Email-Account – Kontrolle durch den Arbeitgeber

1 Email-Account – Kontrolle durch den Arbeitgeber      

1.1      Problem-Aufriss

Ob ein Arbeitgeber seinen Mitarbeitern die private Nutzung des Firmen-Email-Accounts erlauben soll oder nicht gehört nicht erst seit gestern zu einer der meist diskutierten Fragen – nicht nur im Arbeitnehmerdatenschutz. Nach klassischer Auffassung ist E-Mail-Kommunikation das Gegenstück zur Papierkommunikation. Typischerweise unterhält ein Unternehmen eine physikalische Poststelle, bei der die Post des Unternehmens eingeht, gesichtet wird und über die hausinternen Papierpoststrukturen verteilt wird.

In der Papierwelt verwenden Mitarbeiter nicht den Firmenbriefbogen, um private Angelegenheiten zu erledigen, sprich: Es gibt hier keine private Nutzung.

Dementsprechend fordert die Organisationsverpflichtung (ergibt sich aus der Gewerbeordnung und dem HGB) vom Unternehmen, dass seine digitale Kommunikation genauso abläuft[1]. Hinzu kommt, dass mit einer privaten Nutzung des Email-Accounts Arbeitszeit verbracht wird, deren Nutzung eigentlich dem Arbeitgeber zusteht[2].

Die Problematik einer privaten Nutzung besteht vor allem darin, dass ein Arbeitgeber nach einer noch immer weit verbreiteten Ansicht unter den Juristen „Dienste als Telekommunikationsanbieter“ nach dem Telekommunikationsgesetz (§ 3 Nr. 6 TKG) erbringt, wenn er private Emails bei seinen Beschäftigten erlaubt. Dies hat wiederum zur Folge, dass er in Bezug auf alle Emails seiner Mitarbeiter das Telekommunikationsgeheimnis (§ 88 TKG) beachten muss und er die Emails nicht mehr einsehen dürfte, er machte sich dann des Bruchs des Fernmeldegeheimnisses strafbar (§ 206 StGB). Streng unter die Buchstaben des TKG subsumiert, stimmt diese Ansicht wohl.

Die Folgen hieraus sind jedoch, dass die Einhaltung einiger anderer Gesetze für einen Unternehmer nicht mehr oder nur unter Eingehung von Haftungsrisiken möglich wäre. So wäre zum Beispiel die aus dem Handelsgesetzbuch (HGB) und der Abgabenordnung geforderte Emailarchivierung ziemlich sinnentleert, wenn diese anschließend nicht mehr eingesehen werden dürfte. Verpflichtungen des Unternehmers zur Risiko-Einschätzung und –Kontrolle werden deutlich erschwert, wenn sich der Unternehmer selbst davon ausschließt, Einblick in den Email-Verkehr seines Unternehmens zu nehmen. Er schafft damit möglicherweise – je nach Umfang – einen ganzen Unternehmensteil, den er nicht mehr kontrollieren darf bzw. kann.

Ein weiteres Risiko kann sich im Rahmen der Betriebshaftpflichtversicherung ergeben: Durch das Zulassen privater Mails findet über die IT-Infrastruktur des Unternehmens ein Vorgang statt, der mit dem Geschäftszweck des Unternehmens nichts zu tun hat. Die Folge: es entsteht ein besonderes Risiko, das häufig  durch die „Betriebshaftpflicht“-Versicherung des Unternehmens nicht abgedeckt ist, wenn dem Unternehmen hieraus ein Schaden entsteht (z.B. durch einen Schädling).

Neben diesen abstrakten Risiken ergibt sich jedoch ein ganz konkretes Problem im Alltag am häufigsten: Ein Arbeitgeber benötigt geschäftlich wichtige Inhalte, die im Email-Account eines Mitarbeiters enthalten sind, der Mitarbeiter ist aber nicht verfügbar. Kann der Arbeitgeber nun (doch) Zugriff bzw. Einblick in die Inhalte der Emails seiner Mitarbeiter nehmen, ohne sich der Verletzung des Fernmeldegeheimnisses strafbar zu machen?

