Dienstliche und private E-Mail- und Internet-Nutzung am Arbeitsplatz - Juni 2012

DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ

Dienstliche und private E-Mail- und Internet-Nutzung am Arbeitsplatz
– Stand: 1. Juni 2012 –

Seite 2

Der Landesbeauftragte für den Datenschutz Baden-Württemberg Königstraße 10a 70173 Stuttgart Telefon 0711/615541-0 Telefax 0711/615541-15 E-Mail: poststelle@lfd.bwl.de (Schutzbedürftige Daten sollten nicht unverschlüsselt per E-Mail oder via Telefax übertragen werden.) PGP-Fingerprint: A5A5 6EC4 47B2 6287 E36C 5D5A 43B7 29B6 4411 E1E4 Homepage: www2.baden-wuerttemberg.datenschutz.de

Seite 3 Vielen Beschäftigten des öffentlichen Dienstes und der Privatwirtschaft wird heute ein Zugang zum Internet als Arbeitsmittel von ihrem Arbeitgeber zur Verfügung gestellt. Beim Umgang mit den dabei anfallenden personenbezogenen Daten der Beschäftigten, ihrer Kommunikationspartner und anderer Betroffener (vor allem Dritter, deren Namen in einer E-Mail enthalten sind) hat der Arbeitgeber bestimmte datenschutzrechtliche Anforderungen zu beachten. Diese hängen davon ab, ob und wenn ja, in welchem Umfang den Beschäftigten neben der dienstlichen auch die private Nutzung ihres dienstlichen E-Mail-Accounts und/oder des Internets gestattet wird. In beiden Fällen ist der Arbeitgeber berechtigt, den Zugriff des einzelnen Beschäftigten auf das Internet zu protokollieren. Zur Aufrechterhaltung der Systemsicherheit, zur Analyse und Korrektur technischer Fehler, zur Optimierung der Rechnerleistungen im Netzwerk, zur Ermittlung der Kosten verbrauchter Ressourcen zwecks interner Leistungsverrechnung sowie zur Vorbeugung strafrechtlich relevanten Verhaltens und zur Kontrolle der Einhaltung dienst-/arbeitsrechtlicher Vorgaben kann jeder Zugriff auf das Internet mit Benutzeridentifikation (IP-Adresse, Ethernet-Adresse, Datum und Uhrzeit, Zugriff, übertragener Datenmenge sowie Zieladresse) protokolliert und so lange gespeichert werden, wie dies zur Erfüllung der beschriebenen Zwecke erforderlich ist. Der Zugriff auf die Protokolldaten ist grundsätzlich auf das technische Personal zu begrenzen, das für den Netzbetrieb und die Bereitstellung der verfügbaren Dienste zuständig ist. Der Umfang der Protokolldaten sowie die Speicherungsdauer der Protokolldateien muss vorab festgelegt und den Beschäftigten bekannt gegeben werden. In begründeten Fällen von Missbrauch oder beim Verdacht strafbarer Handlungen kann eine weitergehende Einsicht in die Protokolldaten vorgenommen werden. Dabei sollte ein Verfahren gewählt werden, das die betroffenen Personen von dem Verdacht in Kenntnis setzt und die zuständige Personalvertretung sowie den betroffenen Datenschutzbeauftragten einbezieht.

1. Verbot der privaten Nutzung Gestattet ein Arbeitgeber die Nutzung eines personalisierten dienstlichen E-MailAccounts (z.B. Peter.Mustermann@Unternehmen.com) und des Internets ausschließlich zu dienstlichen Zwecken, ist er nicht Anbieter im Sinne des Telekommunikations- und Telemedienrechts. Die Zulässigkeit der Erhebung und Verarbeitung von Daten über das Nutzungsverhalten der Beschäftigten richtet sich nach den jeweils einschlägigen, am Erforderlichkeitsmaßstab orientierten Vorschriften des Bun-

