DA+

Kurzbeitrag : Praxisfälle zum Datenschutzrecht VIII: Zugriff auf Mitarbeiter-E-Mails : aus der RDV 1/2021, Seite 34 bis 37

Lesezeit 9 Min.

I. Sachverhalt

Im Unternehmen U ist die Nutzung der Kommunikationstechnik explizit nur für dienstliche Zwecke gestattet. Während Mitarbeiter X sich wegen gravierender Herzprobleme im Krankenhaus befindet, tritt ein dringendes Kundenanliegen auf, das nur unter Rückgriff auf von X geführte E-Mail-Korrespondenz gelöst werden kann. Der zuständige Vorgesetzte lässt sich daher den Zugriff auf das persönliche Mitarbeiterpostfach des X ermöglichen, indem der Systemadministrator das Passwort von X zurücksetzt. Bei Zugriff auf das Postfach unter Anwesenheit eines Vertreters des Betriebsrats wird festgestellt, dass X auch zahlreiche Nachrichten mit pornografischen Bildern abgespeichert hat.

Ist die Einsichtnahme in das E-Mail-Postfach des X durch den Vorgesetzten datenschutzrechtlich zulässig? Dürfen die entdeckten Beweismittel für arbeitsrechtliche Schritte verwendet werden?

II. Musterfalllösung

1. Datenschutzrechtliche Zulässigkeit der Einsichtnahme in das E-Mail-Postfach

a) Allgemeines

Im Hinblick auf die möglichen Konsequenzen ist zunächst die Frage zu klären, ob der Arbeitgeber rechtmäßig Kenntnis von den Mails mit pornografischem Inhalt erlangt hat. Ist dies nicht der Fall, kann der Arbeitgeber die gewonnenen Informationen ggf. nicht zu Beweiszwecken verwenden.

Dabei ist zunächst zu prüfen, ob dem Zugriff auf die Daten besondere Schutzvorschriften entgegenstanden. Relevant werden könnte zunächst § 202a StGB, der das Briefgeheimnis in gewissem Umfang auf elektronisch gespeicherte bzw. übermittelte Daten ausdehnt und diese vor unbefugter Einsichtnahme schützt. Als E-Mail versandte und gespeicherte Daten fallen hierunter, wenn sie nicht für den Zugreifenden bestimmt sind und gegen unbefugten Zugriff besonders gesichert sind.[1]

Vorliegend war die Nutzung der betrieblichen Kommunikationstechnik nur zum dienstlichen Zweck gestattet, was zur Folge hat, dass der Arbeitgeber grundsätzlich ein umfassendes Einsichtsrecht bezüglich geführter E-Mail-Korrespondenz hat.[2] Dienstliche E-Mails sind – gleichermaßen wie herkömmliche papierförmige Dienstkorrespondenz – Post des Arbeitgebers. Mittels E-Mail können wichtige Nachrichten, wie bspw. Kündigungen, eingehen oder aufbewahrungspflichtige Geschäfts- und Handelsbriefe nach §§ 147 AO, 257 HGB entstehen.[3] Daran ändert nichts, dass die E-Mails an die Adresse eines bestimmten Mitarbeiters gerichtet sind (z.B. Max.Mustermann@unternehmen.de). Die personalisierte E-Mail-Adresse führt nicht dazu, dass ein- bzw. ausgehende Nachrichten als private Post schützenswert wären, sondern dient lediglich der innerorganisatorischen Zuständigkeitsverteilung.

An dem Einsichtsrecht des Arbeitgebers ändert sich auch nichts dadurch, dass der Arbeitnehmer die betrieblichen Kommunikationsmittel entgegen dem Willen des Arbeitgebers für private Zwecke genutzt hat. Es darf nicht sein, dass der Arbeitnehmer es in der Hand hat, durch rechtswidriges Verhalten die Zugriffsrechte des Arbeitgebers auf die Unternehmenskorrespondenz einzuschränken.

Fraglich ist, ob die gespeicherten Daten dadurch zu privaten, d.h. nicht mehr für den Arbeitgeber bestimmten Daten werden, dass die Mails bzw. der Mitarbeiteraccount insgesamt mittels eines vom Mitarbeiter selbst bestimmten Passworts geschützt sind. Ein mögliches Vertrauen des Mitarbeiters darauf, durch das individuelle Passwort vor Zugriffen des Arbeitgebers geschützt zu sein, ist jedoch nicht schutzwürdig. Dem Arbeitnehmer muss klar sein, dass dieser Schutzmechanismus dienstlichen Interessen dient.