Die Anwendung des TKG auf den Arbeitgeber und die daraus resultierende Beachtung des Fernmeldegeheimnisses in Bezug auf einen sein eigenes Unternehmen betreffenden Bereich schafft für den Arbeitgeber somit erhebliche Risiken. Dies hat in vielen Unternehmen zur Folge, dass die Privatnutzung des Email-Accounts zwar komplett untersagt wird. Aufgrund der im Alltag immer dringender zu lösenden Frage, ob ein Arbeitgeber trotz der zugelassenen Privat-Nutzung des Email-Accounts Einblick in die Emails der Mitarbeiter nehmen kann, werden zur Zeit sowohl von Gerichten wie auch von literarischen Meinungen verschiedene Ansätze hierzu diskutiert. Ein Aufzeigen der Risiken und ein konkreter Vorschlag zum Vorgehen bei einer notwendig werdenden Einsichtnahme sollen Gegenstand des folgenden Abschnitts sein:

 

Rechtlicher Hintergrund

1.1.1     Arbeitgeber als Diensteanbieter des TKG

Aufgrund der Tatsache, dass ein privater Emailverkehr in der Realität meist gar nicht vollständig unterbunden werden kann  – z.B. mindestens im Hinblick auf eigehende, private Emails – gehen einige der derzeit in Rechtsprechung und Literatur diskutierten Ansätze[3] dahin, den Arbeitgeber nicht länger als Diensteanbieter im Sinne des TKG zu sehen. Die Stellung des „Diensteanbieters” ist in § 3 Nr. 6 TKG legaldefiniert:

Demzufolge ist „Diensteanbieter” jeder, der „ganz oder teilweise geschäftsmäßig Telekommunikationsdienste erbringt oder an der Erbringung solcher Dienste mitwirkt”. Das Kriterium der „Geschäftsmäßigkeit” ist erfüllt, wenn ein nachhaltiges Angebot von Telekommunikation für Dritte mit oder ohne Gewinnerzielungsabsicht gegeben ist (vgl. § 3 Nr. 10 TKG).

Wendet man diese Definition auf den Arbeitgeber an, so ergibt sich, dass dieser den Mitarbeitern Emaildienste anbietet bzw. ermöglicht und diese zumindest im privaten Kontext auch als Dritte im Sinne des TKG zu sehen sind. So sieht es auch der Gesetzgeber, der als Beispiele für die „Geschäftsmäßigkeit“ TK-Dienste in Betrieben nennt, „soweit sie den Beschäftigten zur privaten Nutzung zur Verfügung gestellt“[4] werden. Aufgrund dieser recht eindeutigen Qualifikation des Arbeitgebers als Diensteanbieter im Sinne des TKG sind andere Lösungsansätze zu bevorzugen. Sie werden beispielsweise darin gesehen, über eine Betriebsvereinbarung Kontrollmöglichkeiten für den Arbeitgeber zu schaffen und hierdurch eine rechtfertigende Norm im Sinne des TKG zu schaffen. So könnte zunächst die Nutzung der betrieblichen Kommunikationsmittel durch die Betriebsvereinbarung geregelt werden und anschließend das Erfordernis, dass sich die rechtfertigende Vorschrift beim Eingriff in das Fernmeldegeheimnis auf TK-Vorgänge beziehen muss (vgl. § 88 Abs. 3 TKG), für den hier relevanten § 77 BetrVG teleologisch reduziert werden. Dies – so diese Ansicht[5] – sei möglich, da die Betriebsvereinbarung als solche gerade in inhaltlicher Hinsicht die Anforderungen der Bezugnahme auf Telekommunikations-Vorgänge erfülle. Mithin würde der inhaltliche Telekommunikations-Bezug der Betriebsvereinbarung die Qualität der Norm (§ 77 BetrVG) beeinflussen.

 

1.1.2     Das Fernmeldegeheimnis und das Bundesverfassungsgericht

Ein anderer Lösungsansatz wird darin gesehen, den Schutzbereich des Fernmeldegeheimnisses zu prüfen und diesen differenziert nach ein- und ausgehenden Emails anzuwenden. Unter Berücksichtigung der bisher ergangenen Rechtsprechung des Bundesverfassungsgerichts lässt sich folgender Ansatz hieraus ableiten, der auch bereits in der Literatur vertreten[6] wird:

Das Bundesverfassungsgericht hat sich in zwei Urteilen[7] zur Beschlagnahme von Emails geäußert. In beiden Urteilen war die Frage, ob das Fernmeldegeheimnis auf den vorliegenden Sachverhalt angewendet werden konnte, von entscheidender Bedeutung für die Möglichkeit der Einsichtnahme bzw. Beschlagnahme der Emails. Der Unterschied zwischen beiden Urteilen lag darin, dass im ersten Fall aus dem Jahr 2006 die Emails auf einem Computer direkt beim Betroffenen gespeichert waren, während im zweiten Fall aus 2009 die gegenständlichen Emails auf Servern beim Provider gespeichert waren. Im ersten Fall hatte das Bundesverfassungsgericht entschieden, dass hier das Fernmeldegeheimnis keine Anwendung mehr finden würde. Das Fernmeldegeheimnis solle nämlich allein die spezifischen Gefahren der räumlich distanzierten Kommunikation berücksichtigen. Der durch Art. 10 Abs. 1 GG gewährte Schutz ende, wenn eine E-Mail beim Empfänger angekommen sei, da dieser dann eigene Schutzvorkehrungen treffen könne. Es bestünden ab diesem Zeitpunkt keine vereinfachten Zugriffsmöglichkeiten durch den Provider oder Strafverfolgungsbehörden mehr, die aus der fehlenden Beherrschbarkeit und Überwachung des Kommunikationsvorgangs herrührten[8].

Im zweiten Urteil von 2009 jedoch sah das Gericht das Fernmeldegeheimnis als anwendbar an, obwohl der eigentliche Kommunikationsvorgang, der durch Art. 10 GG geschützt werden soll, schon beendet war[9]. Grund hierfür sei, dass die Email noch nicht vollständig in den Herrschaftsbereich des Empfängers übergegangen sei, so lange sie noch auf dem Server des Providers gespeichert sei. Wer sich hierzu Zugang verschaffe, liege – trotz Passwortschutz – nicht vollständig im Kontrollbereich des Empfängers[10]. Das Gericht geht bei der Speicherung der Email auf dem Server des Providers  von einem „ruhenden“ Kommunikationsvorgang aus, auf den das Fernmeldegeheimnis anwendbar sei.

Interessant ist in diesem Kontext auch, dass das Gericht in beiden Urteilen klar stellt, dass der Schutz aus Art. 10 GG ein spezielleres Grundrecht ist als das Recht auf informationelle Selbstbestimmung (Art. 2 Abs.1 i.V.m. Art. 1 Abs. 1 GG), sowie das Recht auf Unverletzlichkeit der Wohnung (Art. 13 GG) und diesen somit vorgehe. Auch sei das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informations-technischer Systeme gem. Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG dem Fernmeldegeheimnis unterzuordnen[11].

Für den heutigen Arbeitgeber, bei dem regelmäßig die Emails auf dessen Server und nicht lokal auf den Rechnern der Mitarbeiter gespeichert werden, ergibt sich damit zunächst folgendes Ergebnis: Folgt man der  in der Literatur herrschenden Ansicht und der Logik des Bundesverfassungsgerichts, ist der Arbeitgeber damit Diensteanbieter im Sinne von  § 3 Nr. 6 TKG, der – bei erlaubter Privatnutzung – beim Zugriff auf die Emails der Mitarbeiter das Fernmeldegeheimnis bricht und sich nach § 206 StGB strafbar macht. Der vom Gericht benannte Vorrang des Fernmeldegeheimnisses vor dem Recht auf informationelle Selbstbestimmung hat für den Arbeitgeber zur Folge, dass eine Lösung nach dem BDSG, dort z.B. nach § 32 BDSG, nicht in Frage kommt, so lange das Fernmeldegeheimnis anwendbar ist.

 

1.2      Anwendungsbereich des Fernmeldegeheimnisses

Nach dem oben aufgezeigten Anwendungsbereich des Fernmeldegeheimnisses schützt dieses sowohl den Sender wie auch den Empfänger der Daten während des Kommunikationsvorganges. Im Folgenden soll deshalb dargestellt werden, dass nach dem Eintreffen einer Email beim Arbeitgeber der Schutz des Fernmeldegeheimnisses für den Versender der Email endet. Eine Strafbarkeit nach § 206 StGB käme damit bei einer Kontrolle durch den Arbeitgeber im Hinblick auf den Versender der Email nicht (mehr) in Betracht.

Das Fernmeldegeheimnis schützt grundsätzlich die unkörperliche Übermittlung von Inhalten mit Fernmeldetechnik insbesondere vor Zugriffen Dritter während des Übertragungsvorganges. Nicht mehr geschützt sind jedoch Zugriffe auf die Daten nach Beendigung des Übertragungsvorganges[12]. Im Falle der klassischen Telefonie wurde dies daran deutlich, dass das heimliche Mithören eines Telefonats über eine andere Nebenstelle nicht mehr dem Schutz des Fernmeldegeheimnisses unterlag[13], da die Daten (in diesem Fall die Sprache) bereits im alleinigen Herrschaftsbereich des Empfängers angekommen war. Ein Einfluss bzw. eine Verantwortung desjenigen, der für die Übertragung verantwortlich war, war an dieser Stelle  bereits ausgeschlossen. Für Emails ist der Übertragungsvorgang mit der Ankunft auf dem Server des Empfängers beendet, so das Bundesverfassungsgericht im Urteil von 2006. Die Figur der ruhenden Kommunikation bei der Speicherung der Email auf dem Server des Providers wurde im  Beschluss von 2009 jedoch nur auf den Empfänger der Email angewandt. Nur bei diesem nahm das Gericht an, dass er sich der Gefahr eines Fremdzugriffs auf seine Kommunikationsinhalte aussetze.

Auf den Versender der Email ist diese Figur richtigerweise auch nicht anzuwenden: Für den Versender ist der Übertragungsvorgang mit der Kenntnisnahme des Empfängers und damit mit dem Eintreffen der Email beim Server des Arbeitgebers beendet, da Telekommunikation den Austausch von Informationen betrifft[14]. § 3 Nr. 22 TKG sagt: „Telekommunikation [ist] der technische Vorgang des Aussendens, Übermittelns und Empfangens[…].“ Alle drei Kriterien – Aussenden, Übermitteln und Empfangen – sind mit der Kenntnisnahme des Empfängers erfüllt. Aus Sicht des Versenders ist mit der Kenntnisnahme des Empfängers der Vorgang der geschützten Telekommunikation damit grundsätzlich beendet. Das Fernmeldegeheimnis greift für ihn nicht mehr. Für ihn ist daher hinsichtlich der Reichweite des Schutzes des Fernmeldegeheimnisses ausschließlich auf die Entscheidung des BVerfG aus dem Jahr 2006 abzustellen[15]. Bei einer Kontrolle durch den Arbeitgeber scheidet somit eine Strafbarkeit nach § 206 StGB im Hinblick auf den Versender der Email aus.

 

1.3      Leitfaden zur Kontrolle des Email-Accounts

Damit nun der Arbeitgeber trotz erlaubter Privatnutzung des Email-Accounts Einblick in die Emails seiner Mitarbeiter nehmen kann, sollten die folgenden Punkte Beachtung im Unternehmen finden.

 

1.3.1     Einwilligung der Mitarbeiter

Mit Blick auf den Anwendungsbereich des Fernmeldegeheimnisses[16] sollten grundsätzlich alle Mitarbeiter eine individuelle Einwilligung in die Kontrolle auch ihrer privaten Emails unterschreiben: Eine Einwilligung durch den Empfänger der Email lässt damit trotz der Anwendbarkeit des Fernmeldegeheimnisses bei Speicherung auf dem Server des Arbeitgebers die Strafbarkeit der Kontrolle entfallen. Dass diese Einwilligung keine Wirkung für den Versender der Email entfaltet ist – entgegen anderer Ansichten – ohne Belang, da für die von ihm versandte Email das Fernmeldegeheimnis keine Anwendung mehr findet.

Es sollte darauf geachtet werden,

–       dass eine Betriebsvereinbarung für eine „kollektive“ Einwilligung nicht ausreichend ist.

–       dass im Text der Einwilligung sodann auch Datenschutzbelange Berücksichtigung finden:

• So sollte dem Mitarbeiter eine Kontrolle nur im Vier-Augen-Prinzip unter Beteiligung des Betriebsrates oder des Datenschutzbeauftragten zugesichert werden,
• und es sollte ihm zugesichert werden, dass Emails mit offensichtlich privatem Inhalt bei der Kontrolle nicht weiter zur Kenntnis genommen werden.

–       dass in Zusammenhang mit der Einwilligung schriftlich klargestellt wird, dass die Erlaubnis zur privaten Nutzung jederzeit durch den Arbeitgeber widerrufen werden kann und keine Rechtsansprüche auf künftige, private Nutzung begründet werden.

–       dass in Bezug auf die arbeitsrechtlichen Folgen keine Details zum genauen Vorgehen angeben werden. Dies kann ggf. zum Ausschluss der Wirksamkeit einer Kündigung führen[17].

Auch erscheint die Freiwilligkeit einer Einwilligung in diesem speziellen Fall zwischen Mitarbeiter und Arbeitgeber trotz des Über-/Unterordnungsverhältnisses unproblematisch. Zum einen ist der Mitarbeiter nicht gezwungen, private Emails zu schreiben, er kann diese Kontrolle seines privaten Lebensbereiches also selbständig beherrschen. Zum anderen sieht das TKG den Mitarbeiter in diesem speziellen Kontext als „Dritten“ an, der für diesen Sachverhalt nicht mehr in die Organisation des Unternehmens eingebunden ist. Für diesen ausschließlich privaten Kontext soll also gerade das Arbeitgeber-Arbeitnehmer-Verhältnis nicht gelten.

 

1.3.2     Kontrolle ohne Einwilligung der Mitarbeiter

Sollte eine Kontrolle des Email-Accounts notwendig werden, ohne dass eine Einwilligung vom Betroffenen eingeholt werden kann bzw. konnte, so sollten die folgenden Punkte bei der Kontrolle Beachtung finden. Dabei sollte beachtet werden, dass die Kontrolle der privaten Emails zwar dem Fernmeldegeheimnis (§ 88 TKG) unterliegt und damit verboten ist. Unter Strafe gestellt nach § 206 Abs. 1 StGB ist jedoch lediglich die „Mitteilung“ an andere über die gefundenen, privaten Inhalte und Umstände der Kommunikation. Sollte derjenige, der Einblick in einen Email-Account nimmt also auf private Emails stoßen, so sollte er darauf achten, dass er diese dort zur Kenntnis genommenen privaten Inhalte niemandem mitteilt, da er sich ansonsten strafbar macht. Ergänzend sei darauf hingewiesen, dass Inhalte, die unter Durchbrechung des Fernmeldegeheimnisses gewonnen wurden einem Beweisverwertungsverbot unterliegen.

Die folgende Checkliste berücksichtigt die möglichen Lösungsansätze zu einem rechtskonformen Umgang mit einer Kontrolle des Email-Acounts, sie kann aber mangels einer obergerichtlichen Entscheidung letztlich keine abschließende Rechtssicherheit bieten, sondern lediglich das Vorgehen mit dem geringst möglichen Risiko aufzeigen.

• Vor Öffnung des Accounts Rücksprache zum individuellen Fall mit dem Datenschutzbeauftragten und ggf. dem Compliance-Beauftragten halten
• Prüfung der Dringlichkeit: kann eine Rückkehr des Betroffenen wirklich nicht abgewartet werden? Kann er auch nicht erreicht werden, um eine zumindest mündliche Einwilligung zu erlangen?
• Öffnung des Accounts mindestens im Vier-Augen-Prinzip unter Beteiligung des Datenschutzbeauftragten und/oder des Betriebsrates und der Unternehmensleitung
• Öffnung des Accounts sollte über das Administrator-Passwort erfolgen, nicht mit dem Passwort des Mitarbeiters
• Sichtung der Inhalte sollte erfolgen (a) unter Vermeidung der Öffnung offensichtlich privater Emails und (b) unter möglicher Beschränkung auf das Thema, das Anlass der Öffnung ist.
• Verwendung – also Weiterleitung bzw. Ausdrucken – nur von dienstlichen Emails, die im Kontext mit der dringlichen Angelegenheit stehen.
• Das Vorgehen nach dieser Checkliste sollte von allen Anwesenden schriftlich bestätigt bzw. unterschrieben werden.