Private Nutzung von Internet und E-Mail am Arbeitsplatz: Endlich mehr Sicherheit für Arbeitgeber?

Von und am Juli 15, 2024

Private Nutzung von Internet und E-Mail am Arbeitsplatz: Endlich mehr Sicherheit für Arbeitgeber?

Nach bisheriger Auffassung der deutschen Datenschutzbehörden ist der Arbeitgeber bei gestatteter Privatnutzung von Internet und E-Mail am Arbeitsplatz an das Fernmeldegeheimnis gebunden. Damit geht eine erhebliche Einschränkung von Kontroll- und Zugriffsmöglichkeiten und ein Strafbarkeitsrisiko einher. Die Landesdatenschutzbehörde in Nordrhein-Westfalen (LDI NRW) nimmt jetzt eine Kehrtwende vor: Für Arbeitgeber gelte das Fernmeldegeheimnis nicht, wenn sie die private Nutzung der betrieblichen E-Mail- oder Internetdienste erlauben oder dulden.

Wie war die Lage denn bisher?

Sofern der Arbeitgeber den Beschäftigten auch die private Nutzung des Internets und/oder des betrieblichen E-Mail-Postfaches gestattet oder duldet, soll er nach (bisheriger) Auffassung der Datenschutzbehörden an das Fernmeldegeheimnis gebunden sein. Das bedeutet insbesondere, dass sich der Arbeitgeber bei einer Verletzung des Fernmeldegeheimnisses gemäß § 206 Strafgesetzbuch (StGB) strafbar machen kann. Die Anwendbarkeit des Fernmeldegeheimnisses konnte nach dieser Auffassung nur dadurch vermieden werden, dass die Privatnutzung von Internet und E-Mail am Arbeitsplatz grundsätzlich untersagt wird.

Warum ist das wichtig?

Unter Beachtung dieser aufsichtsbehördlichen Auffassung war dem Arbeitgeber damit ein Zugriff auf Daten, die dem Fernmeldegeheimnis unterliegen, ausschließlich mit Einwilligung der betreffenden Beschäftigten erlaubt. Dies betrifft im Rahmen der Internetnutzung insbesondere die Daten, aus denen sich ergibt, welche Internetseiten Beschäftigte wann aufgerufen haben. Für den Bereich der E-Mail-Kommunikation hat die Anwendbarkeit des Fernmeldegeheimnisses zur Folge, dass der Arbeitgeber grundsätzlich ohne Einwilligung der jeweiligen Beschäftigten nicht auf deren betriebliches E-Mail-Postfach zugreifen darf – auch nicht im Falle einer langfristigen und/oder ungeplanten Abwesenheit.

Und was gilt jetzt?

Die LDI NRW geht davon aus, dass statt der spezifischen telekommunikationsrechtlichen Regeln nun ausschließlich die Vorschriften der DSGVO Anwendung finden. Auch nach der DSGVO bedarf es einer Rechtsgrundlage für den Zugriff der Arbeitgeber auf die personenbezogenen Daten der Beschäftigten.

Das entspricht im Wesentlichen der Linie, der bisher schon viele deutsche Landesarbeitsgerichte gefolgt sind: Die gestattete Privatnutzung führt nicht zur Anwendung des Telekommunikationsrechts und insbesondere des Fernmeldegeheimnisses auf den Arbeitgeber, ein Schutz der Beschäftigten wird stattdessen über das allgemeine Datenschutzrecht erreicht, das ein ähnlich hohes Schutzniveau bietet.

Handlungsempfehlungen

Die Kehrtwende bei der LDI NRW ist erfreulich und sie betrifft nach ihrer Aussage wohl auch weitere Landesdatenschutzbehörden und den Bundesbeauftragten für Datenschutz und Informationsfreiheit. Ob sich allerdings bereits alle deutschen Datenschutzbehörden dieser Auffassung angeschlossen haben, ist noch unklar. Es verbleibt also, auch angesichts einer nicht einheitlichen Rechtsprechung deutscher Gerichte, bei einer unsicheren Rechtslage.

Was sollten Unternehmen nun beachten?

Regelung der Privatnutzung: Es bleibt wichtig, die private Nutzung von Unternehmenskommunikationsmitteln schriftlich zu regeln, um Transparenz zu schaffen und Zugriffsmöglichkeiten rechtssicher zu gewährleisten. Es sollten Fragen des Zugriffs, der Protokollierung, der Auswertung und der Durchführung von Kontrollen eindeutig geklärt werden.

Datenschutz-Compliance: Der Zugriff auf E-Mail-Postfächer und Internet-Kommunikationsdaten von Mitarbeitern muss auf einer passenden datenschutzrechtlichen Rechtsgrundlage basieren, die auch in Zukunft keinen anlass-/grenzenlosen, sondern nur eingeschränkten Zugriff gewährleisten wird. Zudem sind die Beschäftigten auch künftig über mögliche Überwachungsmaßnahmen und Sanktionen zu informieren.

Trennung von geschäftlicher und privater Kommunikation: Unternehmen sollten Schutzmaßnahmen wie Lösch- und Kennzeichnungsmöglichkeiten für private Nachrichten implementieren und Beschäftigten eine klare Trennung von geschäftlicher und privater Kommunikation ermöglichen.

Dr. Philip Uecker
Dr. Philip Uecker berät umfassend zu den Themen Gewerblicher Rechtsschutz und Datenschutzrecht. Herr Dr. Uecker ist Certified Information Privacy Professional Europe (CIPP/E) und Digital Legal Counsel (BUJ certified). Vor seiner Zeit als Rechtsanwalt bei McDermott war Herr Dr. Uecker als Syndikusrechtsanwalt im Data Protection Office einer großen deutschen Bank tätig. Während des Referendariats arbeitete er u.a. für die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) in Bonn und war im Bereich Gewerblicher Rechtsschutz in einer international führenden Wirtschaftskanzlei in Düsseldorf und einer Boutique-Kanzlei in Mailand tätig.


Julian Jäger
Julian Jäger berät im Bereich Arbeitsrecht. Vor seinem Eintritt bei McDermott absolvierte Herr Jäger sein Referendariat beim Oberverwaltungsgericht Mannheim sowie bei zwei renommierten deutschen Kanzleien in Frankfurt und Mannheim. Herr Jäger hat während seines Studiums und des Referendariats den Schwerpunkt seiner Tätigkeit im Arbeitsrecht beibehalten.

FOLGE UNS

THEMENBEREICHE

ARCHIV