Zugriff auf E-Mails von Kollegen bei deren Abwesenheit oder Ausscheiden aus dem Unternehmen

Datenschutz-Zugriff-auf-E-Mails-von-Arbeitskollegen

Datum: 04.06.2019

Werden Informationen aus E-Mails einer Kollegin oder eines Kollegen benötigt, die bzw. der gerade aber nicht erreichbar oder aus dem Unternehmen bereits ausgeschieden ist, stellt sich die Frage, ob, durch wen und unter welchen Voraussetzungen auf die benötigten E-Mails zugegriffen werden kann.

Hierbei gilt es datenschutzrechtliche und arbeitsrechtliche Haftungsfälle zu umschiffen.

1. Entscheidende Frage: Ist die Privatnutzung des dienstlichen E-Mailsystems geregelt?

Es kann vorkommen, dass eine Kollegin oder ein Kollege längere Zeit abwesend ist, sei es urlaubsbedingt oder weil sie oder er über einen längeren Zeitraum erkrankt ausfällt. Werden in dieser Zeit Informationen benötigt, die im E-Mailpostfach der oder des Abwesenden vermutet werden, stellt sich die Frage, ob und wer eventuell berechtigt ist, auf das Postfach zuzugreifen und in welchem Umfang. Dieselben Fragen stellen sich, wenn ein Mitarbeiter ausgeschieden ist, in seinem E-Mail-Account aber benötigte Informationen vermutet werden.

Zur Beantwortung der Fragen, ob, wer und unter welchen Umständen auf E-Mail-Postfächer von abwesenden Kollegen zugegriffen werden darf, ist zunächst eine Frage ganz entscheidend:

Existiert im Unternehmen ein Verbot der privaten Nutzung des dienstlichen E-Mailsystems?

Drei Antworten sind möglich. Die Privatnutzung des dienstlichen E-Mailsystems ist verboten, sie ist erlaubt, oder es gibt hierzu keine Regelung. Existiert keine Regelung, also weder ein ausdrückliches Verbot noch eine ausdrückliche Erlaubnis, muss in aller Regel von einer Duldung der Privatnutzung ausgegangen werden. Eine Duldung ist dann ganz ähnlich zu bewerten, wie eine Erlaubnis, da nicht ausgeschlossen werden kann, dass – zumindest einzelne – Mitarbeiter das dienstliche Postfach auch für dir private Kommunikation verwenden.

Warum ist der Zugriff auf dienstliche Postfächer denn so problematisch?

Gemäß gesetzlicher Bestimmungen sind Unternehmen grds. dazu verpflichtet, geschäftlichen Schriftverkehr über einen bestimmten Zeitraum aufzubewahren, bzw. zu archivieren. Hierunter zählen auch ein- und ausgehende E-Mails. Befinden sich private E-Mails von Mitarbeitern unter den archivierten Mails, stellt das den Arbeitgeber vor rechtliche Hürden, insbesondere, wenn nachträglich auf archivierte Mails zugegriffen werden muss, oder wenn der betroffene Mitarbeiter gar nicht mehr in dem Unternehmen arbeitet. Es sollte jedoch auch im Interesse eines jeden Mitarbeiters liegen, dass private Informationen nicht über Jahre beim Arbeitgeber gespeichert sind.

Erlaubt der Arbeitgeber die Privatnutzung des betrieblichen E-Mailsystems, klassifiziert ihn dies u.U. als Telekommunikationsdienstleister mit weitreichenden Pflichten und Haftungsrisiken. Kann bei Zugriff auf dienstliche E-Mails eines Mitarbeiters nicht ausgeschlossen werden, dass hierbei auch private Mails – und seien es nur Empfänger- oder Betreffzeilen – zumindest zur Kenntnis gelangen, kann dies einen unerlaubten Eingriff in die Persönlichkeitsrechte, insbesondere in das Recht auf informationelle Selbstbestimmung, darstellen.

2. Wann gelten E-Mails als privat, wann als dienstlich?

Unterschied-zwischen-privater-und-dienstlicher-E-Mail-Nutzung

E-Mails, die sich direkt oder indirekt auf das Unternehmen, das Verhältnis des Unternehmens zu seinen Mitarbeitern, zu Kunden, Lieferanten, Geschäftspartnern, Bewerbern usw. oder auf die Interessen des Unternehmens beziehen, sind als dienstliche E-Mails zu definieren. Der Inhalt einer Mail muss also in einem gewissen Zusammenhang zum Unternehmen stehen. Dies ist bereits dann der Fall, wenn ein Beschäftigter seiner Partnerin oder seinem Partner eine E-Mail vom dienstlichen Account sendet, dass er wegen Überstunden später nach Hause kommt.

