Zum Inhalt springen Zur Navigation springen
E-Mails: Ist die Weiterleitung von geschäftlich zu privat erlaubt?

E-Mails: Ist die Weiterleitung von geschäftlich zu privat erlaubt?

Obwohl die E-Mail als tägliches Arbeitsmittel kaum mehr wegzudenken ist, gibt es zum rechtskonformen Umgang mit einem geschäftlichen E-Mail-Account immer noch große Unsicherheiten. So ist z.B. vielen Arbeitnehmern – aber auch Arbeitgebern – nicht bewusst, dass die Weiterleitung von geschäftlichen E-Mails an private Accounts rechtlich aus verschiedenen Gründen problematisch ist. Neben der Verletzung von Rechtsnormen aus dem UWG oder auch dem StGB kommen auch datenschutzrechtliche Verstöße in Betracht.

Verpflichtung zum Schutz personenbezogener Daten

Es ist in der Praxis gar nicht selten, dass gerade sehr pflichtbewusste Arbeitnehmer sich geschäftliche E-Mails – inklusive Anhängen wie z.B. Reports – an die eigene private E-Mail-Adresse senden um diese dann zu Hause zu bearbeiten. Wahrscheinlich aber gerade deshalb, weil dies aus Sicht der Arbeitnehmer im Interesse des Unternehmens geschieht, ist ein entsprechendes Unrechtsbewusstsein nicht vorhanden. Der Versand von geschäftlichen E-Mails ist aber aus datenschutzrechtlicher Sicht als unzulässig zu bewerten, wenn die E-Mail und/oder der Anhang personenbezogene Daten beinhalten. Dies ist z.B. jedenfalls dann der Fall, wenn ein Report eine Kundenliste o.ä. enthält.

§ 9 BDSG – Fehlende Datensicherheit

Für alle personenbezogenen Daten, die ein Unternehmen erhebt, speichert, nutzt oder verarbeitet, ist das Unternehmen die sog. „verantwortliche Stelle“ im Sinne von § 3 Abs. 7 BDSG. D.h. das Unternehmen ist für den rechtskonformen Umgang verantwortlich und haftet für Rechtsverletzungen. Nach § 9 BDSG ist das Unternehmen dabei verpflichtet geeignete technische und organisatorische Maßnahmen zu treffen um die Datensicherheit zu gewährleisten. Dies umfasst selbstverständlich auch einen ausreichenden technischen Schutz von E-Mail-Accounts, der in Unternehmen in aller Regel durch entsprechende Sicherheitsmaßnahmen der IT gewährleistet wird. Genau diese Sicherheitsmaßnahmen werden in der Regel aber für den privaten E-Mail-Account nicht bestehen. Die wenigsten Nutzer werden wohl den eigenen PC ähnlich professionell schützen, wie dies die Unternehmens-IT-Abteilung gewährleistet. Daher stellt der Versand bzw. die Vorhaltung von geschäftlichen E-Mails im eigenen privaten E-Mail-Account bereits aus diesem Grund einen datenschutzrechtlichen Verstoß dar.

§ 11 BDSG – Auftragsdatenverarbeitung

Die private E-Mail-Adresse besteht in aller Regel bei einem entsprechenden großen Anbieter wie z.B. web.de, der Telekom oder Google. D.h. die geschäftliche E-Mail wird zunächst einmal auf einem Server des E-Mail-Anbieters gespeichert. Auch dieser Umstand ist datenschutzrechtlich problematisch, denn es besteht faktisch fast immer die Möglichkeit, dass der Anbieter auf die E-Mail zugreifen kann. Dieser Umstand ist für den privaten Nutzer grundsätzlich datenschutzrechtlich nicht bedenklich, da das BDSG für ihn nicht gilt. Aber das Unternehmen selbst unterliegt dem BDSG und müsste in einer solchen Konstellation mit dem Anbieter einen Auftragsdatenverarbeitungsvertrag nach § 11 BDSG schließen. Ohne einen solchen Vertrag ist die Speicherung der E-Mail unzulässig.

Weitere datenschutzrechtliche Probleme können zudem entstehen, wenn sich die E-Mail-Server im sog. EU-Ausland wie z.B. USA befinden sollten. Dann handelt es sich beim Versand einer geschäftlichen E-Mail sogar um eine Datenübermittlung ins EU-Ausland und es müsste zudem mit dem E-Mail-Provider ein Vertrag auf Basis der EU-Standardvertragsklauseln geschlossen werden.

Keine Zugriffsmöglichkeit auf E-Mails

Eine weitere Problematik entsteht, wenn das Unternehmen auf die dann im privaten Account gespeicherte E-Mail Zugriff nehmen will / muss. Da es sich um einen privaten Account handelt, gilt grundsätzlich das Telekommunikations-/Fernmeldegeheimnis, dessen Verletzung strafrechtlich geahndet wird. D.h. auch wenn ein Unternehmen die private Nutzung des geschäftlichen Accounts wirksam untersagt hat und somit grundsätzlich Zugriff auf E-Mails nehmen könnte, ist es in dieser Konstellation auf die Zustimmung des Mitarbeiters und Inhabers des privaten Accounts angewiesen.

