Orientierungshilfe der Datenschutzbehörde des Bundes und der Länder zur Nutzung von E-Mails und Internet am Arbeitsplatz

Wie Arbeitnehmer am Arbeitsplatz ihr E-Mail-Postfachs und das Internet privat nutzen dürfen, und welche Eingriffe durch den Arbeitgeber zulässig sind, ist immer noch ein häufig umstrittenes Thema. Deshalb hat die Datenschutzbehörde des Bundes und der Länder Anfang des Jahres eine Orientierungshilfe herausgegeben, durch die diese Fragen geklärt werden sollen.

1. Allgemeines

Die erste Frage, die für die datenschutzrechtliche Zulässigkeit der E-Mail- und Internetnutzung am Arbeitsplatz relevant ist, ist ob den Arbeitnehmern die private Nutzung des Internets und/oder des betrieblichen E-Mail-Postfachs am Arbeitsplatz erlaubt worden ist, oder nicht.

Wenn Hard- oder Software vom Arbeitgeber zur Verfügung gestellt werden, gilt der Grundsatz, dass die betrieblichen Internet- und E-Mail-Dienste nur für die betriebliche Tätigkeit genutzt werden dürfen. Eine private Nutzung von Internet oder betrieblichem E-Mail-Postfach, ist somit nur dann erlaubt, wenn der Arbeitgeber diese zuvor gestattet hat (z.B. im Arbeitsvertrag oder durch „betriebliche Übung“).

Grundsätzlich steht es dem Arbeitgeber also frei, ob er eine Privatnutzung des Internets und des betrieblichen E-Mail-Accounts gestattet oder nicht.

2. Gesetzliche Vorgaben

Ist die Nutzung des Internets oder des betrieblichen E-Mail-Postfachs lediglich zu betrieblichen Zwecken erlaubt, so richtet sich die Erhebung, Verarbeitung und Nutzung von anfallenden personenbezogenen Daten (des Arbeitnehmers aber auch der Kommunikationspartner) nach dem Bundesdatenschutzgesetz (BDSG). Darüber hinaus sind arbeitsrechtliche Vorgaben zu berücksichtigen.

Gestattet der Arbeitgeber dem Arbeitnehmer die private Nutzung von Internet und betrieblichem E-Mail-Postfach, sind gegebenenfalls zusätzlich das Telekommunikationsgesetz (TKG) und das Telemediengesetz (TMG) zu beachten. Der Arbeitgeber wird dabei als Anbieter von Telekommunikations- oder Telemediendiensten gesehen. Er ist deshalb an das Fernmeldegeheimnis des § 88 Abs. 2 Satz 1 TKG gebunden. Zusätzlich unterliegt er den Datenschutzvorschriften des TMG.

Von den gesetzlichen Regelungen sind auch E-Mails umfasst, die noch auf dem Server des jeweiligen Dienstanbieters gespeichert sind.

Zwar vertreten einige Gericht die Ansicht, dass Arbeitgeber, die eine private Nutzung zulassen, nicht als Anbieter von Telekommunikations- oder Telemediendiensten anzusehen sind. Solange diese Frage jedoch nicht höchstrichterlich geklärt ist, sollten Arbeitgeber sicherheitshalber von einer Anwendbarkeit der Vorschriften ausgehen (auch die Datenschutzbehörde des Bundes und der Länder ist in ihrer Orientierungshilfe davon ausgegangen).

3. Einschränkungen und Kontrollrechte des Arbeitgebers bei lediglich betrieblicher Nutzung

a) Nutzung des Internets

Es steht dem Arbeitgeber grundsätzlich frei, anhand von Protokollen stichprobenartig zu prüfen, ob das Surfen der Beschäftigten ausschließlich betrieblicher Natur ist. Es ist jedoch in einem ersten Schritt nur zulässig, eine Auswertung des Surfverhaltens ohne Personenbezug vorzunehmen. Der Arbeitgeber hat datenschutzfreundlichen Maßnahmen den Vorzug zu geben (Erstellung von black- und/oder whitelists).

Eine personenbezogene Vollkontrolle durch den Arbeitgeber ist hingegen nur dann zulässig, wenn die Voraussetzungen des § 32 Abs. 1 Satz 2 BDSG vorliegen:

• zur Aufdeckung von Straftaten
• wenn tatsächliche Anhaltspunkte einen Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat
• Maßnahme ist zur Aufdeckung erforderlich
• Schutzwürdiges Interesse des Betroffenen überwiegt nicht

Liegen die Voraussetzungen nicht vor, stellt eine personenbezogene Vollkontrolle einen Eingriff in das Recht der informationellen Selbstbestimmung des Arbeitnehmers dar.

