Suche 
Arbeitgeber können aus ganz unterschiedlichen praktischen und rechtlichen Gründen ein Interesse daran haben, auf die E-Mail-Korrespondenz ihrer aktuellen oder ehemaligen Arbeitnehmer zuzugreifen. Ein solcher Zugriff kann jedoch erhebliche Risiken mit sich bringen. Diese minimiert der Arbeitgeber bestenfalls von vorneherein durch klare Regelungen zur Privatnutzung. Eine aktuelle Entscheidung des EGMR macht deutlich, warum Arbeitgeber gut daran tun, auch in diesem Bereich „Dienstliches von Privatem zu trennen“. Unabhängig davon sollte jeder Zugriff sorgfältig geprüft und vorbereitet werden.
Unterschiedliche Anlässe für einen Zugriff
Eine enorme Vielzahl geschäftlicher Vorgänge wird heute über E-Mails abgewickelt. Oftmals befinden sich Informationen im Account eines ausgeschiedenen oder verhinderten Mitarbeiters, welche der Arbeitgeber für den laufenden Geschäftsbetrieb benötigt. Möglicherweise gehen nach Ende eines Beschäftigungsverhältnisses weiterhin Anfragen von Kunden oder Geschäftspartnern an den Mitarbeiter ein, welche nicht „ins Leere gehen“ dürfen. Bestimmte E-Mails können gesetzlichen Aufbewahrungspflichten unterliegen. Mitunter fordern Aufsichts- oder Strafverfolgungsbehörden Unternehmen im Rahmen von Ermittlungen auf, E-Mail-Verkehr offenzulegen. Schließlich stellen E-Mails bei internen Compliance-Ermittlungen oder im Rahmen von Gerichtsverfahren gegenüber ausgeschiedenen Mitarbeitern vielfach eine entscheidende und mitunter die einzige ergiebige Informationsquelle zum Nachweis von Gesetzesverstößen oder anderweitigem Fehlverhalten dar. Gerade in den letztgenannten Fällen wird es regelmäßig um sensible Daten gehen, gegen deren Offenlegung der ehemalige Mitarbeiter nach Möglichkeit angehen wird. Ein rechtswidriger Zugriff kann dann für den Arbeitgeber zu negativen Konsequenzen – von Schadensersatzforderungen und Bußgeldern über Beweisverwertungsverbote bis hin zu strafrechtlichen Sanktionen – führen.
Viele gerade jüngere Unternehmen sind häufig der Ansicht, eine Regelung wie das Verbot der Privatnutzung sei nicht mehr zeitgemäß. Das mag ein valider Ansatz sein, wenn man sich über die hieraus resultierenden Rechtsrisiken im Klaren ist – diese lassen sich durch sinnvolle Gestaltung im Vorfeld erheblich minimieren. Überall dort, wo dies gewünscht ist, sollte der Arbeitgeber die entscheidenden Weichen durch klare Regelungen zur Privatnutzung der dienstlichen IT, insbesondere des dienstlichen E-Mail-Accounts stellen. Solche – dringend zu empfehlenden – Regelungen können individualvertraglich (z.B. im Rahmen einer „IT-Nutzungsvereinbarung“) oder kollektivrechtlich (z.B. durch Betriebsvereinbarung) umgesetzt werden.
Klare Trennung zwischen dienstlicher und privater Nutzung
Der sicherste Weg ist ein ausdrückliches Verbot der Privatnutzung des dienstlichen E-Mail-Accounts bzw. sonstiger IT-Einrichtungen. Bei untersagter Privatnutzung darf der Arbeitgeber davon ausgehen, vorhandene und eingehende E-Mails des ausgeschiedenen Mitarbeiters sind rein dienstlicher Natur. Eine Interessenabwägung nach § 32 Abs. 1 bzw. § 28 Abs. 1 S. 1 Nr. 2 BDSG wird dann regelmäßig ergeben, dass Persönlichkeitsrechte des Mitarbeiters nur geringfügig betroffen und der Zugriff erforderlich ist.
Viele Arbeitgeber wollen ihren Mitarbeitern jedoch grundsätzlich ermöglichen, die betriebliche IT-Infrastruktur in angemessenem Umfang auch privat nutzen zu können. Die Möglichkeiten hierzu sind trotz eines Verbots vielfältig: Arbeitgeber können Voraussetzungen schaffen, welche eine klare Trennung zwischen dienstlicher und privater Korrespondenz gewährleisten, z.B. durch:
- Einrichtung eines separaten e-Mail-Accounts für die Privatnutzung
- Erlaubnis zur Nutzung web-basierter e-Mail-Dienste, getrennt von betrieblicher e-Mail-Korrespondenz
- Erlaubnis der Nutzung privater Endgeräte über betrieblichen Internetzugang
Die Entscheidung des EGMR
Die Vorteile von Einschränkungen der Privatnutzung werden mit Blick auf eine aktuelle Entscheidung des EGMR deutlich. Das Straßburger Gericht wies in der Rechtssache Barbulescu gegen Rumänien (61496/08) mit Urteil vom 12. Januar 2016 die Klage eines wegen privater Internetnutzung gekündigten Vertriebsmitarbeiters zurück. Damit stärkte der Gerichtshof die Rechte von Arbeitgebern, welche die Privatnutzung dienstlicher IT-Systeme eindeutig geregelt haben.
Der beklagte Arbeitgeber hatte die Nutzung eines für den dienstlichen Gebrauch eingerichteten Instant-Messengers überwacht. Dabei wurde teilweise höchst intime Privatkorrespondenz des Mitarbeiters protokolliert und im innerstaatlichen Gerichtsverfahren über die Kündigung auch verwendet. Der Mitarbeiter sah sich dadurch in seinem Menschenrecht auf Achtung des Privat- und Familienlebens aus Art. 8 Abs. 1 EMRK verletzt.
Dies sahen die Richter anders. Ein ganz maßgebliches Argument war, dass der Arbeitgeber die private Nutzung des Messengers unstreitig ausdrücklich verboten hatte. Denn dadurch erfolgte der Zugriff des Arbeitgebers in dem guten Glauben, dienstliche Korrespondenz zu überwachen. Vor diesem Hintergrund wertete der EGMR den Eingriff in die Privatsphäre des Mitarbeiters als verhältnismäßig.
Privatnutzung nur mit Kontrollvorbehalt
Will der Arbeitgeber den Mitarbeitern dennoch die Privatnutzung des dienstlichen E-Mail-Accounts gestatten, sollte die Erlaubnis an eine schriftliche Einwilligung (§ 4a BDSG) der Mitarbeiter mit angemessenen Kontrollen durch den Arbeitgeber gebunden werden. Die Mitarbeiter sollten zudem angewiesen werden, private E-Mails kenntlich zu machen, gesondert zu archivieren oder unmittelbar zu löschen. An die Wirksamkeit von Einwilligungen gemäß § 4a BDSG werden jedoch hohe Anforderungen gestellt. Diese Lösung ist daher keinesfalls risikofrei und nur eingeschränkt zu empfehlen.
Durchführung eines Zugriffs in der Praxis
Steht nach eingehender Analyse der konkreten rechtlichen Rahmenbedingungen und Risiken die Entscheidung für einen Zugriff fest, sollten Arbeitgeber die Umsetzung sorgfältig vorbereiten. Durchgeführt wird der Zugriff von einem möglichst kleinen, fachkundigen und auf das Datengeheimnis (§ 5 BDSG) verpflichteten Personenkreis. Der betriebliche Datenschutzbeauftrage sollte unbedingt, der Betriebsrat unter Umständen einbezogen werden. Auch eine Abstimmung mit den zuständigen Aufsichtsbehörden kann sinnvoll sein. Im Zweifel sollte der Arbeitgeber externe Spezialisten hinzuziehen. Zweck und Umfang des Zugriffs sollten klar definiert und dokumentiert werden, denn eine ausufernde Kontrolle kann unverhältnismäßig sein. Der Zugriff ist daher möglichst auf bestimmte Zeiträume und inhaltliche Parameter zu beschränken. Der ausgeschiedene Mitarbeiter muss grundsätzlich vor der Durchführung über den Zugriff unterrichtet werden. Würde dies den Untersuchungszweck gefährden, sind die Gründe dafür zu dokumentieren und die Unterrichtung alsbald nachzuholen. Schließlich ist mit den erzielten Ergebnissen vertraulich und datenschutzgerecht zu verfahren.
Wann der Arbeitgeber auf welche Daten zugreifen darf, welche rechtlichen Hürden er zu beachten hat und welche Konsequenzen ein fehlerhafter Zugriff haben kann, lesen Sie in dem weiterführenden Blogbeitrag „IT-Kontrollen auch heimlich zulässig?“ von Dr. Till Hoffmann-Remy.
