Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder („Datenschutzkonferenz”) hat am 27. Januar 2016 eine Orientierungshilfe für Arbeitgeber zu datenschutzrechtlichen Grenzen der Kontrolle von E-Mail und anderen Internetdiensten am Arbeitsplatz veröffentlicht. In diesem Dokument verdeutlichen die Datenschützer ihre restriktive Position hinsichtlich der Kontrollrechte des Arbeitgebers.

Die Orientierungshilfe fasst die gemeinsame Position der Datenschutzaufsichtsbehörden zusammen. Sie enthält grundlegende Empfehlungen für Behörden und Unternehmen. Zwar ist eine solche Orientierungshilfe rechtlich nicht bindend; sie stellt jedoch die maßgebliche Grundlage für die Prüfung und Bewertung der Verarbeitung personenbezogener Daten durch die Datenschutzbehörden dar und lässt deshalb erahnen, wie die Behörden in bestimmten Situationen wahrscheinlich entscheiden werden.

Die Eingangsfrage für die Beurteilung der Rechtmäßigkeit der Kontrolle von E-Mail und anderen Internetdiensten am Arbeitsplatz ist stets, ob der Arbeitgeber eine private Nutzung des Internets oder des betrieblichen E-Mailpostfachs erlaubt oder nicht. Ist dies der Fall, ist der Arbeitgeber nach Ansicht der Datenschützer als Anbieter von Telekommunikationsdiensten bzw. Telemediendiensten im Sinne der entsprechenden gesetzlichen Regelungen einzuordnen. Neben dem Bundesdatenschutzgesetz („BDSG”) sind dann auch die Regeln des Telekommunikationsgesetzes („TKG”) und des Telemediengesetzes („TMG”) zu beachten. Der Arbeitgeber unterliegt in diesem Fall dem Fernmeldegeheimnis. Verletzt er dieses, kann er sich strafbar machen.

Ausschließlich dienstliche Nutzung gestattet – weiterreichende Möglichkeiten

Verbietet der Arbeitgeber die Privatnutzung, so darf er grundsätzlich stichprobenartig überprüfen, ob das Verbot eingehalten wird. Solche Stichproben sollten nach Ansicht der Datenschützer anonymisiert, d. h. insbesondere ohne Einbeziehung der IP-Adresse des jeweiligen Nutzers, erhoben werden. Eine personenbezogene vollständige Kontrolle soll nach Ansicht der Datenschützer erst bei einem konkretem Missbrauchsverdacht im Zusammenhang mit der Begehung von Straftaten zulässig sein, und auch dann nur im verhältnismäßigen Rahmen. Für die Begrenzung der Internetnutzung sollten überdies die datenschutzfreundlichsten Methoden gewählt werden. Hierfür bieten sich beispielsweise Black- und/oder Whitelists an, d. h. Listen, bei denen bestimmte Internetseiten blockiert werden (Blacklist) bzw. nur auf bestimmte Internetseiten zugegriffen werden darf (Whitelist).

Ist ausschließlich die dienstliche Nutzung des E-Mail-Accounts gestattet, darf der Arbeitgeber ein- und ausgehende betriebliche E-Mails der Arbeitnehmer grundsätzlich nur dann zur Kenntnis nehmen, wenn die Arbeitnehmer sie ihm zuleiten. Eine automatisierte Weiterleitung an den Arbeitgeber soll dagegen allenfalls bei Abwesenheit des Arbeitnehmers in Betracht kommen. Auch dies soll im Lichte des Verhältnismäßigkeitsgrundsatzes allerdings nur dann zulässig sein, wenn eine Abwesenheitsnotiz alleine nicht ausreicht, um die betrieblichen Interessen des Arbeitgebers zu wahren.

Auch auf bereits empfangene oder versendete E-Mails darf der Arbeitgeber nach den Datenschützern nur zugreifen, soweit dies für betriebliche Zwecke erforderlich ist. Selbst wenn die Privatnutzung verboten ist, darf eine E-Mail, deren privater Inhalt erkannt wird, vom Arbeitgeber nicht weiter inhaltlich zur Kenntnis genommen werden, es sei denn, dies ist für die Zwecke einer effektiven Missbrauchskontrolle erforderlich (siehe oben).

Private Nutzung gestattet – ohne Einwilligung des Arbeitnehmers sind dem Arbeitgeber die Hände gebunden

Ist die private Nutzung des Internets und/oder des E-Mail-Accounts gestattet oder wird diese geduldet, so ist der Arbeitgeber nach der Auffassung der Datenschützer an das Fernmeldegeheimnis gebunden. Das bedeutet, dass er nur mit ausdrücklicher Einwilligung des Arbeitnehmers auf die entsprechenden Daten zugreifen darf. Arbeitnehmer können ihre Einwilligung verweigern, ohne dass daraus für sie arbeitsrechtliche Nachteile folgen dürfen.

