Datenschutz und Privatnutzung betrieblicher E-Mail-Accounts
[IITR – 14.05.21] In einem Urteil vom 28. April 2021 hat das Landgericht Erfurt festgestellt, dass die private Nutzung betrieblicher E-Mail-Accounts den Arbeitgeber nicht zum Diensteanbieter i.S.d. Telekommunikationsgesetzes (TKG) werden lässt und ein Zugriff auf die E-Mails daher unter besonderen Voraussetzungen auch ohne Einwilligung des Betroffenen zulässig ist. Wir stellen in dem Beitrag die aktuelle Situation dar und geben den Unternehmen eine Empfehlung an die Hand, wie die Privatnutzung im Unternehmen adressiert werden sollte.
Die Ausgangslage: Arbeitgeber als Telekommunikationsanbieter?
Gegenstand des Verfahrens am Landgericht Erfurt (LG Erfurt v. 28.04.2021, 1 HK O 43/20) war die Problemstellung, ob ein Arbeitgeber als Diensteanbieter gem. § 3 Nr. 6 TKG zu werten ist, sollte er seinen Arbeitnehmern die private Nutzung betrieblicher E-Mail-Accounts vertraglich ermöglichen. Wäre dies der Fall dürfte der Arbeitgeber nur mit expliziter Zustimmung auf die E-Mails des Arbeitnehmers zugreifen.
Dies lehnte das Landgericht Erfurt ab. Sollte der Arbeitgeber also auf den E-Mail-Account seines Arbeitnehmers zugreifen, entstehen aus Sicht der Richter für den Arbeitnehmer keine Schadensersatz- oder Unterlassungsansprüche nach §§ 44, 88 TKG. Aus Sicht des Gerichts ist dem Arbeitgeber also gestattet, in besonderen Ausnahmefällen auch ohne Einwilligung des Arbeitnehmers auf das Postfach zuzugreifen.
Sicht des Gerichts: Zugriff in Ausnahmefällen zulässig
Besondere Ausnahmefälle ergeben sich für Accounts von Beschäftigten grundsätzlich aus § 26 Abs. 1 BDSG. So ist es demnach aus Sicht des Gerichts dem Arbeitgeber möglich, bei Abwesenheit des Arbeitnehmers oder bei Verdacht auf Straftaten auf die E-Mail-Accounts zuzugreifen.
Ein solcher Eingriff des Arbeitgebers müsste stets dem Grundsatz der Verhältnismäßigkeit entsprechen. Das schutzwürdige Interesse des Betroffenen dürfe nicht überwiegen. Dabei ist insbesondere auf den Grundsatz der Datenminimierung zu achten (Art. 5 Abs. 1 lit. c DSGVO). Es sind bspw. nur diejenigen Daten zu überprüfen, die erforderlich sind, um den Verdacht der etwaigen Pflichtverletzung aufzuklären. Außerdem ist das Persönlichkeitsrecht des Beschäftigten zu berücksichtigen, welches umso stärker würde, wenn eine private Nutzung des E-Mail-Accounts erlaubt wäre. Andernfalls überwiege in der Regel die unternehmerische Freiheit des Arbeitgebers.
Geschäftsführer und Vorstände fallen hinsichtlich der Bestimmungen in § 26 Abs. 8 BDSG – mangels Beschäftigteneigenschaft – nicht unter den Tatbestand des § 26 Abs. 1 BDSG. Für sie stellt vielmehr Art. 6 Abs. 1 Satz 1 lit. f DSGVO, also ein überwiegendes Interesse des Arbeitgebers, die Rechtsgrundlage dar.
Auch hier sind – im Rahmen der Interessensabwägung – die jeweiligen berechtigten Interessen wie bei Beschäftigten zu beachten und zu werten. Einem solchen Zugriff könnte der Betroffene darüber hinaus nach Art. 21 DSGVO widersprechen.
Sichtweise bisheriger Rechtsprechung
Auch andere Gerichte hatten in früheren Urteilen (u.a. LAG Berlin-Brandenburg v. 14.01.2016 – 5 Sa 657/15 und v. 16.02.2011 – 4 Sa 2132/10; VG Karlsruhe v. 27.05.2013 – 2 K 3249/12; LAG Hamm v. 10.07.2012 – 14 Sa 1711/10; LAG Niedersachsen v. 31.05.2010 – 12 Sa 875/09; VGH Hessen v. 19.05.2009 – 6 A 2672/08.Z; ArbG Düsseldorf v. 29.10.2007 – 3 Ca 1455/07) diese Auffassung vertreten.
In einem Aufsatz (NJW 2012/1995) hatten Dr. Ulrich Fülbier und Dr. Andreas Splittgeber bereits 2012 einem Urteil mit diesem Tenor gegenüber „im Ergebnis uneingeschränkte Zustimmung“ ausgesprochen.
Es fehlt aber bislang eine höchstrichterliche Klärung zu dieser Frage.
Indizwirkung könnte ein Urteil des Europäischen Gerichtshofes im Jahre 2019 haben, das G-Mail nicht als elektronischen Kommunikationsdienst einstuft (EuGH v. 19.06.2019 – C 193/18):
„Art. 2 Buchst. c der Richtlinie 2002/21/EG des Europäischen Parlaments und des Rates vom 7. März 2002 über einen gemeinsamen Rechtsrahmen für elektronische Kommunikationsnetze und ‑dienste (Rahmenrichtlinie) in der durch die Richtlinie 2009/140/EG des Europäischen Parlaments und des Rates vom 25. November 2009 geänderten Fassung ist dahin auszulegen, dass ein internetbasierter E‑Mail-Dienst, der wie der von der Google LLC erbrachte Dienst Gmail keinen Internetzugang vermittelt, nicht ganz oder überwiegend in der Übertragung von Signalen über elektronische Kommunikationsnetze besteht und daher keinen „elektronischen Kommunikationsdienst“ im Sinne dieser Bestimmung darstellt.“
Jedenfalls wäre der Rechtsprechung folgend aus Sicht des Arbeitgebers eine anlassgebundene Kontrolle der E-Mail-Accounts seiner Angestellten auch dann ohne explizite Einwilligung möglich, wenn er diese zur privaten Nutzung freigegeben hat.
Sicht der Datenschutzaufsichtsbehörden
Die Datenschutz-Aufsichtsbehörden gehen dagegen weiterhin von der Dienstanbietereigenschaft des Arbeitgebers aus.
Aus der „Orientierungshilfe der Datenschutzaufsichtsbehörden zur datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz“, Seite 8:
“Ist die private E-Mail-Nutzung erlaubt (…), ist der Arbeitgeber gegenüber den Beschäftigten und ihren Kommunikationspartnern zur Einhaltung des Fernmeldegeheimnisses verpflichtet. (…) Ein Zugriff auf Daten, die dem Fernmeldegeheimnis unterliegen, ist dem Arbeitgeber grundsätzlich nur mit Einwilligung der betreffenden Beschäftigten erlaubt.”
Bedeutung für Unternehmen
Bis zu einer höchstrichterlichen Klärung dieser Frage besteht für Unternehmen das Risiko der gerichtlichen Auseinandersetzung zu dieser Frage, sollte ein Zugriff auf ein betriebliches Postfach mit erlaubter Privatnutzung erforderlich werden.
Dies birgt aus arbeitsrechtlicher und auch strafrechtlicher Sichtweise also auch weiterhin Rechtsunsicherheit. Auf Daten, die im Zuge einer solchen Kontrolle der E-Mail-Accounts erhoben wurden, kann sich der Arbeitgeber beispielsweise bei einer etwaigen Kündigung später nicht stützen, wenn das Gericht die Daten für rechtswidrig erhoben halten sollte.
Auch aktuelle Novelle verändert Rechtslage nicht
[Anmerkung: der folgende Absatz wurde nachträglich angepasst] Der Bundestag hat am 19. Mai 2021 dem Gesetzesentwurf des Bundesregierung für ein TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) zugestimmt. Dieses neue Gesetz soll die Datenschutzbestimmungen des Telemediengesetztes (TMG) und des Telekommunikationsgesetzes (TKG) zusammenführen. Darin wird die Anwendbarkeit des Fernmeldegeheimnisses in dem neu geschaffenen § 3 Abs. 2 wie folgt geregelt:
„Zur Wahrung des Fernmeldegeheimnisses sind verpflichtet
- Anbieter von öffentlich zugänglichen Telekommunikationsdiensten sowie natürliche und juristische Personen, die an der Erbringung solcher Dienste mitwirken,
- Anbieter von ganz oder teilweise geschäftsmäßig angebotenen Telekommunikationsdiensten sowie natürliche und juristische Personen, die an der Erbringung solcher Dienste mitwirken,
- Betreiber öffentlicher Telekommunikationsnetze und
- Betreiber von Telekommunikationsanlagen, mit denen geschäftsmäßig Telekommunikationsdienste erbracht werden.“
Damit würden auch unter dem neuen TTDSG Arbeitgeber, die die private Nutzung betrieblicher E-Mail-Accounts erlauben, weiter grundsätzlich unter das Fernmeldegeheimnis fallen. Dies hatte unter anderem auch BITKOM in ihrer Stellungnahme kritisiert.
Fazit: Verbot der privaten Nutzung des betrieblichen E-Mail-Accounts
Bis zu einer gesetzlichen Klarstellung ist Unternehmen zu raten, die private Nutzung betrieblicher E-Mail-Adressen für Beschäftigte zu untersagen. Nur so kann im Zweifel in begründeten Ausnahmesituationen ein Zugriff auf das E-Mail-Postfach auch ohne Einwilligung des Betroffenen erfolgen. Wird die private Nutzung erlaubt oder geduldet bedarf ein Zugriff auf das Postfach der Zustimmung des Betroffenen. Erteilt der Betroffene diese Zustimmung nicht und greift der Arbeitgeber dennoch auf das Postfach zu, riskiert er arbeitsrechtliche Streitigkeiten und ggfs. ordnungsrechtliche Konsequenzen insbesondere der Datenschutz-Aufsichtsbehörde.
Autor: Michael Wehowsky