Stuttgart, 27. Juli 2009
Pressemitteilung
E-Mail-Kontrollen der Stadt Remseck waren mangels klarer und transparenter Regelungen nicht zulässig
Landesdatenschutzbeauftragter gibt Hinweise für künftige Regelungen
Die Kontrollen von E-Mail-Postfächern von Beschäftigten bei der Großen Kreisstadt Remseck am Neckar waren nach der Beurteilung des Landesbeauftragten für den Datenschutz, Jörg Klingbeil, datenschutzrechtlich nicht zulässig: „Zwar waren die einzelnen Kontrollmaßnahmen nicht als solche unangemessen. Es fehlte aber an klaren Regelungen zur Kontrolle und deswegen auch an der notwendigen Transparenz für die Beschäftigten.“
Die Prüfung habe ergeben, dass die Leiterin des Haupt- und Personalamts der Stadt mit Unterstützung des städtischen IT-Administrators etwa alle drei Monate die elektronischen Postfächer von drei bis vier nach dem Zufallsprinzip ausgewählten Beschäftigten eingesehen habe. Anhaltspunkte dafür, dass eine zielgerichtete Kontrolle von Mitarbeitern, die mit Journalisten verkehren, stattgefunden hat, hätten sich nicht ergeben; das schließe jedoch nicht aus, dass solche E-Mails Gegenstand einer Überprüfung nach dem Zufallsprinzip sein konnten. Die Stadt habe glaubhaft versichert, dass E-Mails und etwaige Anhänge ausnahmslos weder geöffnet noch gelesen worden seien. In dem aus den Medien bekannten Fall sei die private Nutzung bereits durch die Bezeichnung der E-Mail-Postfächer in Outlook deutlich erkennbar gewesen. Der Oberbürgermeister habe auch klargestellt, dass er keine Administrator-Rechte gehabt habe.
Der Landesbeauftragte für den Datenschutz, Jörg Klingbeil, hat anlässlich des konkreten Einzelfalls darauf hingewiesen, dass für eine Kontrolle von E-Mails von Beschäftigten allgemein unter anderem folgende Eckpunkte gelten:
- Der Dienstherr muss den Beschäftigten die private Nutzung des Internets nicht erlauben. Entschließt er sich jedoch dazu, muss es ihm grundsätzlich möglich sein, diese Erlaubnis an einschränkende Voraussetzungen zu knüpfen (etwa an eine angemessene Art der Kontrolle).
- Der Dienstherr hat grundsätzlich das Recht, stichprobenartig zu prüfen, ob das E-Mail-Versenden der Beschäftigten dienstlicher Natur ist. Dabei muss er – auch wenn ausschließlich dienstliche Nutzung erlaubt ist – in jedem Fall aber unter anderem Folgendes beachten:
- Die Fragen der Protokollierung, Auswertung und Durchführung von Kontrollen bei der Nutzung der E-Mail-Funktion müssen eindeutig geregelt werden.
- Die Beschäftigten sind umfassend darüber zu informieren (Grundsatz der Transparenz) und auch auf mögliche Überwachungsmaßnahmen und in Betracht kommende Sanktionen hinzuweisen, damit sie Art und Umfang der Verarbeitung ihrer personenbezogenen Daten nachvollziehen können.
Im konkreten Fall habe – so der Landesdatenschutzbeauftragte – die städtische EDV-Dienstanweisung die Kontrollmaßnahmen durch den Dienstherrn nicht klar genug geregelt; deswegen habe die notwendige Transparenz der Kontrollen für die Beschäftigten gefehlt. Insbesondere seien die Fragen,
- welche Daten „protokolliert“ und wie lange sie gespeichert wurden,
- unter welchen Voraussetzungen „Ausnahmefälle“ vorlagen, in denen die private Nutzung der elektronischen Post „möglich“ war, und
- unter welchen Voraussetzungen und zu welchen Zwecken ein Zugriff der IT-Administration auf die Postfächer der Bediensteten „möglich“ war,
nicht eindeutig geregelt gewesen. Die Kontrollen seien auf dieser Grundlage deshalb nicht zulässig gewesen.
Die Stadt hat nach den Worten des Landesdatenschutzbeauftragten erklärt, die Kontrollen der Nutzung der E-Mail-Funktion nicht in der bisherigen Weise fortsetzen zu wollen. Deswegen habe er auch von einer Beanstandung abgesehen. „Für die künftige Handhabung“, so Jörg Klingbeil, „habe ich der Stadt meine Beratung angeboten. Außerdem habe ich der Stadt empfohlen, einen behördlichen Datenschutzbeauftragten zu bestellen.“
Hinweise: Die genannten Eckpunkte bei einer Kontrolle von E-Mails von Beschäftigten sind auch in der „Orientierungshilfe zur datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz“ des Arbeitskreises Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Stand 24. September 2007, dargestellt: