E-Mail-Kontrollen bei Verdachtsfällen: Was erlaubt ist

PrintMailRate-it

zuletzt aktualisiert am 17. Juni 2020 | Lesedauer ca. 6 Minuten


Nicht nur bei Verdachtsmomenten zu Rechts- und Compliance-Verstößen durch Ar­beit­nehmer, sondern auch bei (arbeits­recht­lichen) Pflicht­ver­letz­ungen hat der Arbeit­geber ein berechtigtes Inter­esse an einer gründlichen Aufklärung des Sachverhalts. Als effektives Instrument kommt dabei u.a. auch die Kontrolle des geschäftlichen E-Mail-Accounts des betroffenen Mitarbeiters in Betracht.
 


Nach wie vor besteht jedoch Klärungsbedarf, unter welchen Voraussetzungen Arbeitgeber den Angestellten derart kontrollieren dürfen.

Unzulässige Kontrollen können neben einer Imageschädigung sogar auch erhebliche Sanktionen, wie Buß­gelder und Straf­bar­keits­risiken für den Arbeitgeber nach sich ziehen. Vor dem Hintergrund sollen nachfolgend Probleme im Umgang mit Mitarbeiter-E-Mails dargestellt und Empfehlungen für die Praxis gegeben werden.

  

Zugriff auf Mitarbeiter-E-Mails

Wie so oft lässt sich die Zulässigkeit eines Zugriffs auf den E-Mail-Account eines Mitarbeiters nicht pauschal beantworten, denn das Recht des Arbeitgebers auf Kontrolle und Überwachung der Arbeitnehmer ist mit dem Persönlichkeitsrecht des Arbeitnehmers abzuwägen. Das Ob und Wie der E-Mail-Kontrollen hängt insofern entscheidend davon ab, ob der Arbeitgeber eine private Nutzung des geschäftlichen E-Mail-Accounts erlaubt hat.


E-Mail-Kontrolle ist bei untersagter Privatnutzung möglich

Sofern der Arbeitgeber dem Arbeitnehmer die private Nutzung des betrieblichen E-Mail-Accounts ausdrücklich untersagt hat, beurteilt sich die Rechtmäßigkeit der Kontrolle des E-Mail-Accounts insbesondere nach Daten­schutzrecht, also der europäischen Datenschutzgrundverordnung (DSGVO) sowie dem Bundesdatenschutz­gesetz (BDSG).

Gemäß Art. 5 DSGVO dürfen personenbezogene Daten nur erhoben oder genutzt werden, wenn das durch den Betroffenen, durch Gesetz oder eine andere Rechtsvorschrift erlaubt ist.

Innerhalb des Arbeitsverhältnisses stellt § 26 Abs. 1 S. 2 BDSG im Regelfall eine Rechtsgrundlage bei Kontrollen zur Aufdeckung von Compliance-Verstößen oder Pflichtverletzungen des Mitarbeiters dar.

Die (zu dokumentierenden) Voraussetzungen dafür sind

  • tatsächliche Anhaltspunkte, die
  • den Verdacht begründen, dass
  • die betroffene Person
  • im Beschäftigungsverhältnis
  • eine Straftat, Ordnungswidrigkeit oder arbeitsvertragliche Pflichtverletzung begangen hat,
  • die Datenverarbeitung zur Aufdeckung erforderlich ist und
  • verhältnismäßig ist, also das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhält­nismäßig sind.


Ist die Privatnutzung des E-Mail-Accounts ausdrücklich untersagt, erlaubt das Bundesdatenschutzgesetz daher bei einem konkret bestehenden Verdacht verhältnismäßige und erforderliche Kontrollen zur Aufdeckung von Compliance-Verstößen oder Pflichtverletzungen des Mitarbeiters.


Davon ist jedoch eine systematische und lückenlose Überwachung des Arbeitnehmers nicht gedeckt – das stellt einen unzulässigen Verstoß gegen das allgemeine Persönlichkeitsrecht dar. Stichprobenartige Kontrollen des Arbeitgebers zur Aufdeckung von missbräuchlichen Handlungen sind die ultima ratio.

Zu beachten ist, dass heimliche Kontrollen typischerweise den Betroffenen stärker beeinträchtigen als offene Maßnahmen. Dennoch können auch verdeckte Maßnahmen erforderlich und verhältnismäßig sein, wenn im jeweiligen Einzelfall bei einer offenen Datenverarbeitung die Gefahr einer Manipulation besteht.

Schließlich verlangt auch der Europäische Gerichtshof für Menschenrechte (Urteil vom 5. September 2017, Az. 61496/08, Rechtssache Barbulescu) für eine Zulässigkeit von Überwachungen, dass die Arbeitnehmer vom Arbeitgeber im Vorfeld zumindest abstrakt über mögliche Kontrollmaßnahmen, deren Umfang und Dauer sowie über die Voraussetzungen der Überwachung und die Kontrolle des Überwachungsprozesses informiert worden sind und ihr Verhalten darauf ausrichten konnten.


Bei erlaubter Privatnutzung greift das Fernmeldegeheimnis

Sofern der Arbeitgeber seinem Arbeitnehmer die private Nutzung des E-Mail-Accounts gestattet, gehen die Meinungen im Hinblick auf mögliche Kontrollbefugnisse weit auseinander:

Die deutschen Datenschutzbehörden und die juristischen Kommentatoren vertreten den Standpunkt, dass Arbeitgeber durch die erlaubte Privatnutzung zum Telekommunikationsdienstanbieter im Sinne von § 88 Abs. 3 Tele­kom­muni­kations­gesetz (TKG) werden. Die Ansicht hat zur Folge, dass der Arbeitgeber das Telekom­munikations­geheimnis zu wahren hat. Das Sichten der Mitarbeiter-E-Mails wird dann ohne Einwilligung der betroffenen Mitarbeiter i.d.R. verboten sein, sodass auch etwaige geschäftliche E-Mails einer Kontrolle nicht zugänglich sind.

Nach Ansicht der arbeitsrechtlichen Rechtsprechung ist der Arbeitgeber auch bei der gestatteten Privat­nutzung kein Dienstanbieter im Sinne des TKG, da es auf Rechtsbeziehungen zwischen dem Staat und den Tele­kom­muni­kations­anbietern sowie denjenigen zwischen den Telekommunikationsanbietern untereinander abzielt und nicht auf unternehmensinterne Rechtsverhältnisse.

Wird der Ansicht gefolgt, richtet sich die Zulässigkeit der E-Mail-Kontrollen wiederrum allein nach den Bestim­mungen des BDSG. Da eine höchstrichterliche Rechtsprechung insbesondere von maßgeblichen Straf­gerichten fehlt, sollten Arbeitgeber vorsichtshalber das TKG mit beachten.


Bei geduldeter Privatnutzung greift ebenso das Fernmeldegeheimnis

Verbietet ein Arbeitgeber zwar die private Nutzung des E-Mail-Accounts, kontrolliert die Umsetzung des Verbotes aber für längere Zeit nicht, handelt es sich um einen Fall der geduldeten Privatnutzung. Danach unterliegt der Arbeitgeber dem TKG und hat zur geduldeten Privatnutzung grundsätzlich auch das Fern­melde­geheimnis nach § 88 TKG zu beachten.


Praxistipp
Um juristischen Fallstricken im Hinblick auf die Zulässigkeit von E-Mail- und EDV-Kontrollen niedrig und eindeutig zu halten, wäre ein vollständiges Verbot privater Nutzung des Internets bzw. des geschäftlichen E-Mail-Accounts empfehlenswert.

Ist ein derartiges Verbot in der Praxis oft nicht umsetzbar, empfiehlt sich eine schriftliche Regelung in Form einer Betriebsvereinbarung oder IT-Richtlinie, die die Privatnutzung sowie die Zugriffsmöglichkeiten des Arbeitgebers auf die geschäftlichen E-Mail-Accounts regelt und ggf. das Einverständnis des Arbeitnehmers bei stichprobenartiger Kontrollen einholt.


Folgen unzulässiger Mitarbeiterkontrollen, Strafbarkeit von E-Mails- und EDV-Kontrollen

Verstößt der Arbeitgeber gegen die Zulässigkeitsvoraussetzung der Kontrollen, ist er i.d.R. daran gehindert, die gewonnenen Erkenntnisse zu verwerten.


Datenschutzwidrig erlangte Beweise sind i.d.R. nicht im Arbeitsgerichtsprozess verwertbar

Die Ausübung staatlicher Hoheitsgewalt obliegt im Gerichtsverfahren dem Richter, der nach Art. 1 Abs. 3 GG bei der Urteilsfindung an die Grundrechte gebunden und zu einer rechtsstaatlichen Verfahrensgestaltung verpflichtet ist. Dazu gehört auch die Berücksichtigung des Rechts auf informationelle Selbstbestimmung. D.h. eine aus dem Gedanken der Selbstbestimmung folgende Befugnis des Einzelnen, grundsätzlich selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Informationen offenbart werden. Das Gericht hat deshalb zu prüfen, ob die Verwertung von „heimlich beschafften” persönlichen Daten mit dem allgemeinen Persönlichkeitsrecht des Betroffenen vereinbar ist.

Wenn bereits das Erheben des Beweismittels gegen das BDSG verstößt, ist das ein wichtiges Indiz dafür, dass die Verwertung des Beweismittels durch das Gericht einen unvereinbaren Eingriff in das Grundrecht auf informationelle Selbstbestimmung darstellen würde.

Liegt eine Einwilligung des Betroffenen nicht vor, kann sich die Zulässigkeit der Untersuchungsmaßnahmen des Arbeitgebers nur aus den Voraussetzungen des § 26 BDSG ergeben. D.h. es müssen gegenüber dem Arbeit­nehmer konkrete, auf Tatsachen begründete Verdachtsmomente im Hinblick auf eine strafbare Handlung oder einer anderen schweren Verfehlung zu Lasten des Arbeitgebers bestehen und es darf kein dem Arbeitnehmer gegenüber weniger einschneidendes Mittel zur Aufklärung des Verdachts ergebnislos ausgeschöpft worden sein.