Seite 4 desdatenschutzgesetzes (BDSG) bzw. des Landesdatenschutzgesetzes (LDSG). Das Fernmeldegeheimnis (§ 88 TKG) gilt insoweit nicht. Der Arbeitgeber hat in diesen Fällen grundsätzlich das Recht, stichprobenweise zu überprüfen, ob das Surfen bzw. Versenden von E-Mails durch die Beschäftigten dienstlicher Natur ist. Von ein- und ausgehenden dienstlichen E-Mails seiner Beschäftigten darf der Arbeitgeber im selben Maße Kenntnis nehmen wie von deren übrigem dienstlichen Schriftverkehr. So könnte der Vorgesetzte verfügen, dass ihm seine Mitarbeiter jede ein- oder ausgehende E-Mail einzeln zur Kenntnis zuleiten. Eine automatisierte Vollkontrolle durch den Arbeitgeber ist dagegen als schwerwiegender Eingriff in das Persönlichkeitsrecht des Beschäftigten nur bei konkretem Missbrauchsverdacht im Einzelfall zulässig. Eine automatisierte Weiterleitung aller ein- und ausgehenden E-Mails an den Vorgesetzten wäre mangels Erforderlichkeit ebenfalls unzulässig. Dagegen ist es zulässig, dass der Vorgesetzte oder ein Vertreter des Beschäftigten Einsicht in dessen persönlichen E-Mail-Account nimmt und auf die dort eingegangenen dienstlichen E-Mails zugreift, wenn während einer (längeren) Abwesenheit des Beschäftigten die dienstlichen E-Mails weiterbearbeitet werden müssen, weil dies zur Aufrechterhaltung eines ordnungsgemäßen Betriebsablaufs erforderlich ist. Dabei ist durch eine entsprechende Verfahrensgestaltung zu gewährleisten, dass EMails mit erkennbar privatem Inhalt sowie solche, die der Kommunikation des Beschäftigten mit seinen Interessenvertretungen (Betriebsrat, Personalrat, Jugend- und Ausbildungsvertretung, Schwerbehindertenvertretung oder Gleichstellungsbeauftragten) oder dem betriebsärztlichen Dienst dienen, nur in dem Umfang vom Arbeitgeber oder sonstigen Dritten zur Kenntnis genommen werden, wie dies unerlässlich ist, um sie von den dienstlichen E-Mails zu trennen. Deshalb bietet es sich an, zunächst eine Sichtung der E-Mails durch den Vertreter oder eine andere vom Arbeitgeber bestimmte Person vorzusehen. Wenn sich im Rahmen der Sichtung aus dem Absender und/oder Betreff einer E-Mail Anhaltspunkte dafür ergeben, dass es sich um eine geschützte und dem Privatbereich zuzurechnende E-Mail handelt, ist der Arbeitgeber oder die von ihm bestimmte Person nicht weiter berechtigt, den Inhalt der E-Mail zur Kenntnis zu nehmen, zu verarbeiten oder zu nutzen. Soweit die Nutzung von E-Mail- und Internetdiensten zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherung des ordnungsgemäßen Betriebs der Verfahren protokolliert wird, dürfen diese Daten nur zu diesem Zweck genutzt werden. Eine Verwendung der Daten zur Verhaltens- und Leistungskontrolle der Beschäftigten ist unzulässig. Der Umfang und die Zulässigkeit der Protokollierung und

Seite 5 Auswertung der Internetnutzung der Beschäftigten sollte in einer Betriebs- oder Dienstvereinbarung bzw. (in kleineren Betrieben) in den individuellen Arbeitsverträgen oder in einer Richtlinie des Arbeitgebers, mit der dieser sein Direktionsrecht wahrnimmt, geregelt werden. Ein Anspruch auf Zulassung der privaten Nutzung von Internet und E-Mail am Arbeitsplatz – auch nur in geringem Umfang – steht den Arbeitnehmern gegen ihren Arbeitgeber nicht zu. Da es sich dabei um die Gewährung einer freiwilligen Leistung handelt, besteht insoweit auch kein Mitbestimmungsrecht des Betriebsrats. Selbst beim Verbot der privaten Nutzung von Internet und E-Mail am Arbeitsplatz ist eine sog. dienstlich motivierte Privatnutzung jedoch regelmäßig zulässig. Diese liegt vor, wenn die Notwendigkeit der Kommunikation aus Umständen herrührt, die in der Sphäre des Arbeitgebers begründet sind und der Arbeitgeber aufgrund seiner Fürsorgepflicht gehalten ist, die private Nutzung zu gestatten. Das ist etwa dann der Fall, wenn ein privater Termin aus geschäftlichen Gründen nicht eingehalten werden kann und der Betroffene deshalb kurzfristig per E-Mail informiert werden soll. Auch ein privater Austausch mit Kollegen am Arbeitsplatz in begrenztem Umfang, wie z. B. eine Verabredung zum gemeinsamen Mittagessen, kann danach zulässig sein.

2. Ausdrückliche Zulassung der privaten Nutzung Soweit der Arbeitgeber seinen Beschäftigten die Nutzung ihrer dienstlichen E-MailAccounts und/oder ihres dienstlichen E-Mail-Zugangs zu privaten Zwecken gestattet, ist er ihnen gegenüber Telekommunikations- und Telemediendienste-Anbieter und unterliegt damit den speziellen Vorgaben des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG). Der Arbeitgeber ist danach den Arbeitnehmern gegenüber zur Einhaltung des Telekommunikationsgeheimnisses verpflichtet. Eine Protokollierung der Nutzung darf ohne Einwilligung nur erfolgen, wenn sie zu Zwecken der Datenschutzkontrolle, der Datensicherung, zur Sicherung des ordnungsgemäßen Betriebs der Verfahren oder zu Abrechnungszwecken erforderlich ist, oder der Verdacht auf eine strafrechtlich relevante Nutzung vorliegt. Eine darüber hinausgehende Protokollierung und Kontrolle durch den Arbeitgeber ist nur mit Einwilligung des Arbeitnehmers oder aufgrund der Regelung in einer Betriebsvereinbarung zulässig. Da der Dienstherr nicht verpflichtet ist, die private Nutzung des Internets oder eines dienstlichen E-Mail-Accounts zu gestatten, und ein berechtigtes Interesse daran hat, Missbrauch und strafbare Handlungen nicht nur im dienstlichen Bereich, sondern

Seite 6 auch bei der privaten Nutzung des dienstlichen Internet-Zugangs zu unterbinden, kann er die Erlaubnis der privaten Nutzung an bestimmte Bedingungen hinsichtlich des zulässigen Zeitrahmens, der zugelassenen Bereiche, einer zu duldenden Protokollierung sowie einer regelmäßig durchzuführenden Kontrolle knüpfen. Im individuellen Arbeitsvertrag, in internen Richtlinien des Arbeitgebers oder in einer Betriebsvereinbarung (falls ein Betriebsrat besteht) sollten in diesen Fällen der Umfang der zugelassenen privaten Nutzung und der Protokollierung sowie die Einzelheiten der vom Arbeitgeber durchzuführenden Missbrauchskontrolle im Einzelnen geregelt werden. Beschäftigte, die in Kenntnis solcher Regelungen das Internet privat nutzen, willigen dadurch konkludent mit ihrem Verhalten in die vorgesehenen Einschränkungen des Fernmeldegeheimnisses durch Protokollierung und Kontrollmaßnahmen des Arbeitgebers ein. Der Arbeitgeber kann die Gestattung der Privatnutzung auf den Internet-Zugang begrenzen und den persönlichen E-Mail-Account, den er in seinem System für jeden Arbeitnehmer eingerichtet hat, hiervon ausnehmen. Der Arbeitnehmer darf dann am Arbeitsplatz private E-Mails nur über einen Web-Mail-Dienst senden und empfangen, nicht jedoch über seinen dienstlichen E-Mail-Account. In diesem Fall greift bezüglich des dienstlichen E-Mail-Accounts das Fernmeldegeheimnis von vorneherein nicht ein. Insoweit gilt das oben unter Ziffer 1 dargestellte. Bezüglich der sonstigen Internet-Nutzung ist der Arbeitgeber dagegen an die Vorgaben des TKG und TMG, insbesondere an das Fernmeldegeheimnis gemäß § 88 TKG gebunden und darf eine über die Zwecke der Datenschutzkontrolle, der Abrechnung, der Datensicherheit oder der Vorbeugung strafrechtlich relevanten Verhaltens hinausgehende Protokollierung und Auswertung nur auf der Grundlage einer individuellen Einwilligung des Arbeitnehmers oder einer kollektiven Regelung in einer Betriebsvereinbarung vornehmen. Umgekehrt kann der Arbeitgeber den dienstlichen E-Mail-Account zur privaten (Mit-) Benutzung freigeben und jede sonstige private Internet-Nutzung ausschließen. In diesem Fall gelten die unter Ziffer 1 dargestellten Grundsätze bezüglich des InternetZugangs, während der dienstliche E-Mail-Account dann vollumfänglich dem Schutz des Fernmelde- (bezüglich der Verbindungsdaten) und Postgeheimnisses (bezüglich der Inhaltsdaten) unterfällt und ein Zugriff des Arbeitgebers hierauf nur aufgrund arbeitsvertraglicher Regelungen, einer individuellen Einwilligung des Arbeitnehmers oder der Regelung in einer Betriebsvereinbarung zulässig ist.

