Grenzen der Überwachung privater E-Mail-Kommunikation von Beschäftigten

Problemstellung
Die Geschäftsführung oder das Top-Management verlangt von den Beschäftigten steten und konstanten Arbeitseinsatz. Die private Kommunikation während der Arbeitszeit sollte sich also in einem vertretbaren Rahmen bewegen.
Bisweilen ist zu hören, dass Vorgesetzte die E-Mailpostfächer ihrer Beschäftigten öffnen (lassen) und so nicht nur den geschäftlichen, wie auch den privaten E-Mail-Verkehr überwachen. Doch darf der Arbeitgeber so einfach die E-Mail-Kommunikation überwachen? Und wenn ja, was genau darf überhaupt mitgelesen werden? Die Unsicherheit auf Seiten der Verantwortlichen aber auch der Beschäftigten äußert sich häufig in denselben Fragen:

  • Darf das Unternehmen, der Geschäftsführer oder Vorgesetzte das E-Mail-Postfach seiner Beschäftigten kontrollieren?
  • Wenn ja, wie kann diese Kontrolle aussehen?
  • Welche Regularien schützen die Beschäftigten vor Überwachung?

Klarheit schafft der Europäischen Gerichtshof für Menschenrechte (EGMR) mit einem Urteil vom 05.09.2017.

Das Urteil des Europäischen Gerichtshofs für Menschenrechte (EGMR – Urteilsreferenznummer 61496/08)
Grundsätzlich haben Unternehmen ein berechtigtes Interesse daran, die Einhaltung interner Vorgaben zu kontrollieren. Das kann beispielsweise auch die Kontrolle des Verbots der privaten Nutzung des dienstlichen E-Mail-Accounts betreffen.
Eine Kontrolle der E-Mail-Nutzung der Beschäftigten am Arbeitsplatz ist allerdings nur dann zulässig, wenn diese „verhältnismäßig“ ist; diese also nicht zur Überwachung wird.
Denn selbst wenn die private Nutzung des dienstlichen E-Mail-Accounts im Unternehmen verboten ist, legitimiert dies nicht eine ungebremste Überwachung der Postfächer. Hier ist der Grundsatz der Verhältnismäßigkeit anzuwenden. Eine Überwachung der Beschäftigten hinsichtlich einer eventuellen privaten E-Mail-Nutzung kann gegen das grundlegende Recht auf Achtung des Privatlebens und der Korrespondenz (Art. 8 der Europäischen Menschenrechtskonvention EMRK) verstoßen.

Wie ist der Begriff „verhältnismäßig“ zu deuten?
Eine Überwachung ist in der Regel nur dann verhältnismäßig, wenn die Beschäftigten vorab darüber informiert wurden, dass ihre Kommunikation über den dienstlichen E-Mail-Account vom Unternehmen kontrolliert werden kann und auch wird.
In diesem Zusammenhang müssen die Beschäftigten transparent und vorab über die Art und Weise sowie den Umfang der Kontrollmaßnahmen informiert werden.

Der konkrete Fall
Im konkreten vom Gericht behandelten Fall nutzte ein Beschäftigter seinen dienstlichen E-Mail-Account umfangreich zu privaten Zwecken. Die private Nutzung dieses E-Mail-Accounts war durch eine interne Regelung verboten. Die Geschäftsführung deckte die private Nutzung durch eine einwöchige Überwachung des Postfachs auf und kündigte das Arbeitsverhältnis.
Die Klage des Beschäftigten vor den nationalen Gerichten blieb erst einmal ohne Erfolg. Die Große Kammer des EGMR stellte in ihrem Urteil vom 05.09.2017 dann jedoch eine Verletzung des Rechts auf Achtung des Privatlebens und der Korrespondenz durch das Unternehmen fest.
Mehr zu Fall und Urteil gibt es hier]

Welche Lösung gibt es für Ihr Unternehmen?
Unternehmen haben ein legitimes, berechtigtes Interesse an der Kontrolle der Einhaltung interner Richtlinien. Zum Beispiel der Einhaltung des Verbots der privaten Nutzung des betrieblichen E-Mail-Accounts. Bei den Kontrollmaßnahmen ist jedoch der Grundsatz der Verhältnismäßigkeit zu wahren. Es kann hier eine stichprobenartige Kontrolle der Einhaltung des Verbots der privaten Nutzung des E-Mail-Accounts rechtmäßig erfolgen.
Dazu ist es grundsätzlich Voraussetzung, eine klare und allgemein verständliche Regelung zur Nutzung des dienstlichen E-Mail-Accounts zu treffen und nachweislich an die Beschäftigten zu kommunizieren. In dieser Regelung sind folgende Fragen zu beantworten:

  • Was konkret regelt das Unternehmen mit der Anweisung?
  • Was erlaubt das Unternehmen, was schränkt es ein und was verbietet es?
  • Was wird wie, in welchen Zyklen kontrolliert?

Eine lückenlose Überwachung der E-Mail-Korrespondenz über einen längeren Zeitraum ohne entsprechende Information der Beschäftigten ist unverhältnismäßig. Sie stellt einen rechtswidrigen Eingriff in das Persönlichkeitsrecht des Beschäftigten dar.
Nur wenn der konkrete Verdacht einer Straftat oder einer schwerwiegenden Pflichtverletzung gegen das Unternehmen besteht, könnte in ausgesuchten Fällen eine lückenlose Kontrolle der Kommunikation über das betriebliche Postfach über einen begrenzten Zeitraum zulässig sein.

Ausblick zur Datenschutz-Grundverordnung (DS-GVO)
Abschließend möchten wir zwei konkrete Inhalte des oben dargestellten Falls aufgreifen und in Bezug zur DS-GVO setzen, die ab 25.05.2018 gilt:

1)
Im Urteil des EGMR kommt ein wichtiger Aspekt zum Tragen, der auch eine der zentralen Säulen der DS-GVO darstellt: die Transparenz.
Ein Verstoß gegen den Grundsatz der Transparenz stellt einem Verstoß gegen Art. 5 DS-GVO dar und kann von Datenschutzaufsichtsbehörden mit Bußgeldern von bis zu 10 Mio. € oder 2% des weltweit erzielten Jahresumsatzes geahndet werden.

Unsere Empfehlung:

  • Klären Sie Ihren Regelungsanspruch (was soll geregelt werden und weshalb).
  • Erstellen Sie eine klar verständliche Anweisung, welche diesen Anspruch umsetzt.
  • Informieren Sie Ihre Beschäftigten über diese Anweisungen zur Benutzung von E-Mail und Internet transparent über
    • betriebliche Maßnahmen in Verbindung mit dienstlichen E-Mail-Konten (Backup, Archivierung)
    • grundsätzliche Kontrollmechanismen (Art und Weise, kontrollberechtigte Personen, Dauer der Kontrollzyklen, …)

2)
Die Entscheidung, ob die private Nutzung grundsätzlich erlaubt oder verboten werden sollte, steht jedem Unternehmen selbstverständlich frei. Unsere Empfehlung hierzu ist regelmäßig, die private Nutzung des dienstlichen E-Mail-Kontos zu Gunsten der Klarheit und Rechtssicherheit zu verbieten
Art. 32 der DS-GVO verpflichtet den Verantwortlichen (das Unternehmen) mit Hilfe technischer und organisatorischer Maßnahmen für die Sicherheit der Verarbeitung personenbezogener Daten zu sorgen.
Das gilt auch für das E-Mail-System. Ein Verstoß gegen Art. 32 DS-GVO kann mit Bußgeldern von bis zu 20 Mio. € oder 4% des weltweit erzielten Jahresumsatzes geahndet werden.
Die Erlaubnis privater Nutzung birgt an verschiedenen Stellen Risiken, die die Erfüllung dieser Verpflichtung erschweren.