<\/strong>Wie Unternehmen Compliance-Anforderungen und Mitarbeiterdatenschutz \u00a0gerecht werden und Gesch\u00e4ftsf\u00fchrer ihre pers\u00f6nliche Haftung vermeiden k\u00f6nnen.<\/strong><\/p>\n <\/p>\n <\/p>\n Lars Lensdorf. IT-Rechtsanwalt bei Heymann & Partner<\/p><\/div>\n <\/p>\n Ein typisches Szenario: Zugriff auf den dienstlichen E-Mail Account des Mitarbeiters<\/strong><\/p>\n Ein Mitarbeiter erkrankt pl\u00f6tzlich und konnte nicht zur Arbeit kommen. In seiner Inbox gehen jedoch E-Mails ein, die f\u00fcr Tagesarbeit des Unternehmens wichtig sind: zum Beispiel Korrespondenz mit Lieferanten oder Kunden. Oft handelt es sich um Vorg\u00e4nge, die an Termine gebunden und zeitkritisch sind, so dass sie dringend einer Fortf\u00fchrung bed\u00fcrfen. Die L\u00f6sung des Problems erscheint einfach – auf den ersten Blick. Der Vorgesetzte des abwesenden Mitarbeiters weist die IT-Abteilung an, ihm oder einem anderen Mitarbeiter Zugang zu der Inbox des abwesenden Mitarbeiters zu verschaffen, so dass man Einsicht in die eingegangenen E-Mails erh\u00e4lt und diese, wenn sie dringend sind, bearbeiten kann. Doch wenn er das so einfach macht, riskiert er Konflikte mit dem Gesetz, und zwar dem Datenschutzrecht.<\/p>\n <\/p>\n Besonders prek\u00e4r wird die Situation dann, wenn der dienstliche E-Mail Account auch f\u00fcr private Mails genutzt werden darf. Denn: F\u00fcr eine – zul\u00e4ssige – private Nutzung bedarf es nicht unbedingt einer ausdr\u00fccklichen Erlaubnis des Arbeitgebers. Auch eine stillschweigende Erlaubnis kann gen\u00fcgen – und zwar als sogenannte betrieblichen \u00dcbung.<\/p>\n <\/p>\n Und das f\u00fchrt zu einer Rechtskonstruktion, die auf Anhieb f\u00fcr Nichtjuristen schwer nachvollziehbar ist: Ein Unternehmen, das eine private Nutzung des dienstlichen E-Mail Accounts zul\u00e4sst, ist ein Diensteanbieter im Sinne des Telekommunikationsgesetzes. Die Folge ist, dass Arbeitgeber nicht nur den allgemeinen datenschutzrechtlichen Schranken unterliegen – deren Verletzung eine mit bis zu 300.000,- Euro zu ahndende Ordnungswidrigkeit darstellt – , sondern obendrein dem Fernmeldegeheimnis. Das Unternehmen beziehungsweise dessen Mitarbeiter machen sich daher strafbar, wenn sie sich oder anderen Kenntnis vom Inhalt oder den n\u00e4heren Umst\u00e4nden der Kommunikation verschaffen. Hierzu z\u00e4hlt auch bereits die Tatsache, dass \u00fcberhaupt eine Kommunikation stattgefunden hat.<\/p>\n <\/p>\n Wenn Kunden- oder Lieferanten-Mails\u00a0im Account kranker Kollegen schmoren, doch f\u00fcr die Company tabu sind <\/strong><\/p>\n Die Folge kann fatal sein: Ist das Unternehmen im Fall einer krankheits- oder urlaubsbedingten Abwesenheit eines Mitarbeiters darauf angewiesen, auf den E-Mail Account des Mitarbeiters zuzugreifen, kann dies wegen der Vermengung von privaten und dienstlichen E-Mails im Hinblick auf eine Verletzung des Fernmeldegeheimnisses unzul\u00e4ssig sein. Zwar deuten j\u00fcngere Entscheidungen des Hessischen Verwaltungsgerichtshofs in Kassel, des Landesarbeitsgerichts Niedersachsen sowie des Landesarbeitsgerichts Berlin-Brandenburg darauf hin, dass zumindest manche Gerichte die Geltung des Fernmeldegeheimnisses im Fall der zul\u00e4ssigen privaten Nutzung des dienstlichen E-mail Accounts \u2013 wenn \u00fcberhaupt \u2013 nur eingeschr\u00e4nkt in Betracht ziehen. Allerdings handelt es sich hierbei bislang nur um Einzelentscheidungen, die nicht ohne weiteres verallgemeinert werden d\u00fcrfen.<\/p>\n <\/p>\n Unsicherheiten und Fu\u00dfangeln f\u00fcr die Unternehmensleitung<\/strong><\/p>\n <\/p>\n Der unzul\u00e4ssige Zugriff auf den auch privat genutzten dienstlichen E-Mail Account ist nur die Spitze des Eisbergs.<\/p>\n Konfliktszenarien zwischen betrieblichen Erfordernissen einerseits und datenschutzrechtlichen Schranken andererseits k\u00f6nnen sich in vielerlei Hinsicht ergeben. Dies insbesondere, wenn Unternehmen unter Compliance-Aspekten zur Einhaltung bestimmter Anforderungen und zur Vornahme bestimmter Ma\u00dfnahmen gezwungen sind und dabei auf personenbezogene Daten ihrer Mitarbeiter zugreifen. Zum Beispiel die Archivierung von ein- und ausgehenden, dienstlichen E-Mails. Hierzu sind Unternehmen gesetzlich – Handelsgesetzbuch und \u00a0Abgabeordnung – verpflichtet. Wird der dienstliche E-Mail Account zugleich zul\u00e4ssigerweise auch privat genutzt, werden die privaten E-Mails ebenfalls archiviert – was zu datenschutzrechtlichen Problemen sowie einem Konflikt mit dem Fernmeldegeheimnis f\u00fchrt.<\/p>\n \u00c4hnliches gilt f\u00fcrs Protokollieren des E-Mail Verkehrs, die – zul\u00e4ssige – private Nutzung des dienstlichen Internetzugangs sowie die – zul\u00e4ssige – private Nutzung des dienstlichen Festnetzanschlusses beziehungsweise des dienstlichen Handys\/Smartphones. Auch Ma\u00dfnahmen, die Unternehmen im Zusammenhang mit der IT-Sicherheit, der Optimierung des Unternehmensnetzwerkes sowie der Analyse und Korrektur von technischen St\u00f6rungen von IT-Systemen ergreifen sind h\u00e4ufig mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten verbunden – und unterliegen datenschutzrechtlichen Restriktionen.<\/p>\n <\/p>\n Au\u00dfer Imagesch\u00e4den riskieren die Gesch\u00e4ftsf\u00fchrer ihre pers\u00f6nliche Haftung<\/strong><\/p>\n Diese Beispiele zeigen: Das Handeln im Sinne betrieblicher Erfordernisse einerseits – insbesondere die Ber\u00fccksichtigung von Compliance-Anforderungen – sowie die Einhaltung rechtlicher Anforderungen rund um den Mitarbeiterdatenschutz andererseits stellen vielfach ein Spannungsfeld dar. Auf der einen Seite besteht f\u00fcr die Unternehmensf\u00fchrung die Verpflichtung, die Gesetze zu beachten. Was zugleich eine entsprechende \u00dcberwachungspflicht und die Durchf\u00fchrung von \u00dcberwachungsma\u00dfnahmen beinhaltet. Kommt die Unternehmensf\u00fchrung dieser Verpflichtung nicht oder nicht ausreichend nach, kann dies neben Imagesch\u00e4den f\u00fcr das Unternehmen insbesondere auch zu Haftungsszenarien f\u00fcr das Unternehmen beziehungsweise zur pers\u00f6nlichen Haftung der Gesch\u00e4ftsf\u00fchrer f\u00fchren. Auf der anderen Seite werden dem Umgang mit personenbezogenen Daten, insbesondere durch das Bundesdatenschutzgesetz sowie das im Telekommunikationsgesetz geregelte Fernmeldegeheimnis, enge Grenzen gesetzt. Dieses Spannungsfeld ist durch den Gesetzgeber bislang nur rudiment\u00e4r gel\u00f6st. Zudem sind die gegenw\u00e4rtig einschl\u00e4gigen Normen des Bundesdatenschutzgesetz\u2019 recht allgemein gehalten und bleiben h\u00e4ufig eine klare Antwort auf die Frage, was die Gesch\u00e4ftsf\u00fchrung mit personenbezogenen Daten unter Compliance-Aspekten machen darf, schuldig.<\/p>\n <\/p>\n Klarheit k\u00f6nnte das Gesetz zum Besch\u00e4ftigtendatenschutz bringen, das vom Gesetzgeber vor zwei Jahren auf den Weg gebracht wurde. Doch der Gesetzgebungsprozess stockt gegenw\u00e4rtig. Wann und mit welchem Inhalt dieses Gesetz in Kraft tritt, steht in den Sternen.<\/p>\n <\/p>\n Individual- und Betriebsvereinbarungen als Regelungsinstrument<\/strong><\/p>\n <\/p>\n Sicherer ist es f\u00fcr Arbeitgeber, eine Individualvereinbarung – im Arbeitsvertrag – mit seinen Mitarbeitern zu treffen oder eine Betriebsvereinbarung hierzu abzuschlie\u00dfen und darin\u00a0die Nutzung, insbesondere die private Nutzung, von dienstlichen IT-Systemen und Telekommunikationsanlagen zu regeln.<\/p>\n Doch ein Blick hinter die Kulissen zeigt: Die meisten Unternehmen haben keine solchen Vereinbarungen. Ein Manko, dem sich die Unternehmen stellen und das sie beseitigen sollten.<\/p>\n <\/p>\n Folgende Punkte sollten Bestandteil einer Individual- oder Betriebsvereinbarung zur Nutzung von IT-Systemen beziehungsweise Telekommunikationsanlagen sein:<\/p>\n <\/p>\n Gastbeitrag von IT-Anwalt Lars Lensdorf von\u00a0Heymann & Partner zum Mitarbeiterdatenschutz: Wie Unternehmen Compliance-Anforderungen und Mitarbeiterdatenschutz \u00a0gerecht werden und Gesch\u00e4ftsf\u00fchrer ihre pers\u00f6nliche Haftung vermeiden k\u00f6nnen. Ein typisches Szenario: Zugriff auf den dienstlichen E-Mail Account des Mitarbeiters Ein … Weiterlesen ![\"\"](\"https:\/\/blog.wiwo.de\/management\/files\/2012\/09\/Lensdorf2.jpeg\" "\\"Lensdorf\\"")
<\/a>\n
\n