Lösungsmöglichkeiten zum Konflikt der E-Mailarchivierung mit dem Fernmeldegeheimnis und dem Datenschutz (6. Teil der neuen Serie der IT-Recht Kanzlei zu den Themen E-Mailarchivierung und IT-Richtlinie)
Im Teil 6 der neuen Serie der IT-Recht Kanzlei zum Thema E-Mail Archivierung zeigen wir Ihnen mehrere Möglichkeiten auf, wie die Konflikte mit dem Fernmeldegeheimnis und dem Datenschutz bei E-Mailarchivierung gelöst werden können.
Wie bereits an anderer Stelle ausgeführt, bringt die Gestattung der privaten Nutzung der betriebseigenen IT-Infrastruktur durch die Mitarbeiter nicht zu unterschätzende rechtliche Komplikationen mit sich – gerade was auch die Archivierung von E-Mails anbelangt. Aus dem Grund sollte man sich gut überlegen, ob überhaupt und - wenn ja, - in welcher Art und Weise man die private E-Mail Kommunikation am Arbeitsplatz gestatten sollte.
Im Folgenden sollen praxisnahe Lösungen aufgezeigt und im Hinblick auf die E-Mail-Archivierungsanforderungen rechtlich beleuchtet werden:
1. Möglichkeit = Totalverbot des Einsatzes von E-Mails zu privaten Zwecken im Unternehmen
a.) Kein Konflikt mit Fernmeldegeheimnis und Datenschutz
Zumindest aus rechtlicher Sicht scheint diese Lösung die ideale: das Unternehmen wird nicht zum Telekommunikationsanbieter mit der Folge, dass das Fernmeldegeheimnis nicht gilt. Zudem kann auch datenschutzrechtlich die Archivierung gerechtfertigt werden (siehe Teil 5 dieser Serie). So können Rechtsunsicherheiten für den Arbeitgeber und den Arbeitnehmer vermieden und SPAM-Filter, Vertretungszugriffe, Archivierung und Kontrollen einer missbräuchlichen Nutzung ermöglicht werden. Das Unternehmen hat dann das Recht, beliebig und unbegrenzt auf die E-Mails der jeweiligen Mitarbeiter zu archivieren.
b) Kommunikation des Verbots
Das Verbot sollte im Unternehmen aus Rechtssicherheitsgründen unbedingt kommuniziert werden. Zwar kann ein Arbeitnehmer laut dem Bundesarbeitsgericht nicht von der Erlaubnis der privaten Nutzung ausgehen, wenn keine Regelung vorliegt oder diese nicht kommuniziert wurde. Denn der Arbeitgeber allein bestimmt die Art der Verwendung der betrieblichen Mittel. Die Bereitstellung eines Internetzugangs bedeutet nicht, dass der Arbeitgeber auch stillschweigend die private Nutzung gestattet. Der Arbeitnehmer muss grundsätzlich davon ausgehen, dass er die betrieblichen Mittel nur zu betrieblichen Zwecken einsetzen darf. Aber für die Rechtssicherheit aller Beteiligten ist die Klarstellung sehr zu empfehlen.
c. Schriftliche Niederlegung des Verbots
Zu beachten wäre, dass das E-Mail Verbot aus Beweisgründen in jedem Fall schriftlich fixiert werden sollte, etwa durch
* entsprechende Richtlinien betreffend der Nutzung der firmeneigenen IT-Infrastruktur,
* Betriebsvereinbarungen,
* Einverständniserklärungen der Belegschaft oder gar
* den individuellen Anstellungsvertrag.
d. Durchsetzung des Verbots in der Praxis
Das Verbot ist auch in der Praxis durchzusetzen. Untersagt nämlich ein Arbeitgeber die private Nutzung von E-Mails, ohne dies dann regelmäßig zu kontrollieren und zu unterbinden, kann sich das Verbot in eine Duldung "umwandeln".
Der Arbeitnehmer hat nach einer Weile der Duldung (sog. betriebliche Übung) einen Anspruch auf die Leistung, hier die Privatnutzung. Der Annahme einer Duldung durch den Arbeitgeber steht zudem nicht entgegen, dass er bei Duldung seinen Archivierungspflichten ohne Verstoß gegen das Fernmeldegeheimnis nicht nachkommen kann. Denn wenn er Kenntnis von der privaten Nutzung hat und nicht dagegen vorgeht, dann kann zu Recht angenommen werden, dass er seine eigenen Pflichten billigend verletzt. Regelmäßig wird darüber gestritten, ob der Arbeitgeber wirklich Kenntnis von der Nutzung hatte und in welchem Umfang er die Nutzung duldete.
