Bereits seit einigen Jahren wird darüber diskutiert, ob Arbeitgeber dem Fernmeldegeheimnis unterliegen, wenn Sie den Beschäftigten die private Nutzung von dienstlichen E-Mail-Postfächern oder dem dienstlichen Internetzugang erlauben. Bislang war nicht auszuschließen, dass in diesem Falle der Arbeitgeber als Anbieter von ganz oder teilweise geschäftsmäßig angebotenen Telekommunikationsdiensten anzusehen ist. Der aktuelle Tätigkeitsbericht der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) verkündet nun: „Für Arbeitgeber*innen gilt nicht mehr das Fernmeldegeheimnis, wenn sie die private Nutzung der betrieblichen E-Mail- oder Internetdienste erlauben oder dulden.“
Bisherige Rechtsauffassungen
Bis zuletzt war die Frage nach der Anwendbarkeit des Fernmeldegeheimnisses für Arbeitgeber im beschriebenen Kontext hoch umstritten. In der Orientierungshilfe der Datenschutzaufsichtsbehörden zur datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz aus dem Jahr 2016 vertrat die Datenschutzkonferenz einen eindeutigen Standpunkt: „Ist die private Nutzung des Internets erlaubt […], wird der Arbeitgeber hinsichtlich der privaten Nutzung zum Diensteanbieter im Sinne des TKG und unterliegt den Datenschutzbestimmungen des TMG. Er ist daher grundsätzlich zur Wahrung des Fernmeldegeheimnisses verpflichtet.“ Ein Zugriff auf entsprechende Protokolldaten war demnach ausschließlich nach informierter Einwilligung der betroffenen Personen möglich.
In der Rechtsprechung hingegen wurde die Thematik uneinheitlich beurteilt, ein höchstgerichtliches Urteil blieb bislang aus. Insbesondere in der jüngeren Vergangenheit lehnten die Gerichte jedoch vermehrt eine Anwendbarkeit des Fernmeldegeheimnisses ab, so zum Beispiel das Landesarbeitsgericht Berlin-Brandenburg (Urt. v. 14.1.2016 – 5 SA 657/15), das Landgericht Krefeld (Urt. v. 7.2.2018 – 7 O 198/17) sowie das Landgericht Erfurt (Urt. v. 28.4.2021 – 1 HK O 43/20).
Keine Anwendbarkeit des Fernmeldegeheimnisses
Die LDI NRW begründet die Abkehr von der bisherigen Auffassung damit, dass es Arbeitgebern unter Berücksichtigung der Regelungen des TTDSG (jetzt: TDDDG) an einem erforderlichen Rechtsbindungswillen fehle, damit sie gegenüber ihren Beschäftigten als geschäftsmäßige Telekommunikationsanbieter auftreten können. Eine vergleichbare Auffassung vertrat bereits im Jahr 2022 der Hessische Beauftragte für Datenschutz und Informationsfreiheit in seinem 51. Tätigkeitsbericht (S. 30), dort jedoch im Zusammenhang mit der Bereitstellung von Videokonferenzdiensten.
Unklar bleibt indes, ob sich die neue Rechtsauffassung bei den weiteren Aufsichtsbehörden in Deutschland bereits mehrheitlich durchgesetzt hat. Im Tätigkeitsbericht der LDI NRW heißt es lediglich: „Nach Inkrafttreten des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) gehen deutsche Aufsichtsbehörden (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, LDI NRW sowie weitere Landesdatenschutzbehörden) davon aus, dass sich eine rechtliche Bewertung geändert hat […].“ Die betreffenden Landesdatenschutzbehörden werden nicht konkret benannt. Es bleibt also abzuwarten, ob sich in den kommenden Wochen und Monaten weitere Aufsichtsbehörden hierzu positionieren werden.
Zur Wahrheit gehört jedoch auch, dass Gerichte nicht an Stellungnahmen und Beschlüsse der Aufsichtsbehörden gebunden sind. Insofern sind auch etwaige Urteile in diesem Themenfeld mit Spannung zu erwarten, wobei die zuvor dargestellte jüngere Rechtsprechung bereits eine gewisse Tendenz vermuten lässt. Ein Ausschluss der Anwendbarkeit des Fernmeldegeheimnisses bei erlaubter oder geduldeter Privatnutzung scheint damit in jedem Fall vertretbar.
Private Nutzung sollte weiterhin geregelt werden
Aus dem Tätigkeitsbericht der LDI NRW geht jedoch auch hervor, dass weiterhin eine schriftliche Regelung der privaten Nutzung von E-Mail- oder Internetdiensten zu empfehlen ist. Schließlich gelten neben den Normen des TDDDG weiterhin die datenschutzrechtlichen Grundsätze der DS-GVO. Somit bedarf es beispielsweise für den Zugriff des Arbeitgebers auf das E-Mail-Postfach eines Beschäftigten weiterhin einer einschlägigen Rechtsgrundlage. Schwierigkeiten im Zugriff könnten sich so bei erlaubter oder geduldeter Privatnutzung weiterhin im Falle der Abwesenheit des jeweiligen Beschäftigten ergeben. Abhilfe könnten hierbei verbindlich definierte Schutzmaßnahmen schaffen. Denkbar wäre beispielsweise, dass private E-Mails gesondert gekennzeichnet werden müssen oder in einem separaten Ordner aufzubewahren sind.
Die LDI NRW empfiehlt im Rahmen einer betrieblichen Regelung eindeutig „die Fragen des Zugriffs, der Protokollierung, der Auswertung und der Durchführung von Kontrollen“ zu klären. „Zudem sind die Beschäftigten auch künftig über mögliche Überwachungsmaßnahmen und Sanktionen zu informieren.“
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
