Dürfen Unternehmen die privaten E-Mails ihrer Beschäftigten einsehen?

Der Arbeitgeber darf nur unter bestimmten Voraussetzungen private E-Mails einsehen
Wann darf der Arbeitgeber den privaten E-Mailverkehr kontrollieren?

Der am 20.05.2021 vom Bundestag verabschiedete Entwurf zum TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz), ein neues Urteil des Landgerichtes Erfuhrt vom 28.04.2021 sowie unterstützende Diskussionen und Entwicklungen weisen einen klaren Weg. Wir berichten über den aktuellen Stand und geben Ihnen eine Handlungsempfehlung aus der Sicht des Datenschutzes zur Nutzung von privaten E-Mails auf betrieblichen E-Mail-Accounts.

Kann bei Verdachtsfällen auf private E-Mails zurückgegriffen werden?

Die Corona-Zeit hat die Homeoffice Tätigkeiten in die Höhe schießen lassen. Die schon vor Corona möglichen Betrugsfälle haben dadurch zugenommen, wie z.B. die Veruntreuung von Geldern des Unternehmens, die Erledigung von privaten Angelegenheiten während der Geschäftszeiten oder sogar das Führen eines eigenen privaten Geschäftes innerhalb der normalen Arbeitszeit.

Der E-Mail-Account wäre hierfür ein perfekter Nachweis. Aber darf ich bei einem begründeten Verdacht das E-Mail-Postfach durchsuchen?

Die Ausgangslage: Private Nutzung des betrieblichen E-Mail-Accounts

Ein Arbeitgeber ermöglicht seinen Arbeitnehmern vertraglich die private Nutzung betrieblicher E-Mail-Accounts. Der Arbeitgeber stellt sich nun die Frage, ob er in diesem Fall als Diensteanbieter gem. § 3 Nr. 6 TKG zu werten ist. Wäre dies der Fall, dann dürfte der Arbeitgeber nur mit expliziter Zustimmung des Arbeitnehmers auf dessen E-Mails zugreifen.

Die Richter des Landgerichtes Erfurt haben in einer Entscheidung (LG Erfurt v. 28.04.2021, 1 HK O 43/20) diese Sichtweise abgelehnt. Würde also ein Arbeitgeber auf den E-Mail-Account seines Arbeitnehmers zugreifen, so entstehen daraus für den Arbeitnehmer keine Schadensersatz- oder Unterlassungsansprüche nach §§ 4488 TKG.

Zugriff ist in besonderen Ausnahmefällen zulässig – Interessenabwägung durchführen

Auch ohne Einwilligung des Arbeitnehmers kann nach Ansicht des Landgerichtes der Arbeitgeber in besonderen Ausnahmefällen auf das Postfach zugreifen. Diese ergeben sich grundsätzlich aus § 26 Abs. 1 BDSG, z.B. bei Abwesenheit des Mitarbeiters oder bei Verdacht auf Straftaten.

Bevor ein solcher Zugriff stattfinden kann, ist jedoch eine Interessensabwägung durchzuführen. Denn ein derartiger Eingriff des Arbeitgebers sollte stets dem Grundsatz der Verhältnismäßigkeit entsprechen, wobei die schutzwürdigen Interessen des Betroffenen nicht überwiegen dürfen. Der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DS-GVO) spielt hierbei eine wesentliche Rolle. So sind zum Beispiel nur die erforderlichen Daten zu überprüfen, welche zur Aufklärung eines Verdachtes zur möglichen Pflichtverletzung nötig sind. Zudem ist zu berücksichtigen, dass die Persönlichkeitsrechte des Mitarbeiters durch die Erlaubnis einer privaten Nutzung des E-Mail-Accounts eine höhere Gewichtung bekommen. Die unternehmerische Freiheit des Arbeitgebers überwiegen ansonsten in der Regel.

Zu unterscheiden ist die rechtliche Stellung eines normalen Angestellten im Verhältnis zu Geschäftsführern oder Vorständen. In Bezug auf die Bestimmungen des § 26 Abs. 8 BDSG fallen diese mangels Beschäftigteneigenschaft nicht unter den Tatbestand des § 26 Abs. 1 BDSG. Hier ist die Rechtsgrundlage Art. 6 Abs. 1 Satz 1 lit. f DS-GVO: Ein überwiegendes Interesse des Arbeitgebers. Trotzdem ist auch hier eine Interessensabwägung durchzuführen. Ansonsten könnte der Betroffene dem Zugriff nach Art. 21 DS-GVO widersprechen.

