Im Rahmen von Datenschutzprüfungen und Einweisungen der Mitarbeiter wird immer wieder auf die private Nutzung von Internet und dienstlicher Mail am Arbeitsplatz verwiesen und häufig (fast immer) empfohlen eine entsprechende Belehrung mit den Mitarbeitern zu machen. Meist mit dem Inhalt das dies zu unterlassen ist (vor allem auch im Zusammenhang mit möglichen Mailarchivierungen) und dem Ziel, das man nach ausscheiden des Mitarbeiters aus dem Unternehmen noch auf die Mails zugreifen kann für eine begrenzte Zeit.
Wie ist es dann mit der Kontrolle dieser Festlegung? Wenn ich etwas festlege, dann sollte die Umsetzung auch kontrolliert werden. Wie ist das aber möglich? Wie geht Ihr in der Praxis damit um?
So einfach kann diese Vorgabe nicht kontrolliert werden…
E-Mail-Postfächer von Mitarbeitern inhaltlich zu kontrollieren, stellt eine Verarbeitung personenbezogener Daten dar. Dafür braucht es eine Rechtsgrundlage, wobei in diesem Fall nur die Interessenabwägung aus Art. 6 Abs. 1 S.1 lit. f in Frage kommt. § 26 Abs. 1 BDSG kann hier nicht herhalten, weil solche Kontrollen regelmäßig nicht für die Durchführung des Beschäftigungsverhältnmisses erforderlich sind. Das bedeutet, dass solche Kontrollen nur unter Berücksichtigung der widerstreitenden Interessen von Arbeitgeber und Mitarbeiter zulässig sind.
Anlasslose Kontrollen der ausgehenden E-Mails daraufhin, ob sie über den Account private Korrespondenz führen, werden regelmäßig unzulässig sein. Genauso, wie Mitarbeiter es nicht hinnehmen müssen, anlasslos videoüberwacht zu werden, müssen sie es auch nicht hinnehmen, dass ihr E-Mail-Postfach anlasslos kontrolliert wird. Hier wird das Interessere der Mitarbeiter regelmäßg das Interesse des Arbeitgebers überwiegen.
Gibt es jedoch konkrete Anhaltspunkte dafür, dass der Account entgegen den Vorgaben des Arbeitgebers privat genutzt wird, kann das eine Inspektion des Postfachs rechtfertigen. In Unternehmen mit Betriebsrat muss dieser einbezogen werden, wenn solch eine Inspektion stattfinden soll.
In einigen Fällen kann ggf. auch argumentiert werden, dass bei bestimmten Mitarbeitern ein überragendes Interesse des Arbeitgebers besteht, die rein geschäftliche Nutzung des E-Mail-Kontos zu kontrollieren. Die Beweislast im Einzelfall, das ein solches überragendes Interesse besteht, liegt hier aber beim Arbeitgeber.
Schließlich ist es sicher zuässig, den Mail-Server zum Schutz von Geschäftsgeheimnissen so zu konfigurieren, dass nur bestimmte Mitarbeiter E-Mails mit Anlagen oder E-Mails an externe Empfänger versenden dürfen. Ob das auch zur Firmenkultur passt, steht natürlich auf einem anderen Blatt.
Danke für die Rückmeldung.
Ähnlich hab ich das bisher auch gesehen, allerdings machen Festlegungen das Internet und Mail privat nicht genutzt werden dürfen und die Nicht-Kontrolle nach meiner Meinung wenig sinn, außer eben für den Fall des Zugriffs auf das Postfach wenn der MA das Unternehmen verlässt. Wobei ich da noch dediziert einen Passus in eine Betriebsvereinbarung aufnehmen würde.
Ok, danke für die Antwort.
Die Festlegung ist sinnvoll und nach Ansicht der Datenschutzbehörden auch notwendig, um den Fängen des TKG und des Fernmeldegeheimnis zu entkommen. Gelingt das nicht, wäre jeder Zugriff des Arbeitgebers auf das Postfach strafbar nach § 206 StGB So zum Beispiel das Bayerische Landesamt für Datenschutzaufsicht:
Ist die private E-Mail-Nutzung erlaubt (oder gilt sie als erlaubt, (…)), ist der Arbeitgeber gegenüber den Beschäftigten und ihren Kommunikationspartnern zur Einhaltung des Fernmeldegeheimnisses verpflichtet.
Es gibt unterschiedliche (auch gerichtliche) Ansichten, ob diese Interpretation korrekt ist. Einigkeit besteht aber darin, dass ein Arbeitgeber, der die private Nutzung des E-Mail-Postfaches ausdrücklich ausschließt, auch nicht an die strengen Regeln des Fernmeldegeheimnis gebunden ist.
Bedenkt an der Stelle auch die GoBD. Umsatzrelevante eMails sind seit 01.01.2017 im weiteren Sinne rechtssicher (Manipulation & revisionssicher) zu Archivieren. Da lassen die Finanzämter bei Steuerprüfungen sich mit sich spaßen.
Ergo muss ich - um die Archivierung umzusetzen - formal die Privatnutzung untersagen und alle eMail Postfächer konform archivieren.