Liegen die Voraussetzungen nicht vor, sind die Daten ohne einschlägige Rechtsgrundlage erfasst worden und entfalten vor Gericht keine Beweiskraft. Arbeitgeber dürfen Mitarbeiter daher nicht ohne konkreten Verdacht – also ins „Blaue hinein” – überwachen.


Exkurs: Urteil zum Einsatz von Überwachungssoftware, sog. Keylogger

Das bestätigte bspw. das Bundesarbeitsgericht in dem sog. Keylogger-Fall (BAG, Urteil vom 27. Juli 2017, 2 AZR 681/16, PM Nr. 31/17). Mit einem sog. Software-Keylogger lassen sich alle Tastatureingaben an einem Computer aufzeichnen und speichern sowie Screenshots fertigen und speichern.

Ein Arbeitgeber nutzte das Instrument nun, um heimlich die Tätigkeit eines Arbeitnehmers zu überwachen, nachdem Hinweise von Kollegen eingegangen waren, dass der Arbeitnehmer in größerem Umfang während seiner Arbeitszeit privaten Dingen nachging. Nach Auswertung der Daten wurde der Arbeitnehmer fristlos, hilfsweise ordentlich gekündigt. Dagegen erhob der Arbeitnehmer Kün­digungs­schutz­klage und hatte in allen Instanzen, zuletzt beim Bundesarbeitsgericht, Erfolg.

Die durch den sog. Keylogger gewonnenen Erkenntnisse über die Privattätigkeiten des Mitarbeiters durften im gerichtlichen Verfahren nicht verwertet werden, entschied das BAG. Durch den Einsatz des Keyloggers sei vielmehr das als Teil des allgemeinen Persönlichkeitsrechts gewährleistete Recht des Arbeitnehmers auf informationelle Selbstbestimmung (Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG) verletzt worden.

Die Überwachung ist mangels begründeten Anlasses unverhältnismäßig und damit unzulässig nach (nunmehr) § 26 Abs. 1 Satz 2 BDSG gewesen. Der Einsatz der Software erfolgte weder auf Tatsachen beruhendem Verdacht einer Straftat, noch einer anderen schwerwiegenden Pflichtverletzung. Keylogger sind nach dem Bundesdaten­schutzgesetz höchstens zulässig, wenn es einen konkreten Verdacht auf eine Straftat oder eine schwerwie­gende Pflichtverletzung gebe. Das BAG bestätigt die bestehende Auffassung, dass Keylogger „ins Blaue hinein” nicht eingesetzt werden dürfen.


Strafbarkeitsrisiken

Zwar gelten im Beschäftigtenverhältnis weder die Vorschriften der Strafprozessordnung noch andere Ver­fahrensordnungen. Für Untersuchungsmaßnahmen seitens des Arbeitgebers besteht dennoch kein rechtsfreier Raum: Auch wenn kein Beweisverwertungsverbot besteht, kann die Überwachungsmaßnahme gleichwohl unerwünschte Konsequenzen nach sich ziehen: Verschafft sich der Arbeitgeber rechtswidrig Kenntnis von E-Mails, verletzt er damit ggf. das Post- oder Fernmeldegeheimnis gemäß § 206 StGB oder späht Daten nach § 202a StGB aus.

Sollte bspw. der Arbeitgeber während der Kontrolle des E-Mail-Accounts ausdrücklich mit privat gekennzeich­nete E-Mails des Arbeitnehmers entdecken, ist umstritten, ob das Lesen den Straftatbestand nach § 202a StGB, Ausspähen von Daten, erfüllt. Teilweise wird dazu vertreten, dass das Lesen zulässig sei, da E-Mails im betrieblichen Bereich nicht unter den Schutz der Privatsphäre des Arbeitnehmers fallen. Sie seien vielmehr Teil des beruflichen Auftretens. Der Ansicht ist im Ergebnis aber nicht zuzustimmen. Insoweit kann ein Vergleich mit einem privaten Brief angestellt werden. Wenn es dem Arbeitgeber nicht erlaubt ist, einen als privat gekennzeichneten Brief des Arbeitnehmers zu lesen, warum sollte er berechtigt sein, dessen private E-Mails zu lesen?
 
Zudem sind Bußgeld- und Straftatbestände der DSGVO, des BDSG und des TKG sowie zivilrechtliche Unter­lassungs- und Schadenersatzansprüche des betroffenen Arbeitnehmers zu beachten.


Fazit

  •  Keine Überwachung der Mitarbeiter ohne konkreten Verdacht „ins Blaue hinein”.
  • Bei Verstoß gegen die Zulässigkeitsvoraussetzung der Kontrollen sind die gewonnenen Erkenntnisse grundsätzlich nicht verwertbar.
  • Konsequent sein bei verbotener Privatnutzung.
  • Bei Verdachtsfällen sind stets der Datenschutzbeauftragte und der Betriebsrat einzubinden.
  • Bei Verdachtsfällen immer auch Rechtsrat einholen.
Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.
Deutschland Weltweit Search Menu