Seite 7 3. Unterbliebene Regelung Stellt ein Arbeitgeber seinen Beschäftigten einen personalisierten E-Mail-Account und / oder einen Internet-Zugang zur Verfügung, ohne Regelungen zur Zulässigkeit der privaten Nutzung zu treffen, oder überwacht er ein Verbot der privaten Nutzung nicht ausreichend, kann dies dazu führen, dass eine Gestattung der privaten Nutzung in Form einer sog. „betrieblichen Übung“ vorliegt. Dies steht einer ausdrücklichen Erlaubnis der privaten Nutzung gleich. Von einer betrieblichen Übung spricht man dann, wenn ein Arbeitnehmer aus der regelmäßigen Wiederholung bestimmter Verhaltensweisen des Arbeitgebers einen konkreten Verpflichtungswillen des Arbeitgebers ableiten kann, ihm solle eine Leistung oder Vergünstigung auf Dauer gewährt werden. Um der Entstehung einer betrieblichen Übung entgegenzuwirken, sollten Arbeitgeber von ihrem Recht, stichprobenweise zu prüfen, ob das Surfen bzw. Versenden von E-Mails durch die Arbeitnehmer dienstlicher Natur ist, Gebrauch machen und im Fall der Entdeckung von Missständen auch Abmahnungen aussprechen oder Sanktionen verhängen. Auf diese Überwachung und in Betracht kommende Sanktionen sind die Arbeitnehmer vorab hinzuweisen. In jedem Fall sollte der Arbeitgeber eine ausdrückliche Regelung zur Frage der Zulässigkeit der privaten Nutzung des dienstlichen E-Mail-Accounts und / oder des Internet-Zugangs treffen, um die aus fehlenden Regelungen folgende Rechtsunsicherheit zu vermeiden. Weiterführende Hinweise können folgenden im Internet abrufbaren Broschüren entnommen werden:

– Die Nutzung von E-Mail und Internet im Unternehmen – Rechtliche Grundlagen
und Handlungsoptionen, Hrsg.: Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM), www.BITKOM.org – Private oder dienstliche Internet- und E-Mail-Nutzung?, Hrsg.: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, www.datenschutzzentrum.de

– Orientierungshilfe zur datenschutzgerechten Nutzung von E-Mail und anderen
Internetdiensten am Arbeitsplatz, Hrsg.: Arbeitskreis Medien der Datenschutzkonferenz, abrufbar unter www.bfdi.bund.de (http://www.bfdi.bund.de/SharedDocs/Publikationen/Arbeitshilfen/Orientierungshilf eZurDatenschutzgerechtenNutzungVonEMailUndAnderenInternetdienstenAmArb eitsplatz.html?nn=409168) – Datenschutzrechtliche Grundsätze bei der dienstlichen/privaten Internet- und EMail-Nutzung am Arbeitsplatz, abrufbar unter www.bfdi.bund.de (http://www.bfdi.bund.de/SharedDocs/Publikationen/Arbeitshilfen/LeitfadenInterne tAmArbeitsplatzneu.pdf?__blob=publicationFile)