Private Nutzung betrieblicher E-Mail-Systeme

In diesem Artikel werden Aspekte der privaten Nutzung betrieblicher E-Mail-Systeme und die möglichen Folgen beleuchtet. Die private Nutzung der Firmen-E-Mail ist aus historischen Gründen weit verbreitet und wird oft toleriert. Bei näherer Betrachtung der Materie sollte jedoch eine Privatnutzung vor dem Hintergrund mannigfacher rechtlicher Risiken und potentiell entstehender hoher Kosten untersagt werden.

Wenn Vertrauen alleine nicht ausreicht

Ein solides Vertrauensverhältnis zwischen Arbeitgeber und Arbeitnehmer ist eine wesentliche Voraussetzung für den Erfolg eines Unternehmens. Doch immer wieder gelangen Fälle von Compliance-Verstößen, konkreter Korruption oder Vertuschungsversuchen ans Licht der Öffentlichkeit, in denen, durch das Fehlverhalten Einzelner, einer Organisation erheblicher Schaden zugefügt wird. Häufig stellt sich in diesen Fällen auch die Frage, wieviel Geschäftsführung oder Vorstände wussten oder hätten wissen müssen.

Zu den verschiedenen präventiven Kontrollmöglichkeiten zählt theoretisch auch die Überwachung des E-Mailverkehrs der Mitarbeiter – entweder in Form des Einblicks in bestehende Postfächer oder in archivierte Schriftwechsel.

Theoretisch. Denn zur Wahrnehmung betrieblicher Aufsichtspflichten oder ganz konkret zur Einhaltung von Compliance-Vorgaben wie der Aufbewahrung von steuerrelevanten Dokumenten hat sich die E-Mailarchivierung per se zwar großflächig durchgesetzt, doch stellt sich der tatsächliche Zugriff auf die gespeicherten Daten als heikel
dar.

Vorsicht vor Datenschutz-Verstößen

In den meisten Unternehmen ist es heute gängige Praxis, die Nutzung der beruflichen E-Mail-Accounts in gewissem Rahmen auch für private Zwecke zuzulassen oder die private Nutzung zumindest zu tolerieren. Die wenigsten Organisationen verbieten sie völlig oder greifen auf Regelungen zurück, wie den privaten E-Mailverkehr am Arbeitsplatz ausschließlich über die Nutzung webbasierter Provider wie GMX oder GMail zu erlauben. Ist die private Nutzung des betrieblichen Postfaches aber möglich, unterliegt der Arbeitgeber einer Reihe von Datenschutzpflichten gegenüber dem Mitarbeiter. Neben Vorschriften des Datenschutzgesetzes, dem Briefgeheimnis oder dem Fernmeldegeheimnis für Arbeitgeber bieten auch Gesetze zum Schutz vor Datenveränderung, -speicherung oder Ausspähung rechtliche Angriffspunkte: Wer ohne begründeten Anfangsverdacht die E-Mail-Korrespondenz seiner Mitarbeiter einsieht, gerät leicht mit dem Gesetz in Konflikt und macht sich am Ende strafbar.

Selbst in Unternehmen, in denen die private Nutzung jeglicher E-Mails-Accounts am Arbeitsplatz verboten ist, können E-Mails dennoch vertrauliche Informationen enthalten, die dem Datenschutz unterliegen und nicht einfach eingesehen werden dürfen. So zum Beispiel private Kommunikation zwischen Kollegen oder E-Mails von einem Betriebsarzt oder -psychologen.

Eine schriftliche Einwilligung der Mitarbeiter zur Überprüfung ihrer E-Mail-Accounts sichert den Arbeitgeber nicht ab, denn der Mitarbeiter kann nicht im Namen seiner Korrespondenzpartner auf deren Recht auf Datenschutz verzichten.

Auch wenn Klagen aus solchen Konstellationen selten vorkommen: wer als Arbeitgeber ohne begründeten Anfangsverdacht Einblick in die E-Mails seiner Mitarbeiter nimmt – bestehende wie ausgeschiedene – begibt sich auf juristisch dünnes Eis.

Davor schrecken viele Unternehmen zurück und nehmen lieber die Unwissenheit und Risiken in Kauf.

Regelung notwendig

Die Privatnutzung von E-Mail-Accounts erfordert daher regelmäßig detaillierte Regelungen über die Zugriffsberechtigung des Arbeitgebers auf die E-Mail-Accounts seiner Arbeitnehmer. Das Arbeitsverfassungsgesetz sieht vor, dass “die Einführung von Kontrollmaßnahmen und technischen Systemen zur Kontrolle der Arbeitnehmer, sofern diese Maßnahmen (Systeme) die Menschenwürde berühren” zu ihrer Rechtswirksamkeit der Zustimmung des Betriebsrates bedürfen. Ist kein Betriebsrat vorhanden, so bedarf es der Zustimmung der jeweils betroffenen Arbeitnehmer. Existiert keine Regelung, so ist eine maßvolle private Nutzung lt. OGH-Judikatur zu dulden.

Hohe Strafen und verlorenes Vertrauen

Bei Verstößen drohen empfindliche Verwaltungsstrafen nach dem DSG, der EU-DSGVO, dem Arbeitsverfassungsrecht oder dem Telekommunikationsgesetz. Werden nicht transparente Überwachungsmaßnahmen ex-post bekannt, so wird auch das Vertrauensverhältnis zwischen Arbeitgeber und Arbeitnehmer massiv beschädigt.

Ein Ex-Mitarbeiter kann bei einer Prüfung seines ehemaligen E-Mail-Postfachs auch die Löschung privater Daten fordern. Sollte bei bestehenden E-Mail-Postfächern eine Einschau notwendig werden, so existieren Softwarelösungen, die eine Anonymisierung personenbezogener Daten ermöglichen (z.B. Namen werden durch Pseudonyme ersetzt) um ohne Risiken Inhalte prüfen zukönnen. Dies stellt aber nur die zweitbeste Lösung dar. Die notwendigen Werkzeuge und Prüfung durch Spezialisten erzeugen wiederum einen hohen Aufwand bei einem betroffenen Unternehmen. In jedem Fall sollte der Betriebsrat über die Maßnahmen informiert werden.

Empfehlung

Vor dem Hintergrund der breiten Verfügbarkeit webbasierter E-Mail wie GMail/GMX etc. und von Smartphones sollten folgende Maßnahmen zur Vermeidung von Risiken getroffen werden:

1. Verbot der privaten Nutzung von E-Mail über eine Klausel im Dienstvertrag oder eine Bestimmung in der Betriebsvereinbarung als integrierter Bestandteil des Arbeitsvertrages.

2. Erlaubnis zur Nutzung webbasierter E-Mail unter dem Hinweis, dass diese heute verschlüsselten Dienste von Firewalls entschlüsselt und mitgelesen werden können.

3. Regelmäßige Löschung von alten Datenbeständen im Rahmen gesetzlicher und regulatorischer Vorgaben und betrieblicher Erfordernisse.

Resultat

Das Management hat die Sicherheit, dass es nicht zu einer Schädigung betrieblicher Vertrauensverhältnisse und des betrieblichen Friedens kommt. Gleichzeitig werden Risiken betreffend Strafen, nicht ordnungsgemäßer Geschäftsführung und hohen potentiellen Kosten vermieden.