Darf der Arbeitgeber die E-Mails des Arbeitnehmers DSGVO-konform mitlesen?

Mehr zum Thema: Datenschutzrecht, DSGVO, Arbeitgeber, E-Mail, mitlesen, Arbeitnehmer
5 von 5 Sterne
Bewerten mit: 5 Sterne 4 Sterne 3 Sterne 2 Sterne 1 Stern
1

Ist es datenschutzrechtlich problematisch, dass mit Sammel-E-Mail-Adressen gearbeitet wird und die Geschäftsführung bei diesen Sammel-E-Mail-Adressen der einzelnen Abteilungen mitlesen kann?

Nicht erst seit Geltung der Datenschutz-Grundverordnung (DSGVO) und des neuen Bundesdatenschutzgesetzes (BDSG), die auch Änderungen im Arbeitnehmerdatenschutz mit sich brachten, sehen sich Arbeitgeber immer wieder vor dem rechtlichen Problem, wann, in welchem Umfang und wie auf die E-Mail-Postfächer ihrer Mitarbeiter zugegriffen werden darf.

Grundsätzlich ist jeder Zugriff auf E-Mailpostfächer eine Verarbeitung personenbezogener Daten. Die Zugriffsmöglichkeit auf E-Mail-Postfächern richtet sich daher nach (arbeitnehmer-) datenschutzrechtlichen Grundsätzen.

Sascha  Kugler
Partner
seit 2006
Rechtsanwalt
Kurfürstendamm 136
10711 Berlin
Tel: +49308803400
Web: http://www.ligant.de
E-Mail:
Strafrecht, Medizinrecht, Verkehrsrecht, Datenschutzrecht

Die wichtigste Regel im Datenschutzrecht ist der Grundsatz des grundsätzlichen Verbots der Verarbeitung unter Erlaubnisvorbehalt. Eine Verarbeitung ist somit nur gestattet, wenn entweder eine Erlaubnis des Betroffenen durch Einwilligung oder aufgrund eines Gesetzesvorbehalts vorliegt.

Der Arbeitgeber kann im Rahmen des Mitlesens von E-Mails gegenüber seinen Arbeitnehmern auf die Erlaubnisnorm § 26 Absatz 1 Satz 1 BDSG i.V.m Art. 6 Abs. 1 lit. f DSGVO verweisen.

Die Regelung des § 26 Abs. 1 Satz 1 BDSG erlaubt die Verarbeitung personenbezogener Daten von Beschäftigten unter anderem dann, wenn dies zur Durchführung des Beschäftigungsverhältnisses erforderlich ist. Art. 6 Abs. 1 lit. f DSGVO erlaubt die Verarbeitung, wenn diese der Wahrung der berechtigten Interessen des Verantwortlichen dient.

Dabei ist aber stets die Verhältnismäßigkeit zwischen den Interessen des Arbeitgebers am Zugriff auf das E-Mailpostfach den Interessen des Arbeitnehmers am Nichtzugriff abzuwägen. Bei dieser Abwägung dürfen nicht die Interessen oder Grundrechte und Grundfreiheiten des Arbeitnehmers beim Schutz seiner personenbezogenen Daten überwiegen.

Eine weitere Einschränkung der arbeitgeberseitigen Zugriffsrechte ergibt sich im Rahmen der Interessenabwägung aus dem Grundsatz der Datenminimierung gemäß Art. 5 Absatz 1 lit. c DSGVO.

Die Verarbeitung personenbezogener Daten muss stets dem Zweck der Verarbeitung angemessen und erheblich sowie auf das notwendige Maß beschränkt werden. Ein übermäßiger und damit nicht mehr betrieblich erforderlicher Zugriff scheidet somit aus diesem Grunde ebenfalls aus.

Unabdingbar ist zunächst, dass es den Arbeitnehmern, die mit den Sammel-E-Mails arbeiten, in einer schriftlich dokumentierten Dienstanweisung untersagt wird, das E-Mail-Postfach für private Zwecke zu nutzen.

Weiter sollten die Arbeitnehmer in der Dienstanweisung darauf hingewiesen werden, dass sowohl die Geschäftsführung als auch weitere Mitarbeiter auf das E-Mail Postfach Zugriff haben und diese mit Verweis auf § 26 Absatz 1 Satz 1 BDSG i.V.m Art. 6 Abs. 1 lit. f DSGVO mitgelesen werden können. Die Mitarbeiter sollten dieser Verfahrensweise zustimmen und Ihr Einverständnis nach Art. 6 Abs. 1 lit. a DSGVO erklären.

Diese Dienstanweisung samt Einverständnis sollte dokumentiert zur Personalakte als Nachweis der Einwilligung genommen werden.

Bei rein dienstlich veranlasster Nutzung des E-Mailpostfachs des Arbeitnehmers sind die Persönlichkeitsrechte des Arbeitnehmers in weitaus geringerem Maße betroffen, weshalb eine Interessenabwägung unter Beachtung des Verhältnismäßigkeitsgrundsatzes in der Regel zugunsten der unternehmerischen Freiheit des Arbeitgebers ausfallen wird. Dies dürfte auch dann gelten, wenn der Arbeitnehmer regelwidrig sein dienstliches E-Mailpostfach auch privat nutzt. Schließlich stellt in diesem Fall jede private Nutzung schon eine arbeitsvertragliche Pflichtverletzung des Arbeitnehmers dar, weshalb der Arbeitnehmer hier einem E-Mailpostfachzugriff ohne Weiteres kein schützenswertes Interesse entgegenhalten kann.

Wäre auch das Lesen der personalisierten E-Mails durch die Geschäftsführung schon datenschutzrechtlich zulässig?

Bei rein dienstlich zulässiger Nutzung der personalisierten E-Mailadresse sind die berechtigten Interessen des Arbeitgebers an einem Zugriff (selbstverständlich stets im Rahmen der Erforderlichkeit) nach Art. 6 Abs. lit f. DSGVO in der Regel höher zu werten als die Interessen des Arbeitnehmers am Nichtzugriff. Somit ist es rechtlich möglich, dass es auch dem Arbeitnehmer mit einer personalisierten E-Mailadresse per dokumentierter Dienstanweisung untersagt wird, dass diese privat genutzt wird. In diesem Fall sollte der Mitarbeiter über das eventuelle Mitlesen belehrt und bestenfalls eine Einverständniserklärung nach Art. 6 Abs. 1 lit.a DS-GVO eingeholt werden.

Sowohl bei der Sammel-E-Mailadresse als auch bei der personalisierten E-Mail Adresse ist zu beachten, dass bei einer auf Art. 6 Absatz 1 lit. f DSGVO gestützten Datenverarbeitung der betroffene Arbeitnehmer ein Widerspruchsrecht nach Art. 21 DSGVO gegen die Verarbeitung (Mitlesen) hat. Übt der Arbeitnehmer dieses Widerspruchsrecht aus, so ist ein Zugreifen auf das E-Mailpostfach (zunächst) nicht (mehr) zulässig, es sei denn der Arbeitgeber kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen des Arbeitnehmers an der Nichtverarbeitung überwiegen (diese dürfte bei der Sammel-E-Mailadresse zu belegen sein), oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Es ist im Falle des Widerspruchs eine weitere, strengeren Anforderung unterliegende, Interessensabwägung und eine Zweckkontrolle durchzuführen.

Zudem ist die Verarbeitung im Umgang mit den E-Mails im Verarbeitungsverzeichnis des Unternehmens nach Art. 30 Abs. 1 DSGVO zwingend zu dokumentieren. Das Verarbeitungsverzeichnis ist das erste Einfallstor für eine Prüfung durch die zuständige Landesdatenschutzbehörde und sollte zwingend von jedem Verantwortlichen auf dem neuesten Stand dokumentiert vorgehalten werden.

Sascha Kugler
Rechtsanwalt und Partner
DEKRA zertifizierte Fachkraft für Datenschutz
TÜV - zertifizierter Compliance Officer

LIGANT Rechtanwälte und Notar
Kurfürstendamm 136
10711 Berlin

Tel.: 030 880 340 0
Fax: 030 880 340 31

kugler@ligant.de
www.ligant.de
www.itm-dsgvo.de
www.easy-hinweis
Das könnte Sie auch interessieren
Datenschutzrecht Erste Abmahnung nach UWG wegen Verstoß gegen die DSGVO - Wie Sie sich vor Abmahnungen schützen können!
Datenschutzrecht Die Umsetzung der DSGVO in der Arztpraxis
Datenschutzrecht Erste Bußgelder wegen Verstößen gegen die DSGVO!
Datenschutzrecht Ankündigung Abmahnung wegen Verstoss gegen DSVGO Artikel 83 – Email von Rechtsanwalt Stephan Könicke