09 Jul
2019

Private Nutzung von E-Mail im Unternehmen: Zugriff auch ohne Einwilligung des Mitarbeiters!

Bis zum 25.05.2018 galt: kein Zugriff auf private E-Mails im Unternehmen ohne Einwilligung des Mitarbeiters. Seit dem Anwendungsbeginn der DS-GVO gilt das nicht mehr. Unternehmen wird dadurch die Gestattung der Privatnutzung erleichtert. Aber dennoch muss dies rechtlich gestaltet werden.

Hintergrund

Bis zum Anwendungsbeginn der DS-GVO ging die herrschende Meinung in Deutschland zu Recht davon aus, dass der Zugriff des Arbeitgebers auf private E-Mails des Mitarbeiters nur mit dessen Einwilligung zulässig ist, wenn die Privatnutzung geschäftlicher IT-Systeme gestattet oder auch nur geduldet war. Eine Ausnahme bestand dann, wenn der Zugriff erst nach Beendigung des Telekommunikationsvorgangs stattfand; das war der Fall, wenn die Übertragung der Kommunikation abgeschlossen war und der Empfänger sie eigenständig löschen konnte (ausführlich: Eckhardt, in: Spindler/Schuster, Recht der elektronischen Medien, 3. Auflage 2015, § 88 TKG, Rn. 12 ff., 46 ff; Eckhardt DuD 2008, 103 ff.).

DS-GVO: (Keine) Anwendung des TKG-Datenschutzbestimmungen

Die DS-GVO hat als EU-Verordnung Anwendungsvorrang auch vor den Datenschutzbestimmungen des deutschen TKG (§§ 88 ff., 91 ff. TKG).

Allerdings sieht Art. 95 DS-GVO für Regelungen, welche auf der Richtlinie 2002/58/EG (Datenschutzrichtlinie Elektronische Kommunikation – heute bezeichnet als ePrivacy-Richtlinie) beruhen, eine Öffnung vor. Die Regelungen der ePrivacy-Richtlinie wurden in Deutschland im Wesentlichen in den Datenschutzbestimmungen des TKG umgesetzt. Allerdings ging der deutsche Gesetzgeber dabei (wohl auch aus historischen Gründen) über die Vorgaben der ePrivacy-Richtlinie hinaus.

Für die Bestimmung der Anwendbarkeit der Datenschutzbestimmungen des TKG neben der DS-GVO ist damit der Wortlaut des Art. 95 DS-GVO entscheidend:

Diese Verordnung erlegt natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union keine zusätzlichen Pflichten auf, soweit sie besonderen in der Richtlinie 2002/58/EG festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen.“ (Zitat des Art. 95 DS-GVO).

Das hat folgende Konsequenz: Die Regelungen des TKG-Datenschutzes sind nur insoweit von der Ausnahme erfasst, als sie

  1. die „Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen“ regeln und
  2. Vorgaben der Richtlinie 2002/58/EG (ePrivacy-Richtlinie) umsetzen.

Die Auslegung des Merkmals „Öffentlichkeit“ im TKG ist zwar seit jeher umstritten. Aber nach überzeugender Ansicht wird davon nicht die bloße Gestattung der privaten Nutzung (oder dienstlichen Nutzung) von Telekommunikation durch einen Arbeitgeber erfasst.

In einem Zwischenergebnis ist damit festzuhalten, dass auch für die private Nutzung von Telekommunikation im Beschäftigungsverhältnis seit dem 25.05.2018 nicht mehr die §§ 91 ff. TKG zur Anwendung kommen. Soweit die Privatnutzung geschäftlicher IT-Systeme im Unternehmen nicht gestattet und auch nicht geduldet war, galt auch schon von dem Anwendungsbeginn der DS-GVO, dass die §§ 91 ff. TKG nicht zur Anwendung kommen.

Seit dem 25.05.2018 gilt damit für die Nutzung von Telekommunikation im Unternehmen durch Mitarbeiter einheitlich die DS-GVO.

Beschäftigtendatenschutz nach dem BDSG: Vorrang!?

Der deutsche Gesetzgeber hat mit § 26 BDSG von der Öffnungsklausel des Art. 88 DS-GVO Gebrauch gemacht und Regelungen zum Beschäftigtendatenschutz geschaffen. Dementsprechend ist zunächst § 26 BDSG bei der Gestaltung der Privatnutzung von Telekommunikation zu prüfen.

Ob § 26 BDSG für den Zugriff des Arbeitgebers auf die private E-Mail-Kommunikation von Mitarbeitern eine Rechtsgrundlage bietet, ist noch nicht abschließend geklärt – mit Ausnahme von Zugriffen zur Aufdeckung von Straftaten. Die Anwendung hängt davon ab, ob die Verarbeitung zur Durchführung des Beschäftigungsverhältnisses erfolgt. In diesem Fall wäre der Zugriff durch § 26 Abs. 1 S. 1 S. 1 BDSG gerechtfertigt.

Kein Ausschluss der DS-GVO durch § 26 BDSG: Soweit § 26 BDSG keine Spezialregelung zur Legitimation der Verarbeitung enthält, gilt die DS-GVO. Es wird zwar vertreten, dass § 26 BDSG eine Sperrwirkung gegenüber einem Rückgriff auf die DS-GVO entfalte. Das kann – vereinfacht gesagt - jedoch aufgrund des Anwendungsvorrangs der DS-GVO gegenüber nationalen Regelungen und mit Blick auf Art. 88 DS-GVO nicht überzeugen.

Gestaltung des Zugriffs auf private Telekommunikation nach Maßgabe der DS-GVO

Als Rechtsgrundlage für den Zugriff des Arbeitgebers auf private Telekommunikation von Beschäftigten bei der Nutzung der Telekommunikationseinrichtungen des Unternehmens kommt die Interessenabwägung nach Art. 6 Abs. 1 lit. f DS-GVO in Betracht. Für die Rechtfertigung des Zugriffs auf E-Mail-Telekommunikation sind nicht die Vorgaben des TKG-Datenschutzes und damit kein Einwilligungserfordernis zu beachten. Auch sperrt die Regelung in § 26 BDSG (Beschäftigtendatenschutz) nicht die Anwendung der DS-GVO.

Ob der der jeweilige Zugriff zulässig ist, muss daher auf der Grundlage einer Interessenabwägung nach Maßgabe des Art. 6 Abs. 1 lit. f DS-GVO bewertet werden. Insbesondere sollte berücksichtigt werden:

  • Die Nähe zum Schutz des Telekommunikationsgeheimnisses;
  • Es bietet sich auch an, zwischen verschiedenen Zugriffen (Sicherung aus Beweisgründen, Auswertung nach aktuellem ToDo („Brennt etwas an?“), Einarbeitung des Nachfolgers, etc.) zu unterscheiden;
  • Wenn die Beschäftigten darüber aufgeklärt wurden, dass und wie zugegriffen wird, prägt dies ebenfalls die Erwartungshaltung der Beschäftigten und kann sich positiv auf die Zulässigkeit im Rahmen der Interessenabwägung auswirken;

Die vorstehenden Aspekte sind Überlegungen für eine Interessenabwägung, ersetzen diese aber nicht. Es muss also stets der konkrete Zugriff auf seine Verhältnismäßigkeit bewertet werden.

Jeder ist nach Maßgabe der Artt. 13, 14 DS-GVO über die Verarbeitung dieser Daten durch den Arbeitgeber konkret zu unterrichten. Das umfasst insbesondere den/die Zweck/e, die Rechtsgrundlage und die Dauer der Verarbeitung der Daten. Diese umfangreiche Informationspflicht darf in der Praxis nicht unterschätzt werden. Nur der Vollständigkeit halber: Natürlich sind bei der Gestaltung in der Praxis auch alle weiteren Dokumentationspflichten der DS-GVO zu beachten.

Das bedeutet für Sie konkret: Die Gestaltung des Zugriffs des Arbeitgebers bei gestatteter Privatnutzung der Telekommunikation durch Mitarbeiter ist mit dem Anwendungsbeginn der DS-GVO weniger kompliziert geworden. Die erforderliche Interessenabwägung ist anhand der konkreten Zwecke des Zugriffs zu prüfen und zu dokumentieren. Die Beschäftigten sind umfassend nach Maßgabe der Artt. 13, 14 DS-GVO proaktiv zu informieren.

Rechtsanwalt Dr. Jens Eckhardt

dmp@derra-d.de

Stand: 07/2019