Eine Strafbarkeit nach § 202a StGB scheidet damit aus, weil die Nachrichten im Mitarbeiterpostfach des X prinzipiell für das Unternehmen bzw. einen ggf. notwendigen Zugriff durch Vorgesetzte bestimmt sind. Der vorhandene Passwortschutz hat nicht die Funktion zu verhindern, dass Vorgesetzte ihre Aufgaben ausüben.

Zu erörtern bleibt, ob der Schutz des Fernmeldegeheimnisses greift. Ein Eingreifen des Fernmeldegeheimnisses (§ 88 TKG, § 206 StGB) kommt jedoch nur dann in Betracht, wenn der Arbeitgeber vorliegend die private Nutzung der betrieblichen Kommunikationsmittel gestatten oder zumindest im Sinne einer betrieblichen Übung dulden würde.[4] Im vorliegenden Fall war die Nutzung der betrieblichen Kommunikationsmittel aber explizit nur für dienstliche Zwecke gestattet. Aus dem Sachverhalt ergeben sich auch keine Anhaltspunkte, dass anderes Verhalten geduldet wurde. U ist daher im Verhältnis zu seinen Mitarbeitern nicht als Telekommunikationsanbieter anzusehen.

Zu beachten bleibt aber jedenfalls das Verbot mit Erlaubnisvorbehalt nach Art. 6 Abs. 1 DS-GVO.[5] Denn mit dem Zugriff auf das Postfach ist eine Verarbeitung personenbezogener Daten der Mitarbeiter verbunden, für die es eines entsprechenden Erlaubnistatbestandes bedarf.

Als Erlaubnistatbestand kommt hier § 26 Abs. 1 S. 1 BDSG in Betracht. Voraussetzung dafür ist, dass der Zugriff auf die E-Mails im Rahmen der Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erfolgte und hierfür erforderlich war. Insoweit kann sich der Arbeitgeber vorliegend auf sein Recht berufen, die Erledigung der Geschäftsabläufe durch den Arbeitnehmer zu kontrollieren bzw. hierüber informiert zu sein.[6]

Der Begriff der Erforderlichkeit verlangt eine unter dem Aspekt der Verhältnismäßigkeit vorzunehmende Interessenabwägung. Will der Arbeitgeber bei Abwesenheit eines Mitarbeiters zur Wahrung berechtigter Geschäftsinteressen auf dessen E-Mail-Postfach zugreifen, um an dort vermutete Informationen zu gelangen, so muss er zunächst prüfen, ob weniger schwerwiegende Alternativen – etwa die Nachfrage beim Arbeitnehmer selbst – nicht ebenso zielführend wären und ob dem Zugriff im konkreten Fall nicht überwiegende schützenswerte Belange des Arbeitnehmers entgegenstehen.[7]

Eine Kontaktaufnahme mit X kam vorliegend nicht als weniger schwerwiegende Alternative in Betracht. Aufgrund seiner Fürsorgepflicht ist der Arbeitgeber grundsätzlich gehalten, erkrankte Mitarbeiter in Ruhe genesen zu lassen und diese nur im Notfall zu kontaktieren. Dies gilt erst recht, wenn sich Mitarbeiter mit erheblichen gesundheitlichen Problemen im Krankenhaus befinden, wie es hier der Fall war. Überwiegende schutzwürdige Interessen standen dem Zugriff auf das Postfach nicht entgegen, insbesondere musste der Arbeitgeber von X nicht damit rechnen, entgegen seiner ausdrücklichen Anordnung in dem Mitarbeiterpostfach private Inhalte zu finden, noch dazu pornografische. Der Arbeitgeber darf prinzipiell davon ausgehen, dass sich Mitarbeiter an seine Vorgaben halten. Den schutzwürdigen Interessen von X wurde zudem dadurch Rechnung getragen, dass der Vorgesetzte nicht allein auf das Postfach zugegriffen hat, sondern nach dem „4-Augen-Prinzip“ im Beisein eines Mitarbeitervertreters.

Selbst wenn die private Korrespondenz erlaubt ist, kann dies nicht zu einer Einschränkung der Zugriffsrechte des Arbeitgebers führen. Vielmehr muss der Arbeitnehmer zum Schutz der Privatpost private und dienstliche Dateien trennen und entsprechend kennzeichnen. Hierauf ist vom Arbeitgeber im Fall der erlaubten Privatnutzung entsprechend hinzuweisen ebenso wie auf die Umstände, unter denen ein Zugriff auf das auch privat genutzte Postfach erfolgt. Trennt der Mitarbeiter trotz entsprechenden Hinweises nicht zwischen privaten und dienstlichen Mails, so müssen aufgrund dieses Fehlverhaltens ggf. seine schutzwürdigen Interessen hinsichtlich der Vertraulichkeit der Privatpost zurücktreten. Sofern Arbeitnehmer – wie hier – das Postfach unerlaubt privat nutzen, müssen sie damit leben, dass private Kommunikationen im Rahmen von anlassbezogenen Zugriffen auf das Postfach offenbar werden können. Insoweit besteht kein Anspruch auf Vertraulichkeit. Im Fall der verbotenen Privatnutzung ist der Arbeitgeber zudem befugt, stichprobenartig anlasslos zu kontrollieren, ob und in welchem Umfang diesbezügliche Vertragsverletzungen stattfinden.

Im Verhältnis zum Mitarbeiter X begründet der Zugriff auf das E-Mail-Postfach damit keine Datenschutzverletzung.

b) Private Korrespondenzpartner des Mitarbeiters

Von der Kenntnisnahme der privaten E-Mails durch U ist aber nicht nur deren Mitarbeiter X datenschutzrechtlich betroffen, sondern auch dessen private Kommunikationspartner. § 26 Abs. 1 S. 1 BDSG kann eine Verarbeitung von deren personenbezogenen Daten nicht rechtfertigen, da § 26 BDSG nur die Verarbeitung von Beschäftigtendaten regelt. Die Verarbeitung der personenbezogenen Daten der privaten Korrespondenzpartner von X durch U kann aber ggf. auf eine Interessenabwägung nach Art. 6 Abs. 1 S. 1 lit. f DS-GVO gestützt werden.

Ohne Zweifel hat U ein berechtigtes Interesse daran, dringende Kundenanliegen auch dann bearbeiten zu können, wenn die zuständigen Mitarbeiter erkrankt sind. Schutzwürdige Betroffeneninteressen stehen der Verarbeitung ebenfalls nicht entgegen. Wer an die E-Mail-Adresse eines Unternehmens schreibt, darf – auch wenn es sich um eine personalisierte Adresse handelt – schon mangels Kenntnis der betrieblichen Regelungen (Stellvertreterregelung etc.) nicht darauf vertrauen, dass seine Nachrichten nur von der angeschriebenen Person gelesen werden.

Die Verarbeitung der personenbezogenen Daten der Korrespondenzpartner ist damit nach Art. 6 Abs. 1 S. 1 lit. f DS-GVO gestattet. Auch im Verhältnis zu den privaten Korrespondenzpartnern von X liegt damit kein Datenschutzverstoß vor.

c) Ergebnis

Der Zugriff auf das Postfach des X ist rechtmäßig erfolgt und der Arbeitgeber rechtmäßig zu den Erkenntnissen über die unerlaubte Privatnutzung gelangt.

Der Verwendung der entdeckten Beweismittel für arbeitsrechtliche Schritte steht damit nichts entgegen. Als Konsequenz kommt je nach Würdigung der Einzelheiten des Falls eine Abmahnung oder auch die Kündigung des Arbeitsverhältnisses in Betracht.

Ohnehin führt nicht jeder Datenschutzverstoß dazu, dass erhobene Informationen im arbeitsgerichtlichen Verfahren nicht mehr verwendet werden können. Ein Beweisverwertungsverbot bzw. ein Verbot, unstreitigen Sachvortrag zu verwerten, kommt nach der BAG-Rechtsprechung nur dann in Betracht, wenn dies aufgrund einer verfassungsrechtlich geschützten Position einer Prozesspartei zwingend geboten ist.[8] Es bedarf stets einer Einzelfallabwägung zwischen dem Interesse an der Funktionstüchtigkeit der Rechtspflege (Art. 103 Abs. 1 GG) einerseits und dem Recht auf informationelle Selbstbestimmung andererseits.[9]

  1. Praxishinweise

Aufgrund der hiermit verbundenen rechtlichen und praktischen Schwierigkeiten ist von einer Erlaubnis der privaten Nutzung dienstlicher E-Mail-Accounts in der Praxis abzuraten.[10] Erlaubt ein Arbeitgeber anders als im vorliegenden Fall die Nutzung des dienstlichen Postfachs auch für private Zwecke bzw. duldet eine solche Nutzung zumindest, so ist dieser nach herrschender Ansicht als Diensteanbieter i.S.v. § 3 Nr. 6 Telekommunikationsgesetz anzusehen.[11] Jedenfalls nach zum Teil vertretener Ansicht[12] erstreckt sich im Beschäftigungsverhältnis der Schutz des Fernmeldegeheimnisses bei gestatteter Privatnutzung dabei regelmäßig auch auf den ruhenden E-Mail-Verkehr. Die daraus resultierenden rechtlichen Probleme im Hinblick auf notwendige bzw. sinnvolle Zugriffe des Arbeitgebers können nur über eine Einwilligung des Mitarbeiters behoben werden.