Um dem vorzubeugen, sind regelmäßig Kontrollen vorzunehmen und auch für den Fall von Verstößen Sanktionen vorzusehen, die in besonderen Fällen bis zu einer (verhaltensbedingten) Kündigung reichen können.
2. Möglichkeit= Zulassung mitarbeitereigener Mobilgeräte
Solche Mobilgeräte sind mitarbeitereigener Handys und Laptops. Über viele Handys kann man mittlerweile ins Internet gehen. Bei Laptops kann über einen USB-Surf-Stick die Internetverbindung hergestellt werden. In beiden Fällen wird der Internetzugang durch den Vertragspartner des Arbeitnehmers (Handyvertrag oder Surf-Stick-Vertrag) bereitgestellt. Dann ist nicht der Arbeitgeber Anbieter nach dem TKG, sondern der Vertragspartner des Internetzugangs des Mitarbeiters.
Zudem werden die privaten E-Mails nicht durch den Arbeitgeber archiviert. Und die privaten Daten des E-Mailaustausches werden auch nicht gebackupt, sodass kein Konflikt mit dem BDSG entstehen kann.
Es sollte jedoch hierbei unbedingt eine IT-Vereinbarung getroffen werden, welche die Nutzung der mitarbeitereigenen Mobilgeräte regelt. Dabei sollten die Nutzungszeiten auf die Pausen beschränkt oder auf die Arbeitszeiten angerechnet werden. Weiter sollte es ein Verbot der Übertragung von betrieblichen Daten auf die mitarbeitereigenen Mobilgeräte und umgekehrt sowie ein Verbot der Verbindung der mitarbeitereigener Mobilgeräte mit dem betrieblichen Kommunikationssystem geben.
Schließlich sollte es eine Pflicht zur Deaktivierung der Foto- und Webcam-Funktion geben, um insbesondere Betriebsgeheimnisse zu schützen.
3. Möglichkeit = Vorbehaltslose Erlaubnis des Einsatzes von E-Mails zu privaten Zwecken
Diese Alternative ist aus rechtlicher Sicht alles andere als ideal. Dem Arbeitgeber ist es verwehrt, den privaten E-Mailverkehr seiner Mitarbeiter zu lesen, ja geschweige denn zu archivieren, da das Fernmeldegeheimnis nach § 88 III TKG gilt. Konsequenz: Dem Arbeitergeber bleibt nichts anderes übrig, als sich, in der Regel sehr aufwendigen und damit kostenintensiven technischen Lösungen zu bedienen, die in der Lage sind, private Mails von dienstlichen zu trennen. Von manchen Juristen wird vertreten, dass es in diesem Fall dem Arbeitgeber nicht verwehrt werden dürfe, immerhin den Betreff der jeweiligen E-Mail zu öffnen bzw. sichtbar zu machen.
Dies ist jedoch abzulehnen, da jeglicher Inhalt der privaten Mail, also auch der Betreff, vom Fernmeldegeheimnis geschützt ist. Können private Mails von den betrieblichen Mails nicht unterschieden werden, ist dem Arbeitgeber auch der Zugriff auf die geschäftlichen Emails versagt.
Anders ist es nur hinsichtlich der Verkehrsdaten nach § 100 III TKG.
Der Zugriff auf den Inhalt der Emails kann für den Arbeitgeber zu einer Strafbarkeit nach §§ 206 und 202a StGB führen.
Theoretisch ist es möglich, dass der Arbeitgeber mit den Mitarbeitern Individualvereinbarungen trifft, in denen die Mitarbeiter in die Emailarchivierung einwilligen. Diese Einwilligung muss in Anlehnung an das BDSG freiwillig abgegeben werden. In der Praxis wird es jedoch nur schwer möglich sein, von allen Arbeitnehmern eine Einwilligung zu erhalten.
