Top Themen im Datenschutz:
Arbeitgeber dürfen auf betriebliche E-Mail-Postfächer zugreifen, auch bei privater Nutzung. Die Bundesnetzagentur beendet jahrelange Rechtsunsicherheit. Ein externer Datenschutzbeauftragter hilft bei der DSGVO-konformen Umsetzung der neuen Rechtslage.
Dürfen Arbeitgeber auf E-Mail-Postfächer zugreifen, wenn Beschäftigte diese auch privat nutzen? Diese Frage beschäftigt Unternehmen seit Jahren. Im Kern geht es um das Fernmeldegeheimnis nach § 3 TDDDG.
Verbietet ein Unternehmen die private Nutzung und setzt das durch, gilt das Fernmeldegeheimnis nicht. Dieser Artikel konzentriert sich auf Fälle, in denen Arbeitgeber die private Nutzung erlauben oder dulden.
Gilt das Fernmeldegeheimnis, brauchen Arbeitgeber für jeden Zugriff die Einwilligung des Mitarbeiters. Fällt jemand überraschend aus, kann das Unternehmen im schlimmsten Fall keine wichtigen E-Mails einsehen.
Schwerer wiegt das Strafrecht: Zugriffe ohne Einwilligung erfüllen den Tatbestand des § 206 Abs. 1 StGB. Das gilt etwa, wenn E-Mails eines abwesenden Mitarbeiters an Kollegen weitergeleitet werden.
Das Fernmeldegeheimnis setzt die E-Privacy-Richtlinie um. Diese schützt aber nur öffentlich zugängliche Kommunikationsdienste. Betriebliche E-Mail-Postfächer fallen nicht darunter, weil sie nur Beschäftigten offenstehen. Das Fernmeldegeheimnis nach Art. 10 GG schützt die Vertraulichkeit der Telekommunikation zwischen Bürgern und Staat.
Der deutsche Gesetzgeber ging weiter: § 3 Abs. 2 Nr. 2 TDDDG erfasst auch geschäftsmäßig angebotene Telekommunikationsdienste. Diese überschießende Umsetzung führte zur Unsicherheit. Mehr Details zum TDDDG und seinen Anforderungen finden sich in unserem ausführlichen Ratgeber.
Die DSGVO verdrängt nationale Regeln, die über die E-Privacy-Richtlinie hinausgehen. Für nicht-öffentliche Dienste gilt daher nur die DSGVO, nicht das Fernmeldegeheimnis.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenDas LAG Hessen stufte 2018 Arbeitgeber als Dienstanbieter ein, wenn sie private Nutzung erlauben. Das ArbG Hannover sah das 2005 genauso. Auch Datenschutzbehörden wie der Landesbeauftragte Baden-Württemberg und die Bundesbeauftragte vertraten diese Linie.
Die Datenschutzkonferenz (DSK) warnte in ihrer Orientierungshilfe: Arbeitgeber sollten von der Anwendbarkeit des Fernmeldegeheimnisses ausgehen, bis die Frage geklärt ist.
Der VGH Kassel argumentierte: Nach Abschluss der Übermittlung entfällt der Schutzbedarf. Die spezifischen Gefahren der Fernkommunikation bestehen dann nicht mehr.
Das LAG Berlin-Brandenburg stellte 2016 klar: Arbeitnehmer stehen nicht außerhalb der Sphäre des Arbeitgebers. Das TKG zielt auf Wettbewerbsrecht, nicht auf unternehmensinterne Beziehungen.
Das LG Erfurt betonte: Arbeitgeber sind Nutzer von Telekommunikationsdiensten, keine Anbieter.
Die hessische Datenschutzaufsicht erklärte 2023: Das Fernmeldegeheimnis gilt für kommerzielle Anbieter von Videokonferenzdiensten, nicht für Unternehmen, die diese Dienste nutzen. Letztere sind vergleichbar mit Personen, die einen Telefonanschluss verwenden.
Die Landesdatenschutzbeauftragte NRW argumentiert 2024: Arbeitgebern fehlt der Rechtsbindungswille. Sie treten gegenüber Beschäftigten nicht als Telekommunikationsanbieter auf.
Die Bundesnetzagentur hat als zuständige Behörde nach § 30 Abs. 1 TDDDG nun Stellung bezogen. Ihr Hinweispapier analysiert das Merkmal „in der Regel gegen Entgelt“.
Der EuGH versteht den Entgeltbegriff weit: Eine wirtschaftliche Tätigkeit muss Teil des Wirtschaftslebens sein. Angebote zwischen Arbeitgeber und Arbeitnehmer fallen nicht darunter.
Die BNetzA stellt klar: Betriebliche E-Mail ist ein Arbeitsmittel, keine eigenständige wirtschaftliche Tätigkeit. Private Nutzungsmöglichkeiten ändern daran nichts. Das Angebot zielt nicht auf geschäftlichen Vorteil oder Entgelt.
Vermittlung von Inhalten zur Cyber-Sicherheit. Videos und Best Practices inklusive.
Die Argumentation überzeugt vor allem wegen der Gesetzesänderung 2021. Das alte TKG forderte nur ein nachhaltiges Angebot „mit oder ohne Gewinnerzielungsabsicht“. Das neue TKG verlangt „in der Regel gegen Entgelt“. Das schließt betriebliche E-Mail aus.
Arbeitgeber stellen E-Mail-Konten nicht als wirtschaftliche Tätigkeit bereit, sondern erfüllen ihre Pflicht nach § 611a BGB: Sie müssen geeignete Arbeitsmittel zur Verfügung stellen. Das geschieht unentgeltlich im Innenverhältnis.
Der Vergleich mit anderen Fällen passt: Vereine, die Mitgliedern E-Mail bereitstellen, oder Behörden, die Sachbearbeiter ausstatten, handeln ebenfalls nicht entgeltlich.
Wird die Privatnutzung über längere Zeit geduldet, entsteht eine betriebliche Übung. Das bedeutet: Arbeitgeber dürfen dann die private Nutzung nicht einfach so verbieten. Das ginge nur über eine Änderungskündigung.
Viele Unternehmen haben klare Regelungen in die Arbeitsverträge aufgenommen. Diese reichen von einem vollständigen Verbot der privaten Nutzung bis hin zur uneingeschränkten Erlaubnis.
Ohne Fernmeldegeheimnis sind Beschäftigte nicht schutzlos. Die DSGVO gilt weiter. Arbeitgeber brauchen für jeden Zugriff eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO. Bei Unsicherheiten über die rechtskonforme Verarbeitung von Beschäftigtendaten sollten Unternehmen einen externen Datenschutzbeauftragten hinzuziehen.
Private E-Mails dürfen Arbeitgeber nicht lesen, unabhängig davon, ob private Nutzung erlaubt ist. Erkennt der Arbeitgeber den privaten Charakter einer Nachricht, muss er aufhören.
Eine lückenlose Überwachung bleibt unzulässig. Verstöße gegen die DSGVO führen zu Bußgeldern und Schadensersatzansprüchen. Die Grundsätze der DSGVO zur Datenverarbeitung gelten auch für Beschäftigtendaten.
Mit der Position der BNetzA entfällt auch das Strafbarkeitsrisiko nach § 206 StGB. Zwar bindet die Aussage einer Behörde die Staatsanwaltschaft nicht. Aber eine strafrechtlich eigenständige Auslegung widerspricht dem erkennbaren Gesetzgeberwillen.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenUnternehmen sollten die E-Mail-Nutzung durch eindeutige Dienst- oder Betriebsvereinbarungen regeln. Dies gewährleistet eine interessengerechte Ausgestaltung und gibt sowohl dem Arbeitgeber als auch den Beschäftigten Klarheit und Rechtssicherheit. Eine Mitarbeiter-Richtlinie zur Informationssicherheit sollte auch Regelungen zur E-Mail-Nutzung enthalten.
Eine klare Vereinbarung bezüglich der Privatnutzung ist ratsam. Ebenso sollte eine Festlegung von Kontroll- und Einsichtsrechten des Arbeitgebers stattfinden.
Option 1: Verbot der Privatnutzung Am einfachsten ist es, die private Nutzung des betrieblichen E-Mail-Accounts zu untersagen. Das empfehlen auch die Datenschutzbehörden. Wichtig: Das Verbot muss tatsächlich kontrolliert werden. Ansonsten entsteht durch Duldung eine betriebliche Übung.
