E-Mail-Kontrollen bei Verdachtsfällen: Was erlaubt ist

PrintMailRate-it

veröffentlicht am 4. Oktober 2017

 

Nicht nur bei Verdachtsmomenten zu Rechts- und Compliance-Verstößen durch Arbeitnehmer, sondern auch bei (arbeitsrechtlichen) Pflichtverletzungen hat der Arbeitgeber selbstverständlich ein berechtigtes Interesse an einer gründlichen Aufklärung des Sachverhaltes. Als effektives Instrument kommt hierbei u.a. auch die Kontrolle des geschäftlichen E-Mail-Accounts des betroffenen Mitarbeiters in Betracht.
 


  

Nach wie vor besteht jedoch Klärungsbedarf, unter welchen Voraussetzungen Arbeitgeber den Ange­stellten derart kontrollieren dürfen.

  

Unzulässige Kontrollen können neben einer Imageschädigung sogar auch erhebliche Sanktionen, wie Bußgelder und Strafbarkeitsrisiken für den Arbeitgeber nach sich ziehen. Vor dem Hintergrund sollen nachfolgend Probleme im Umgang mit Mitarbeiter-E-Mails dargestellt und Empfehlungen für die Praxis gegeben werden.

 

Zugriff auf Mitarbeiter-E-Mails

Wie so oft lässt sich die Zulässigkeit eines Zugriffs auf den E-Mail-Account eines Mitarbeiters nicht pauschal beantworten, denn das Recht des Arbeitgebers auf Kontrolle und Überwachung der Arbeitnehmer ist mit dem Persönlichkeitsrecht des Arbeitnehmers abzuwägen. Das Ob und Wie der E-Mail-Kontrollen hängt insofern entscheidend davon ab, ob der Arbeitgeber eine private Nutzung des geschäftlichen E-Mail-Accounts erlaubt hat.

 

E-Mail-Kontrolle ist bei untersagter Privatnutzung möglich

Sofern der Arbeitgeber dem Arbeitnehmer die private Nutzung des betrieblichen E-Mail-Accounts aus­drücklich untersagt hat, beurteilt sich die Rechtmäßigkeit der Kontrolle des E-Mail-Accounts allein nach dem Bundesdatenschutzgesetz (BDSG).

  

Gemäß § 4 BDSG dürfen personenbezogene Daten nur erhoben oder genutzt werden, wenn das durch den Betroffenen oder durch Gesetz oder eine andere Rechtsvorschrift erlaubt ist.

Innerhalb des Arbeitsverhältnisses stellt § 32 BDSG im Regelfall eine Rechtsgrundlage bei Kontrollen zur Aufdeckung von Compliance-Verstößen oder Pflichtverletzungen des Mitarbeiters dar. Ist die Privatnutzung des E-Mail-Accounts ausdrücklich untersagt, erlaubt das Bundesdatenschutzgesetz daher grundsätzlich verhältnismäßige und erforderliche Kontrollen zur Aufdeckung von Compliance-Verstößen oder Pflichtver­letzungen des Mitarbeiters.

  

Davon ist jedoch eine systematische und lückenlose Überwachung des Arbeitnehmers nicht gedeckt, das stellt einen unzulässigen Verstoß gegen das allgemeine Persönlichkeitsrecht dar. Stichprobenartige Kontrollen des Arbeitgebers zur Aufdeckung von missbräuchlichen Handlungen sind die ultima ratio.

 

Praxistipp: Insoweit ist es selbstverständlich stets unter Einbindung des Datenschutzbeauftragten, empfehlenswert, stufenweise vorzugehen und zunächst anhand des Adressatenkreises und der Betreffzeile zu filtern bevor auf den Inhalt der E-Mails zugegriffen wird.

 

Bei erlaubter Privatnutzung greift das Fernmeldegeheimnis

Sofern der Arbeitgeber seinem Arbeitnehmer die private Nutzung des E-Mail-Accounts gestattet, gehen die Meinungen im Hinblick auf mögliche Kontrollbefugnisse weit auseinander:

 

Die deutschen Datenschutzbehörden vertreten den Standpunkt, dass Arbeitgeber durch die erlaubte Privatnutzung zum Telekommunikationsdienstanbieter im Sinne von § 88 Abs. 3 Telekommunikationsgesetz (TKG) werden. Die Ansicht hat zur Folge, dass der Arbeitgeber das Telekommunikationsgeheimnis zu wahren hat. Das Sichten der Mitarbeiter-E-Mails wird dann ohne Einwilligung der betroffenen Mitarbeiter i.d.R. verboten sein, sodass auch etwaige geschäftliche E-Mails einer Kontrolle nicht zugänglich sind.

