Mitarbeiterüberwachung
Welche Kontrollen die DSGVO erlaubt
Zusätzlich muss ein Kontrollsystem etabliert werden, um dieses Verbot auch durchzusetzen. Ein Verbot ohne Durchsetzung kann zu einer geduldeten Privatnutzung führen, die wiederum unter Umständen genauso behandelt wird, wie eine ausdrücklich gestattete Privatnutzung.
Wenn ein solches Totalverbot der Privatnutzung aus Gründen des Betriebsklimas und der bisherigen Praxis nicht gewünscht ist, kann der Arbeitgeber einen Mittelweg wählen: Trotz des generellen und ausdrücklichen Verbots der Privatnutzung wird dem einzelnen Mitarbeiter angeboten, dass im Einzelfall die Privatnutzung des beruflichen E-Mail-Accounts erlaubt wird, wenn er im Gegenzug auf das Fernmeldegeheimnis verzichtet. Eine solche Verzichtserklärung wird von den Datenschutzbehörden als freiwilliger Akt und somit als wirksam angesehen.
Unklar ist in diesem Fall allerdings, ob bei einem Widerruf der Verzichtserklärung das Fernmeldegeheimnis für bereits empfangene und gesendete E-Mails wiederauflebt und somit Durchsuchungen dieser Bestands-E-Mails zu einer Verletzung des Fernmeldegeheimnisses führen oder auch, ob und wie das Fernmeldegeheimnis für den externen Kommunikationspartner gilt.
Andere Optionen sind die Nutzung der privaten Webmail-Dienste über das Firmen-Internet zu erlauben, sodass die berufliche E-Mail-Korrespondenz im beruflichen E-Mail-Account von der privaten Korrespondenz im Webmail-Dienst getrennt ist. Diese Erlaubnis zur Privatnutzung des Firmen-Internet hat allerdings zur Folge, dass die Nutzungsdaten des Firmen-Internets dem Fernmeldegeheimnis unterliegen soll, etwa die Logfiles als Informationen über die Umstände der Kommunikation über das Internet.
Die vorgenannten Optionen werden typischerweise durch eine Betriebsvereinbarung, durch eine interne Richtlinie zur Nutzung der IT-Systeme oder auch durch Regelungen im Arbeitsvertrag implementiert. Einen Königsweg zum Umgang mit dem Fernmeldegeheimnis in Deutschland gibt es derzeit nicht. Unternehmen sollten unter Abwägung der konkreten Arbeitsumstände mit den möglichen rechtlichen Implikationen die für sie beste Lösung ermitteln.
Datenschutzrechte
Selbst wenn die Anwendbarkeit des Fernmeldegeheimnisses ausgeschlossen worden ist, müssen bei einer Durchsuchung auch von rein geschäftlichen E-Mails die Datenschutzprinzipien, wie Erforderlichkeit, Verhältnismäßigkeit, Datenminimierung, Erlaubnis durch eine Rechtsgrundlage und Transparenz beachtet werden. Diese Datenschutzprinzipien erfordern insbesondere Maßnahmen zur Beschränkung der Durchsuchung auf das absolut erforderliche, Dokumentation der datenschutzrechtlichen Rechtsgrundlage für die Durchsuchung, Beschränkung der Zugriffsrechte, transparente Information an die Mitarbeiter über den Zweck der Durchsuchung, sowie gegebenenfalls die Durchführung einer Datenschutzfolgenabschätzung.
Insbesondere die Bestimmung der richtigen datenschutzrechtlichen Rechtsgrundlage erfordert eine sorgfältige Analyse. Soweit die Durchsuchung der E-Mails zur Aufdeckung von Straftaten oder von schwerwiegenden Pflichtverletzungen des Arbeitnehmers durchgeführt wird, besteht eine datenschutzrechtliche Rechtsgrundlage, vorausgesetzt,
dokumentierte tatsächliche Anhaltspunkte begründen den Verdacht, dass der betroffenen Arbeitnehmer im Beschäftigungsverhältnis eine Straftat oder schwerwiegende Pflichtverletzung begangen hat,
die Durchsuchung ist zur Aufdeckung erforderlich und
das schutzwürdige Interesse des Arbeitnehmers gegen die Durchsuchung der E-Mails überwiegt nicht (insbesondere dürfen Art und Ausmaß der Durchsuchung im Hinblick auf den Anlass nicht unverhältnismäßig sein).