In dieser Konstellation ergibt sich eine Pflichtenkollision des Arbeitgebers. Er verletzt entweder die Straftatbestände nach §§ 206, 202a StGB (Datenschutz, Fernmeldegeheimnis) oder nach 238b StGB (Buchführungspflicht). Da es nun an einer Norm wie § 32 BDSG fehlt, welche die Datenerhebung an das Kriterium der Erforderlichkeit knüpft, wäre es denkbar über den rechtfertigenden Notstand nach § 34 StGB zu lösen. Dieser knüpft auch an eine Abwägung an.
Ob die Einhaltung der Buchführungspflicht dem Interesse an Datenschutz und Fernmeldegeheimnis wie von § 34 StGB verlangt wesentlich überwiegt, ist Ansichtssache. Da es hierzu allerdings keine Rechtsprechung gibt, kann von dieser Lösung nur abgeraten werden.
4. Möglichkeit = Die Zwischenlösungen
Natürlich ist auch eine Zwischenlösung denkbar, etwa dergestalt, dass den Mitarbeitern im Einzelnen vorgeschrieben wird, auf welche Art und Weise privat über die firmeninterne IT-Infrastruktur kommuniziert werden kann. Folgende Lösungen bieten sich hierzu an:
a. Zugriff auf Web-Accounts
Der Arbeitgeber erlaubt den Zugriff auf eine private E-Mailadresse des Arbeitnehmers in einem Freemail-Account wie gmx.de, yahoo.de, web.de etc. und verbietet den privaten E-Mailverkehr über die geschäftliche E-Mailadresse. Dadurch bleibt die geschäftliche E-Mailadresse von privaten Inhalten frei und kann ohne Konflikt mit dem Fernmeldegeheimnis archiviert werden. Ein Verstoß dagegen ist ein Verstoß des Arbeitgebers gegen seine Treuepflicht, sodass er nicht mehr schutzwürdig ist.
Durch das Erlauben der privaten Nutzung wird der Arbeitgeber nun wieder Anbieter der Telekommunikation. Wie oben dargelegt, darf dann der Arbeitgeber weder vom Inhalt noch von den Verbindungsdaten der Telekommunikation Kenntnis nehmen. Deshalb ist zu beachten, dass ein Firmennetzwerkrouter nicht die Webanfragen protokollieren darf. Ebenso darf dies nicht durch Proxy-Router geschehen. Denn auch diese schreiben normalerweise die Webanfragen mit. Eine Webanfrage ist der Aufruf einer (Web-) Seite über einen Browser.
Weiter sollte das private Surfen zeitlich beschränkt werden, also zum Beispiel auf die Zeiten von 08:00 Uhr bis 09:30 Uhr, von 12:00 Uhr bis 13:00 Uhr. Denn damit ist der Arbeitgeber nur in diesen Zeiträumen Anbieter nach dem TKG. Somit bleibt ihm in der übrigen Zeit die Möglichkeit die Arbeitnehmer zu überwachen (dazu mehr im 7.Teil der Serie „Überwachung und Kontrolle“).
b. Zuweisung einer privaten neben der geschäftlichen E-Mailadresse
Den Mitarbeitern kann neben einer geschäftlichen E-Mailadresse auch eine privat und als solche gekennzeichnete E-Mailadresse (z.B. Max.Muster.Privat@Firmenname.de) zur Verfügung gestellt werden - verbunden mit der Auflage, dass nur letztere zu privaten Zwecken genutzt werden darf. Der Arbeitgeber würde dann nur die E-Mails der geschäftlichen E-Mailadresse archivieren.
Damit würde eine zentrale, sowie effiziente Archivierung ermöglicht werden, da auf diese Weise eine Vermischung privater wie auch dienstlicher E-Mail ausgeschlossen sein würde. Nicht zuletzt würde man damit auch etwaigen Konflikten mit Betriebsräten aus dem Weg gehen können, die ansonsten bei betrieblichen Vereinbarungen zur E-Mailnutzung hinzugezogen werden müssten. So wird etwa das Mitbestimmungsrecht von Betriebsräten seitens der Rechtsprechung recht weit gefasst. Es sei demnach ausreichend, wenn technische Maßnahmen dazu geeignet sein könnten, den Arbeitnehmer zu überwachen - was naturgemäß gerade für Telekommunikationssysteme gilt.