Option 2: Erlaubte Privatnutzung mit Kennzeichnung Private E-Mails können erlaubt werden, wenn eine Kennzeichnungspflicht besteht. Arbeitnehmer müssen private Nachrichten im Betreff mit „privat“ markieren. Dies erleichtert die Trennung geschäftlicher und privater Kommunikation.
Option 3: Separate E-Mail-Konten Eine noch sicherere Lösung wären spezielle E-Mail-Konten für private Zwecke. Oder der Arbeitgeber erlaubt die Nutzung des privaten E-Mail-Accounts während der Arbeitszeit oder in den Pausenzeiten.
Fällt ein Mitarbeiter länger aus, können Arbeitgeber auf das E-Mail-Postfach zugreifen. Voraussetzung: Es gibt eine Rechtsgrundlage nach DSGVO. Beschäftigte sollten vorab über mögliche Zugriffe informiert werden. Dies geschieht idealerweise durch eine DSGVO-konforme Datenschutzerklärung und klare Informationspflichten nach Art. 13 DSGVO.
Das Lesen offensichtlich privater E-Mails ist ausgeschlossen. Ausnahme: Es liegen konkrete Anhaltspunkte vor, dass sich eine Straftat aus dem Inhalt dieser E-Mail ergibt.
Unternehmen sollten folgende Maßnahmen ergreifen:
Schritt 1: Bestandsaufnahme Prüfen Sie Ihre aktuellen Regelungen zur E-Mail-Nutzung. Existieren schriftliche Vereinbarungen im Arbeitsvertrag oder in Betriebsvereinbarungen? Wird eine betriebliche Übung gelebt?
Schritt 2: Entscheidung treffen Legen Sie fest, ob Sie die private Nutzung erlauben, begrenzen oder verbieten möchten. Berücksichtigen Sie dabei Ihre betrieblichen Anforderungen und die Praktikabilität.
Schritt 3: Regelung schriftlich fixieren Erstellen Sie eine klare, verständliche Regelung. Diese sollte folgende Punkte enthalten: Umfang der Privatnutzung, Kennzeichnungspflichten, Kontrollrechte des Arbeitgebers, Folgen bei Verstößen.
Schritt 4: Beschäftigte informieren Informieren Sie alle Mitarbeiter transparent über die neuen Regelungen. Dokumentieren Sie die Information schriftlich. Bei bestehenden Arbeitsverhältnissen kann eine Zustimmung erforderlich sein.
Schritt 5: Technische Maßnahmen Setzen Sie die Regelungen technisch um. Bei getrennten Postfächern: Einrichtung privater E-Mail-Konten. Bei Kennzeichnungspflicht: Schulung der Mitarbeiter.
Schritt 6: Regelmäßige Überprüfung Überprüfen Sie regelmäßig, ob die Regelungen eingehalten werden und ob sie noch zweckmäßig sind. Passen Sie bei Bedarf an.
Nein. Die Bundesnetzagentur stellt klar: Arbeitgeber sind keine Telekommunikationsanbieter, wenn sie die private Nutzung betrieblicher E-Mail-Postfächer erlauben oder dulden. Das Fernmeldegeheimnis greift nicht. Es gilt die DSGVO.
Ja, aber nur mit einer Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO. Ein Zugriff ist möglich, wenn er zur Durchführung des Arbeitsverhältnisses erforderlich ist. Beispiel: Ein Mitarbeiter fällt länger aus und wichtige Geschäftskorrespondenz muss bearbeitet werden. Private E-Mails dürfen dabei nicht gelesen werden.
Das TDDDG (früher TTDSG) änderte die Definition der Geschäftsmäßigkeit. Das alte TKG forderte ein Angebot „mit oder ohne Gewinnerzielungsabsicht“. Das neue Gesetz verlangt „in der Regel gegen Entgelt“. Arbeitgeber stellen E-Mail-Konten unentgeltlich als Arbeitsmittel bereit. Sie handeln nicht geschäftsmäßig.
Wird die Privatnutzung über längere Zeit geduldet, entsteht eine betriebliche Übung. Arbeitgeber dürfen dann die private Nutzung nicht einfach verbieten. Eine Änderung ist nur über Änderungskündigungen oder Zustimmung der Beschäftigten möglich.
