Wenn die eigenen Kundenmails für die Firma tabu sind – Ein Gastbeitrag von IT-Anwalt Lars Lensdorf

, Autor:

 

Gastbeitrag von IT-Anwalt Lars Lensdorf von Heymann & Partner zum Mitarbeiterdatenschutz:

Wie Unternehmen Compliance-Anforderungen und Mitarbeiterdatenschutz  gerecht werden und Geschäftsführer ihre persönliche Haftung vermeiden können.

 

 

Lars Lensdorf. IT-Rechtsanwalt bei Heymann & Partner

 

Ein typisches Szenario: Zugriff auf den dienstlichen E-Mail Account des Mitarbeiters

Ein Mitarbeiter erkrankt plötzlich und konnte nicht zur Arbeit kommen. In seiner Inbox gehen jedoch E-Mails ein, die für Tagesarbeit des Unternehmens wichtig sind: zum Beispiel Korrespondenz mit Lieferanten oder Kunden. Oft handelt es sich um Vorgänge, die an Termine gebunden und zeitkritisch sind, so dass sie dringend einer Fortführung bedürfen. Die Lösung des Problems erscheint einfach – auf den ersten Blick. Der Vorgesetzte des abwesenden Mitarbeiters weist die IT-Abteilung an, ihm oder einem anderen Mitarbeiter Zugang zu der Inbox des abwesenden Mitarbeiters zu verschaffen, so dass man Einsicht in die eingegangenen E-Mails erhält und diese, wenn sie dringend sind, bearbeiten kann. Doch wenn er das so einfach macht, riskiert er Konflikte mit dem Gesetz, und zwar dem Datenschutzrecht.

 

Besonders prekär wird die Situation dann, wenn der dienstliche E-Mail Account auch für private Mails genutzt werden darf. Denn: Für eine – zulässige – private Nutzung bedarf es nicht unbedingt einer ausdrücklichen Erlaubnis des Arbeitgebers. Auch eine stillschweigende Erlaubnis kann genügen – und zwar als sogenannte betrieblichen Übung.

 

Und das führt zu einer Rechtskonstruktion, die auf Anhieb für Nichtjuristen schwer nachvollziehbar ist: Ein Unternehmen, das eine private Nutzung des dienstlichen E-Mail Accounts zulässt, ist ein Diensteanbieter im Sinne des Telekommunikationsgesetzes. Die Folge ist, dass Arbeitgeber nicht nur den allgemeinen datenschutzrechtlichen Schranken unterliegen – deren Verletzung eine mit bis zu 300.000,- Euro zu ahndende Ordnungswidrigkeit darstellt – , sondern obendrein dem Fernmeldegeheimnis. Das Unternehmen beziehungsweise dessen Mitarbeiter machen sich daher strafbar, wenn sie sich oder anderen Kenntnis vom Inhalt oder den näheren Umständen der Kommunikation verschaffen. Hierzu zählt auch bereits die Tatsache, dass überhaupt eine Kommunikation stattgefunden hat.

 

Wenn Kunden- oder Lieferanten-Mails im Account kranker Kollegen schmoren, doch für die Company tabu sind

Die Folge kann fatal sein: Ist das Unternehmen im Fall einer krankheits- oder urlaubsbedingten Abwesenheit eines Mitarbeiters darauf angewiesen, auf den E-Mail Account des Mitarbeiters zuzugreifen, kann dies wegen der Vermengung von privaten und dienstlichen E-Mails im Hinblick auf eine Verletzung des Fernmeldegeheimnisses unzulässig sein. Zwar deuten jüngere Entscheidungen des Hessischen Verwaltungsgerichtshofs in Kassel, des Landesarbeitsgerichts Niedersachsen sowie des Landesarbeitsgerichts Berlin-Brandenburg darauf hin, dass zumindest manche Gerichte die Geltung des Fernmeldegeheimnisses im Fall der zulässigen privaten Nutzung des dienstlichen E-mail Accounts – wenn überhaupt – nur eingeschränkt in Betracht ziehen. Allerdings handelt es sich hierbei bislang nur um Einzelentscheidungen, die nicht ohne weiteres verallgemeinert werden dürfen.

 

Unsicherheiten und Fußangeln für die Unternehmensleitung

 

Der unzulässige Zugriff auf den auch privat genutzten dienstlichen E-Mail Account ist nur die Spitze des Eisbergs.

Konfliktszenarien zwischen betrieblichen Erfordernissen einerseits und datenschutzrechtlichen Schranken andererseits können sich in vielerlei Hinsicht ergeben. Dies insbesondere, wenn Unternehmen unter Compliance-Aspekten zur Einhaltung bestimmter Anforderungen und zur Vornahme bestimmter Maßnahmen gezwungen sind und dabei auf personenbezogene Daten ihrer Mitarbeiter zugreifen. Zum Beispiel die Archivierung von ein- und ausgehenden, dienstlichen E-Mails. Hierzu sind Unternehmen gesetzlich – Handelsgesetzbuch und  Abgabeordnung – verpflichtet. Wird der dienstliche E-Mail Account zugleich zulässigerweise auch privat genutzt, werden die privaten E-Mails ebenfalls archiviert – was zu datenschutzrechtlichen Problemen sowie einem Konflikt mit dem Fernmeldegeheimnis führt.

Ähnliches gilt fürs Protokollieren des E-Mail Verkehrs, die – zulässige – private Nutzung des dienstlichen Internetzugangs sowie die – zulässige – private Nutzung des dienstlichen Festnetzanschlusses beziehungsweise des dienstlichen Handys/Smartphones. Auch Maßnahmen, die Unternehmen im Zusammenhang mit der IT-Sicherheit, der Optimierung des Unternehmensnetzwerkes sowie der Analyse und Korrektur von technischen Störungen von IT-Systemen ergreifen sind häufig mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten verbunden – und unterliegen datenschutzrechtlichen Restriktionen.

 

Außer Imageschäden riskieren die Geschäftsführer ihre persönliche Haftung

Diese Beispiele zeigen: Das Handeln im Sinne betrieblicher Erfordernisse einerseits – insbesondere die Berücksichtigung von Compliance-Anforderungen – sowie die Einhaltung rechtlicher Anforderungen rund um den Mitarbeiterdatenschutz andererseits stellen vielfach ein Spannungsfeld dar. Auf der einen Seite besteht für die Unternehmensführung die Verpflichtung, die Gesetze zu beachten. Was zugleich eine entsprechende Überwachungspflicht und die Durchführung von Überwachungsmaßnahmen beinhaltet. Kommt die Unternehmensführung dieser Verpflichtung nicht oder nicht ausreichend nach, kann dies neben Imageschäden für das Unternehmen insbesondere auch zu Haftungsszenarien für das Unternehmen beziehungsweise zur persönlichen Haftung der Geschäftsführer führen. Auf der anderen Seite werden dem Umgang mit personenbezogenen Daten, insbesondere durch das Bundesdatenschutzgesetz sowie das im Telekommunikationsgesetz geregelte Fernmeldegeheimnis, enge Grenzen gesetzt. Dieses Spannungsfeld ist durch den Gesetzgeber bislang nur rudimentär gelöst. Zudem sind die gegenwärtig einschlägigen Normen des Bundesdatenschutzgesetz’ recht allgemein gehalten und bleiben häufig eine klare Antwort auf die Frage, was die Geschäftsführung mit personenbezogenen Daten unter Compliance-Aspekten machen darf, schuldig.

 

Klarheit könnte das Gesetz zum Beschäftigtendatenschutz bringen, das vom Gesetzgeber vor zwei Jahren auf den Weg gebracht wurde. Doch der Gesetzgebungsprozess stockt gegenwärtig. Wann und mit welchem Inhalt dieses Gesetz in Kraft tritt, steht in den Sternen.