Weitere mögliche Rechtsverletzungen

Neben den dargestellten datenschutzrechtlichen Problemstellungen birgt die Weiterleitung von geschäftlichen E-Mails auch noch die Gefahr von weiteren Rechtsverletzungen. Da geschäftliche Korrespondenz nicht selten auch Informationen beinhaltet, die Geschäftsgeheimnisse berühren, sind Verstöße gegen Vorschriften aus dem Gesetz gegen unlauteren Wettbewerb (UWG) oder aber auch Verletzungen von vertraglichen Verpflichtungen nicht fernliegend. Bei Berufen, die einer gesetzlichen Verschwiegenheitspflicht unterliegen, besteht sogar die Gefahr von strafrechtlich relevanten Verstößen.

Fazit: Besser nicht weiterleiten

Auch wenn vom Arbeitnehmer eigentlich gut gemeint: Der Versand von geschäftlichen E-Mails an die eigene private E-Mail-Adresse sollte aus den dargestellten Gründen unterbleiben. Ein Zugriff auf geschäftliche E-Mails sollte nur über einen Webaccess-Zugang zum geschäftlichen E-Mail-Account erfolgen. Aber auch hier sollte darauf geachtet werden, dass die notwendigen Maßnahmen zur IT-Sicherheit gewährleistet sind.

Auch das In-Kraft-Treten der Datenschutz-Grundverordnung (DSGVO) am 25.05.2018 wird diese Problematik nicht ändern. Ganz im Gegenteil: Aufgrund der verschärften Anforderungen und des erhöhten Bußgeldrahmens wird es für Unternehmen noch wichtiger werden, den rechtskonformen Umgang mit dem geschäftlichen E-Mail-Account sicherzustellen.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Danke für diesen wieder mal gelungenen/informativen Artikel, welcher viele Seiten des Vorgangs belichtet.

  • … und für interessierte Leser aus dem Bereich Wissenschaft, Forschung und Lehre nochmal ganz explizit:
    https://tinyurl.com/y8qunj3a Vortrag beim DFN-Verein
    bzw.
    https://tinyurl.com/y8bru8r8 (DFN Infobrief Recht)

    Viele Grüße aus dem Elfenbeinturm :-)

  • Vielen Dank für diesem umfangreichen und informativen Artikel. Bei uns im Büro war das Weiterleiten bisher auch gängige Praxis, wenn man mal einen Report oder ein Dokument noch schnell zu hause abarbeiten wollte. Wir arbeiten jedoch seit kurzen mit einem externen Datenschutzbeauftragten aus einer IT Firma (LINK GELÖSCHT) zusammen. Hauptsächlich um uns für die DVGSO zu rüsten. Aber uns wurde auch geraten, das Weiterleiten einzustellen. Jetzt kann ich die Gründe gut nachvollziehen. Denn es kann sich von Fall zu Fall doch um sehr sensible Daten handeln. Die es zu schützen gilt.

  • Guten Tag, wie sieht es aus bei Vereinen? Es ist meist nicht möglich, für jeden ehrenamtlichen Teamleiter eine @mein-verein.de-Mailadresse einzurichten. (1) Ist von einer Weiterleitung von E-Mails von der info@-Adresse zur privaten Adresse des Teamleiters abzuraten? (2) Kann man z.B. eine sportart@mein-sportverein.de Mailadresse an ein eine oder mehrere private Mailadessen weiterleiten, so dass Interessenten Kontakt mit den Leitern aufnehmen können? Oder ist es transparenter, eine anonyme Mailadresse eines Free-Mail-Anbieters auf die Webseite zu stellen (z.B. sportart-bei-verein@gmx.de)? – Vielen Dank im Voraus.

    • Das BDSG gilt uneingeschränkt auch Vereine. Alle drei von Ihnen genannten Varianten können wir nicht empfehlen. Bei der Weiterleitung von E-Mails an die privaten Adressen stehen Sie vor den im Artikel näher erläuterten, rechtlichen Problemen. Möchten Sie eine Free-Mail Adresse nutzen, wäre aus den im Artikel genannten Gründen zumindest ein Auftragsdatenverarbeitungsvertrag, zum Teil auch Standardvertragsklauseln notwendig. Abhilfe könnte eine Sammel-E-Mail Adresse (bspw. info@sportverein.de) schaffen, zu der bestimmte Mitarbeiter über einen verschlüsselten Web Access Zugriff erhalten.

  • Guten Morgen,
    ich bin schon seit 2 Jahren krankgeschrieben. Nun versucht mein Arbeitgeber natürlich, mich „loszuwerden“.
    Ich stehe in E-mail-Kontakt mit unserem Personalvertreter.
    Diesen persönlichen,offenen und mit Absprache vertraulichen Austausch hat er ohne meine Zustimmung an Vorgesetzte weitergeleitet, denen ich durch Mobbing jeglichen Kontakt verweigere.
    Ist dies zulässig?