Auch die Verabredung unter Kollegen zum Mittagessen über das dienstliche E-Mailsystem ist hierunter zu zählen.

Als privat sind E-Mails hingegen einzustufen, wenn ein Zusammenhang zum Unternehmen direkt oder indirekt nicht besteht. Dies ist etwa der Fall, wenn ein Mitarbeiter an seine dienstliche E-Mailadresse einen Newsletter abonniert, mit Themen, die den Mitarbeiter rein privat interessieren, etwa zu seinem Hobby oder seinem Lieblingssportverein. Auch Korrespondenz mit Freunden und Bekannten, die nicht zum Unternehmen gehören, zu ausschließlich privaten Themen, sind privater Natur.

3. Zugriff auf E-Mails von Abwesenden bei Verbot der Privatnutzung

Existiert im Unternehmen ein Privatnutzungsverbot des betrieblichen E-Mailsystems, sind die in den Postfächern enthaltenen Korrespondenzmails als geschäftlich einzustufen. Dies erleichtert einen Zugriff auf das Postfach eines abwesenden oder ausgeschiedenen Mitarbeiters erheblich.

Dennoch sind auch in dieser Fallkonstellation die Grundsätze des Datenschutzes zu berücksichtigen. Denn auch bei verbotener Privatnutzung des betrieblichen E-Mailsystems, in dem sich ausschließlich dienstliche Mails befinden, darf der Arbeitgeber nicht ohne weiteres auf die Mailinhalte zugreifen. Die Nutzung des E-Mailaccounts eines abwesenden Mitarbeiters durch Vorgesetzte oder Kollegen stellt in der Regel einen Eingriff in das allgemeine Persönlichkeitsrecht des Betroffenen dar, da davon auszugehen ist, dass in dem Postfach zumindest „seine“ personenbezogenen Daten enthalten sind (E-Mailadressen bestehen häufig aus Name, Vorname des Mitarbeiters und den Firmennamen; in E-Mailsignaturen sind zumeist die Position und andere Informationen mit Personenbezug enthalten) .

In der Folge muss eine Interessenabwägung vorgenommen werden, um auf das Postfach zugreifen zu können.

Bei Verbot der Privatnutzung werden die personenbezogenen Daten jedoch in einem engen Zusammenhang zum Beschäftigungsverhältnis und der Aufgaben des Mitarbeiters stehen, weshalb der Eingriff in das Persönlichkeitsrecht in aller Regel als gering bzw. verhältnismäßig zu bewerten ist, und die Interessen des Unternehmens schwerer wiegen.

Es empfiehlt sich, den konkreten Grund, die Art und den Umfang des Zugriffs auf das Postfach eines abwesenden oder ausgeschiedenen Mitarbeiters sowie die zugriffsberechtigten Personen zu dokumentieren. Nach Möglichkeit sollte dann ausschließlich nach konkreten E-Mails gesucht bzw. gefiltert werden, und nicht „auf gut Glück“ sämtliche E-Mailinhalte gelesen oder gar weitergeleitet werden.

War im Zuge des Zugriffs auf den Mailaccount das Setzen eines neuen Passwortes durch den Administrator notwendig, muss der abwesende Mitarbeiter hierüber informiert werden. Auch wenn keine Änderung des Passwortes notwendig war, sollte der Mitarbeiter dazu aufgefordert werden, gleich nach seiner Rückkehr ein neues Passwort zu vergeben.

4. Zugriff auf E-Mails von Abwesenden bei erlaubter Privatnutzung

Zugriff auf E-Mails von Abwesenden bei erlaubter Privatnutzung

Existiert keine Regelung zur – insbesondere privaten - Nutzung des betrieblichen E-Mailsystems, wird der Zugriff auf Postfächer der Mitarbeiter zwar nicht unmöglich, die zu berücksichtigenden Punkte, um nicht in eine Haftungsfalle zu tappen, sind jedoch umfangreicher. Existiert nämlich keine Regelung, also weder ein ausdrückliches Verbot noch eine ausdrückliche Erlaubnis der Privatnutzung, ist in den meisten Fällen eine Duldung der Privatnutzung anzunehmen. Wenn nicht auszuschließen ist, dass private E-Mails in dem dienstlichen Postfach enthalten sind, stellt ein Zugriff auf das Postfach durch den Arbeitgeber oder durch Kollegen ohne Zustimmung des Betroffenen einen erheblichen Eingriff in dessen Persönlichkeitsrechte dar. Eventuell liegt dann zugleich auch ein Verstoß gegen das Fernmeldegeheimnis vor.

Je nach Umstand kann durch den Zugriff auch ein meldepflichtiger Datenschutzverstoß entstehen.

Wenn auf das Postfach eines abwesenden oder ausgeschiedenen Mitarbeiters zugegriffen werden soll, weil hierin für das Unternehmen wichtige Informationen vermutet werden, muss eine Interessenabwägung vorgenommen und dokumentiert werden. Da sich etwaige private Korrespondenz bei nicht geregelter Privatnutzung erlaubterweise bzw. geduldeter Weise in dem Postfach befindet (oder zumindest befinden könnte), sind die Interessen zum Schutz der Privatsphäre des betroffenen Mitarbeiters besonders hoch zu werten.

In der Folge muss deshalb in einem ersten Schritt geprüft werden, ob mildere Mittel eingesetzt werden können, um an die benötigten Informationen aus dem Postfach zu gelangen. Beispielsweise könnte – sofern bekannt – die an einer Korrespondenz beteiligte Person (etwa ein Kunde oder Geschäftspartner) gebeten werden, die benötigten Informationen nochmals zu senden. Je nach Umstand könnte der abwesende Mitarbeiter kontaktiert und gebeten werden, besagte E-Mail/s an einen Kollegen zu senden oder anderweitig zur Verfügung zu stellen.

Finden sich keine milderen Mittel, die zu demselben Ziel führen und ist ein Aufschub bis zur Rückkehr des Mitarbeiters nicht möglich, ist der Zugriff auf das Postfach womöglich auch verhältnismäßig. In diesem Fall sollte der Zugriff auf das Postfach unter dem Vieraugenprinzip vorgenommen und detailliert dokumentiert werden, wer zu welchem konkreten Zweck auf welche konkreten Inhalte Zugriff erhalten hat, und dass keine milderen Mittel zur Zweckerreichung ersichtlich waren. Eventuell sollten der Datenschutzbeauftragte und – sofern vorhanden – der Betriebsrat zuvor informiert werden.

Sodann sollte das Passwort zurückgesetzt und der betroffene Mitarbeiter bei seiner Rückkehr hierüber informiert und zur Passwortneusetzung aufgefordert werden.

5. Tipps und Best Practice

Best-Practices-beim-Zugriff-auf-Mails-von-Kollegen
  • Verbot der Privatnutzung: 
    Wenn möglich, sollte die Privatnutzung des dienstlichen E-Mailsystems schriftlich untersagt werden. Dies empfehlen auch Datenschutzaufsichtsbehörden. Dem Arbeitgeber bietet ein Privatnutzungsverbot besonders aus datenschutzrechtlicher und arbeitsrechtlicher Sicht erhebliche Vorteile. Es sollte zudem geregelt werden, wie Zugriffsrechte und Vertreterregelungen einzurichten sind. Hierfür bietet sich eine Betriebsvereinbarung oder eine Richtlinie an. Entsprechende Regelungen können aber auch in ein vorhandenes Datenschutz- oder Compliance-Handbuch oder in bestehende Richtlinien (z.B. EDV- und Internet-Richtlinie) aufgenommen werden.

    Dem Mitarbeiter muss durch ein Verbot der Privatnutzung kein Nachteil entstehen. Im Gegenteil: Klare Regelungen im Betrieb sorgen für Transparenz und Sicherheit beim Umgang mit betrieblichen Arbeitsmitteln.

    Sofern die Nutzung des betrieblichen Internetzugangs erlaubt ist, können sich Mitarbeiter ohnehin über den Browser bei ihrem privaten E-Maildienstleister (Web-Mail-Account) einloggen und E-Mails empfangen und versenden, ohne dass hierfür das dienstliche E-Mailsystem verwendet werden muss.
  • Nachträgliches Verbot der Privatnutzung:
    Gibt es im Unternehmen bisher keine Regelung zur Nutzung des E-Mailsystems, und ist deshalb von einer zumindest geduldeten Privatnutzung auszugehen, sollte darüber nachgedacht werden, ein nachträgliches Verbot der Privatnutzung einzuführen. In diesem Fall sollten die Mitarbeiter hierüber frühzeitig informiert werden (Änderungsankündigung), dass künftig ein Privatnutzungsverbot gelten wird und welche Folgen dies hat. Den Mitarbeitern sollte sodann eine ausreichende Frist zur „Bereinigung“ des betrieblichen Accounts eingeräumt werden, um private E-Mails auszusortieren.
  • Klare Regelungen treffen:
    Lässt sich die Privatnutzung aus bestimmten Gründen nicht verbieten, sollten unbedingt unmissverständliche schriftliche Regelungen zum Umgang mit dem E-Mailsystem erstellt werden. Hierin sollten Zugriffsrechte und Vertreterregelungen definiert sein. Zudem sollten Mitarbeiter dazu angehalten werden, private Mails unverzüglich in entsprechend benannte private Ordner zu verschieben.
  • Vorgehen beim Offboarding:
    Scheidet ein Mitarbeiter aus und gab es im Unternehmen keine Regelung zur Nutzung des E-Mailsystems, sollte der ausscheidende Mitarbeiter, bevor er das Unternehmen endgültig verlässt, dazu aufgefordert werden, seinen dienstlichen Account aufzuräumen und etwaige privaten Mail hieraus zu entfernen. Es könnte zugleich vereinbart werden, dass der E-Mailaccount nach Ausscheiden für eine gewisse Zeit bestehen bleibt und für die Einrichtung einer Weiterleitung genutzt wird und dass der Arbeitgeber oder ein sonstiger Mitarbeiter berechtigt ist, auf das Postfach zuzugreifen. (Näheres hierzu sogleich). Dies sollte schriftlich festgehalten werden (Ausscheidensvereinbarung) oder Bestandteil des Offboarding-Prozesses sein.
  • Zugriff nach Ausscheiden eines Mitarbeiters:
    Ist ein Mitarbeiter aus dem Unternehmen ausgeschieden und vermutet der Arbeitgeber, dass über einen gewissen Zeitraum nach Ausscheiden noch E-Mails auf den Mitarbeiter-Account eingehen könnten, sollte eine Weiterleitung an ein anderes dienstliches Postfach eingerichtet werden. Sofern ein Privatnutzungsverbot bestand, ist dies grundsätzlich problemlos möglich. Anderenfalls sollte von dem ausscheidenden Mitarbeiter eine Zustimmung zur Einrichtung einer Weiterleitung eingeholt werden. Zu empfehlen ist darüber hinaus eine automatische Antwortmail aus dem Account des ausgeschiedenen Mitarbeiters an die Absender, in der darum gebeten wird, die E-Mailadresse wegen Inaktivität nicht weiter zu verwenden und stattdessen für die weitere Kommunikation eine (anzugebende) alternative Adresse zu nutzen.
  • Unaufgeforderte private Mails an Dienst-Account:
    Wie soll ich reagieren, wenn Bekannte oder Freunde mich über meine Dienstmail anschreiben? Der Versender der E-Mail sollte dazu aufgefordert werden, die dienstliche E-Mailadresse des Mitarbeiters nicht für private Kommunikation zu verwenden. Stattdessen kann dem Absender die private E-Mailadresse mitgeteilt werden. Die eingegangene Mail des Bekannten oder Freundes in dem dienstlichen Postfach sollte sodann gelöscht werden.
  • Wer hilft weiter?
    Sind Sie sich unsicher, welche Regelung zur Nutzung des E-Mailsystems in Ihrem Unternehmen getroffen wurde oder ob und unter welchen Umständen Sie auf E-Mails abwesender oder ausgeschiedener Mitarbeiter zugreifen können, sprechen Sie Ihren Datenschutzbeauftragten oder – falls verfügbar – einen Anwalt für Arbeitsrecht an und schildern den konkreten Einzelfall. Gemeinsam wird man dann eine Lösung finden können.
  • Abwesenheitsnotiz:
    Bei Abwesenheit aufgrund von Krankheit oder Urlaub sollte eine unmissverständliche Abwesenheitsnotiz erstellt werden, die als automatisierte E-Mailantwort an den Empfänger geht. In dieser sollte klar formuliert sein, was während der Zeit der Abwesenheit mit den eingehenden Mails geschieht; ob sie beispielsweise weitergeleitet werden oder nicht.

6. Fazit

Um Haftungsrisiken zu vermeiden, sollte die Verwendung des betrieblichen E-Mail-Systems unmissverständlich und schriftlich geregelt und allen Mitarbeitern bekannt gegeben werden. Die Privatnutzung sollte dabei untersagt werden. Vertreterregelungen und Zugriffsrechte können dafür sorgen, dass sich die Frage, ob und unter welchen Voraussetzungen auf Postfächer von Mitarbeitern zugegriffen werden darf, gar nicht erst stellt.

Bei Unsicherheiten sprechen Sie Ihren Datenschutzbeauftragten oder einen Anwalt für Arbeitsrecht an bevor Sie tätig werden.

Ist ein Zugriff auf Postfächer von Kollegen unvermeidbar, sollten das Vieraugenprinzip gewahrt und die konkreten Umstände dokumentiert werden, für den Fall, dass es im Nachhinein zu Streitigkeiten kommt.

Über den Autor

Markus Weuthen

Markus Weuthen