es um die Aufdeckung von Straftaten geht (§ 26 Absatz 1 Satz 2 BDSG). Zu beachten ist, dass Geschäftsführer nicht unter den Begriff der Beschäftigten nach § 26 Absatz 8 BDSG fallen. Somit ist dieser auf Geschäftsführer nicht anwendbar. Hier ist auf Art. 6 Absatz 1 lit. f DSGVO abzustellen.

Bei der Prüfung, ob ein Zugriff auf das E-Mail-Postfach eines Beschäftigten erfolgen soll, ist im Rahmen der Verhältnismäßigkeitsprüfung und der Interessenabwägung auf der einen Seite die freie unternehmerische Betätigung des Arbeitgebers (Artikel 12 und 14 GG) zu berücksichtigen. Auf der anderen Seite sind die Persönlichkeitsrechte der Arbeitnehmer aus Artikel 2 GG zu beachten. Aus datenschutzrechtlicher Sicht ist insbesondere der Grundsatz der Datenminimierung nach Artikel 5 Absatz 1 lit. c DSGVO zu berücksichtigen. Denn danach muss die Verarbeitung personenbezogener Daten

„dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.“

Weiterhin muss unterschieden werden, ob den Beschäftigten die private Nutzung des betrieblichen E-Mail-Accounts erlaubt ist oder nicht.

Verbotene Privatnutzung des betrieblichen E-Mail-Accounts

Der Arbeitgeber kann seinen Beschäftigten die Privatnutzung des betrieblichen E-Mail-Accounts verbieten. Dies hat zur Folge, dass der gesamte E-Mail-Verkehr als geschäftliche Korrespondenz einzustufen ist. Eine solche Reglung führt aber nicht dazu, dass der Arbeitgeber die Postfächer heimlich (dauer-) überwachen darf. Ein Zugriff ist aber einfacher möglich, um z.B. die Einhaltung dieses Verbots zu überprüfen oder wenn der Verdacht auf eine konkrete Gefährdung von Unternehmensinteressen besteht.

Der Europäische Gerichtshof für Menschenrechte (EGMR, Urteil vom 5. September 2017 – 61496/08) hat für diese Fallgruppe entschieden, dass die Rechte des Arbeitnehmers aus Art. 8 EMRK angemessen berücksichtigt werden müssen. Er hat Kriterien benannt, die bei einem Zugriff auf E-Mail-Postfächer von Beschäftigten durch den Arbeitgeber beachtet werden müssen, u.a.:

  • Vorherige Information der Beschäftigten darüber, dass die Möglichkeit von Kontrollen des E-Mail-Postfachs besteht
  • Vorherige Information über den Umfang etwaiger Kontrollen (z.B. nur Überwachung der Verkehrsdaten oder auch Überwachung der Inhalte der Kommunikation; Dauer der Überwachung)
  • Vorliegen von legitimen Gründen, die eine Überwachung rechtfertigen
  • Abwägung, ob mildere Mittel der Kontrolle zur Verfügung standen, die einen weniger einschneidenden Eingriff in das Recht auf private Kommunikationen darstellen (z. B. allgemeine Auswertung der Verkehrsdaten ohne Zugriff auf den Inhalt der Kommunikation selbst)

Da das Verbot der Privatnutzung wohl nicht von allen Beschäftigten gleichermaßen umgesetzt werden wird, sei hier noch erwähnt: der Arbeitgeber darf E-Mails dann nicht weiter zu Kenntnis nehmen, sobald er ihren privater Charakter erkannt hat.

Erlaubte Privatnutzung des betrieblichen E-Mail-Accounts

Erlaubt bzw. duldet der Arbeitgeber die Privatnutzung des betrieblichen E-Mail-Accounts, ist zunächst strittig, ob er zur Einhaltung des Fernmeldegeheimnisses nach § 3 TTDSG verpflichtet ist. Welche Argumente dafür und dagegen sprechen lesen Sie in unserem Artikel zum Fernmeldegeheimnis am Arbeitsplatz. Folgt man der Ansicht, dass das Fernmeldegeheimnis vom Arbeitgeber zu schützen ist, darf der Arbeitgeber grundsätzlich nicht ohne Einwilligung der jeweiligen Beschäftigten auf deren betriebliches E-Mail-Postfach zugreifen. Ein unberechtigter Zugriff wäre nach § 206 StGB sogar strafbar. Vertritt man die andere Ansicht, sind zum Schutz der Privatsphäre der Beschäftigten an den Zugriff auf E-Mail-Postfächer höhere Anforderungen zu stellen als bei einem Verbot der Privatnutzung. Ein Zugriff wird dadurch wohl seltener möglich sein.

Bei der erlaubten Privatnutzung sollte der Arbeitgeber vom (womöglich einschlägigen) Fernmeldegeheimnis entbunden werden. Zudem sollte vorab eine Einwilligung der Beschäftigten in bestimmte Zugriffs- und Kontrollmöglichkeiten (S. 22) eingeholt werden.

Was ist beim Zugriff auf E-Mails von abwesenden Mitarbeitern zu beachten?

Ist der Zugriff auf das E-Mail-Postfach eines abwesenden Mitarbeiters unumgänglich, sollten neben den oben genannten Kriterien des EGMR weitere Praxistipps beachtet werden:

  • Vier-Augen-Prinzip: Kein alleiniger Zugriff auf das E-Mail-Konto eines Beschäftigten, sondern z.B. im Beisein des betrieblichen Datenschutzbeauftragten und/oder in Abstimmung mit dem externen Datenschutzbeauftragten und/oder (wenn vorhanden) auch unter Beisein des Betriebsrates.
  • Nur erforderlicher Zugriff: D.h. es dürfen nicht alle E-Mails ohne Einschränkung angesehen werden. Das Postfach darf bspw. nur nach bestimmten Schlüsselwörtern oder in bestimmten Zeiträumen durchsucht werden.
  • Schriftliches Protokoll: Festhalten, wann und mit welcher Erforderlichkeit der Zugriff erfolgt ist, welche Personen daran beteiligt waren und welche Dateien angesehen wurden.
  • Passwortänderung: Falls eine Änderung des Passwortes notwendig war, ist das Passwort des Beschäftigten nach erfolgtem Zugriff zurückzusetzen und diesem nach seiner Rückkehr mitzuteilen.

Will man solche Zugriffe nach Möglichkeit vermeiden bzw. auf ein Minimum beschränken, sollten bereits vorab Alternativen geprüft werden, z.B.:

  • Vertretungsreglungen und Abwesenheitsnotiz: Für Abwesenheiten wie z.B. Urlaub, Krankheit oder Elternzeit sollten Vertretungsreglungen (schriftlich) getroffen werden. In einer Abwesenheitsnotiz wird dann auf die Vertretung hingewiesen, sodass der oder diejenige kontaktiert werden kann.
  • Weiterleitung: Sollte eine Abwesenheitsnotiz nicht ausreichen, kann auch eine Weiterleitung der E-Mails in Betracht kommen.
  • Nutzung generischer E-Mail-Postfächer: Solche sind nicht an eine bestimmte Person gekoppelt und mehrere Mitarbeiter haben Zugriff auf diese (z.B. sekretariat@XYZ.de).

Einsatz von Spamfiltern bei betrieblichen E-Mail-Postfächern

Unerwünschte E-Mail-Nachrichten (sog. Spam-Mails) können im Unternehmen zu einem datenschutzrechtlichen Risiko werden. Sie sind nicht nur lästig, sondern möglicherweise auch Angriffswerkzeuge, denn anhängende Dokumente oder enthaltene Links könnten zu Schadprogrammen (sog. Malware) führen. Deshalb ist vielen Arbeitgebern daran gelegen, in betrieblichen E-Mail-Postfächern Spamfilter einzusetzen. Dies sind technische Schutzmaßnahmen im Sinne von Art. 32 DSGVO, welche verdächtige E-Mails erkennen, ausfiltern oder auch verändern können.

Aus den in Betracht kommenden Varianten sollte stets die datenschutzfreundlichste gewählt werden. Zudem sollten folgende, von der Datenschutzkonferenz aufgestellten Grundsätze beachtet werden:

  • Spamfilter, die Header oder Inhalte elektronischer Post automatisch auf unerwünschte Nachrichten prüfen, sollten erst an einem Punkt eingesetzt werden, der außerhalb der Reichweite des Fernmeldegeheimnisses liegt.
  • Die (zentrale) Markierung spamverdächtiger Nachrichten ist der zentralen Löschung von E-Mails ohne Kenntnis des Empfängers vorzuziehen.
  • Um Verletzungen von Vertraulichkeit und Integrität zu vermeiden, sollten die Empfänger der Nachrichten in größtmöglicher Autonomie selbst über den Umgang mit den an sie gerichteten E-Mails entscheiden können

Um hier sowohl den Unternehmensinteressen als auch den Interessen der Beschäftigten gerecht zu werden, sollten Beschäftigte z.B. in Datenschutzschulungen auch zum Umgang mit Spam-Mails u.ä. sensibilisiert werden.

