Private E-Mail: Herausforderung für IT-Compliance

ManagementRegulierung

Gestattet ein Unternehmen seinen Mitarbeitern grundsätzlich die private Nutzung der dienstlichen E-Mail-Systeme, dann wird es vor dem Gesetz zum TK-Anbieter. In diesem Fall kommen das Bundesdatenschutzgesetz (BDSG) sowie das Telekommunikationsgesetz (TKG) zum Tragen und das Unternehmen muss das Fernmeldegeheimnis wahren.

Es darf daher nicht mehr alle E-Mails seiner Mitarbeiter aufbewahren, da die Erhebung von personenbezogenen Daten auf ein Minimum beschränkt werden muss. Eine vollständige Speicherung von Inhalten und Verbindungsdaten stellt dann einen Verstoß gegen das Fernmeldegeheimnis dar – und dieses ist durch das Grundgesetz von allerhöchster Instanz geschützt.

Andererseits ist das Unternehmen natürlich weiterhin verpflichtet, geschäftlich relevanten E-Mail-Verkehr gemäß in verschiedenen Verordnungen festgelegten Regeln zu kontrollieren, aufzubewahren und zu archivieren. Die Einführung eines entsprechenden Kontrollsystems, etwa zum systematischen Erfassen von Vermittlungsdaten ausgehender und eingehender E-Mails, bedarf aber der Zustimmung des Personalrates, zum Beispiel in Form einer Dienstvereinbarung. Darin sollten eindeutige Regelungen für die E-Mail- und Internetnutzung durch die Mitarbeiter festgelegt werden. Zudem muss klargestellt sein, unter welchen Umständen persönliche Mails durch Dritte eingesehen werden dürfen oder welche Nutzungsdaten zu welchem Zweck protokolliert werden.

Bei der Frage, ob das Unternehmen E-Mails der Mitarbeiter lesen darf, ist zwischen dienstlichen und privaten E-Mails zu unterscheiden. Wird eine E-Mail im Namen des Arbeitgebers verschickt oder empfangen, gilt das Unternehmen als ‘Benutzer’ und darf diese grundsätzlich lesen. Jedoch muss selbst bei einer systematischen Überwachung des E-Mail-Verkehrs dem allgemeinen Persönlichkeitsrecht des Arbeitnehmers Rechnung getragen werden. Hierbei ist immer sorgfältig zwischen dem Persönlichkeitsrecht und dem Weisungsrecht des Unternehmens abzuwägen. Entsprechend sind die Maßnahmen mit der geringsten Eingriffsintensität zu wählen, zum Beispiel stichprobenartige Überwachungen sowie die Kontrolle des Sende- beziehungsweise Empfangszeitpunkts oder der Empfängeradresse, aber nicht des Inhalts der E-Mail selbst.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen