Internet und E-Mail-Nutzung am Arbeitsplatz

E-Mail-Nutzung

Nicht nur bei Beschäftigten, sondern auch bei vielen Arbeitgebern kommen im Zusammenhang mit Internet- und E-Mail-Nutzung bezüglich des Beschäftigtendatenschutzes viele Fragen auf. Es ist schon längst nicht mehr ungewöhnlich, dass sich Geschäftliches mit Privatem im Arbeitsalltag vermischt. Darf der Arbeitgeber an dieser Stelle Kontrolle ausüben? Wenn ja, wie?

Wir schaffen Klarheit.

Übersicht

  1. Risiko
  2. Die Rechtsgrundlagen
  3. Forderung nach Regelungen
  4. Was darf der Arbeitgeber?
  5. Fazit

1) Risiko

Beschäftigtendatenschutz

Durch die Vermischung von Privatem und Geschäftlichem im Arbeitsalltag kommt es nicht selten vor, dass Beschäftigte insbesondere den Internetzugang und das dienstliche E-Mail-Postfach für eigene Zwecke verwenden, die nicht im direkten dienstlichen Kontext stehen. Mit dieser privaten Nutzung steigt gleichzeitig auch die Notwendigkeit, dass der Arbeitgeber technische Schutz- und Abwehrmaßnahmen trifft und die IT-Sicherheit insgesamt erhöht, um Datenschutzvorfälle zu vermeiden. In einigen Unternehmen geht es an der Stelle über Spamfilter und Antivirenprogramme sogar so weit, dass jeder Tastatur-Anschlag der Beschäftigten überwacht wird.
Aus Arbeitgebersicht wird häufig auch ein erforderlicher Zugriff auf das E-Mail-Postfach erwartet, um den laufenden Betrieb in Abwesenheitsfällen aufrecht erhalten zu können.

2) Die Rechtsgrundlagen

Im Zusammenhang mit Kontrollen und Zugriffsmaßnahmen sollten Sie mehrere gesetzliche Vorgaben beachten:

  • Da die Durchführung solcher Maßnahmen mit einer Verarbeitung von personenbezogenen Daten verbunden ist, sollten Sie die Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) beachten.
  • Außerdem spielen telekommunikationsrechtliche Regelungen eine Rolle, da noch nicht geklärt ist, ob Arbeitgeber den Regelungen des Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) unterliegen können. Mehr dazu finden sie im nächsten Abschnitt.
  • Auch sollten Sie die Mitbestimmungsrechte des Betriebsrats beachten (z.B. § 87 Abs. 1 Nr. 6 BetrVG).

3) Forderungen nach Regelungen

Sie als Arbeitgeber sollten bei denen von ihnen geplanten Vorgängen stets die Zulässigkeit prüfen, um nicht nur Bußgelder wegen Datenschutzverstößen oder Rechtsstreitigkeiten (z.B. Schadensersatzansprüche), sondern auch strafrechtliche Verfolgung wegen Missachtung des Fernmeldegeheimnisses zu vermeiden.

Wie schon angedeutet stellt sich die Frage, ob auch die Regelungen aus dem Telekommunikationsrecht greifen. Dies würde eintreten, wenn der Arbeitgeber auch die private Nutzung zulässt und aufgrund dessen zum Telekommunikationsdienstanbieter wird.

ausscheidende Mitarbeiter

Der Arbeitgeber müsste die Vorschriften des TTDSG beachten, insbesondere das Fernmeldegeheimnis, das durch das Grundgesetz geschützt ist (Art. 10 GG). Unter Berücksichtigung des Fernmeldegeheimnisses wäre der Zugriff auf Inhalte und Verkehrsdaten grundsätzlich verboten und könnte sogar zu strafrechtlichen Konsequenzen führen (u.a. nach § 206 StGB).

Dennoch ist die Rechtslage nach wie vor unklar (§ 3 Abs. 2 Nr. 2 TTDSG).

Wenn Beschäftigte das betriebliche Internet und E-Mail-Postfach nicht nur beruflich, sondern auch privat nutzen, könnte man argumentieren, dass der Arbeitgeber in diesem Fall Telekommunikationsdienste mit oder ohne Gewinnerzielungsabsicht nachhaltig für Dritte bereitstellt und somit geschäftsmäßig agiert. Gleichzeitig verstehen andere Arbeitgeber nicht als Telekommunikationsanbieter, da die Bereitstellung von Kommunikationsmitteln am Arbeitsplatz für die private Nutzung nicht als gezielte Dienstleistung an Dritte betrachtet wird. Nach dieser Ansicht sind Arbeitgeber daher nicht unmittelbar für die Einhaltung des Fernmeldegeheimnisses verantwortlich.

4) Was darf der Arbeitgeber?

Ob der Arbeitgeber die private Nutzung verbietet oder erlaubt (bzw. duldet), hat schlussendlich große Auswirkungen auf die Zulässigkeit der Kontroll- und Zugriffsmaßnahmen:

Verbot

Wenn der Arbeitgeber die Nutzung des E-Mail-Accounts und des Internets nur für berufliche Zwecke erlaubt, kann er sich sicher sein, dass er keine Strafbarkeit riskiert und er nicht dem Fernmeldegeheimnis unterliegt. Dadurch sind unter Beachtung des Datenschutzrechts (v.a. Erfordernis einer Rechtsgrundlage) Kontrollen und Zugriffe möglich. Aktuell kann er sich auf § 26 Abs. 1 S. 1 BDSG stützen, wenn er das Verbot zur Privatnutzung und die Pflichteinhaltung aus dem Beschäftigungsverhältnis beachtet.
Das Prinzip der Erforderlichkeit muss dennoch erfüllt sein:

  • Die Datenschutzkonferenz (DSK) erlaubt Arbeitgebern laut ihrer Richtlinien von 2016 stichprobenartige Kontrollen der Internetnutzung mithilfe von Protokolldaten. Die DSK betont jedoch, dass es ausreicht, die Daten ohne konkreten Personenbezug auszuwerten. Weitere Informationen sind in der Orientierungshilfe der DSK verfügbar.
  • Die Datenschutzkonferenz (DSK) erlaubt Arbeitgebern, Kenntnis von ein- und ausgehenden E-Mails über den betrieblichen E-Mail-Account zu haben. Allerdings betrachtet sie die automatisierte Weiterleitung solcher E-Mails als unzulässig, es sei denn, es besteht eine klare Notwendigkeit dafür.
  • Private E-Mails sollten auch dann nicht inhaltlich überprüft werden, wenn sie trotz des Verbots erkannt werden, solange ihr privater Charakter festgestellt wurde.
  • Im Falle eines konkreten Missbrauchsverdachts kann der Arbeitgeber gemäß den Richtlinien der DSK tiefgreifendere Überprüfungen durchführen.

Erlaubnis / Duldung

Erlaubt oder duldet der Arbeitgeber die private Nutzung, sind die Inhalte und Kommunikationsdaten u.a. durch das Persönlichkeitsrecht (Art. 2 Abs.1, Art.1 Abs.1 GG) und ggf. dem Fernmeldegeheimnis geschützt. Durch Kontroll- und Zugriffsmaßnahmen können sich Arbeitgeber hier also strafbar machen. Dieses Risiko kann durch bestimmte Maßnahmen gesenkt werden:

  • Es ist möglich, die Einwilligung der Mitarbeiter in die private Nutzung und die damit verbundenen Maßnahmen des Arbeitgebers einzuholen, wodurch sie im Grunde auf den Schutz des Fernmeldegeheimnisses verzichten. Allerdings bleibt fraglich, ob es ausreicht, wenn nur die Mitarbeiter selbst eine solche Einwilligung erteilen, ohne die Zustimmung ihrer privaten Kommunikationspartner einzuholen, deren Daten ebenfalls verarbeitet werden könnten.
  • Eine Einwilligung im Beschäftigungsverhältnis ist schwer zu erlangen, da sie hohe Anforderungen an Freiwilligkeit und Information der Mitarbeiter stellt (Art. 4 Nr. 11 DSGVO). Arbeitgeber müssen die Mitarbeiter daher umfassend über alle möglichen Kontroll- und Zugriffsmaßnahmen informieren, die mit einer Zustimmung verbunden sind.
  • Außerdem sollte beachtet werden, dass die gegebene Einwilligung jederzeit widerrufen werden können muss. In diesem Zusammenhang kann die (sichere) Archivierung von E-Mails problematisch sein.
  • Es ist auch wichtig zu beachten, dass die Einwilligungen von Mitarbeitern in der Regel schriftlich oder elektronisch eingeholt werden müssen (gemäß § 26 Abs. 2 S. 3 BDSG). Dies erfordert einen erheblichen organisatorischen Aufwand.

5) Fazit

Das grundsätzlich sicherste Vorgehen ist zwar das Komplettverbot der privaten Internet- und E-Mail-Nutzung, doch ein „grundsätzliches Verbot mit Ausnahmen“ hat sich als beliebt und zeitgemäß erwiesen.

Dieses Konzept legt ein durchgängiges Verbot für die private Nutzung von Arbeitsmitteln fest, das zunächst für alle Beschäftigten gilt, auch für neue Systeme und Anwendungen. Es gibt jedoch Ausnahmen, wenn die Mitarbeiter schriftlich in bestimmte Maßnahmen einwilligen. Oft wird dies durch eine allgemeine Regelung zur Internet- und E-Mail-Nutzung mit einer anhängenden Einwilligungserklärung umgesetzt. Wenn ein Mitarbeiter die Einwilligung nicht gibt oder später widerruft, gilt das allgemeine Verbot für private Nutzung automatisch für ihn.

Jeder Arbeitgeber darf für sich prüfen und festlegen, wie er verfahren möchte: Erlaubnis vs. Verbot.
Die entsprechenden Regelungen sind anschließend z.B. durch Richtlinien, Klauseln im Arbeitsvertrag oder Betriebsvereinbarungen zu erstellen und intern umzusetzen.

Hier finden Sie eine Checkliste: Inhalt einer Regelung zur Nutzung des dienstlichen Internetzugangs und des E-Mail-Accounts (in diesem Fall generelles Verbot mit Ausnahmen).
Sollten Sie weitere Fragen haben, melden Sie sich gerne bei uns.

Quelle: Viele der Gedanken sowie die Grundlage der Checkliste hier haben wir aus der Zeitschrift „Datenschutz-Praxis“, Ausgabe 06/2023

Schreibe einen Kommentar

Leistungen

Datenschutz

IT-Sicherheit

Menschen

Rechtliches

Impressum

Datenschutz

Klicken Sie hier, um Ihre Freunde zu beschenken

Mehr

Noch Fragen?
Schreiben Sie uns gerne eine Nachricht

sicher³

Otto-Hahn-Ring 7
64653 Lorsch

info@sicher-hoch-drei.com