Rz. 7
Die Zulässigkeit von E-Mail-Kontrollen hängt davon ab, ob der Arbeitgeber eine private Nutzung des geschäftlichen E-Mail-Accounts erlaubt hat oder nicht. Nur dann, wenn eine solche Nutzung ausdrücklich untersagt wurde, ist eine E-Mail Auswertung dieses dann ausschließlich betrieblichen E-Mail-Postfachs möglich.
Rz. 8
In anderen Fällen der Gestattung oder bloßen Duldung der privaten Nutzung ist es in der Literatur umstritten, ob der Arbeitgeber hierdurch zum Telekommunikationsanbieter i.S.d. § 3 Nr. 6 TKG wird. Zusätzlich gilt es ggf., das Fernmeldegeheimnis nach § 88 TKG zu berücksichtigen, was bei etwaigen Kontrollmaßnahmen zu einem Einwilligungserfordernis beim Arbeitnehmer führt – allerdings nach herrschender Ansicht nur bezogen auf noch im Übertragungsvorgang begriffene Nachrichten (tiefergehend: Hauschka/Moosmayer/Lösler/Mengel, Corporate Compliance, 2016, § 39 Rn 97 ff). Auch verschiedene Entscheidungen, die solchen Wertungen in spezifischen Sichten entgegentreten, bieten indes keine verlässliche Handlungsgrundlage (VGH Mannheim v. 30.7.2014 – 1 S 1352/13; LAG Berlin-Brandenburg v. 16.2.2011 - 4 Sa 2132/10). In der Praxis empfiehlt sich daher im Kontext der Erteilung einer Erlaubnis zur Privatnutzung der Systeme die Einholung einer entsprechenden arbeitnehmerseitigen Einwilligung in etwaige Kontrollen.
Rz. 9
In Anlehnung an § 32 BDSG a.F. erlaubt § 26 BDSG die Verarbeitung personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses, konkret u.a. im Zusammenhang mit dessen Begründung, der Durchführung und der Beendigung, sofern diese Verarbeitung erforderlich ist. Mit dem Kriterium der Erforderlichkeit bezeichnet das Gesetz – wie schon in § 32 BDSG a.F. und entsprechend der schon langjährig vom BAG geforderten Verhältnismäßigkeitsprüfung – eine Abwägung der gegenläufigen Interessen (Brink/Wolff/Riesenhuber, BeckOK-Datenschutzrecht, 2020, § 26 BDSG Rn 32–33 m.w.N.).
Rz. 10
Ob Compliance-bezogene Präventivmaßnahmen des Arbeitgebers in diesem Kontext möglich sind, bleibt auch nach der erfolgten Neuregelung gleichen Inhalts unklar und umstritten. Vertretbar erscheint es, präventive Maßnahmen im Rahmen der Durchführung des Beschäftigungsverhältnisses zuzulassen (Gola, BB 2017, 1462, 1467). Dann geht es, gewissermaßen generalpräventiv, um die Vermeidung von Straftaten und damit verbundene "erzieherische" Effekte. Solche Maßnahmen können indes unter dem Gesichtspunkt der Wahrung berechtigter Interessen des Arbeitgebers auch in Art. 6 Abs. 1f) DSGVO ihre Grundlage finden.
Rz. 11
Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten – wie schon nach der zuvor geltenden Rechtslage – nach § 26 Abs. 1 S. 2 BDSG nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind. Nicht aufgegriffen hat der Gesetzgeber im Rahmen des Gesetzgebungsverfahrens die u.a. vom Bundesrat vorgeschlagene Regelung, dass eine Kontrolle auch mit Blick auf gravierende Pflichtverletzungen möglich ist (Gola, BB 2017, 1462, 1466). Das BAG hat indes, zumindest für die Praxis hilfreich, zu den bereits bislang wortgleich geltenden gesetzlichen Anforderungen klargestellt, dass sich der Verdacht in Bezug auf eine konkrete strafbare Handlung zu Lasten des Arbeitgebers nur gegen einen zumindest räumlich und funktional abgrenzbaren Kreis von Arbeitnehmern richten muss und nicht notwendig gegen einen konkreten Arbeitnehmer (BAG v. 22.9.2016 – 2 AZR 848/15).
Dieser Inhalt ist unter anderem im Deutsches Anwalt Office Premium enthalten. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen