Wenn Beschäftigte regulären Urlaub nehmen, sollte für die Zeit ihrer Abwesenheit eine Vertretungsregelung getroffen werden, so dass per E-Mail eingehende Kundenanfragen rechtzeitig beantwortet werden können. Wenn ein Mitarbeiter dem Unternehmen jedoch unvorhergesehen für eine längere Zeit fernbleiben muss, stellt sich durchaus die Frage, welche Nachrichten sich ggf. im E-Mail-Postfach des Mitarbeiters ansammeln, die für die Aufrechterhaltung des Geschäftsbetriebs von Interesse sein könnten.
Selbstverständlich stellt es ein berechtigtes Interesse des Arbeitgebers dar, dass eventuelle Kundenanfragen nicht unbeantwortet bleiben und wichtige Fristen eingehalten werden. Allein die Abwesenheit reicht jedoch nicht aus, auf das E-Mail-Konto des Beschäftigten zugreifen zu dürfen. Bei einem Zugriff sind immer zwingend auch die schutzwürdigen Interessen des Beschäftigten zu beachten. Die Anforderungen hieran hängen dabei vor allem mit den im Unternehmen getroffenen Regelungen zur Privatnutzung des dienstlichen E-Mail-Konto zusammen.
1. Fall: Das Postfach enthält ggfs. private E-Mails (erlaubte Privatnutzung)
Um die Zulässigkeit eines Zugriffs auf das dienstliche E-Mail-Konto eines Beschäftigten zu beurteilen, ist zunächst ausschlaggebend, ob die private Nutzung der geschäftlichen E-Mailadresse im Unternehmen erlaubt bzw. geduldet ist. Oft ist aufgrund einer fehlenden oder unzureichenden schriftlichen Fixierung die tatsächliche Handhabung im Unternehmen entscheidend. Unter Umständen kann es sich nämlich um eine betriebliche Übung handeln (siehe unser Ratgeber zur privaten E-Mailnutzung im Unternehmen).
Aus Sicht des Datenschutzes ist der Inhalt privater E-Mails auch im geschäftlichen E-Mailkonto geschützt. Da im Falle der erlaubten Privatnutzung mit privaten Inhalt gerechnet werden muss, stellt der Zugriff stets eine Verletzung der Privatsphäre des Beschäftigten dar. Unter Umständen besteht jedoch zum Zwecke der Durchführung des Beschäftigungsverhältnisses dennoch eine Notwendigkeit, geschäftliche E-Mails im Postfach des Mitarbeiters einzusehen. Als Rechtsgrundlage hierfür kommt § 26 Abs. 1 Satz 1 Bundesdatenschutzgesetz (BDSG) in Betracht. Das schutzwürdige Interesse des Mitarbeiters geht nicht so weit, als dass es dem Arbeitgeber schlechthin verbietet, relevante geschäftliche E-Mails einzusehen (so auch LAG Berlin-Brandenburg, Urteil vom 16. Februar 2011, Az.: 4 Sa 2132/10).
Sobald jedoch eine E-Mail als privat erkannt wird, ist von einem Auslesen abzusehen. Da dies in der Praxis oftmals nicht möglich ist, setzt der Zugriff in diesem Fall eine Abwägung der jeweiligen Interessen voraus. Das Interesse des Arbeitgebers am reibungslosen Geschäftsbetrieb ist mit dem Individualinteresse des Arbeitnehmers, seinem Recht auf informationelle Selbstbestimmung, gegeneinander abzuwägen. Sollte sich das Interesse des Arbeitgebers in der fristgerechten Erfüllung von Verträgen erschöpfen, geht die Abwägung in der Regel zu Lasten des Arbeitgebers aus.
Der Klarheit wegen, sollte stets auf schriftliche Regelungen zur E-Mail-Nutzung zurückgegriffen werden. Dies kann sowohl in einer Betriebsvereinbarung, als auch in einem anderen verbindlichen Regelungsdokument erfolgen.
2. Fall: Das Postfach enthält ausschließlich geschäftliche E-Mails (verbotene Privatnutzung)
Ist die private Nutzung des dienstlichen E-Mail-Kontos ausdrücklich verboten, ist der gesamte E-Mail-Verkehr als geschäftliche Korrespondenz einzustufen. Dies erleichtert einen Zugriff durch den Arbeitgeber, wobei dennoch einige datenschutzrechtliche Grundsätze zu beachten sind. Auch hier ist § 26 Abs. 1 Satz 1 Bundesdatenschutzgesetz (BDSG) maßgeblich. Auch in diesem Fall ist ein Zugriff datenschutzrechtlich nur dann möglich, wenn er erforderlich ist. Die Erforderlichkeit im Rahmen der verbotenen Privatnutzung kann aufgrund der geringfügigeren Eingriffsintensität für den Beschäftigten gegenüber der erlaubten Privatnutzung leichter gerechtfertigt werden.
Voraussetzungen für den Zugriff auf dienstliche E-Mails durch den Arbeitgeber
In beiden Fällen ist in einem ersten Schritt die Erforderlichkeit zu prüfen. Gibt es überhaupt einen Grund zur Annahme, dass im Postfach des Bediensteten für den Geschäftsbetrieb relevante Nachrichten eingegangen sein könnten? Ist dies der Fall, scheidet ein Zugriff auch dann aus, wenn ein milderes Mittel zur Zweckerreichung besteht. Dies ist insbesondere dann gegeben, wenn der abwesende Mitarbeiter im Vorfeld ohne verhältnismäßig hohen Aufwand erreicht werden kann und die Informationen auf diesem Wege bereitgestellt werden können.
Kommt man zu dem Ergebnis, dass ein Zugriff erforderlich ist, muss dieser zudem verhältnismäßig sein. Es muss in Einklang mit den Grundsätzen des Datenschutzes sichergestellt werden, dass der Zugriff auf eine Art und Weise erfolgt, wodurch lediglich der vorgesehene Zweck erfüllt und der Zugriff nicht etwa für eine Leistungskontrolle genutzt wird. Verhältnismäßig ist immer nur ein auf den Einzelfall bezogener, zeitlich begrenzter und kontrollierter Zugriff.
Unabhängig ob es sich um eine erlaubte oder verbotene Privatnutzung handelt, sollten vor dem Hintergrund der Rechenschaftspflicht alle Umstände jeweils erschöpfend dokumentiert werden.
Empfehlungen für den tatsächlichen Zugriff auf Mitarbeiter-E-Mails
Ist der Zugriff unvermeidbar, empfiehlt sich folgendes Vorgehen beim Zugriff auf das Postfach eines Mitarbeiters während seiner Abwesenheit:
- Der Zugriff auf das E-Mail-Konto eines Beschäftigten erfolgt nach dem Vier-Augen-Prinzip, z. B. im Beisein des betrieblichen Datenschutzbeauftragten, mit Abstimmung des externen Datenschutzbeauftragten oder soweit vorhanden auch des Betriebsrates.
- In einem schriftlichen Protokoll ist festzuhalten, wann und mit welcher Erforderlichkeit der Zugriff erfolgte, welche Personen daran beteiligt waren und in welche Dateien Einsicht gewährt wurde.
- Soweit eine Änderung des Passwortes notwendig war, ist das Passwort des Betroffenen nach erfolgtem Zugriff zurückzusetzen und diesem nach seiner Rückkehr – geschützt vor Einsicht durch Dritte – mitzuteilen.
- Außerdem sollte geprüft werden, ob mit angemessenem Aufwand technische und organisatorische Maßnahmen umsetzbar sind, die geeignet sind, derartige Zugriffe auf ein Minimum zu beschränken. Beispielsweise wäre zu prüfen, inwieweit für zeitkritische Korrespondenz generische Postfächer (etwa: kunde-xyz@unternehmen.de) zweckmäßig sind, auf die mehrere Mitarbeiter Zugriff haben.
Dieser aktualisierte Artikel wurde zuerst am 7. März 2013 veröffentlicht.
In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.