Beschäftigtendatenschutz

Private Arbeitnehmer-E-Mails und Fernmeldegeheimnis

21.01.2011
Welche Probleme sich in der Praxis ergeben, sagen Dr. Sebastian Kraska und Benjamin Schuetze.
Aus der Erlaubnis der Privatnutzung von E-Mails können sich für Arbeitgeber große Probleme ergeben.
Foto:

Gestattet der Arbeitgeber seinen Beschäftigten, die betriebliche E-Mail-Adresse auch zu privaten Zwecken zu nutzen, ist fraglich, ob er sich dem Anwendungsbereich des Fernmeldegeheimnisses unterwirft und wie weit dieser reicht. In der Praxis stellen sich in der Folge erhebliche Probleme für den Arbeitgeber - der neue Entwurf zum Beschäftigtendatenschutzgesetz des Bundesinnenministeriums verspricht hier Abhilfe.

Mehr zur richtigen Umgang mit E-Mails erfahren Sie auf dem Channel-Sales-Kongress "Security und Storage" am 17. Februar in München.

Hintergrund: Erlaubnis privater Nutzung

Erlaubt der Arbeitgeber seinen Beschäftigten die Nutzung des betrieblichen E-Mail Zugangs zu privaten Zwecken, wird er damit zu einem geschäftsmäßigen Anbieter von Telekommunikationsdienstleistungen. Das Telekommunikationsgesetz ("TKG") richtet sich nicht nur an Telekommunikationskonzerne als "klassische" Anbieter von Telekommunikationsdienstleistungen, sondern erfasst auch betriebliche Telekommunikationsanlagen. Diese Möglichkeit wurde vom Gesetzgeber bewusst offengelassen, denn der Anbieter muss weder die Absicht haben mit dem Angebot von Telekommunikationsdiensten "Geld zu verdienen" (Gewinnererzielungsabsicht - § 3 Nr. 10 TKG), noch muss sich das Angebot an die Allgemeinheit richten sondern kann auch gegenüber einer geschlossenen Benutzergruppe (Belegschaft im betrieblichen Kommunikationsnetz) erbracht werden.

Das Problem: Erlaubnis aufgrund Duldung

Der Arbeitgeber muss nach herrschender Meinung aber nicht einmal explizit die private Nutzung erlauben: es reicht aus, wenn er die auch private Nutzung des E-Mail Zugangs duldet und Verstöße nicht rechtzeitig sanktioniert. Das heißt ganz praktisch: nur das tatsächlich kontrollierte und sanktionierte Verbot privater E-Mail Nutzung schützt den Arbeitgeber wirklich davor, als "Anbieter von Telekommunikationsdienstleistungen" eingeordnet werden zu können.

Rechtsfolge: Arbeitgeber als "Anbieter von Telekommunikationsdienstleistungen"

Folge der Einordnung des Arbeitgebers als "Anbieter von Telekommunikationsdienstleistungen" und damit der Anwendbarkeit des TKG ist, dass dieser den Verpflichtungen zum Schutz des Fernmeldegeheimnisses gemäß § 88 TKG unterliegt. Verbindungs- und Inhaltsdaten, die bei der betrieblichen E-Mail Kommunikation anfallen, dürfen nur in den im TKG ausdrücklich geregelten Fällen (Entgeltermittlung § 97 TKG; Störung und Missbrauch von Telekommunikationsdiensten § 100 TKG) erhoben und ansonsten nicht überwacht werden. Insbesondere darf nicht auf andere einfachgesetzliche Erlaubnisnormen z.B. des Bundesdatenschutzgesetzes ("BDSG") zurückgegriffen werden.

Das heißt konkret: Einschränkung von Kontrollmöglichkeiten

Das Fernmeldegeheimnis oder Telekommunikationsgeheimnis statuiert ein Verbot des "unbefugten Abhörens, Unterdrückens, Verwertens oder Entstellens, von Fernmelde- Botschaften und ist grundgesetzlich geschützt (Art. 10 Grundgesetz). Legaldefiniert ist das Fernmeldegeheimnis in § 88 Abs. 1 TKG, wonach von diesem "der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war", geschützt wird.

Das Bundesverfassungsgericht hat sich 2006 in einer Grundsatzentscheidung zum Anwendungsbereich des Fernmeldegeheimnisses geäußert. Danach soll das Fernmeldegeheimnis die Vertraulichkeit der "privaten" Fernkommunikation gewährleisten, weil die am Kommunikationsvorgang Beteiligten wegen der räumlichen Distanz auf die Hilfe eines Dritten (Telekommunikationsunternehmen) bei der Datenübermittlung angewiesen sind. Geschützt ist neben per Telefon übertragener Kommunikation auch die Datenübertragung per E-Mail.

Das Fernmeldegeheimnis schützt nur vor spezifischen Gefahren, die in Zusammenhang mit dem Übertragungsvorgang stehen. Der Schutzbereich reicht daher nur, soweit die Nachricht noch nicht beim Empfänger angekommen ist und damit der Übertragungsvorgang abgeschlossen ist. Sobald nämlich die Nachricht im "Machtbereich" des Empfängers angelangt ist, kann dieser selbst geeignete Schutzmaßnahmen treffen um den Zugriff von Unbefugten zu verhindern. Zudem können per E-Mail empfangene Dateien gar nicht oder nur sehr schwer von selbst erstellten Dateien unterschieden werden.

Konkret für E-Mails: Auslegung des Begriffs "Herrschaftsbereich des Empfängers"

Bei der Versendung von privaten E-Mails am Arbeitsplatz ist fraglich ab welchem Zeitpunkt die Nachricht im Herrschaftsbereich des Empfängers angelangt ist. Kann man davon bereits ausgehen, wenn die Nachricht auf dem Server des Arbeitgebers angelangt ist, weil ja der jeweilige Angestellte ab diesem Zeitpunkt die weitere Verwendung der E-Mail beeinflussen kann oder soll es darauf ankommen ob die Nachricht auf dem individuell genutzten PC des Beschäftigten eingegangen ist?

BVerfG: E-Mail-Postfach ist geschützt

In einer Entscheidung aus dem Jahre 2009 hat der Bundesgerichtshof ("BGH") zudem ausgeführt, dass der vom Fernmeldegeheimnis geschützte Telekommunikationsvorgang auch dann als abgeschlossen zu betrachten sei, wenn die betreffende E-Mail beim Webmail Provider gespeichert ist. Der Schutz des Fernmeldegeheimnisses würde dadurch erheblich beschränkt, da die E-Mails zumeist auf zentralen Servern gespeichert sind. Die Server können mitunter sehr weit vom lokalen Netzwerkanschluss des Beschäftigten entfernt sein.

Diesem Ansatz des BGH hat das Bundesverfassungsgericht allerdings in einem Beschluss vom 16. Juni 2009 (www.bundesverfassungsgericht.de/entscheidungen/rs20090616_2bvr090206.html), bei dem es um die Beschlagnahmung von E-Mails durch die Strafverfolgungsbehörden ging, widersprochen und stellte klar:

"Der zugangsgesicherte Kommunikationsinhalt in einem E Mail-Postfach, auf das der Nutzer nur über eine Internetverbindung zugreifen kann, ist durch das Fernmeldegeheimnis (Art. 10 Abs. 1 GG) geschützt. Der Kommunikationsteilnehmer hat keine technische Möglichkeit, die Weitergabe der E-Mails durch den Provider an Dritte zu verhindern. Dieser technisch bedingte Mangel an Beherrschbarkeit begründet die besondere Schutzbedürftigkeit durch das Fernmeldegeheimnis, welches jenen Gefahren für die Vertraulichkeit begegnen will, die sich aus der Verwendung eines Kommunikationsmediums ergeben, das einem staatlichem Zugriff leichter ausgesetzt ist als die direkte Kommunikation unter Anwesenden.

Dies gilt unabhängig davon, ob eine E-Mail auf dem Mailserver des Providers zwischen- oder endgespeichert ist. Dem Schutz durch Art. 10 Abs. 1 GG steht nicht entgegen, dass während der Zeitspanne, während deren die E-Mails auf dem Mailserver des Providers "ruhen", ein Telekommunikationsvorgang in einem dynamischen Sinne nicht stattfindet. Art. 10 Abs. 1 GG folgt nicht dem rein technischen Telekommunikationsbegriff des Telekommunikationsgesetzes, sondern knüpft an den Grundrechtsträger und dessen Schutzbedürftigkeit aufgrund der Einschaltung Dritter in den Kommunikationsvorgang an.

Die spezifische Gefährdungslage und der Zweck der Freiheitsverbürgung von Art. 10 Abs. 1 GG bestehen auch dann weiter, wenn die E-Mails nach Kenntnisnahme beim Provider gespeichert bleiben. […] Die Auslagerung der E-Mails auf den nicht im Herrschaftsbereich des Nutzers liegenden Mailserver des Providers bedeutet nicht, dass der Nutzer mit dem Zugriff auf diese Daten durch Dritte einverstanden ist (Beschluss vom 16. Juni 2009, 2 BvR 902/06, www.bundesverfassungsgericht.de/entscheidungen/rs20090616_2bvr090206.html)."

Grundsätze des BVerfG gelten

Zwar hatte das Bundesverfassungsgericht vorliegend über einen Fall mit strafprozessualem Einschlag zu entscheiden. Eine ähnliche Gefahrenlage für die (gestattete) private E-Mail Kommunikation des Arbeitnehmers ergibt sich jedoch gleichwohl, sodass die vom Bundesverfassungsgericht aufgestellten Grundsätze ebenfalls gelten müssen.

Teilweise wird nach der Art des eingesetzten E-Mail Systems (POP3- oder IMAP-Verfahren) unterschieden. Bei einer POP3 Anwendung, wo die E-Mails beim Abruf durch den E-Mail Client (MS Outlook, Mozilla Thunderbird, etc.) vom Server im Regelfall automatisch gelöscht und nur lokal gespeichert werden, unterfallen diese E-Mails nach herrschender Meinung nicht mehr dem Schutz des Fernmeldegeheimnisses. Im Gegensatz dazu wird bei Verwendung des IMAP-Protokolls lediglich eine Kopie der auf dem Server gespeicherten Nachricht angefertigt.

IMAP-Postfach: Fernmeldegeheimnis?

Daraus folgt teilweise die - umstrittene - Ansicht, dass per IMAP weiterhin auf dem Server gespeicherte E-Mail ebenfalls nicht mehr dem Fernmeldegeheimnis unterfallen, denn der E-Mail-Empfänger habe sich ja bewusst dazu entschieden die E-Mail im "Machtbereich" des Arbeitgebers zu belassen anstatt vom Server zu löschen. Dagegen spricht nicht nur, dass ein bloßes passives "zur Kenntnis nehmen" nicht mit einer aktiven Handlung (E-Mail löschen, verschieben etc.) gleichgesetzt werden kann, sondern auch der mit IMAP verbundene Sicherheitsaspekt. Sinn der grundsätzlich dauerhaften Speicherung der E-Mails auf dem Posteingangsserver ist, dass diese auch im Fall eines Computerabsturzes weiterhin verfügbar sind und zudem die Bearbeitung von E-Mail ggf. nicht auf einen PC Arbeitsplatz beschränkt ist sondern mehrfach abgerufen werden kann. Diese Vorteile dürfen nicht durch ein - aus Sicht des Arbeitnehmers - geringeres Schutzniveau entwertet werden.

Ausblick: neuer Gesetzentwurf zum Beschäftigtendatenschutz sieht Ausnahme vor

Abhilfe verspricht nun der Entwurf des Bundesinnenministeriums vom 11. August 2010 zur Schaffung eines "Gesetzes zur Regelung des Beschäftigtendatenschutzes" (www.datenschutz-berater.de/pdf/Beschaeftigtendatenschutz_E_11082010.pdf), der nach verschiedenen Presseberichten noch diese Woche vom Bundeskabinett verabschiedet werden soll. Danach soll gemäß § 32i Abs. 4 BDSG-E auch bei privaten Daten im E-Mail-Postfach des Beschäftigten der Zugriff durch den Arbeitgeber zulässig sein, wenn der Beschäftigte hiervon weiß und es für den ordnungsgemäßen Geschäftsbetrieb unerlässlich ist.

Fazit

Die Reichweite des Fernmeldegeheimnisses ist bei der E-Mail Überwachung durch den Arbeitgeber auch wegen seiner strafrechtlichen Absicherung eine kritische Größe und in jedem Fall zu beachten. Wollen Arbeitgeber die Privatkommunikation über die betriebliche E-Mail-Adresse gestatten, haben diese sich bei der Überwachung in den Grenzen der Erlaubnisnormen des TKG zu bewegen und müssen dadurch auf weitgehende Kontrollen ihrer Beschäftigten verzichten. Abhilfe verspricht der neue Entwurf des Bundesinnenministeriums zum Beschäftigtendatenschutz: danach sollen Kontrollen insb. des E-Mail-Postfachs künftig möglich sein, wenn der Beschäftigte hiervon weiß und die Kontrolle für den ordnungsgemäßen Geschäftsbetrieb unerlässlich ist.

Der Autor Dr. Sebastian Kraska ist Rechtsanwalt und externer Datenschutzbeauftragter im IITR Institut für IT-Recht - Kraska GmbH. Der Autor Benjamin Schuetze ist Ass. iur. im IITR Institut für IT-Recht - Kraska GmbH.

Kontakt:

IITR Institut für IT-Recht - Kraska GmbH, Eschenrieder Straße 62c, 82194 Gröbenzell, Tel.: 089 5130392-0, E-Mail: skraska@iitr.de, Internet: www.iitr.de