Logo der activeMind AG

Private E-Mail- und Internetnutzung im Unternehmen

Inhalt

In einer zunehmend digitalisierten Arbeitswelt ist es für Beschäftigte offensichtlich nach wie vor verlockend, insbesondere den beruflichen E-Mailaccount oder den geschäftlichen Internetzugang auch privat zu nutzen. Arbeitgeber sind oft geneigt, diese Nutzung zu übersehen oder zu akzeptieren. Die aus der privaten Nutzung möglicherweise resultierenden Probleme werden ausgeblendet, bis sie sich stellen. Dann jedoch kann es oft schwierig sein, überhaupt noch eine praktikable Lösung zu finden.

Problem der Privatnutzung betrieblicher Ressourcen

Die Zeiten, in denen man daheim mit einem einzigen Gerät an einem schmalbrüstigen und dann auch noch teuren Einwahl-Internetzugang hing und so quasi gezwungen war, auf den Dual-ISDN-Zugang im Büro zurückzugreifen, um das Internet irgendwie vernünftig nutzen zu können, sind lange vorbei. Mittlerweile ist es völlig üblich, permanent mit eigenen Geräten wie Smartphone oder Smartwatch online zu sein und nachvollziehbar sind die offenbar weiter bestehenden Begehrlichkeiten damit nicht.

Eine solche private Nutzung betrieblicher IT-Ressourcen bleibt jedoch ein Klassiker unter den datenschutzrechtlichen Problemen.

Auch ohne Rücksicht auf den Datenschutz sollte es eine Selbstverständlichkeit sein, dass Arbeitnehmer die Arbeitszeit, für die sie immerhin bezahlt werden, auch dafür verwenden, ihren arbeitsvertraglichen Pflichten nachzukommen. Folgerichtig kann eine übermäßige private Nutzung arbeitsrechtliche Konsequenzen haben.

Es ist von der Rechtsprechung anerkannt, dass eine erhebliche oder exzessive Privatnutzung selbst ohne vorherige Abmahnung eine fristlose Kündigung rechtfertigen kann. So hat es das Bundesarbeitsgericht schon 2005 entschieden (AZ: 2 AZR 581/04). In diesem Zusammenhang ist es grundsätzlich auch möglich, dass sich der Arbeitgeber im erforderlichen Rahmen davon überzeugt, dass ein Arbeitnehmer für sein Gehalt auch arbeitet, und die Arbeitsleistung und die Nutzung der betrieblichen Mittel kontrolliert (siehe unser Ratgeber zur DSGVO-konformen Überwachung von Beschäftigten).

Es gibt schließlich auch keinen Anspruch darauf, dass der Arbeitgeber die private Nutzung von betrieblichen Mitteln gestattet. Er kann dies wohlwollend und zur Förderung eines angenehmen Betriebsklimas aktiv tun oder stillschweigend dulden, muss das allerdings keineswegs.

Praktisch gibt es in Organisationen aber sehr oft keine oder zumindest keine durchdachte Regel und dies zieht gleich mehrere Probleme nach sich.

Datenschutzrechtliche Fallstricke privater Internetnutzung im Unternehmen

Arbeitgeber stehen datenschutzrechtlich aus mehreren Blickwinkeln möglicherweise vor Herausforderungen.

Die bereits angesprochene Kontrolle der Arbeitsleistung kann erschwert sein, aber auch der Zugriff auf das geschäftliche E-Mail Konto eines abwesenden oder ausgeschiedenen Mitarbeiters wird schnell problematisch, wenn hiervon auch private personenbezogene Daten betroffen sind.

Es stellt sich hier das gleiche Problem wie auch in anderen Fällen, in denen man als Verantwortlicher gar nicht weiß oder vorhersehen kann, welche Daten in eine Verarbeitung einfließen können. Bei solchen Wundertüten ist es regelmäßig schwierig, überhaupt eine Rechtsgrundlage zur Verarbeitung der Daten zu finden und dann auch noch im Einzelfall jeweils die Erforderlichkeit zu begründen. In unserem Zusammenhang:

  • Auf welcher Grundlage soll der Arbeitgeber überhaupt berechtigt sein, private Nachrichten des Arbeitnehmers zu verarbeiten?
  • Wie groß muss der Leidensdruck aus objektiver Sicht sein, bevor ein Stellvertreter schließlich und endlich dann doch auf das Postfach eines abwesenden Kollegen zugreifen darf und dann potenziell auch an privaten Nachrichten vorbeikommt?
  • Wie ist zu beurteilen, wenn der Virenscanner eine private Nachricht öffnet und möglicherweise sogar aussortiert, weil der Scanner nicht zwischen Nachrichten des Unternehmens und privaten Nachrichten der Mitarbeiter unterscheiden kann?
  • Was haben private Nachrichten in einer automatischen Archivierung oder den Datensicherungen des Unternehmens verloren?
  • Und, wenn es schließlich an die Löschung von Daten geht, wer sortiert geschäftliche und private Nachrichten zuverlässig auseinander – selbstverständlich ohne die privaten Nachrichten gelesen zu haben – um dann nur die geschäftlichen E-Mails der ordnungsgemäßen Vernichtung zuzuführen?
  • Last but not least: In sehr vielen Lösungsbemühungen wird auch völlig übersehen, dass an einer Kommunikation regelmäßig auch eine externe Person beteiligt ist. Es genügt daher nicht, datenschutzrechtlich allein auf die Rechte der Beschäftigten zu sehen und externe Empfänger bzw. Absender zu vergessen.

Eine Einwilligung durch Mitarbeiter wäre im Zusammenhang privater E-Mail- und Internetnutzung im Unternehmen grundsätzlich denkbar; immerhin geht es darum, dem Beschäftigten ein Mehr gegenüber der arbeitsvertraglichen Schuld zu gewähren. Dies hilft aber nur, solange diese Einwilligung nicht widerrufen wurde, also im ungetrübten Arbeitsverhältnis. Wird die Einwilligung widerrufen, stellen sich sämtliche oben genannten Probleme sofort und erzeugen möglicherweise einen massiven Aufwand. Um bei dem Beispiel des Archivs bzw. der Datensicherung zu bleiben: Es macht praktisch keinen Unterschied, ob eine gezielte Löschung der einzelnen persönlichen Nachrichten eines Mitarbeiters notwendig wird, weil man spät gemerkt hat, dass diese Daten überhaupt nicht hätten gesichert werden dürfen oder aber der Mitarbeiter im Zusammenhang mit dem Widerruf seiner Einwilligung die Löschung notwendig macht oder gar ausdrücklich verlangt. Nur der Vollständigkeit halber noch der Hinweis, dass von externen Personen, die einem Mitarbeiter private E-Mails schicken, im Zweifel keine Einwilligung beigebracht werden kann.

Berechtigte Interessen könnte man ebenfalls ins Feld führen. Spätestens aber, wenn es im Einzelfall darum geht, die Erforderlichkeit einer konkreten Verarbeitung oder eines Verarbeitungsschrittes zu begründen, wird das Ganze schwierig. Um beim bereits angesprochenen Beispiel zu bleiben: Wenn der erkrankte Kollege möglicherweise in den nächsten Tagen wieder im Büro sein wird, muss dann unbedingt und zweifelsfrei heute noch ein Vertreter aus der Masse der Nachrichten eine bestimmte geschäftliche E-Mail heraussuchen?

Es dürfte im Ergebnis nicht gelingen, die betroffenen Prozesse allesamt so auszugestalten, dass im Ergebnis tatsächlich private und geschäftliche Informationen über einen Kamm geschoren werden können.

Ist der Arbeitgeber ein Telekommunikationsanbieter?

Diese Frage ist nach wie vor nicht letztverbindlich geklärt. Die Antwort hat allerdings erhebliche Auswirkungen.

Der Arbeitgeber, der seinen Mitarbeitern die private Nutzung von E-Mailaccounts und Internetzugang erlaubt, wird hierdurch möglicherweise zum „Anbieter von Telekommunikationsdiensten“. Die Folge wäre, dass der Arbeitgeber sich an den speziellen gesetzlichen Vorschriften für solche Anbieter messen lassen müsste und er insbesondere auch dem immerhin strafbewehrten Fernmeldegeheimnis unterläge. Das Fernmeldegeheimnis schützt Umstände und den Inhalt von Telekommunikation; letzteres steht aber sämtlichen Sicherheitsmaßnahmen entgegen, wie etwa Nachrichten zu öffnen, was schon beim simplen lokal laufenden Virenscanner der Fall ist. Die Möglichkeiten, die mit dem Einsatz von KI zunehmend eröffnet sind, sollen an dieser Stelle nur kurz ins Gedächtnis gerufen werden, da auch in diesem Zusammenhang unberechtigt private Mails gelesen würden.

In der arbeitsrechtlichen Welt scheint mittlerweile die Ansicht überwiegen, dass der Arbeitgeber nicht zum Telekommunikationsanbieter wird. In der Diskussion der Datenschutzjuristen gewinnt diese Auffassung zwar an Freunden, überwiegt jedoch noch nicht. Aus der Ecke der Strafrechtler, in deren Zuständigkeit immerhin § 206 StGB fällt, gibt es soweit bekannt noch keine Meinung.

Wer auf Nummer sicher gehen möchte, sollte daher davon ausgehen, durch Freigabe oder Duldung der Privatnutzung möglicherweise als Telekommunikationsanbieter angesehen zu werden. Auch vor diesem Hintergrund ist es folglich ratsam, klare Bedingungen aufzustellen und sich die notwendigen Eingriffe in die Rechte der Beschäftigten per Einwilligung genehmigen zu lassen.

Richtlinie zur IT-Nutzung bringt Klarheit

Sicherheit für Arbeitgeber und Arbeitnehmer gleichermaßen lässt sich durch eine klare Regelung schaffen.

Am einfachsten und praktischsten ist das klare Verbot privater Internetnutzung im Unternehmen, welches allerdings dann auch überwacht werden muss. Die Kontrolle ist im erforderlichen Rahmen hierbei problemlos möglich. Bei einem ausdrücklichen und eindeutigen Verbot bestehen grundsätzlich keine besonders schutzwürdigen Interessen des Arbeitnehmers, die zu achten wären. Eine solche Kontrolle ist auch dringend anzuraten, da ein nicht durchgesetztes Verbot, auf das sich die Belegschaft nach einer gewissen Zeit verlässt, (ähnlich wie sonst auf bestimmte Dauer gelebte Praktiken) zur sogenannten betrieblichen Übung führen können. Eine solche betriebliche Übung gestaltet die bestehenden Arbeitsverhältnisse um, so dass sie einseitig nicht mehr ohne weiteres verändert werden können, und Arbeitnehmer können aus einer solchen Übung echte Rechte herleiten.

Wenn die private Nutzung gestattet sein soll, lassen sich Streitigkeiten und Aufwand vermeiden, wenn der Arbeitgeber eindeutig vorgibt, was er in welchem Umfang erlaubt. Unter dieser Voraussetzung sind auch Verfehlungen von Arbeitnehmern leichter zu ahnden, wenn die Grenzen der erlaubten bzw. geduldeten Nutzung zweifelsfrei definiert waren.

Auch sehr wohlwollenden Arbeitgebern empfehlen wir, jedenfalls den privaten Gebrauch der geschäftlichen E-Mail zu verbieten. Dies beseitigt die bereits angesprochenen, am schwierigsten zu lösenden Probleme. Enthält ein Postfach ausschließlich geschäftliche Informationen, ist der Zugriff durch einen Vertreter bei Abwesenheit des Postfachinhabers ohne größere Hürden möglich. Der Virenscanner öffnet keine privaten Nachrichten und es landet auch keine private Korrespondenz im Archiv oder in der Datensicherung.

Eher großzügig erlaubt werden kann die Nutzung des Internetzugangs. Hier kann der Mitarbeiter im Gegenzug zur Gestattung der Privatnutzung in dann notwendige Verarbeitungen (beispielsweise Lesezeichen im Browser, die Browser-History, das Zwischenspeichern von Inhalten im Browsercache etc.) und erforderliche Sicherheitsmaßnahmen (insb. Malwareschutz) einwilligen und ein Widerruf hätte regelmäßig nur sehr beschränkte Auswirkungen. Zugleich würde hiermit die Möglichkeit eröffnet, dass ein Mitarbeiter online per Browser auf sein privates E-Mail Postfach zugreift, was den Druck, das geschäftliche E-Mail-Programm zu nutzen, endgültig beseitigen sollte. Alternativ bzw. ergänzend besteht auch die Möglichkeit, Mitarbeitern über einen separaten Gastzugang die Nutzung des betrieblichen Internetzugangs auch mit privaten Geräten zu gestatten, ohne Berührungspunkte zu geschäftlichen Informationen zu schaffen.

Praktische Hinweise zur Einführung einer Richtlinie zur IT-Nutzung

Abschließend einige Hinweise aus der Praxis, was Sie bei der Einführung einer IT-Nutzungs-Richtlinie beachten sollten:

  • Stellen Sie eine eindeutige Regelung auf, ob und gegebenenfalls in welchem Umfang die Privatnutzung des geschäftlichen Internetzugangs und der Unternehmens-IT gestattet wird.
  • Die private Nutzung des geschäftlichen E-Mail-Kontos sollten Sie verbieten.
  • Erlauben Sie als Ausnahme die Internetnutzung in einem klaren insbesondere zeitlichen Rahmen. Sinnvoll ist eine Beschränkung auf die Pausenzeiten und der Vorbehalt, dass dienstliche Angelegenheiten niemals durch die Privatnutzung beeinträchtigt werden dürfen.
  • Holen Sie von allen Mitarbeitern, die den betrieblichen Internetzugang privat nutzen möchten, eine DSGVO-konforme Einwilligung ein, damit Sie die möglicherweise anfallenden personenbezogenen Daten verarbeiten dürfen und die Einhaltung der Regelungen kontrollieren sowie erforderliche Sicherheitsmaßnahmen einrichten können.
  • Weisen Sie klar darauf hin, dass die Einhaltung der Regelung auch überwacht wird und nennen Sie gegebenenfalls im Detail die Maßnahmen im Rahmen des Monitorings.
  • Klären Sie Arbeitnehmer darüber auf, welche Sanktionen bei Zuwiderhandlungen drohen.
  • Lassen Sie sich die Kenntnisnahme der IT-Nutzungsrichtlinie von allen Mitarbeitern unterschreiben.
  • Treffen Sie Regelungen zu Bring-your-own-device (BYOD), weil arbeitnehmereigene Geräte die interne Informationssicherheit in der Regel unterwandern. Wenn, sollten private Geräte ausschließlich in einem isolierten Gästenetz eingesetzt werden.

Weiterlesen

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.