Nicht ausreichend ist es, wenn im Rahmen der geschäftlichen E-Mailadresse nur zwei verschiedene (Unter-) Folder eingerichtet werden und einer für betriebliche E-Mails und der andere für geschäftliche E-Mails verwendet wird. Denn, wie im 4. Teil der Serie unter VII.2.c. beschrieben, werden die E-Mails bereits und sofort beim Eingang auf dem Server des Arbeitgebers archiviert. Somit wäre eine private E-Mail schon archiviert und die Trennung von den betrieblichen E-Mails käme zu spät.
Was passiert jedoch, wenn der Arbeitnehmer versehentlich (oder auch nicht) ein private E-Mail vom Account der geschäftlichen E-Mail-Adresse versendet? Dann kann sich unseres Erachtens der Arbeitgeber gegenüber dem Arbeitnehmer auf dessen Arbeitnehmertreupflicht berufen. Der Arbeitnehmer hat diese verletzt und ist nicht schutzwürdig, vor allem deswegen, weil der Arbeitgeber ausreichend tätig geworden ist, um dem Arbeitnehmer eine sichere Möglichkeit zur privaten Nutzung zu ermöglich.
c. Kennzeichnung der privaten E-Mails.
Auch könnte man an Regelungen denken, die dem Mitarbeiter vorschreiben würden, private E-Mails auch im Header deutlich als "privat" zu kennzeichnen. (So wird es zum Teil auch von Behörden praktiziert.) Von manchen Juristen wird vertreten, dass es in diesem Fall dem Arbeitgeber nicht verwehrt werden dürfe, immerhin den Betreff der jeweiligen E-Mail zu öffnen bzw. sichtbar zu machen. Dies ist jedoch abzulehnen, da jeglicher Inhalt der privaten Mail, also auch der Betreff, vom Fernmeldegeheimnis geschützt ist. Können private Mails von den betrieblichen Mails nicht unterschieden werden, ist dem Arbeitgeber auch der Zugriff auf die geschäftlichen Emails versagt. Anders ist es nur hinsichtlich der Verkehrsdaten nach § 100 III TKG.
Praktisch schwierig wird es hierbei zudem, wenn jemand eine private E-Mail an den Arbeitnehmer schickt und nicht weiß, dass diese mit „privat“ gekennzeichnet sein muss. Dann kann diese Lösung versagen. Ob man hierbei noch einen Treuepflichtverstoß des Arbeitnehmers begründen kann, ist eine Entscheidung im Einzelfall.
d. Anlegen eines Ordners mit privaten E-Mails
Hier liegt der Arbeitnehmer in seinem E-Mail-Programm einen (Unter-) Ordner an, der mit Privat gekennzeichnet wird und nicht bei der Archivierung erfasst wird. In diesen Ordner verschiebt er seine privaten E-Mails, bevor die Archivierung durchgeführt wird. Dazu darf allerdings nicht sofort beim Ein- und Ausgang der E-Mails auf dem Firmenserver archiviert werden. Sondern es muss ein bestimmter Zeitpunkt festgelegt werden bis zu welchem der Arbeitnehmer alle privaten E-Mails vom Posteingang und Postausgang in den Ordner Privat verschieben kann. Zum Beispiel könnte man festlegen, dass der Arbeitnehmer dies bis zum x-ten Tag eines jeden Monats zu tun hat.
Problematisch hierbei ist aber, dass nicht oder nur schwer verhindert werden kann, dass kurz vor der Archivierung noch eine private E-Mail eingeht.
e. Gesonderte Surfstationen für Arbeitnehmer
Der Arbeitgeber kann seinen Arbeitnehmern gesonderte Rechner zur Verfügung stellen, von welchen aus die Arbeitnehmer auf das Internet und ggf. einen Drucker zugreifen können. Diese Rechner stehen auf einem zentralen Platz und dienen mehreren Arbeitnehmer zugleich, z.B. pro Abteilung oder pro Stockwerk ein Rechner.
Die Arbeitnehmer können von dort auf ihre Freemail-Accounts wie gmx.de, yahoo.de, web.de etc. zugreifen, sonstige Seiten ansurfen, Dateien herunterladen, Dateien drucken etc.. Dieser PC wird weder gebackupt, noch archiviert oder überwacht. Wenn ein Arbeitnehmer den Rechner verlässt, kann er den Rechner herunterfahren bzw. neustarten. Der Rechner ist so konfiguriert, dass er bei jedem Herunterfahren ein komplettes Reset durchführt.
Damit werden z.B. alle heruntergeladenen Daten des Arbeitgebers oder der Verlauf des Browsers gelöscht, sodass jeder nachfolgend nutzende Arbeitnehmer nicht auf die Daten seines Vorgängers sehen kann.
f. Einwilligung in die Archivierung der privaten E-Mails
Teilweise wird die Ansicht vertreten, dass der Arbeitnehmer in die Archivierung der privaten E-Mails einwilligen kann. Damit kann der Arbeitgeber dem Arbeitnehmer die private E-Mail-Nutzung gewähren, wenn der Arbeitnehmer vorher die Einwilligung abgibt. Andernfalls erteilt er ihm ein Verbot zur privaten Nutzung. Begründet wird die Auffassung damit, dass der Arbeitnehmer auf den, ihm gesetzlich gewährten Schutz des Fernmeldegeheimnisses verzichten kann. Die Gegenauffassung hält den Verzicht deshalb nicht möglich, da das Fernmeldegeheimnis auch für den Kommunikationspartner des Arbeitnehmers gilt. Für den Kommunikationspartner kann der Arbeitnehmer jedoch nicht „mitverzichten“. Hiergegen wird zwar teilweise vertreten, dass das Fernmeldegeheimnis nur für den Arbeitnehmer gelte, da der Arbeitgeber nur gegenüber diesem Anbieter nach dem TKG werde. Dies ist unserer Meinung aber nicht richtig. Das Fernmeldegeheimnis gilt unserer Auffassung auch für den jeweiligen Kommunikationspartner. Demzufolge führt diese Lösung nicht zu einer Möglichkeit die private E-Mailnutzung und die Archivierung zu vereinen.
g. privates Surfen über einen eigenen Proxyserver
Der Arbeitgeber richtet einen eigenen Proxyserver ein, über den ausschließlich das private Surfen der Arbeitnehmer läuft. Zudem ist auf allen lokalen Rechner eine Software installiert, über die der Arbeitnehmer bestimmen kann, ob er gerade privat oder dienstlich surft. Damit kann das private Surfen von dienstlichen getrennt werden. Die Arbeitnehmer dürfen die dienstliche E-Mailadresse nicht zu privaten Zwecken benutzen. Aber sie können jederzeit auf ihre Web-Accounts zugreifen.
Hinsichtlich der Daten, die auf dem Proxyserver für das private Surfen anfallen, ist der Arbeitgeber Diensteanbieter nach dem TKG, Damit hat er für diesen Server nur die beschränkten Zugriffsrechte, die ihm das TKG einräumt. Hinsichtlich der anderen Server, über die das dienstliche Surfen und E-Mailen läuft, ist der Arbeitgeber kein Diensteanbieter und damit kann er auf diese Server zugreifen. Somit ist die E-Mail-Archivierung möglich.
Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
© pdesign - Fotolia.com
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
2 Kommentare
vielen Dank für das kritische Betrachten unseres Artikels.
Aufgrund Ihrer ersten Anmerkung haben wir nun die betroffene Stelle klarer formuliert.
Auch die Möglichkeit der Einwilligung wurde nun in den Artikel aufgenommen. Allerdings haben wir in diesem Punkt eine andere Rechtsauffassung.
Mit freundlichen Grüßen
Patrick Prestel
IT-Recht Kanzlei
Einige Anmerkungen:
Lösung 1: Dort heißt es: "das Unternehmen wird nicht zum Telekommunikationsanbieter und auch der Datenschutz spielt dann keine Rolle". Der zweite Teil des Satzes ist etwas missverständlich, denn natürlich gilt auch bei rein betrieblicher Nutzung der Datenschutz, denn auch betriebliche E-Mails sind personenbezogene Daten. Nur fällt hier die Rechtfertigung beim Umgang deutlich leichter.
Lösung(en) 4: Die praxistauglichste und nach meiner Einschätzung sehr häufig eingesetzte Lösung wurde hier erstaunlicherweise vergessen: Es wird ein Totalverbot ausgesprochen sofern der Mitarbeiter nicht in gewisse Verarbeitungen einwilligt. Meiner Meinung nach der beste Kompromiss zwischen Rechtssicherheit und Praxistauglichkeit.
Spannend im Übrigen ist die Frage, inwiefern soetwas in Betriebsvereinbarungen geregelt werden kann.