 

Nach Ansicht der Rechtsprechung (LAG Berlin-Brandenburg, Urteil vom 16.02.2011, 4 Sa 2132/10, LAG Niedersachsen; Urteil vom 31.05.2010, 12 Sa 875/09, VG Karlsruhe; Urteil vom 30.07.2014, 1 S 1352/13) ist der Arbeitgeber auch bei der gestatteten Privatnutzung kein Dienstanbieter im Sinne des TKG, da es auf Rechtsbeziehungen zwischen dem Staat und den Telekommunikationsanbietern sowie denjenigen zwischen den Telekommunikationsanbietern untereinander abzielt und nicht auf unternehmensinterne Rechtsverhältnisse.

 

Folgt man der Ansicht, richtet sich die Zulässigkeit der E-Mail-Kontrollen wiederrum allein nach den Bestimmungen des BDSG.

 

Bei geduldeter Privatnutzung greift ebenso das Fernmeldegeheimnis

Verbietet ein Arbeitgeber zwar die private Nutzung des E-Mail-Accounts, kontrolliert die Umsetzung des Verbotes aber für längere Zeit nicht, handelt es sich um einen Fall der geduldeten Privatnutzung. Danach unterliegt der Arbeitgeber dem TKG und hat zur geduldeten Privatnutzung grundsätzlich auch das Fernmeldegeheimnis nach § 88 TKG zu beachten.

 

Praxistipp

Um juristischen Fallstricken im Hinblick auf die Zulässigkeit von E-Mail- und EDV-Kontrollen niedrig und eindeutig zu halten, wäre ein vollständiges Verbot privater Nutzung des Internets bzw. des geschäftlichen E-Mail-Accounts empfehlenswert.


Ist ein derartiges Verbot in der Praxis oft nicht umsetzbar, empfiehlt sich eine schriftliche Regelung in Form einer Betriebsvereinbarung oder IT-Richtlinie, die die Privatnutzung sowie die Zugriffsmöglichkeiten des Arbeitgebers auf die geschäftlichen E-Mail-Accounts regelt und ggf. das Einverständnis des Arbeitnehmers bei stichprobenartiger Kontrollen einholt.

 

Folgen unzulässiger Mitarbeiterkontrollen, Strafbarkeit von E-Mail und EDV-Kontrollen

Verstößt der Arbeitgeber gegen die Zulässigkeitsvoraussetzung der Kontrollen, ist er i.d.R. daran gehindert, die gewonnenen Erkenntnisse zu verwerten.

 

Datenschutzwidrig erlangte Beweise sind i.d.R. nicht im Arbeitsgerichtsprozess verwertbar

Die Ausübung staatlicher Hoheitsgewalt obliegt im Gerichtsverfahren dem Richter, der nach Art. 1 Abs. 3 GG bei der Urteilsfindung an die Grundrechte gebunden und zu einer rechtsstaatlichen Verfahrensge­staltung verpflichtet ist. Dazu gehört auch die Berücksichtigung des Rechts auf informationelle Selbst­bestimmung. D.h. eine aus dem Gedanken der Selbstbestimmung folgende Befugnis des Einzelnen, grundsätzlich selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Informationen offenbart werden. Das Gericht hat deshalb zu prüfen, ob die Verwertung von „heimlich beschafften” persönlichen Daten mit dem allgemeinen Persönlichkeitsrecht des Betroffenen vereinbar ist.


Wenn bereits das Erheben des Beweismittels gegen das BDSG verstößt, ist das ein wichtiges Indiz dafür, dass die Verwertung des Beweismittels durch das Gericht einen unvereinbaren Eingriff in das Grundrecht auf informationelle Selbstbestimmung darstellen würde.


Liegt eine Einwilligung des Betroffenen nicht vor, kann sich die Zulässigkeit der Untersuchungsmaßnahmen des Arbeitgebers nur aus den Voraussetzungen des § 32 BDSG ergeben. D.h. es müssen gegenüber dem Arbeitnehmer konkrete, auf Tatsachen begründete Verdachtsmomente im Hinblick auf eine strafbare Handlung oder einer anderen schweren Verfehlung zu Lasten des Arbeitgebers bestehen und es darf kein dem Arbeitnehmer gegenüber weniger einschneidendes Mittel zur Aufklärung des Verdachts ergebnislos ausgeschöpft worden sein.


Liegen die Voraussetzungen nicht vor, sind die Daten ohne einschlägige Rechtsgrundlage erfasst worden und entfalten vor Gericht keine Beweiskraft. Arbeitgeber dürfen Mitarbeiter daher nicht ohne konkreten Verdacht – also ins „Blaue hinein” – überwachen.

 

Exkurs: Neues Urteil zum Einsatz von Überwachungssoftware, sog. Keylogger

Das bestätigte vor kurzem auch das BAG in dem sog. Keylogger-Fall (BAG, Urteil vom 27.07.2017, 2 AZR 681/16, PM Nr. 31/17). Mit einem sog. Software-Keylogger lassen sich alle Tastatureingaben an einem Computer aufzeichnen und speichern sowie Screenshots fertigen und speichern.

 

Ein Arbeitgeber nutzte das Instrument nun, um heimlich die Tätigkeit eines Arbeitnehmers zu überwachen, nachdem Hinweise von Kollegen eingegangen waren, dass der Arbeitnehmer in größerem Umfang während seiner Arbeitszeit privaten Dingen nachging. Nach Auswertung der Daten wurde der Arbeitnehmer fristlos, hilfsweise ordentlich gekündigt. Hiergegen erhob der Arbeitnehmer Kündigungsschutzklage und hatte in allen Instanzen, zuletzt beim Bundesarbeitsgericht, Erfolg.

 

Die durch den sog. Keylogger gewonnenen Erkenntnisse über die Privattätigkeiten des Mitarbeiters durften im gerichtlichen Verfahren nicht verwertet werden, entschied das Bundesarbeitsgericht (BAG). Durch den Einsatz des Keyloggers sei vielmehr das als Teil des allgemeinen Persönlichkeitsrechts gewährleistete Recht des Arbeitnehmers auf informationelle Selbstbestimmung (Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG) verletzt worden.

 

Die Überwachung ist mangels begründeten Anlasses unverhältnismäßig und damit unzulässig nach § 32 Abs. 1 BDSG gewesen. Der Einsatz der Software erfolgte weder auf Tatsachen beruhendem Verdacht einer Straftat, noch einer anderen schwerwiegenden Pflichtverletzung. Keylogger sind nach dem Bundesdaten­schutzgesetz höchstens zulässig, wenn es einen konkreten Verdacht auf eine Straftat oder eine schwerwiegende Pflichtverletzung gebe. Das BAG bestätigt die bestehende Auffassung, dass Keylogger „ins Blaue hinein” nicht eingesetzt werden dürfen.

 

Strafbarkeitsrisiken

Zwar gelten im Beschäftigtenverhältnis weder die Vorschriften der Strafprozessordnung noch andere Verfahrensordnungen. Für Untersuchungsmaßnahmen seitens des Arbeitgebers besteht dennoch kein rechtsfreier Raum: Auch wenn kein Beweisverwertungsverbot besteht, kann die Überwachungsmaßnahme gleichwohl unerwünschte Konsequenzen nach sich ziehen:


Verschafft sich der Arbeitgeber rechtswidrig Kenntnis von E-Mails, verletzt er damit ggf. das Post- oder Fernmeldegeheimnis gemäß § 206 StGB oder späht Daten nach § 202a StGB aus.

 

Sollte bspw. der Arbeitgeber während der Kontrolle des E-Mail-Accounts ausdrücklich mit privat gekenn­zeichnete E-Mails des Arbeitnehmers entdecken, ist umstritten, ob das Lesen den Straftatbestand nach § 202a StGB, Ausspähen von Daten, erfüllt. Teilweise wird hier vertreten, dass das Lesen zulässig sei, da E-Mails im betrieblichen Bereich nicht unter den Schutz der Privatsphäre des Arbeitnehmers fallen. Sie seien vielmehr Teil des beruflichen Auftretens. Der Ansicht ist im Ergebnis aber nicht zuzustimmen. Insoweit kann ein Vergleich mit einem privaten Brief angestellt werden. Wenn es dem Arbeitgeber nicht erlaubt ist, einen als privat gekennzeichneten Brief des Arbeitnehmers zu lesen, warum sollte er berechtigt sein, dessen private E-Mails zu lesen? 

 

Zudem sind Bußgeld- und Straftatbestände des BDSG und des TKG sowie zivilrechtliche Unterlassungs- und Schadenersatzansprüche des betroffenen Arbeitnehmers zu beachten.

 

Fazit

  • Keine Überwachung der Mitarbeiter ohne konkreten Verdacht „ins Blaue hinein”.
  • Bei Verstoß gegen die Zulässigkeitsvoraussetzung der Kontrollen sind die gewonnenen Erkenntnisse grundsätzlich nicht verwertbar.
  • Konsequent sein bei verbotener Privatnutzung.
  • Bei Verdachtsfällen sind stets der Datenschutzbeauftragte und der Betriebsrat einzubinden.
  • Bei Verdachtsfällen immer auch Rechtsrat einholen.

Kontakt

Contact Person Picture

Franziska Merkl

Rechtsanwältin

Senior Associate

+49 9281 6072 70
+49 9281 6072 00

Anfrage senden

Profil

Contact Person Picture

Alexander von Chrzanowski

Rechtsanwalt, Fachanwalt für IT-Recht und Arbeitsrecht

Associate Partner

+49 3641 4035 30
+49 3641 4035 33

Anfrage senden

Profil

Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.
Deutschland Weltweit Search Menu