Bisheriger Rechtsprechung

Auch das LAG Berlin-BrandenburgVG KarlsruheLAG HammLAG NiedersachsenVGH Hessen, und ArbG Düsseldorf hatten in früheren Urteilen diese Auffassung vertreten bzw. urteilten diesbezüglich ähnlich. Auch hat ein Urteil des EuGH im Jahre 2019 das G-Mail nicht als elektronischen Kommunikationsdienst eingestuft:

„Art. 2 Buchst. c der Richtlinie 2002/21/EG des Europäischen Parlaments und des Rates vom 7. März 2002 über einen gemeinsamen Rechtsrahmen für elektronische Kommunikationsnetze und ‑dienste (Rahmenrichtlinie) in der durch die Richtlinie 2009/140/EG des Europäischen Parlaments und des Rates vom 25. November 2009 geänderten Fassung ist dahin auszulegen, dass ein internetbasierter E‑Mail-Dienst, der wie der von der Google LLC erbrachte Dienst Gmail keinen Internetzugang vermittelt, nicht ganz oder überwiegend in der Übertragung von Signalen über elektronische Kommunikationsnetze besteht und daher keinen „elektronischen Kommunikationsdienst“ im Sinne dieser Bestimmung darstellt.“

CURIA – Dokumente (europa.eu)

Folgt man dieser Rechtsprechung, dann ist eine anlassgebundene Kontrolle der E-Mail-Accounts der Angestellten aus Sicht des Arbeitgebers auch dann ohne explizite Einwilligung möglich, wenn er diese zur privaten Nutzung freigegeben hat.

Andere Einschätzung der Datenschutz-Aufsichtsbehörden vor dem TTDSG

Wenn der Arbeitgeber die Erlaubnis zur privaten E-Mail-Nutzung gewährt, so wird laut der „Orientierungshilfe der Datenschutzaufsichtsbehörden zur datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz“ davon ausgegangen, dass der Arbeitgeber gegenüber den Beschäftigten und ihren Kommunikationspartnern zur Einhaltung des Fernmeldegeheimnisses verpflichtet ist. Ferner steht auf Seite 8:

„Zugriff auf Daten, die dem Fernmeldegeheimnis unterliegen, ist dem Arbeitgeber grundsätzlich nur mit Einwilligung der betreffenden Beschäftigten erlaubt.“

Bedeutung für Unternehmen: TTDSG zeigt den Weg

Der am 20.05.2021 vom Bundestag verabschiedete Entwurf zum  TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) führt die Datenschutzbestimmungen des Telemediengesetztes (TMG) und des Telekommunikationsgesetzes (TKG) zusammen. Am 01.12.2021 soll das Gesetz in Kraft treten. Zur Anwendbarkeit des Fernmeldegeheimnisses findet sich im § 3 Abs. 2:

„Zur Wahrung des Fernmeldegeheimnisses sind verpflichtet

1. Anbieter von öffentlich zugänglichen Telekommunikationsdiensten sowie natürliche und juristische Personen, die an der Erbringung solcher Dienste mitwirken,

2. Anbieter von ganz oder teilweise geschäftsmäßig angebotenen Telekommunikationsdiensten sowie natürliche und juristische Personen, die an der Erbringung solcher Dienste mitwirken,

3. Betreiber öffentlicher Telekommunikationsnetze und

4. Betreiber von Telekommunikationsanlagen, mit denen geschäftsmäßig Telekommunikationsdienste erbracht werden.“

§ 3 TTDSG (Entwurf) – Vertraulichkeit der Kommunikation – Fernmeldegeheimnis (dsgvo-gesetz.de)

Fazit

Aus dem TTDSG Entwurf geht indirekt hervor, dass Arbeitgeber nicht als Telemedienanbieter gelten. Sie unterliegen damit nicht dem Fernmeldegeheimnis. Das bedeutet, dass keine Einwilligung seitens des Mitarbeiters für den Zugriff auf die Mails benötigt wird. Arbeitgeber, die die private Nutzung betrieblicher E-Mail-Accounts erlauben wären unter keiner der Nummern zu führen und demnach nicht (mehr) wie bislang an das Fernmeldegeheimnis gebunden. Jedoch unterliegen die Unternehmen weiterhin der DS-GVO und es gilt auch weiterhin die Verhältnismäßigkeit. Der Zugriff darf nicht anlasslos erfolgen und bedarf einer vorherigen Interessensabwägung.

Schon in einer begleitenden Stellungnahme im Januar 2021 begrüßt die Gesellschaft für Datenschutz und Datensicherheit e.V. diese gesetzliche Klarstellung in Punkt 1 wie folgt:

„Anders als bislang von der herrschenden Ansicht vertreten, wären damit Arbeitgeber, die ihren Mitarbeitern die Privatnutzung betrieblicher Kommunikationsmittel ermöglichen, nicht mehr zur Wahrung des Fernmeldegeheimnisses verpflichtet und nicht mehr einer möglichen Strafbarkeit gemäß § 206 StGB ausgesetzt.

Dies erscheint sachgerecht, denn in diesen Fällen dienen die Kommunikationsmittel im Ausgangspunkt eigenen Kommunikationszwecken des Arbeitgebers und der Umstand, dass dieser ohne entsprechende Verpflichtung seinen Mitarbeitern die Privatnutzung der unternehmerischen Infrastruktur ermöglicht bzw. eine solche Nutzung zumindest duldet, sollte nicht dazu führen, dass dieser sich dem Risiko einer Strafbarkeit ausgesetzt sieht. Damit erhält der Arbeitgeber auch keinen Freifahrtsschein, denn an die Vorgaben des Datenschutzrechts bleibt er in jedem Fall gebunden.“

Microsoft Word – Stellungnahme der GDD zum TTDSG-E

Autor: Oliver Zeh