Elektronische Archivierung und Betriebsprüfung
Datenschutzkonforme Trennung privater/ dienstlicher Daten (E-Mails)

Die Ausgestaltung der E-Mail-, Internet- und Intranet-Nutzung unterliegt grundsätzlich dem Direktions- und Weisungsrecht des Arbeitgebers (§ 315 BGB). Dieses sollte freilich auch ausgeübt werden: Restriktionen und Regelungen über diese alltäglich gewordenen Kommunikations- und Informationsmittel sind aus einer ganzen Reihe von guten Gründen und jedenfalls aus rechtlichen dringend empfehlenswert.
So ist die sorgfältige Trennung bzw. Unterscheidung von dienstlicher und privater Nutzung betrieblicher IuK-Systeme der zentrale Anknüpfungspunkt, an dem sich bemisst, welcher gesetzliche Regelungsrahmen (z. B. Datenschutz, Fernmeldegeheimnis, kollektives Arbeitsrecht) eröffnet ist. Das genaue Wissen um diesen Regelungsrahmen ist wiederum für die rechtskonforme innerbetriebliche Organisation unumgänglich. In der betrieblich und behördlichen Praxis mögen – wenn überhaupt – bisherige Regelungen zwar ein generelles Verbot der privaten Internetnutzung irgendwie postulieren. Oft ist aber schon unklar, ob eine solche Regelung nicht zuletzt in Anbetracht der betrieblichen Mitbestimmung überhaupt zu irgendeinem Zeitpunkt tatsächlich rechtswirksam dekretiert bzw. vereinbart wurde. Die Erfahrung zeigt jedenfalls, dass häufig ein von einer restriktiven Regelung abweichendes Nutzungsverhalten in der Vergangenheit zumindest in gewissem Rahmen geduldet worden ist.

Eine geordnete, jederzeit verfügbare Aufbewahrung der elektronischen Geschäftspost ist aber aus Gründen der Rechtssicherheit (forensische Beweisfragen, GOBS, GDPdU) unabdingbar. Muss hiernach der Zugriff des Arbeitgebers auf diese Informationen jederzeit gewährleistet sein, so ist eine automatisierte elektronische Archivierung, die alles, was geschäftlich relevant und zur Durchsetzung oder Abwehr von Ansprüchen notwendig ist, protokolliert, indexiert und kurzfristigen Zugriff erlaubt, ein Compliance-Standard, der heute u. a. auch für das Risikomanagement im Rahmen von Basel II und Euro SOX eine nicht zu unterschätzende Bedeutung hat. Andererseits muss dann aber die Kompatibilität mit dem Persönlichkeits- und Datenschutz der Mitarbeiter, deren (in der Regel teils geschäftlicher, teils privater) Mail-Input und -Output gescannt und archiviert wird, im besonderen Maße sichergestellt werden.
Enthalten elektronisch gespeicherte Datenbestände nicht betriebsrelevante, sondern personenbezogene Daten, so ist es nach Auffassung der Gerichte ausschließlich Sache des Arbeitgebers, seine Datenbestände so zu organisieren, dass bei einer zulässigen Einsichtnahme in die (bspw. steuerlich relevanten) Datenbestände keine Rechte Dritter tangiert werden können.

In eben diesem Spannungsfeld diametral gegenläufiger Interessen und Rechtspflichten (Compliance der Unternehmensleitung vs. Recht auf informationelle Selbstbestimmungen der Mitarbeiter) muss eine wirtschaftlich sinnvolle und rechtlich einwandfreie Regelung getroffen werden, die freilich den Mehrwert moderner Kommunikationsmittel im Betrieb nicht konterkarieren sollte. Häufig fällt eine „private“ Mitteilung aus dienstlichem Anlass schon unter eine „dienstlichen Nutzung“; so jedenfalls, wenn private E-Mails aufgrund der besonderen betrieblichen Situation notwendig sind bzw. zu deren Gestattung der Arbeitgeber aufgrund seiner Fürsorgepflicht verpflichtet wäre (Klassiker: Mitteilung der Verspätung an Familienangehörige, Online-Abrufen von Bahnfahrplänen etc.).
Will man die private Internet-Nutzung am lokalen Arbeitsplatz des vernetzten Rechners des Mitarbeiters dennoch nicht ausnahmslos verbieten, so bleibt entweder nur eine strikte „physikalische“ Trennung der Mail-Accounts in eine private und eine betriebliche Nutzung (z. B. freigegebener Internetzugang im Pausenraum als „Insellösung“, separater bzw. gekennzeichneter E-Mail-Account. Dies ist oft weder wirtschaftlich noch technisch praktikabel). Die Alternative ist eine klar definierte, zeitliche und inhaltliche Einschränkung der Nutzung, die indes durch geeignete Maßnahmen in rechtlich zulässiger Weise kontrollierbar sein muss.

Aber schon bei der Frage der Kontrollmöglichkeit läge da das Problem: Denn bei der nachhaltigen Bereitstellung betriebseigener IuK-Systeme (auch) für private Zwecke fungiert unter dem dann eröffneten Regime des Fernmeldegeheimnisses der Arbeitgeber sozusagen als „Provider“ für seine Mitarbeiter, §§ 3 Nr. 10, 88 ff TKG. In diesem Fall wäre aber die notwendige Kontrolle zur Vermeidung exzessiven oder haftungsbegründenden Nutzungsverhaltens ein inhaltlicher Zugriff auf vorgehaltene, dann ggf. (auch) private Kommunikationsdaten grundsätzlich unzulässig. – und ein gezielter Zugriff hierauf u.U. sogar ein vorsätzlicher Straftatbestand (§ 206 StGB), so ermächtigende objektive Verdachtsmomente auf Missbrauch einen solchen Zugriff nicht gestatten.
Ist die private Nutzung des Internet im Betrieb insgesamt verboten, so fehlt es insoweit zwar an der nach § 3 Nr. 10 TKG erforderlichen geschäftsmäßigen Erbringung von Telekommunikationsleistungen für Dritte. Es verbleibt aber auch dann freilich bei den Schutzbestimmungen des Bundesdatenschutzgesetzes (BDSG), welche allerdings nach der Rechtssprechung des Bundesarbeitsgerichtes „überlagert“ werden, wenn die Verarbeitung personenbezogener Daten z. B. durch eine Betriebsvereinbarung gedeckt wird (diese gilt als „andere Rechtsvorschrift“ im Sinne des § 4 Abs.1 BDSG, wobei in jedem Fall das Mitbestimmungsrecht des Betriebsrates nach § 87 Abs. 1 Nr. 6 BetrVG bei der Einführung und Anwendung von technischen Einrichtungen zur Überwachung des Verhaltens oder der Leistung von Arbeitnehmer zu beachten wäre).
Aber auch hier gilt, dass die Vereinbarung das allgemeine Persönlichkeitsrecht der Arbeitnehmer aus Art. 2 Abs. 1 GG i. V. m. Art. 1 GG zu wahren hat, d. h. die erlaubte „Verarbeitung“ personenbezogener Daten muss durch andere technische und organisatorische Schutzvorkehrungen (siehe § 9 BDSG) die Belange der Arbeitnehmer hinreichend berücksichtigen.

In Bezug auf die vorgenannten „technischen und organisatorischen Schutzmaßnahmen“ ist dann freilich ein ganzes Bündel von Sicherheitsbestimmungen nach der Anlage zu § 9 BDSG zu beachten, die dort zwar nicht enumerativ aufgeführt werden, indes Mindestvorgaben zu Datenschutz und Datensicherheit definieren. Eben diese Vorgaben finden Sie allesamt in unseren Leistungsangeboten berücksichtigt. Gerne finden wir für Ihr Unternehmen den passenden „Regelungsrahmen“ und sorgen für eine wirtschaftliche Umsetzung.

Alle rechtlichen Inhalte auf dieser Seite wurden mitgeteilt von
Rechtsanwalt Henrik Angster
esb Rechtsanwälte Stuttgart