Dazu, in welchem Umfang dem Arbeitgeber bzw. Vorgesetzten oder Kollegen im Vertretungsfall bzw. bei Abwesenheit des Mitarbeiters ein Einsichtsrecht in dessen E-MailPostfach eingeräumt wird, finden sich in der Praxis – u.a. als Kompromissergebnis in einer Betriebsvereinbarung oder Unternehmensrichtlinie – unterschiedlich weitgehende Regelungen. Zu unterscheiden ist zwischen der vom Mitarbeiter selbst verfügten Freigabe des für ihn bestimmten Postfachs oder ggf. ohne sein Mitwirken, z.B. bei ungeplanter Abwesenheit, erfolgenden Zugriffen. Teilweise wird mit vom Mitarbeiter verpflichtend zu benennenden Postfachvertretern gearbeitet, die bei Abwesenheit das Postfach bearbeiten.[13]

Teilweise ist vorgesehen, dass Mitarbeiter für den Fall geplanter Abwesenheit den sog. Abwesenheitsassistenten aktivieren bzw. dieser bei ungeplanter Abwesenheit durch den Verantwortlichen aktiviert werden darf. Datenschutzfreundlich ist in letzterem Fall die Variante, dass der Absender automatisch über die Abwesenheit und die Adresse des Vertreters informiert wird und selbst entscheiden kann, ob er die Information auch einem Vertreter – ggf. in der vorgesehenen Form – zukommen lassen will. Anstelle von automatischen Weiterleitungen ist regelmäßig der Einsatz von Funktionsadressen wie vertrieb@unternehmen.de oder kundenservice@unternehmen. de zu empfehlen.

*Miriam Claus, LL.M. ist Referentin bei der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). RAin Yvette Reif, LL.M. ist stellvertretende Geschäftsführerin der GDD und Mitautorin des Werks Gola/Reif, Praxisfälle Datenschutzrecht, 2. Aufl. 2016.

[1] Zur Strafbarkeit eines Systemadministrators nach § 202a StGB, der unbefugt auf durch Passwörter geschützte E-Mail-Accounts einzelner Mitarbeiter zugreift, vgl. BGH, Beschl. v. 13.05.2020 – 5 StR 614/19.

[2] Müller, öAT 2019, 3.

[3] Koreng/Lachenmann/Bergt, Formularhandbuch Datenschutzrecht, 2. Aufl. 2018, D. III. 1., Rn. 1.

[4] Nach Ansicht der herrschenden Literatur und der Datenschutzaufsichtsbehörden ist auch der Arbeitgeber als Diensteanbieter i.S.v § 3 Nr. 6 Telekommunikationsgesetz anzusehen, sofern den Beschäftigten die private Nutzung des betrieblichen E-Mail-Accounts gestattet ist, vgl. dazu etwa Brink/Schwab, ArbRAktuell 2018, 111, 112.

[5] Sydow/Ingold, Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, Art. 7, Rn. 8.

[6] Brühl/Sepperer, ZD 2015, 417 f.

[7] Brühl/Sepperer, ZD 2015, 417 f.

[8] BAG, Urt. v. 20.10.2016 – 2 AZR 395/15.

[9] Zu einem Sachvortragsverwertungsverbot wegen datenschutzwidriger Auswertung privater E-Mails kam das LAG Hessen mit Urt. v. 21.09.2018 in der Rechtssache 10 Sa 601/18. Zum Thema datenschutzrechtlicher Sachvortrags- und Beweisverwertungsverbote allgemein vgl. Fuhlrott/ Oltmanns, NZA 2019, 1105, 1106; Betz, RdA 2018, 100; Kort, NZA 2018, 1097, 1104 f.

[10] Koreng/Lachenmann/Bergt, Formularhandbuch Datenschutzrecht, 2. Aufl. 2018, D. III. 1; Brink/Schwab, ArbRAktuell 2018, 111, 113.

[11] Brink/Schwab, ArbRAktuell 2018, 111, 112.

[12] Brink/Schwab, ArbRAktuell 2018, 111, 113.

[13] Musterrichtlinie zur Nutzung von Internet und E-Mail bei Koreng/Lachenmann/Bergt, Formularhandbuch Datenschutzrecht, 2. Aufl. 2018, D. III. 1.