Bei Verdachtsmomenten zu Compliance-Verstößen oder Pflichtverletzungen durch Mitarbeiter hat der Arbeitgeber ein berechtigtes Interesse an einer gründlichen Aufklärung. Als effektives Instrument zur Erforschung des Sachverhalts und zur Aufdeckung weiterer Hinweise erweisen sich häufig E-Mail-Kontrollen, also die Durchsicht des geschäftlichen E-Mail Accounts der Mitarbeiter.
Trotz immenser Bedeutung solcher Kontrollen in der Praxis, besteht nach wie vor erhebliche Rechtsunsicherheit bei der Durchführung und Ausgestaltung dieser Verfahren. Höchstrichterliche Rechtsprechung hierzu fehlt, so dass neben Bußgeldern und Strafbarkeitsrisiken vor allem ein immenser Reputationsschaden und das Risiko der Unverwertbarkeit der Kontrollfunde im gerichtlichen Verfahren im Raum stehen. Dieser Beitrag soll Probleme im Umgang mit Mitarbeiter E‑Mails aufzeigen und Empfehlungen für die Praxis geben, wie rechtliche Klippen bei E-Mail-Kontrollen im Arbeitsverhältnis umschifft werden können.
Im Kern geht es um die Frage, ob E-Mail-Kontrollen allein nach dem Bundesdatenschutzgesetz (BDSG) zu bewerten sind oder ebenfalls das Telekommunikationsgesetz (TKG) zu beachten ist. Wesentlicher Anknüpfungspunkt ist die Frage, ob der Arbeitgeber eine private Nutzung des geschäftlichen E-Mail Accounts erlaubt beziehungsweise duldet.
Zulässigkeitsmaßstab bei Verbot der Privatnutzung
Ist die Privatnutzung des dienstlichen E-Mail Accounts durch den Arbeitgeber ausdrückliche untersagt, beurteilt sich die Rechtmäßigkeit der Kontrolle der E-Mail Accounts allein nach dem BDSG. Einschlägig sind vor allem §§ 28 und 32 BDSG, die bei Kontrollen zur Aufdeckung von Compliance-Verstößen oder Pflichtverletzungen des Mitarbeiters im Regelfall einen Erlaubnistatbestand für verhältnismäßige und erforderliche Maßnahmen darstellen dürften. Insoweit ist es in der Praxis jedoch empfehlenswert, abgestuft vorzugehen und zunächst anhand des Adressatenkreises und des Betreffzeile zu filtern bevor auf den Inhalt der E-Mails zugegriffen wird.
Zulässigkeitsmaßstab bei erlaubter Privatnutzung
Schwieriger gestaltet sich die Kontrolle bei erlaubter Privatnutzung des geschäftlichen E-Mail Accounts. Folgt man der restriktiven Einschätzung der deutschen Datenschutzbehörden, ist der Arbeitgeber Diensteanbieter und die Vorschriften des TKG finden auf die E-Mail Kontrollen Anwendung. Es ist dann insbesondere das Fernmeldegeheimnis zu beachten, dessen Verletzung eine Strafbarkeit aus § 206 Strafgesetzbuch (StGB) zur Folge haben kann. Ein entsprechendes Strafbarkeitsrisiko stellt nicht zuletzt aufgrund des hohen Strafrahmens im Vergleich zu den Repressalien des BDSG eine ungleich größere Härte für den Arbeitgeber dar, die es zu vermeiden gilt. Das Sichten der Mitarbeiter E-Mails wird dann ohne Einwilligung der betroffenen Mitarbeiter in der Regel insgesamt verboten sein, so dass auch die geschäftlichen E-Mails einer Kontrolle nicht zugänglich sind. Diese Einschätzung kann jedoch aus unserer Ansicht nicht überzeugen.
Zu einer überzeugenderen Bewertung gelangen hingegen die Instanzgerichte in ihrer Rechtsprechung, die den Arbeitgeber nicht allein wegen der Gestattung der Privatnutzung der geschäftlichen E-Mail Accounts als Diensteanbieter klassifizieren (LAG Berlin-Brandenburg vom 16. Februar 2011 – 4 Sa 2132/10). Folgt man dieser Ansicht, kommt das Fernmeldegeheimnis nicht zur Anwendung und die Zulässigkeit der E-Mail Kontrollen richtet sich wiederrum allein nach den Bestimmungen des BDSG, insbesondere §§ 28 und 32 BDSG.
Empfehlung für die Praxis
Rein rechtlich – wenn auch in der heutigen digitalen Zeit wohl eher praxisfern – ist das vollständige Verbot privater Nutzung des geschäftlichen E-Mail Accounts empfehlenswert, welches mit der Erlaubnis der privaten Kommunikation des Mitarbeiters über eigene Endgeräte, wie beispielsweise dem privaten Smartphone, während der Arbeitszeit in angemessenem Umfang verbunden werden kann. Dann sind die Anforderungen an die Zulässigkeit der E‑Mail Kontrollen deutlich gesenkt.
Soll die private Nutzung hingegen erlaubt werden, bietet sich ein zweistufiges Vorgehen an. Aus Transparenzgründen sollte zunächst eine schriftliche Regelung in Form einer Betriebsvereinbarung oder IT‑Richtlinie getroffen werden, die die Privatnutzung sowie die Zugriffsmöglichkeiten des Arbeitgebers auf die geschäftlichen E-Mail Accounts regelt. Zudem sollten die Mitarbeiter darauf hingewiesen werden, private Kommunikation als solche zu kennzeichnen. Es empfiehlt sich sodann die Einwilligung der Mitarbeiter in E-Mail-Kontrollen einzuholen und die private Nutzung der geschäftlichen E-Mail Accounts nur solchen Mitarbeitern zu gestatten, die vorher in eine angemessene Kontrolle (schriftlich) eingewilligt haben. Die Beachtung dieser Maßnahmen kann der Verhältnismäßigkeit bei E-Mail-Kontrollen erheblich zugute kommen.