Das ist bei Postfächern ausgeschiedener Mitarbeiter zu beachten

Verlässt ein Mitarbeiter ein Unternehmen, kann es aus Sicht des Arbeitgebers verschiedene Gründe geben, noch eine gewisse Zeit lang eingehende E-Mails auf die personalisierte E-Mail-Adresse zu empfangen, z.B. um den Kontakt zu Kunden zu halten.

Weiterverwendung von E-Mail-Adressen ehemaliger Mitarbeiter

Von einer Weiterverwendung einer personalisierten E-Mail-Adresse ehemaliger Mitarbeiter sollte jedoch besser abgesehen werden. Durch die Beendigung des Beschäftigungsverhältnisses hat der ehemalige Beschäftigte einen Anspruch auf Löschung seiner personenbezogenen Daten nach Art. 17 Absatz 1 lit. a DSGVO, wenn diese für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Der Löschanspruch greift auch bei einer personalisierten E-Mail-Adresse. Allein das Interesse des Arbeitgebers über die personalisierte E-Mail-Adresse der Beschäftigten nach ihrem Weggang weiterhin mit Kunden in Kontakt treten zu können, rechtfertigt keine weitere Speicherung der personalisierten E-Mail-Adresse.

E-Mail-Archivierung und Offboarding-Prozess

Unabhängig davon, ob ein Beschäftigter noch im Unternehmen tätig ist oder nicht, bestehen auch für E-Mails Aufbewahrungsfristen. Dies ist z.B. dann der Fall, wenn sie die Funktion eines Handels- bzw. Geschäftsbriefes oder eines Buchungsbelegs haben. Folge ist, dass diese zu archivieren sind. Die selektive Archivierung einzelner E-Mails würde einen unverhältnismäßig großen Aufwand verursachen. Auch könnten dabei wichtige Nachrichten übersehen werden. Wird pragmatisch der gesamte E-Mail-Verkehr archiviert, ist dies aus datenschutzrechtlicher Sicht eine große Herausforderung. Noch schwieriger wird es, wenn im Unternehmen die Privatnutzung des betrieblichen E-Mail-Accounts erlaubt (oder geduldet) ist. Denn dann muss man davon ausgehen, dass auch private personenbezogene Daten der Beschäftigten archiviert werden.

Um als Arbeitgeber gar nicht erst in Bedrängnis zu kommen, wenn ein Beschäftigter das Unternehmen verlässt, sollte vorab ein sogenannter Offboarding-Prozess eingeführt werden. In Bezug auf das persönliche E-Mail-Postfach des Beschäftigten sollten dabei folgende Punkte berücksichtigt werden:

  • Sichtung und Löschung privater Dateien: Beschäftigte sollten dazu verpflichtet sein, vor Verlassen des Unternehmens, das persönliche E-Mail-Postfach nach privaten Dateien zu sichten und diese auch zu löschen.
  • Sperrung der Daten: sollte das Löschen technisch oder auch rechtlich (Aufbewahrungspflichten) nicht möglich sein, könnten die entsprechenden Daten gesperrt werden.

Am besten vorab Reglungen zu E-Mails treffen

Wie so oft zeigt sich, dass vieles leichter ist, wenn man sich vorab Gedanken macht und diese im besten Fall in schriftlichen Reglungen fixiert. In Bezug auf das E-Mail-Postfach von Beschäftigten sollten Arbeitgeber insbesondere Reglungen dazu treffen, ob die Privatnutzung des betrieblichen E-Mail-Accounts erlaubt ist, wie bei (geplanten) Abwesenheiten vorzugehen ist, unter welchen Umständen ein Zugriff erforderlich sein könnte und wie mit dem E-Mail-Postfach beim Ausscheiden von Beschäftigten umzugehen ist.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.