Werden personenbezogene Daten zu Zwecken der Datenschutzkontrolle gespeichert, dürfen sie auch nur zu diesen Zwecken genutzt werden (§ 31 BDSG). Achtung: Eine Nutzung der gespeicherten Daten für Verhaltens- und Leistungskontrollen ist dagegen nicht erlaubt.

b) Bei der Nutzung des betrieblichen E-Mail-Accounts

Der Arbeitgeber darf ein- und ausgehende E-Mails der Arbeitnehmer zur Kenntnis nehmen (z.B. durch Verfügung, dass bestimmte, fest definierte, E-Mails an den Arbeitgeber weitergeleitet werden). Eine durch ihn eingerichtete automatische Weiterleitung aller ein- und ausgehenden E-Mails ist nicht zulässig (Verbot der permanenten Kontrolle).

Für den Fall der ungeplanten Abwesenheit ist die Verwendung eines Abwesenheitsassistenten das datenschutzfreundlichste Mittel. Die Einrichtung einer Weiterleitung der E-Mail ist nur dann möglich, wenn eine Abwesenheitsmitteilung nicht ausreicht.

Auf bereits empfangene/gesendete E-Mails darf nur zugegriffen werden, wenn dies für die betrieblichen Zwecke erforderlich ist.

Erkennt der Arbeitgeber den privaten Charakter einer E-Mail, darf er diese nicht weiter einsehen (Ausnahme: erforderliche Maßnahme der Missbrauchskontrolle).

Eine Missbrauchskontrolle ist nur möglich wenn die Voraussetzungen des § 32 Abs. 1 Satz 2 BDSG vorliegen (siehe oben).

4. Erlaubte Einschränkungen des Arbeitgebers bei erlaubter privater Nutzung

a) Bei der Nutzung des Internets

Ist die private Nutzung des Internets gestattet, ist der Arbeitgeber zur Wahrung des Fernmeldegeheimnisses verpflichtet. Ein Zugriff auf Daten, die dem Fernmeldegeheimnis unterliegen, ist dem Arbeitgeber nur mit Einwilligung des Betroffenen erlaubt. Dies betrifft besonders die Daten, aus denen sich ergibt, welche Internetseiten, welcher Arbeitnehmer, zu welcher Zeit aufgerufen hat (eine Ausnahme hiervon ist gegeben, wenn die Maßnahme zum Schutz der technischen Systeme, d.h. zum Erkennen, Eingrenzen oder zur Beseitigen von Störungen oder Fehlern an Telekommunikationsanlagen, erforderlich ist).

Die Erlaubnis zur Privatnutzung kann vom Arbeitgeber an Bedingungen geknüpft werden, z.B.:

• Zeitlicher Umfang
• Konkrete Verhaltensregeln
• Kontrollen

Hierzu braucht der Arbeitgeber eine Einwilligung der Beschäftigten, die sich darauf bezieht, dass diese mit den Zugriffen des Arbeitgebers einverstanden sind. Es sollte hierfür zunächst eine Betriebsvereinbarung geschlossen werden, auf dessen Grundlage die individuellen Einwilligungen der einzelnen Arbeitnehmer eingeholt werden.

Von der Datenschutzbehörde des Bundes und der Länder empfohlener Inhalt der Betriebserklärung:

• Nutzungsregelungen (zeitlicher Art, Verhaltensregeln)
• Zugriffsmöglichkeiten (Einwilligung, insbesondere Art und Umfang von Kontrollen)

Auf Grundlage der Einwilligung, darf der Arbeitgeber anhand von Protokollen stichprobenartig prüfen, ob das Surfen der Beschäftigten ausschließlich betrieblicher Natur ist. Es ist jedoch in einem ersten Schritt ausreichend eine Auswertung des Surfverhaltens ohne Personenbezug vorzunehmen. Eine personenbezogene Auswertung von Protokollen darf nur bei einem konkreten Verdacht erfolgen (insbesondere der Verdacht eines Verstoßes gegen Verhaltensvorschriften bzgl. der Privatnutzung).