 

Individual- und Betriebsvereinbarungen als Regelungsinstrument

 

Sicherer ist es für Arbeitgeber, eine Individualvereinbarung – im Arbeitsvertrag – mit seinen Mitarbeitern zu treffen oder eine Betriebsvereinbarung hierzu abzuschließen und darin die Nutzung, insbesondere die private Nutzung, von dienstlichen IT-Systemen und Telekommunikationsanlagen zu regeln.

Doch ein Blick hinter die Kulissen zeigt: Die meisten Unternehmen haben keine solchen Vereinbarungen. Ein Manko, dem sich die Unternehmen stellen und das sie beseitigen sollten.

 

Folgende Punkte sollten Bestandteil einer Individual- oder Betriebsvereinbarung zur Nutzung von IT-Systemen beziehungsweise Telekommunikationsanlagen sein:

 

  • Aufnahme einer Regelung, welche IT-Systeme und Telekommunikationsanlagen von der jeweiligen Vereinbarung erfasst werden.
  • Festlegung allgemeiner Verhaltensgrundsätze. Beispielsweise:
    • Nutzung der IT-Systeme beziehungsweise der Telekommunikationsanlagen grundsätzlich ausschließlich nur zu betrieblichen Zwecken.
    • Nutzung zu privaten Zwecken nur, soweit dies vereinbart ist;
    • Verbot der Vornahme von Änderungen an den IT-Systemen/Telekommunikationsanlagen;
    • keine Nutzung privater Hard-/Software;
    • Verbot des Herunterladens von Programmen aus dem Internet.
  • Soweit eine private Nutzung der IT-Systeme und Telekommunikationsanlagen zulässig ist, Festlegung der Rahmenbedingungen für eine derartige private Nutzung, insbesondere Festlegung der Voraussetzungen, Art und Umfang.
  • Festlegung vom Unternehmen vorgenommenen Sicherheitsmaßnahmen und deren Zweckbestimmung, zum Beispiel Einsatz von Spam-Filtern, Anti-Virusprogarmmen.
  • Aufnahme einer Regelung, welche personenbezogenen Daten zu welchen Zwecken vom Unternehmen regelmäßig protokolliert werden.
  • Regelungen, wer unter welchen Voraussetzungen Zugriff auf die protokollierten personenbezogenen Daten nehmen darf (präventive Kontrolle, verdachtsabhängige Kontrolle); Regelung der gegebenenfalls zu erfolgenden Beteiligung von Betriebsrat/betrieblichem Datenschutzbeauftragten.

Kommentar schreiben

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*

Alle Kommentare [1]

  1. Interessanter Artikel! Urlaubsvertretung, Archivierung (z.B. nach GDPdU) sind nicht nur Hürden, die das Thema Datenschutz betreffen. Auch das Betriebsverfassungsgesetzt, das Postgeheimnis etc. sind zu beachten. Es gab früher mal eine Werbung mit dem Slogan: „Fragen Sie doch jemanden, der sich damit auskennt“ – und in diesem Slogan steckt nach wie vor Wahrheit. Ein erfahrenes Unternehmen beschäftigt Experten, die bei der Umsetzung helfen, und erst dann ist ein Konzept „einfach umsetzbar“. Sich alleine mit den Mitarbeitern durch den „Anforderungsdschungel“ zu schlagen, kann schnell zur Irrfahrt werden.
    Leider werden am Markt immer häufiger Lösungen angeboten, die angeblich einheitlich und „out of the box“ für jedermann geeignet sind. Das kann nicht funktionieren! Denn Regeln sind nicht in jedem Unternehmen gleich; und somit muss die Lösung die Möglichkeit bieten, sich an die notwendigen Vorgaben anzupassen. Die eine Hälfte der Lösung ist somit die Klärung der Grundlagen (Arbeitsabläufe, Betriebsvereinbarungen), die andere Hälfte die Softwarelösung selbst. Hier sind erfahrene Experten gefragt, die sich die Zeit nehmen und sich mit dem jeweiligen Unternehmen und dessen Anforderungen beschäftigen. Stichwort: Zugeschnittene Lösungen.

    Thomas Volkert, Geschäftsführer ByteAction GmbH