Will der Arbeitgeber z. B. durch eine Auswertung von Protokolldaten zur Internetnutzung überprüfen, ob eventuelle einschränkende Vorgaben zur privaten Nutzung eingehalten wurden, darf er das nur, wenn der Arbeitnehmer sowohl in die Protokollierung seiner Internetnutzung als auch in den Zugriff des Arbeitgebers auf diese Daten einwilligt. Auch wenn eine Einwilligung erteilt wurde, muss jeder Eingriff verhältnismäßig sein. Eine gezielte Kontrolle ist auch bei Vorliegen einer Einwilligung nur dann zulässig, wenn der konkrete Verdacht einer Straftat, einer Verletzung arbeitsvertraglicher Pflichten oder einer Verletzung der Vereinbarung über die private Internet- und E-Mailnutzung besteht.

Im Hinblick auf die Nutzung des E-Mail-Accounts empfiehlt es sich für den Arbeitgeber – unter Beachtung der Mitbestimmungsrechte des Betriebsrats –, konkrete Vorgaben für die Einstellungen bei Abwesenheit eines Arbeitnehmers zu machen. Werden diese Vorgaben dann nicht eingehalten, kann nach Auffassung der Datenschutzkonferenz ein Zugriff auf den E-Mail-Account erfolgen, wenn dies für die Wahrung betrieblicher Zwecke erforderlich ist und der Arbeitnehmer vorher eingewilligt hat.

Nur in engen Ausnahmefällen darf der Arbeitgeber ohne Einwilligung des Arbeitnehmers auf Dateien zur Internetznutzung oder den E-Mail-Account zugreifen, wenn die Privatnutzung gestattet oder geduldet wird. Das ist beispielsweise der Fall, wenn ein solcher Zugriff erforderlich ist, um Fehler oder Störungen zu erkennen, einzugrenzen oder zu beseitigen.

Besonderheiten bei Geheimnisträgern

Geheimnisträger sind Personen, denen im Rahmen ihrer Tätigkeit Geheimnisse anvertraut werden (d. h. beispielsweise Betriebsräte, betriebliche Datenschutzbeauftragte, Betriebsärzte oder Gleichstellungsbeauftragte) und die deshalb in einem besonderen Vertrauensverhältnis zu den betroffenen Arbeitnehmern stehen. Für sie gilt, dass ein Zugriff des Arbeitgebers auf ihre E-Mails oder eine Kontrolle ihrer Internetnutzung rechtlich nicht zulässig ist. Hiervon umfasst ist auch die Kommunikation anderer Arbeitnehmer mit diesen Geheimnisträgern.

Spamfilter und Virenschutz

Die Datenschutzkonferenz weist ferner darauf hin, dass auch in Bezug auf die Einrichtung von Maßnahmen zum Virenschutz oder zur Filterung unerwünschter E-Mails die Vorgaben des Datenschutzrechts beachtet werden müssen.

Über eine zentrale Spam-Filterung müssen die Arbeitnehmer danach im Vorfeld unterrichtet werden. Hier können auch mitbestimmungsrechtliche Aspekte relevant sein. Überdies sollte die datenschutzfreundlichste Möglichkeit der Abwehr genutzt werden. Entsprechend soll die zentrale Markierung verdächtiger Nachrichten der zentralen Löschung vorzuziehen sein. Nach Auffassung der Datenschützer sollen die Arbeitnehmer möglichst autonom über den Umgang mit Nachrichten entscheiden können, die an sie adressiert sind.

Das Herausfiltern und Untersuchen von virenverseuchten E-Mails mit Kenntnisnahme des Inhalts ist nach Auffassung der Datenschutzbehörden schließlich im Hinblick auf private E-Mails nur zulässig, soweit es erforderlich ist, um Störungen oder Fehler an Telekommunikationsanlagen zu erkennen, einzugrenzen oder zu beseitigen.

Abschließende Empfehlungen, Auswirkungen für die Praxis

Die Aufsichtsbehörden empfehlen abschließend, schriftliche Regelungen über die betriebliche und/oder private Nutzung des Internets und des betrieblichen E-Mail-Accounts zu treffen, in denen Fragen des Zugriffs, der Protokollierung sowie der Auswertung und Durchführung von Kontrollen eindeutig festgelegt werden. Sie raten auch dazu, Arbeitnehmern allenfalls die private Nutzung des Internets zu erlauben, die auch die Nutzung privater Webmail-Dienste umfassen kann, die private Nutzung des E-Mail-Accounts aber zu verbieten. Hierdurch können die Probleme im Zusammenhang mit der privaten Nutzung betrieblicher E-Mail-Accounts vermieden werden. Schließlich sollten für Geheimnisträger nicht-personalisierte, funktionsbezogene Postfächer (z. B. betriebsrat[at]unternehmen[punkt]de) eingerichtet werden, die so leichter von Kontrollen und Auswertungen ausgenommen werden können.

Trotz des nicht bindenden Charakters der Orientierungshilfe raten wir dazu, den Empfehlungen der Datenschutzkonferenz nachzukommen. Hierbei sind arbeitsrechtliche Vorschriften zu beachten. Gegebenenfalls müssen auch betriebsverfassungsrechtliche Mitbestimmungsrechte eingehalten werden. Es ist davon auszugehen, dass die Datenschutzbehörden ihre Entscheidungen an der Orientierungshilfe ausrichten werden. Arbeitgeber, die hiervon abweichen, müssen deshalb mit Bußgeldern oder Unterlassungsverfügungen, schlimmstenfalls mit strafrechtlichen Konsequenzen, rechnen.