E-Mails am Arbeitsplatz: Zugriff auf E-Mails von Mitarbeitern während deren Abwesenheit

IT-Compliance

von Niels Kill

Wenn ein Mitarbeiter dem Unternehmen unvorhergesehen für mehrere Wochen oder Monate fernbleiben muss, stellt sich dem Vorgesetzten die Frage, welche Nachrichten sich ggf. in dessen E-Mail-Postfach ansammeln, die für die Aufrechterhaltung des Geschäftsbetriebs von Interesse sein könnten.

Selbstverständlich stellt es ein berechtigtes Interesse des Arbeitgebers dar, dass eventuelle Kundenanfragen nicht unbeantwortet bleiben und wichtige Fristen eingehalten werden. Dabei sind jedoch auch die schutzwürdigen Interessen des Beschäftigten zu beachten.

Um die Zulässigkeit eines Zugriffs auf das dienstliche E-Mail-Konto eines Beschäftigten zu beurteilen, ist zunächst ausschlaggebend, ob die private E-Mail-Nutzung im Unternehmen erlaubt bzw. geduldet ist. Entscheidend ist die betriebliche Übung und damit die effektive Handhabung im Unternehmen. Das Fernmeldegeheimnis des Mitarbeiters greift nur ein, soweit eine private E-Mail-Nutzung im Unternehmen erlaubt bzw. geduldet ist. Das Fernmeldegeheimnis endet jedoch, wenn der Übertragungsvorgang abgeschlossen ist. Der Übertragungsvorgang ist abgeschlossen wenn eine Mail das Postfach des Mitarbeiters erreicht hat. (BVerfG, 2 BvR 2099/04 vom 2.3.2006)

Es besteht jedoch weiter ein datenschutzrechtlicher Schutz der privaten Mails im geschäftlichen Mailkonto. Der Arbeitgeber hat ein berechtigtes Interesse nach § 28 I Nr.1 BDSG, geschäftliche Mails im Postfach des Mitarbeiters einzusehen. Das schutzwürdige Interesse des Mitarbeiters geht nicht so weit, als dass es dem Arbeitgeber generell verbietet, relevante geschäftliche Mails einzusehen. (so auch LAG Berlin-Brandenburg, Urteil v. 16.02.2011, Az.: 4 Sa 2132/10). Sobald eine Mail als privat erkannt wird, ist jedoch von einer Auswertung abzusehen.

Private E-Mails verboten?

Ist die private Nutzung des dienstlichen E-Mail-Kontos ausdrücklich verboten, ist der gesamte E-Mail-Verkehr als geschäftliche Korrespondenz einzustufen und damit das Fernmeldegeheimnis nicht anwendbar. Dies erleichtert einen Zugriff durch den Arbeitgeber, dennoch bleiben dabei weitere datenschutzrechtliche Grundsätze zu beachten.

Der Zugriff muss im Rahmen der Erforderlichkeit bleiben. Es muss also Grund zur Annahme bestehen, dass im Postfach des Mitarbeiters für den Geschäftsbetrieb relevante Nachrichten eingegangen sein könnten. Die Einsicht muss auf den Zeitraum und die E-Mails beschränkt bleiben, die für den vorgesehenen Zweck erforderlich sind.

Auch muss sichergestellt werden, dass der Zugriff auf eine Art und Weise erfolgt, dass damit lediglich der vorgesehene Zweck erfüllt wird und dies nicht etwa für eine Leistungskontrolle genutzt wird. Daraus ergibt sich, dass ein Zugriff nicht dauerhaft unkontrolliert erfolgen darf und dokumentiert werden muss. Der Betroffene ist über den Zugriff zu informieren.

Voraussetzungen für den Zugriff auf Mitarbeiter-Konten

Es empfiehlt sich folgendes Vorgehen beim Zugriff auf das Postfach eines Mitarbeiters während seiner Abwesenheit:

  • Der Zugriff auf das E-Mail-Konto eines Beschäftigten erfolgt nach dem Vier-Augen-Prinzip, z.B. im Beisein des Datenschutzbeauftragten.
  • In einem schriftlichen Protokoll ist festzuhalten, wann und mit welcher Erforderlichkeit der Zugriff erfolgte, welche Personen daran beteiligt waren und in welche Nachrichten/Dateien Einsicht gewährt wurde.
  • Soweit eine Passwort-Änderung des Benutzerkontos notwendig war, ist das Passwort des Betroffenen nach erfolgtem Zugriff zurückzusetzen und diesem nach seiner Rückkehr – geschützt vor Einsicht durch Dritte – mitzuteilen.

Außerdem sollte geprüft werden, ob mit angemessenem Aufwand technische und organisatorische Maßnahmen umsetzbar sind, die geeignet sind, derartige Zugriffe auf ein Minimum zu beschränken. Beispielsweise wäre zu prüfen, inwieweit für zeitkritische Korrespondenz Funktionspostfächer zweckmäßig sind, auf die mehrere Mitarbeiter Zugriff haben, also zum Beispiel „sekretariat@firma.de" oder „vertrieb@firma.de".

Tipp: Zugriff auf E-Mails von ehemaligen Mitarbeitern

Zur Vermeidung von Rechtsverletzungen können Sie den Mitarbeiter bitten, zu bestätigen, dass er sein E-Mail-Postfach noch einmal geprüft hat und sichergestellt ist, dass dort keine privaten Daten mehr von ihm zu finden sind. Wenn er dies bestätigt und dann später ein Zugriff auf diese Daten durch das Unternehmen erfolgt, so fehlt es an einer Rechtsgutsverletzung, da bestätigt wurde, dass das Rechtsgut “private Daten” sich nicht mehr in den Daten befinden und darüber hinaus das Unternehmen auf die Daten mit Einverständnis des Mitarbeiters zugreifen durfte.

Bei Fragen stehen wir Ihnen gern beratend zur Seite.

 

Zurück