Kontrolle von E-Mail und Internet – was darf der Arbeitgeber?

Ein H&M Callcenter hat seine Mitarbeiter offenbar jahrelang über ihr Privatleben, Krankheiten und andere sensible Informationen ausgefragt und Persönlichkeitsprofile angelegt, woraufhin die Hamburger Datenschutzbehörde ein Rekordbußgeld von rund 35 Millionen Euro verhängt hat. Welche Kontrollmaßnahmen sind bei Mitarbeitern aber zulässig? Wann können die E-Mails und Internet von Mitarbeitern kontrolliert werden, darf eine Kontrollsoftware zum Einsatz kommen, welche Regelungen zur IT-Nutzung braucht der Arbeitgeber und was ist im Hinblick auf den Datenschutz zu beachten?

Wann darf der Arbeitgeber private E-Mails kontrollieren?

Für die Rechtmäßigkeit einer E-Mail- und Internetkontrolle ist danach zu differenzieren, ob der Arbeitgeber die Privatnutzung des geschäftlichen E-Mail-Postfachs sowie des betrieblichen Internets erlaubt hat. Eine Regelung der IT-Nutzung im Unternehmen ist daher unumgänglich. Regelt ein Unternehmen die private Nutzung der betrieblichen Mittel nicht ausdrücklich (etwa durch Arbeitsvertrag oder Betriebsvereinbarung), so gilt zunächst zwar der arbeitsrechtliche Grundsatz, dass Arbeitsmittel nur zu betrieblichen Zwecken genutzt werden dürfen. Wird die private Nutzung jedoch über einen längeren Zeitraum geduldet, wie das in den meisten Unternehmen der Fall ist, so kann dies zu einer betrieblichen Übung führen. Dies hat zur Folge, dass der Arbeitgeber so behandelt wird, als sei die Privatnutzung erlaubt. Probleme ergeben sich dann auch bei vorübergehender Abwesenheit (Urlaub, Krankheit) oder bei Ausscheiden des Mitarbeiters.

Privatnutzung erlaubt oder geduldet

Ist die Privatnutzung von E-Mails und Internet erlaubt oder wird sie geduldet, wird der Arbeitgeber gegenüber seinem Mitarbeiter nach derzeit herrschender Auffassung zum Telekommunikationsdiensteanbieter i. S. v. § 3 Nr. 6 TKG. Der Arbeitgeber ist damit zur Wahrung des Fernmeldegeheimnisses nach § 88 TKG verpflichtet. Die Kontrollmöglichkeiten des Arbeitgebers werden dadurch erheblich eingeschränkt. Die strengeren Maßstäbe für eine Kontrolle der privaten Kommunikation gelten auch für die geschäftlichen E-Mails. Dem Arbeitgeber sind damit die Kontrolle und Protokollierung der IT-Nutzung untersagt. Der Arbeitgeber darf sich von den Inhalten und den Umständen der Telekommunikation nur so weit Kenntnis verschaffen, wie es für die Erbringung der Telekommunikationsdienste z. B. zu Abrechnungszwecken erforderlich ist. Ist der Beschäftigte aus dem Unternehmen ausgeschieden oder dauerhaft erkrankt und der Arbeitgeber benötigt aus betrieblichen Gründen Zugriff auf das E-Mail-Postfach des Mitarbeiters, so ist er daran unter Umständen aufgrund der erlaubten Nutzung dieses Postfaches für die private Kommunikation gehindert. Eine zulässige Inhaltskontrolle der privaten E-Mails kann allenfalls in extremen Ausnahmefällen, z. B. bei Verdacht einer Straftat, vorgenommen werden.

Privatnutzung untersagt

Hat der Arbeitgeber den Privatgebrauch von E-Mail und Internet untersagt, fällt er nicht unter das Telekommunikationsgesetz. Was Kontrollen anbelangt, ist jedoch § 26 BDSG zu beachten. Der Arbeitgeber darf die Verbindungsdaten der E-Mails seiner Mitarbeiter kontrollieren. Möglich sind Stichproben, um eine verbotene private Nutzung auszuschließen. Die Kontrollen können auch anlasslos und verdachtsunabhängig erfolgen. Dauerhafte Kontrollen sind aber nicht zulässig. Chat-Protokolle, können von der Internetkommunikation nur dann erstellt werden, wenn der Arbeitgeber vorab über die Möglichkeit von Kontrollen sowie über deren Art, Anlass und Ausmaß informiert hat. Die Kontrolle darf nicht grundlos geschehen und muss das mildeste Überwachungsmittel darstellen, der Grundsatz der Verhältnismäßigkeit muss daher immer gewahrt bleiben. Dies wird bei der Überprüfung von Chat-Protokollen eher selten der Fall sein, da der Arbeitgeber berechtigt ist, sich die gesamte geschäftliche Kommunikation vom Arbeitnehmer vorlegen zu lassen.

Auch bei der privaten Nutzung des Internets durch den Mitarbeiter während der Arbeitszeit finden die oben genannten Grundsätze Anwendung. Das Surfen im Internet während der Arbeitszeit ist unzulässig, wenn der Arbeitgeber dies ausdrücklich verboten hat. Die vorübergehende Speicherung und stichprobenartige Kontrolle der Verlaufsdaten eines Internetbrowsers kann dann zulässig sein, um die Einhaltung des Verbots einer Beschränkung der Privatnutzung von IT-Einrichtungen des Arbeitgebers zu kontrollieren. Es ist aber lediglich die Speicherung der Adressen und Titel der aufgerufenen Seiten und der Zeitpunkt des Aufrufs zu protokollieren, damit nicht mehr Daten gespeichert als benötigt werden, um einen möglichen inhaltlichen oder zeitlichen Missbrauch der Nutzungsrechte festzustellen.

Verwendung von Keyloggers

Die Verwendung einer sogenannten Keylogger Software, die Tastenanschläge und Bildschirmanzeigen aufzeichnet, ist wegen der Intensität des Eingriffs unzulässig, wenn nicht der konkrete Verdacht einer Straftat oder einer schwerwiegende Pflichtverletzung i. S. v § 26 Abs. 1 S. 2 BDSG besteht. Eine Vollprotokollierung der E-Mail-Daten und entsprechende Auswertung würde zu einem unzulässigen „Persönlichkeitsprofil“ führen.

Was kann bei unzulässigen Kontrollen passieren?

Wenn der Arbeitgeber die private Nutzung von E-Mail und Internet nicht untersagt hat, gilt er rechtlich als Telekommunikationsdiensteanbieter. Damit ist ein Verstoß gegen das Fernmeldegeheimnis nach § 206 StGB denkbar. Hinzu kommen Beweisverwertungsverbote, wenn der Mitarbeiter aufgrund unzulässiger Privatnutzung der IT-Einrichtungen gekündigt werden soll. Der Verstoß gegen die Pflichten des § 26 BDSG ist gemäß Artikel 83 Abs. 5 lit. d) DS-GVO mit einem Bußgeldrahmen von bis zu 20 Millionen EUR (beziehungsweise 4 % des weltweiten Jahresumsatzes) empfindlich sanktioniert. Strafrechtliche Regelungen sind zudem in § 42 BDSG enthalten.

Praxistipp: Arbeitgeber müssen die Maßstäbe gut kennen, die Gerichte in Bezug auf Kontrollmaßnahmen anlegen, um drohende Beweisverwertungsverbote, Bußgelder oder Schadensersatzansprüche wegen Verstoß gegen das allgemeine Persönlichkeitsrecht, das BDSG und die DSGVO zu vermeiden. Schaffen Sie daher Transparenz in Ihrem Unternehmen und regeln Sie die Internet- und E-Mailnutzung im Rahmen einer IT-Policy!

Gerne stehen wir Ihnen bei Fragen zur Verfügung!

Ihre Kanzlei für IT-Recht und Datenschutz München