Arbeitnehmer können diese Bedingungen ablehnen, ohne dadurch einen arbeitsrechtlichen Nachteil zu erleiden. Eine Privatnutzung ist dann jedoch nicht erlaubt.

b) Bei der Nutzung des betrieblichen E-Mail-Accounts

Ein Zugriff auf Daten, die dem Fernmeldegeheimnis unterliegen, ist dem Arbeitgeber nur mit Einwilligung der betreffenden Beschäftigten erlaubt. Allerdings gelten die Ausnahmen der §§ 88 Abs. 3, 91 ff. TKG (z.B. wenn die Maßnahme zum Schutz der technischen Systeme erforderlich ist).

Auch die private Nutzung des betrieblichen E-Mail-Accounts kann der Arbeitgeber an Bedingungen knüpfen:

• Nutzungsregelungen (zeitlicher Umfang oder Verhaltensregeln)
• Beschränkung der Zugriffsmöglichkeiten des Arbeitgebers

Eine Einwilligung des Arbeitnehmers ist auch hierfür erforderlich.

Im Gegensatz zur privaten Internetnutzung steht jedoch bzgl. des privaten Mailverkehrs eine andere Zugriffsmöglichkeit im Vordergrund: Im gemeinsamen betrieblichen Interesse sollte eindeutig im Vorfeld festgelegt werden, ob bzw. wie, der Arbeitgeber auf die betrieblichen Mails im gemischt-privat-betrieblichen Postfach zugreifen kann. Hierzu gilt das bezüglich der Betriebsvereinbarung bereits ausgeführte.

Der Arbeitgeber sollte klare Vorgaben machen, welche Einstellungen die Beschäftigten vorzunehmen haben, sollten sie abwesend sein. Konnten diese Einstellungen nicht vorgenommen werden (etwa wegen ungeplanter Abwesenheit), darf der Arbeitgeber nur auf das betriebliche E-Mail-Postfach zugreifen soweit:

• es für betriebliche Zwecke erforderlich ist
• und vorab eine Einwilligung erfolgt ist

Dies gilt auch für bereits vor der Abwesenheit des Arbeitnehmers eingegangene E-Mails.

Haben Arbeitnehmer in die Regelungen zur privaten E-Mail-Nutzung eingewilligt, sind sie darauf hinzuweisen, dass im Zuge von Backups oder Archivierungen auch ihre privaten E-Mails archiviert werden können. Den Beschäftigten sollte die Möglichkeit gegeben werden, private E-Mails zu löschen, oder an ihren privaten Account weiterzuleiten.

5. Geheimnisträger

Die Datenschutzbehörde definiert Geheimnisträger als

„Beschäftigte, denen in ihrer Tätigkeit persönliche Geheimnisse anvertraut werden (Betriebsrat, Jugend- und Ausbildungsvertretung, betrieblicher Datenschutzbeauftragter, Betriebsarzt, Gleichstellungsbeauftragte u.a.) und die deshalb in einem besonderen Vertrauensverhältnis zu den betroffenen Personen stehen.“

a) Bei der Nutzung des Internets

Arbeitgebern ist es nicht erlaubt die Internetnutzung von Geheimnisträgern zu kontrollieren.

b) Bei der Nutzung des betrieblichen E-Mail-Accounts

Eine Kenntnisnahme des Arbeitgebers von den Verkehrs- und Inhaltsdaten muss ausgeschlossen werden. Es ist ratsam, nicht personalisierte funktionsbezogene Postfächer einzurichten (z.B. Betriebsrat@Unternehmen.de). Diese ist dann von Kontrollen und Ähnlichem auszunehmen.

Nachrichten, die zwischen anderen Arbeitnehmern und Geheimnisträgern ausgetauscht werden, sind ebenfalls zu schützen. Diese Nachrichten dürfen daher nicht vom Arbeitgeber zur Kenntnis genommen werden. Solche Konversationen sollten über andere Wege (z.B. private E-Mail-Adresse, schriftlich oder telefonisch) geführt werden.

6. Zusammenfassung: Die Empfehlungen der Aufsichtsbehörden im Wortlaut

Es wird empfohlen, über die betriebliche und/oder private Nutzung des Internets und des betrieblichen E-Mail-Accounts eine schriftliche Regelung zu treffen, in der die Fragen des Zugriffs, der Protokollierung, Auswertung und Durchführung von Kontrollen eindeutig festgelegt werden. Auf mögliche Überwachungsmaßnahmen und in Betracht kommende Sanktionen sind die Beschäftigten hinzuweisen.

Sofern der Arbeitgeber seinen Beschäftigten die Möglichkeit zur Nutzung des betrieblichen E-Mail-Accounts für private E-Mail-Kommunikation ermöglichen möchte, sollte er bedenken, dass er dann an das Fernmeldegeheimnis gebunden ist. Dies führt in der Praxis regelmäßig zu erheblichen Konflikten, nämlich dann, wenn der Arbeitgeber für den Geschäftsablauf auf das betriebliche Postfach der Beschäftigten zugreifen möchte. Es wird daher empfohlen, dass der Arbeitgeber den Beschäftigten lediglich die private Nutzung des Internets anbietet, welche auch die Nutzung von Webmail-Diensten (wie z.B. web.de; gmx.de; yahoo.de etc.) umfasst. Anstatt der Nutzung der betrieblichen E-Mail-Accounts sollten die Beschäftigten dann auf die ausschließliche Nutzung privater Web-Mail-Accounts für private Nachrichten verwiesen werden. Das jeweilige betriebliche Postfach wird dann weiterhin ausschließlich betrieblich genutzt.

Wenn der Arbeitgeber seinen Beschäftigten die private Nutzung des betrieblichen E-Mail-Accounts erlaubt hat und für den Geschäftsablauf auf das betriebliche Mailpostfach der einzelnen Beschäftigten zugreifen möchte, hat er Folgendes zu beachten: E-Mails mit erkennbar privatem Inhalt dürfen von dem Arbeitgeber nur in dem Umfang zur Kenntnis genommen werden, wie dies von der Einwilligung gedeckt und unerlässlich ist, um sie von den betrieblichen E-Mails zu trennen. Dasselbe gilt für solche E-Mails, die der Kommunikation der Beschäftigten mit „Geheimnisträgern“ (Betriebsrat, Jugend- und Ausbildungsvertretung, Schwerbehindertenvertretung, Gleichstellungsbeauftragte u.a.) dienen. Dies ist durch eine entsprechende Verfahrensgestaltung zu gewährleisten. Wenn sich im Rahmen der Sichtung aus dem Absender und/oder Betreff einer E-Mail Anhaltspunkte dafür ergeben, dass es sich um eine geschützte und dem Privatbereich zuzurechnende E-Mail handelt, ist der Vertreter der Arbeitgeber oder die von dem Arbeitgeber bestimmte Person nicht berechtigt, den Inhalt der E-Mail zur Kenntnis zu nehmen, zu verarbeiten oder zu nutzen.

Wenn Beschäftigte das Unternehmen verlassen, sollte darauf geachtet werden, dass die persönliche betriebliche E-Mail-Adresse schnellstmöglich deaktiviert wird.

7. Spamfilter und Virenschutz

Um die Datensicherheit zu gewährleisten, dürfen Teilinhalte oder Anlagen von E-Mails unterdrückt werden, wenn sie zu Sicherheitsrisiken führen können.

a) Spamfilter

Um unerwünschte Nachrichten (Spam) herauszufiltern, gibt es verschiedene Möglichkeiten. Dabei ist jedoch stets die datenschutzfreundlichste zu wählen. Zu beachten ist besonders:

• Filter, die Header oder Inhalt elektronischer Post automatisch auf unerwünschte Nachrichten prüfen, sollten erst an einem Punkt eingesetzt werden, der außerhalb der Reichweite des Fernmeldegeheimnisses liegt
• Die (zentrale) Markierung spamverdächtiger Nachrichten ist der zentralen Löschung von E-Mails ohne Kenntnis des Empfängers vorzuziehen
• Um Verletzungen von Vertraulichkeit und Integrität zu vermeiden, sollten die Empfänger der Nachrichten in größtmöglicher Autonomie selbst über den Umgang mit den an sie gerichteten E-Mails entscheiden können

Die Arbeitnehmer sind über eine Spam-Filterung im Voraus zu unterrichten.

b) Virenschutz

Das Herausfiltern und Untersuchen von virenverseuchten E-Mails mit Kenntnisnahme des Inhalts, etwa durch den Systemadministrator, ist hinsichtlich privater E-Mails nur in dem in § 100 TKG festgelegten Umfang gestattet.

8. Anhänge

Im Anhang befinden sich:

1. Muster einer Betriebsvereinbarung für die private Nutzung des Internets (Seite 13 der Orientierungshilfe)
2. Muster einer Betriebsvereinbarung für die private Nutzung des Internets und des betrieblichen E-Mail-Postfachs (Seite 22 der Orientierungshilfe)