News

Datenschutzrechtliche Fragestellungen bei Nutzung des betrieblichen Internet- und E-Mail-Zugangs

Kategorie: Datenschutz

Datenschutzrechtliche Fragestellungen bei Nutzung des betrieblichen Internet- und E-Mail-Zugangs

Bei Nutzung des betrieblichen Internet- und E-Mail-Zugangs durch die Beschäftigten kommt es zu rechtlichen Problemstellungen, wenn die Beschäftigten private und dienstliche Zwecke vermischen, der Arbeitgeber jedoch seine Kontrollmaßnahmen und erforderlich Zugriffe umsetzen muss.

Der Arbeitgeber muss nämlich technische Schutz- und Abwehrmaßnahmen ergreifen, um die IT-Sicherheit bezüglich drohenden Datenschutzvorfällen und Hackerangriffen zu erhöhen durch die Implementierung von Spam-Filtern, die Installation von Antivirenprogrammen und die Protokollierung von Webseitenaufrufen. Dabei kommen auch Analysewerkzeuge zum Einsatz, die die Eingaben der Mitarbeiter überwachen und auswerten.

Besondere Bedeutung kommt hierbei auch dem Zugriff des Arbeitgebers auf das dienstliche E-Mail-Postfach des Beschäftigten zu, wenn dieser längere Zeit abwesend sein sollte oder nach Beendigung des Beschäftigungsverhältnisses, da zur Gewährleistung des laufenden Betriebs und Erbringung der vertraglich vereinbarten Dienstleistungen gegenüber Geschäftspartnern die Einsicht in die E-Mail-Kommunikation notwendig wird.

Bei der Umsetzung der Kontrollmaßnahmen und notwendigen Zugriffe besteht allerdings die Gefahr, dass der Arbeitgeber selbst gegen den Datenschutz verstößt und somit mit Schadensersatzansprüchen und Bußgeldern oder schlimmstenfalls mit einer strafrechtlichen Verfolgung wegen Missachtung des Fernmeldegeheimnisses rechnen muss.
Das hängt im Wesentlichen davon ab, ob eine private Nutzung des betrieblichen Internetanschlusses und E-Mail-Accounts verboten oder erlaubt bzw. geduldet ist.

Welche rechtlichen Vorgaben sind zu beachten?

Wann eine Kontroll- und Zugriffsmaßnahme rechtlich zulässig ist, ist in den folgenden Rechtsvorschriften verankert.

a. DSGVO/ BDSG
Da bei der Ausführung der Kontroll- und Zugriffsmaßnahmen personenbezogene Daten der Beschäftigten ausgewertet und protokolliert werden, müssen die Bestimmungen der Datenschutzgrundverordnung und die des Bundesdatenschutzgesetzes eingehalten werden.

b. TTDSG
Die Regelungen des Telekommunikation-Telemedien-Datenschutz-Gesetzes sind zu beachten, da der Arbeitgeber dem Fernmeldegeheimnis unterliegen kann, wenn er die Protokolldaten auswertet oder auf E-Mails zugreift.

c. BetrVG
Bei geplanten Maßnahmen und Kontrollen sind zudem die Mitbestimmungsrechte gem. § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz zu beachten, wenn es einen Betriebsrat im Unternehmen gibt.

Ungeklärte Rechtslage

Ungeklärt und noch nicht abschließend geklärt ist derzeit die Frage darüber, ob der Arbeitgeber gem. § 3 Abs. 2 Nr. 2 TTDSG als „Anbieter von ganz oder teilweise geschäftsmäßig angebotenen Telekommunikationsdiensten und als juristische Person, die an der Erbringung solcher Dienste mitwirkt“ einzuordnen ist und damit zur Wahrung des Fernmeldegeheimnisses verpflichtet ist.
Wenn nämlich die Beschäftigten den Internet- und E-Mail-Zugang auch für private eigene Zwecke nutzen, würde demnach der Arbeitgeber die Telekommunikation für Dritte geschäftsmäßig zur Verfügung stellen, so dass bei Kontrollmaßnahmen eine Kenntnisnahme von privaten Inhalten und Verkehrsdaten durch den Arbeitgeber gem. § 206 Strafgesetzbuch eine Strafbarkeit und infolgedessen eine Missachtung des Fernmeldegeheimnisses begründen würde.

Zulässigkeit von Kontroll- und Zugriffsmaßnahmen

Um auf der rechtlich sicheren Seite zu sein, empfiehlt es sich daher, nachweisbare Regelungen zur privaten Internet- und E-Mail-Nutzung im Betrieb zu implementieren und mit den Beschäftigten zu vereinbaren. Nur so kann der Arbeitgeber seiner Verantwortung zur Umsetzung der IT-Sicherheit und Einhaltung vertraglicher Verpflichtungen gegenüber seinen Geschäftspartnern durch Kontroll- und Zugriffsmaßnahmen nachkommen.

Welche Regelungsmöglichkeiten zur betrieblichen Internet- und E-Mail-Nutzung für welche Kontroll- und Zugriffsmöglichkeiten bestehen, wird im Folgenden dargestellt.

a. Ausdrückliches Verbot der Privatnutzung
Ist eine private Nutzung des betrieblichen Internet- und E-Mail-Zugangs den Beschäftigten ausdrücklich untersagt, fällt die Gefahr einer Strafbarkeit aufgrund von Missachtung des Fernmeldegeheimnisses
bei Kontrollen und Zugriffen und diesbezüglicher Kenntnisnahme von Inhalten weg.
Weiterhin anwendbar bleibt jedoch das Datenschutzrecht, das Vorgaben macht bei geplanten Kontrollen und Zugriffen durch den Arbeitgeber, die dem Grundsatz der Erforderlichkeit entsprechen müssen :

  • Es muss zunächst eine zulässige Rechtsgrundlage geben, die grundsätzlich gem. § 26 Abs. 1 S. 1 BDSG bejaht wird;
  • Stichprobenartige Kontrollen des Internetzugangs dürfen mithilfe von Protokolldaten ohne konkreten Personenbezug durchgeführt werden;
  • Ein- und ausgehende E-Mails dürfen zwar durch den Arbeitgeber zur Kenntnis genommen werden, jedoch nicht automatisiert weitergeleitet aufgrund der fehlenden Erforderlichkeit;
  • Auch wenn es ein Verbot der Privatnutzung gibt, dürfen E-Mails mit privatem Inhalt nicht zur Kenntnis genommen werden, wenn der private Charakter ausgemacht wurde;
  • Bei einem konkreten Missbrauchsverdacht hingegen darf der Arbeitgeber umfangreiche Kontrollen ausüben.

b. Duldung bzw. Erlaubnis der Privatnutzung
Wenn die Privatnutzung durch den Arbeitgeber erlaubt oder geduldet wird, so bei einem Fehlen einer nachweisbaren Regelung, sind die privaten Inhalte der Kommunikationsdaten durch das allgemeine Persönlichkeitsrecht und das Fernmeldegeheimnis geschützt. Bei einer Missachtung im Rahmen von Kontrollen und Zugriffsmaßnahmen durch den Arbeitgeber könnte sich dieser, wie schon erwähnt, strafbar machen.

Um der Gefahr einer Strafbarkeit zu entgehen, ist es möglich, dass der Arbeitgeber die Einwilligung des Beschäftigten einholt, auf den Schutz des Fernmeldegeheimnisses zu verzichten. Allerdings gibt es auch hier Problemstellungen zu beachten:

  • Der Beschäftigte gibt zwar seine Einwilligung zum Verzicht des Fernmeldegeheimnisses, aber die privaten Kommunikationspartner haben keine Einwilligung erteilt;
  • Die Einwilligung muss freiwillig erfolgen, was generell im Beschäftigungsverhältnis kritisch hinterfragt wird;
  • Die Beschäftigten müssen auch bei einer erteilten Einwilligung bei sämtlichen Kontrollmaßnahmen zuvor umfassend informiert werden;
  • Die Einwilligungserklärung ist jederzeit und für die Zukunft widerrufbar, so dass die revisionssichere E-Mail-Archivierung verkompliziert wird;
  • Die Einwilligung des Beschäftigten muss nachweisbar schriftlich oder elektronisch eingeholt werden.
     

Fazit

Um die Gefahr einer Strafbarkeit zu umgehen, sollte im ersten Schritt eine nachweisbare Regelung zur betrieblichen Internet und E-Mail-Nutzung geschaffen werden. Eine ungeregelte Duldung der Privatnutzung durch die Beschäftigten kommt einer Erlaubnis gleich, was die Kontrollmaßnahmen des Arbeitgebers zur IT-Sicherheit im Unternehmen erheblich beeinträchtigen und strafrechtliche Konsequenzen nach sich ziehen kann. Daher sollte im zweiten Schritt eine nachweisbare Regelung entweder als gänzliches Verbot oder grundsätzliches Verbot mit Ausnahmen, die mit einer Einwilligungserklärung des Beschäftigten zum Verzicht auf das Fernmeldegeheimnis einhergehen, umgesetzt werden.

Die rechtssicherste Variante bleibt weiterhin das Verbot des betrieblichen Internet- und E-Mail-Zugangs zu privaten Zwecken für die Beschäftigten.

Die Datenschutz Consultants von FKC beraten Sie zu diesem Thema und stellen Vorlagen zur Verfügung. Um Rechtssicherheit zu schaffen, nehmen Sie am besten gleich Kontakt auf.

 

Nutzen Sie unsere Tipps als Aushang für Ihre Mitarbeiter

Gerne Teilen wir unser Wissen mit Ihnen und bieten Ihnen unsere Informationen als Download