    • Personen, die mit den Aufgaben der Personalvertretung betraut sind, unterliegen grundsätzlich der Verschwiegenheitspflicht und müssen daher alle anvertrauten Informationen vertraulich behandeln. Das Bundespersonalvertretungsgesetzt macht von der Schweigepflicht jedoch Ausnahmen, u.a. sind Mitglieder des Personalrats gegenüber dem Dienstellenleiter im Rahmen der Wahrnehmung der gesetzlichen Aufgaben, von der Schweigepflicht entbunden. Um zu beurteilen, ob ein solcher Fall bei Ihnen vorliegt, müssten genau die Einzelheiten des Sachverhaltes untersucht werden und neben dem Datenschutzrecht spielen auch arbeitsrechtliche Aspekte eine Rolle, sodass Sie hierfür einen Fachmann zu Rate ziehen sollten.

  • Guten Tag, wie sieht es aus wenn man seine eigenen geschäftlichen e-mails ausdruckt und zuhause liest?

    • Das Unternehmen ist für die Datensicherheit der geschäftlichen E-Mails verantwortlich. Auch beim Ausdrucken der E-Mails und Mitnahme in die eigenen vier Wände, kann das Unternehmen zumindest nur erschwert die Datensicherheit schützen. Grundsätzlich gilt, dass geschäftliche E-Mails im Eigentum des Unternehmens stehen und daher auch nicht das Unternehmen verlassen dürfen. Im Einzelfall kann es aber sein, dass Unternehmen individuelle Lösungen treffen (z.B. für Homeoffice).

  • Guten Tag, wie ist es denn mit dem Weiterleiten von Korrespondenz mit dem Vorgesetzten zum Zwecke der Beweissicherung?
    Ich werde gerade stark unter Druck gesetzt, muss feststellen, dass unter 4 Augen Besprochenes im Zweifelsfall abgestritten wird und versuche mich gerade durch die Verlagerung aufs Schriftliche abzusichern.
    Aber: Sollte es zu einem Rechtsstreit kommen kann mir mein Chef (Firmeninhaber) doch jederzeit erstmal den Zugang zu diesem Schriftverkehr verweigern.
    Kann es in einem derart gelagerten Fall eine Güterabwägung zu meinen Gunsten geben? Gibt es hierzu einschlägige Urteile? Wie kann ich mich ohne juristisches Risiko absichern?

    • Auch für diesen Fall greifen die im Beitrag besprochenen Aspekte. Ob dies für Ihren Einzelfall anders beurteilt werden kann, betrifft neben dem Datenschutzrecht auch das Arbeitsrecht und müsste von einem Fachmann geprüft werden.
      Zudem haben Sie einen Auskunftsanspruch(vgl. Art. 15 DSGVO), wobei der Umfang des Auskunftsanspruchs umstritten ist. Teilweise wird dieser von den Gerichten sehr weit ausgelegt (vgl. LAG Baden-Württemberg, Urteil vom 20.12.2018 – 17 Sa 11/18).

  • Ich bin Honorartrainerin und gebe meinen Schülern oft meine private Mail, damit sie mir dorthin ihre Lernerfolgsmessungen schicken. Ich habe eine „offizielle“ Mailadresse von meinem Aufraggeber. Allerdings ist das Postfach sehr schnell voll.
    Daher habe ich den Schülern meine private Mailadresse angeboten.
    Ist das konform?

    • Leider sind wir nicht befugt, Ihnen im Rahmen dieses Blogs eine Rechtsberatung zukommen zu lassen. Inwiefern die im Artikel beschriebenen Grundsätze auf Ihren Fall anzuwenden sind, lässt sich in diesem Rahmen nicht klären.

      Wie im Artikel beschrieben, bieten die vom Auftraggeber zur Verfügung gestellten Adressen jedoch einen deutlich umfassenderen technischen Schutz als private Adressen. Ebenso kann es ein Problem darstellen, dass die E-Mail Daten bei einem großen Anbieter gespeichert werden, für den zumindest faktisch die Möglichkeit besteht auf die E-Mails zuzugreifen, so dass bei der Verwendung privater E-Mail-Adressen ein datenschutzrechtliches Risiko bestehen kann.

  • Hallo, wie ist das wenn mein Arbeitgeber ungefragt Arztverordnungen von Patienten zuschickt zu mir nach Hause mit der Post aber auch andere Papieren und Dokumenten die arbeitsrelevant sind so wie Leistungsnachweisen usw.?

  • Hallo,kann ich eine „Ausnahme“ für die Weiterleitung von digitaler Fachliteratur (z. B. Rundschreiben WP´s zu aktuellen Gesetzesänderungen) erhalten? Ich komme meist nicht dazu diese während der Arbeitszeit zu lesen, deshalb sende ich mir diese an Privat um dann diese z. B. auf meinem privaten Handy durchzulesen.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.