Nachdem in den letzten Jahren insbesondere die private Nutzung von E-Mail und Internet am Arbeitsplatz Thema war, hatte das Landesarbeitsgericht Berlin-Brandenburg (LAG) Mitte 2017 den umgekehrten Fall (Az. 7 SA 38/17) zu entscheiden: Ein Arbeitnehmer hatte dienstliche E-Mails an seinen privaten E-Mail-Account weitergeleitet.
Clintons E-Mail-Affäre lässt grüßen
So öffentlichkeitswirksam wie Hillary Clintons E-Mail-Affäre dürften die Verstöße bei der Weiterleitung von Business E-Mails an private Accounts nur selten sein. Die ehemalige US-Präsidentschaftskandidatin hatte bekanntlich entgegen der gewöhnlichen Vorgehensweise den Schriftverkehr von circa 30.000 dienstlichen E-Mails über ihren privaten E-Mail-Account laufen lassen. Aber genau das ist im täglichen Arbeitsleben Usus. Teilweise sehen Arbeitgeber dies in der Regel sogar gerne, bedeutet es doch meist, dass der Arbeitnehmer freiwillig Mehrarbeit von zu Hause aus leistet. Entsprechend wird dieses Verhalten oft geduldet. Was nicht bedeutet, dass diese Praxis nicht überdacht werden sollte.
Im vorliegenden Fall hatte der Mitarbeiter eine Vielzahl von dienstlichen E-Mails (darunter auch solche mit Angeboten und Kalkulationsgrundlagen von Kollegen) innerhalb kürzester Zeit an seinen privaten E-Mail-Account weitergeleitet. Und dies, obwohl der Arbeitgeber ihm einen Laptop mit Zugriff auf den dienstlichen E-Mail-Account zur Verfügung gestellt hatte.
Weil der Mitarbeiter dies während der Verhandlungen mit einem neuen Arbeitgeber tat und der bisherige Arbeitgeber dies herausfand, wurde ihm außerordentlich und fristlos gekündigt. Dagegen klagte der Arbeitnehmer und bekam im erstinstanzlichen Verfahren recht - die fristlose Kündigung war nicht wirksam. Vor dem LAG hatte das Unternehmen nun aber in der Berufung Erfolg, die außerordentliche fristlose Kündigung wurde für zulässig befunden.
"Dienstliche Notwendigkeit" bei E-Mail-Weiterleitung?
Das Gericht war der Ansicht, dass die Anzahl der Mails, deren Inhalt, sowie die Tatsache, dass dem Arbeitnehmer ein Laptop zur Verfügung gestellt wurde, mit dem er auch von unterwegs oder zuhause auf den dienstlichen E-Mail-Account zugreifen konnte, gegen die Zulässigkeit der Weiterleitung an den privaten E-Mail-Account sprächen.
Trotz der Behauptung des Arbeitnehmers, die E-Mails nur zu dienstlichen Zwecken wie Adressabgleich zu verwenden, war das Gericht aufgrund der Umstände davon überzeugt, dass der Arbeitnehmer diese E-Mails vielmehr zum Zwecke der Vorbereitung und Nutzung in seinem neuen Arbeitsverhältnis weitergeleitet habe. Dieser Verstoß gegen die Nebenpflicht der gegenseitigen Rücksichtnahme von Vertragspartnern stelle einen "wichtigen Grund" im Sinne des § 626 Abs. 1 BGB dar und berechtige damit den Arbeitgeber, die außerordentliche, fristlose Kündigung auszusprechen.
Die Weiterleitung sei zudem auch ohne Einverständnis des Arbeitgebers erfolgt, stellte das Gericht weiter fest. Weder sei ein solches ausdrücklich oder konkludent aus dem Arbeitsvertrag zu entnehmen (zum Beispiel durch die Verpflichtung des Arbeitnehmers, auf Verlangen oder bei Beendigung des Arbeitsverhältnisses jegliche auf privaten Datenträgern gespeicherten Informationen zu löschen), noch hätten Anhaltspunkte für eine Kenntnis und Billigung dieses vom Arbeitnehmer angeblich für längere Zeit praktizierten Verhaltens vorgelegen.
Das Gericht konnte darüber hinaus - aufgrund des Dienst-Laptops und dem damit verbundenen Zugriff auf betriebliche E-Mails - keine dienstliche Notwendigkeit erkennen, warum Daten auf den privaten E-Mail-Account hätten übermittelt werden sollen.
Hände weg vom Weiterleiten-Button?
Dennoch dürften Arbeitgeber in Anbetracht der Gefahren, die eine Weiterleitung von Business E-Mails an private Accounts darstellt, ein besonders großes Interesse an der Vermeidung dieser Praxis haben. Das dürfte selbst dann gelten, wenn alle Seiten eine dienstliche Notwendigkeit in der Weiterleitung von E-Mails sähen. So sind Geschäfts- und Betriebsgeheimnisse auch und besonders dann in Gefahr, wenn ein Mitarbeiter gar nicht in böser Absicht handelt, sondern lediglich fahrlässig mit seiner privaten IT umgeht und diese nicht ausreichend abgesichert hat.
Wenn die europäische Datenschutzgrundverordnung (DSGVO) ab Mai 2018 ihre Wirkung entfaltet, drohen bei Verstößen gegen die darin festgehaltenen Grundsätze der Verarbeitung personenbezogener Daten empfindliche Geldbußen von bis zu 20 Millionen Euro oder vier Prozent des unternehmensweiten Vorjahresgesamtumsatzes. So müssen beispielsweise Melde- und Nachforschungspflichten eingehalten werden. Nicht zuletzt können mit der Aufdeckung von Geschäftsgeheimnissen und Datenschutzverstößen auch erhebliche Image- und Reputationsschäden einhergehen.
Arbeitgeber trägt Verantwortung
Arbeitgeber sind daher auch im Sinne der IT Compliance gut beraten, im Arbeitsvertrag klare Regelungen zur E-Mail-Weiterleitung zu treffen. Denn der Arbeitgeber ist als Verantwortlicher, der personenbezogene Daten verarbeitet, dazu verpflichtet, technisch-organisatorische Maßnahmen für den Schutz dieser Daten zu treffen.
Dabei muss er nicht nur bei der unternehmenseigenen IT (zum Beispiel wenn er Dienstgeräte zur Verfügung stellt) dafür sorgen, dass durchgängig ein der DSGVO genügendes Datenschutzniveau herrscht. Gestattet er seinen Mitarbeitern, geschäftliche E-Mails auch an private Accounts weiterzuleiten, so muss er dafür sorgen, dass die verarbeiteten, personenbezogenen Daten beim Arbeitnehmer ebenfalls angemessen gesichert sind. Im Zweifel muss er die ausreichende Sicherung bei seinen Mitarbeitern auch den Aufsichtsbehörden gegenüber nachweisen können. Dies dürfte jedoch in den meisten Fällen aus Gründen der Privatsphäre und des Datenschutzes kaum zu kontrollieren und damit nicht praktikabel sein.
Die Weiterleitung von Business E-Mails kann auch im Rahmen einer Datenschutzfolgenabschätzung nach Art. 35 DSGVO Bedeutung erlangen. Denn die Weiterleitung an nicht zu kontrollierende, private E-Mail-Accounts muss auch bei der Bewertung des Risikos einer Datenverarbeitung Berücksichtigung finden. Als weitere Folge könnte dann im Rahmen von IT- und Datenschutz-Audits (zum Beispiel nach den ISO-Normen 29100 und 29134) eine Zertifizierung nach den zu Grunde gelegten Maßstäben verwehrt werden.
Es empfiehlt sich daher, entweder Dienstgeräte zur Verfügung zu stellen oder - falls dies nicht in Frage kommt - sicherheitshalber die private Nutzung (auch zu Home-Office-Zwecken) - gänzlich zu untersagen.
Ist Ihr Datenschutz up-to-date?
Eindeutige Regelungen in Arbeitsverträgen, Betriebsvereinbarungen und Unternehmensrichtlinien sind also obligatorisch. Unterstützend sollten außerdem regelmäßige Schulungen und Sensibilisierungen der Arbeitnehmer für die Bereiche IT-Sicherheit und Datenschutz durchgeführt werden.
Durch das Zusammenspiel dieser Maßnahmen lässt sich das Risiko von Rechtsverstößen erheblich verringern - wenn auch nicht gänzlich vermeiden. Daneben existiert ein weiterer positiver Nebeneffekt: Das generelle Schutzniveau von personenbezogenen Daten Dritter (beispielsweise Kunden oder Lieferanten), die durch das Unternehmen verarbeitet werden, wird erhöht. Dies geschähe dann nicht nur durch technisch-organisatorische Maßnahmen (wie der Untersagung der Weiterleitung von E-Mails), sondern auch direkt durch die Arbeitnehmer selbst, die durch ihr Bewusstsein für datenschutzrechtliche Probleme aktiv zur Sicherheit der Daten beitragen können. (fm)