Einem Arbeitgeber steht es grundsätzlich frei, ob er den Arbeitnehmern die private Nutzung der betrieblichen Kommunikationsmittel (Internet, E-Mail, Smartphones etc.) gestattet. Aufgrund der anfallenden personenbezogenen Daten bei der Privatnutzung sind jedoch die datenschutzrechtlichen Vorgaben zu beachten. Beim Thema Archivierung oder wenn aufgrund von Krankheit, Urlaub oder zur Aufdeckung von Compliance-Verstößen Zugriffe auf die Kommunikation der Beschäftigten erforderlich sind, können die getroffenen Regelungen entscheidende Auswirkungen auf die Zulässigkeit der Maßnahmen haben. Zu beachten ist aber, dass selbst bei einem vollständigen Verbot der Privatnutzung keine absolute Handlungsfreiheit für das Unternehmen bezüglich der Einsichtnahme in die Kommunikation seiner Mitarbeiter besteht.
3.1 Internet und E-Mail
Grundsätzlich gilt, dass die Privatnutzung verboten ist, wenn keine Regelungen getroffen wurden. Allerdings kann die Duldung der privaten Nutzung der betrieblichen Kommunikationsmittel über einen längeren Zeitraum zu einer Erlaubnis führen.
Die Aufsichtsbehörden vertreten die Auffassung, dass bei einer erlaubten Privatnutzung neben den datenschutzrechtlichen Bestimmungen zusätzlich die Vorschriften des Telekommunikationsgesetzes (TKG) bzw. das Telemediengesetz zu beachten sind.
Insbesondere bei der Duldung der Privatnutzung gab es jedoch bereits Gerichtsurteile, die besagten, dass ein Arbeitgeber selbst bei Gestattung der privaten E-Mail-Nutzung kein Dienstanbieter i. S. d. TKG ist (vgl. LAG Berlin-Brandenburg, 16.2.2011, Az.: 4 Sa 2132/10). In der zitierten Entscheidung wurde festgestellt, dass Eingriffe in das Persönlichkeitsrecht des Arbeitnehmers durch Wahrnehmung überwiegend schutzwürdiger Interessen des Arbeitgebers gerechtfertigt sein können.
Im Folgenden wird die Auffassung vertreten, dass sich die Zulässigkeit im Wesentlichen an der DSGVO und dem BDSG orientiert und das TKG nicht einschlägig ist.
Für den Zugriff auf die E-Mails von Beschäftigten oder Protokolldaten und Ähnliches ist demnach ausschlaggebend – sofern die Privatnutzung geduldet wird oder erlaubt wurde und keine Regelungen getroffen wurden, unter welchen Umständen die Einsichtnahme zulässig ist –, dass eine Interessenabwägung zwischen dem allgemeinen Persönlichkeitsrecht des Arbeitnehmers und den schutzwürdigen Interessen des Arbeitgebers erfolgt. In der Praxis ist diese Güterabwägung nur schwer zu ermitteln und häufiger Streitpunkt vor Gerichten. Allgemein kann angenommen werden: Je umfangreicher die Privatnutzung gestattet ist, desto stärker sind die Persönlichkeitsrechte der Arbeitnehmer zu gewichten, wenn keine Regelungen vorhanden sind.
In der Folge ist es unerlässlich, dass schriftliche Regelungen über die Privatnutzung getroffen werden und Zugriff, Protokollierung, Auswertung sowie die Durchführung von Kontrollen klar definiert werden.
Die Notwendigkeit von betrieblichen Regelungen ergibt sich auch vor dem Hintergrund der Archivierung von E-Mails entsprechend den Vorschriften der GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff). Die Nutzung eines automatischen E-Mail-Archivs führt zwangsläufig zu einem datenschutzrechtlichen Konflikt, da private Nachrichten ebenfalls revisionssicher archiviert werden würden.
Privatnutzung verbieten
In Anbetracht der Schwierigkeiten, die einem Arbeitgeber mit der Gestattung der Privatnutzung des betrieblichen E-Mail-Accounts entstehen können, ist der Praxis ein vollständiges Verbot zu empfehlen.
3.2 Mobile Endgeräte
Bei der Überlassung von mobilen Endgeräten sind neben der Privatsphäre der Mitarbeiter auch Sicherheitsaspekte zu beachten, da regelmäßig schützenswerte Firmendaten auf diesen Geräten gespeichert werden. Während PCs und Notebooks gut in die IT-Infrastruktur integriert sind, verbleibt die Konfiguration betrieblich genutzter Smartphones in den meisten Fällen in den Händen der Mitarbeiter.
Es besteht die Gefahr, dass über Smartphones Schadsoftware in das Unternehmen eingeschleust wird oder andere Angriffe erfolgen. Die Anzahl der möglichen Gefährdungen ist groß. Bereits reguläre Apps fordern bei ihrer Installation Zugriffsrechte in einem nicht nachvollziehbaren Umfang, was zu einem ungewollten und unbemerkten Datenabfluss führen kann.
Die Risiken können durch den Einsatz einer Software zum Mobile-Device- Management (MDM) deutlich gesenkt werden, welche die zentrale Verwaltung der Mobilgeräte ermöglicht. Die gängigen MDM-Lösungen isolieren sämtliche geschäftlichen Daten (z. B. Kontaktdaten, E-Mails, Kalender und Dokumente) in einem verschlüsselten Container, in den sich die Mitarbeiter mit ihren internen Zugangsdaten einloggen können.
Einführung einer MDM-Lösung
Bei einer erlaubten Privatnutzung der unternehmenseigenen Smartphones wird neben schriftlichen Regelungen die Einführung einer MDM-Lösung zur einwandfreien Trennung zwischen geschäftlichen und privaten Inhalten sowie zur Gewährleistung der Datensicherh...