Empfehlung: Treffen Sie klare schriftliche Vereinbarungen. Diese sollten den Umfang der Privatnutzung, Kennzeichnungspflichten, Kontrollrechte und Folgen bei Verstößen regeln. Informieren Sie alle Beschäftigten transparent über die Regelungen.
Nein. Private E-Mails sind geschützt, unabhängig davon, ob Privatnutzung erlaubt ist. Erkennt der Arbeitgeber den privaten Charakter einer Nachricht, darf er diese nicht lesen. Eine Kennzeichnungspflicht („privat“ im Betreff) erleichtert die Trennung.
Für Zugriffe auf E-Mail-Postfächer kommen folgende Rechtsgrundlagen in Betracht: Art. 6 Abs. 1 lit. b DSGVO (Durchführung des Arbeitsverhältnisses), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse), Einwilligung des Beschäftigten nach Art. 6 Abs. 1 lit. a DSGVO.
Verstöße gegen die DSGVO können zu Bußgeldern bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes führen. Zusätzlich können Beschäftigte Schadensersatzansprüche nach Art. 82 DSGVO geltend machen. Eine lückenlose Überwachung ist unzulässig.
Ist die Privatnutzung verboten und wird dies durchgesetzt, gilt das Fernmeldegeheimnis nicht. Arbeitgeber dürfen dann auf alle E-Mails zugreifen, da es sich um rein dienstliche Korrespondenz handelt. Auch hier gelten die Vorgaben der DSGVO. Private E-Mails, die trotz Verbot eingehen, dürfen nicht gelesen werden.
Die Datenschutzkonferenz (DSK) hat ihre Position noch nicht offiziell angepasst. In der Vergangenheit ging sie davon aus, dass das Fernmeldegeheimnis auf Arbeitgeber anwendbar ist. Einzelne Landesdatenschutzbehörden haben ihre Auffassung bereits geändert und schließen sich der Bundesnetzagentur an.
Die Bundesnetzagentur beseitigt die jahrelange Unsicherheit. Unternehmen dürfen bei Bedarf auf Postfächer ihrer Beschäftigten zugreifen. Das entspricht der gelebten Praxis.
Die Gesetzesänderung 2021 ermöglicht eine differenzierte Betrachtung privater und geschäftlicher E-Mails. Das schafft einen fairen Ausgleich zwischen Arbeitgeber- und Arbeitnehmerinteressen.
Ob die Datenschutzkonferenz ihre Position anpasst, bleibt abzuwarten. Entscheidend ist: Sie ist ohnehin nicht zuständig. Die Bundesnetzagentur als zuständige Behörde hat geurteilt.
Sie möchten sich einen ersten schnellen Überblick über die Kosten eines eDSB verschaffen? Nutzen Sie unseren Rechner für eine individuelle Preiskonfiguration.
Professioneller Datenschutz zum Budget-Preis mit Software, Schulungen, Audits & Vorlagen inklusive
Wir helfen Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen. Als Beratungsdienstleister und externer Datenschutzbeauftragter sorgen wir für die Einhaltung der DSGVO-Vorgaben bei der Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen.
Registrieren Sie sich für unseren kostenlosen Newsletter mit lesenswerten Neuigkeiten zum Datenschutz und Best-Practices zur Umsetzung.
* Pflichtfeld. Mit der Registrierung erklären Sie Ihr Einverständnis zum Erhalt des Cortina Legal-Updates mit Mailchimp sowie zur Interessen-Analyse durch Auswertung individueller Öffnungs- und Klickraten. Zu Ihrer und unserer Sicherheit senden wir Ihnen vorab noch eine E-Mail mit einem Bestätigungs-Link (sog. Double-Opt-In); die Anmeldung wird erst mit Klick auf diesen Link aktiv. Dadurch stellen wir sicher, dass kein Unbefugter Sie in unser Newsletter-System eintragen kann. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft und ohne Angabe von Gründen widerrufen; z. B. durch Klick auf den Abmeldelink am Ende jedes Newsletters. Nähere Informationen zur Verarbeitung Ihrer Daten finden Sie in unserer Datenschutzerklärung.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen