Update Datenschutz Nr. 182
LDI NRW bestätigt: Das Fernmeldegeheimnis gilt nicht für Arbeitgeber, die die private Nutzung von E-Mail und Telekommunikationsdiensten erlauben
Seit fast 20 Jahren herrscht ein unentwegter Streit um die Frage, ob Arbeitgeber, die ihren Beschäftigten die private Nutzung von E-Mail- und Telekommunikationsdiensten gestatten, dem Fernmeldegeheimnis unterliegen. Bislang war die von deutschen Datenschutzaufsichtsbehörden dazu vertretene Position restriktiv, obergerichtliche Rechtsprechung geteilt und ein höchstgerichtliches Urteil fehlt. Jetzt kommt aber neue Bewegung auf: Im kürzlich veröffentlichten 29. Tätigkeitsbericht gibt die Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW („LDI NRW“) die restriktive Haltung nun auf. Nach Auffassung der LDI NRW unterfallen Arbeitgeber nicht länger dem Fernmeldegeheimnis.
Hintergrund
Die Frage, ob Arbeitgeber, die ihren Beschäftigten die private Nutzung von E-Mail- und Telekommunikationsdiensten gestatten, dem Fernmeldegeheimnis unterliegen, war bislang nicht nur in der juristischen Fachliteratur höchst umstritten, sondern wurde auch in der Rechtsprechung uneinheitlich beurteilt. In letzter Zeit ist es um die Thematik allerdings ruhiger geworden mit Ausnahme einer Anfang des Jahres 2024 veröffentlichten Entscheidung des OLG Thüringen ((Az. 7 U 521/21) – wir berichteten mit Update Datenschutz Nr. 172).
Differenziert wird regelmäßig danach, ob die Privatnutzung von dienstlichen E-Mail- und Telekommunikationsdiensten verboten, geduldet oder erlaubt ist. Wobei seit jeher Einigkeit bestand, dass das Fernmeldegeheimnis nicht greift, wenn die private Nutzung von E-Mail- und Telekommunikationsdiensten wirksam verboten ist. Zugriffe auf dienstliche E-Mail-Postfächer richten sich in diesen Fällen allein nach datenschutzrechtlichen Voraussetzungen.
Der Streit wird allein für die Konstellation der erlaubten (und geduldeten) privaten Nutzung geführt und entfaltet regelmäßig vor allem im Zusammenhang mit dem Zugriff auf z. B. E-Mail-Postfächer von Beschäftigen (z. B. im Krankheitsfall oder bei internen Untersuchungen) Wirkung. Vertreter dieser Auffassung stufen Arbeitgeber als Anbieter eines (ganz oder teilweise) geschäftsmäßig erbrachten Telekommunikationsdienstes ein. Dies hätte zur Konsequenz, dass Arbeitgeber das Fernmeldegeheimnis des § 3 Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz („TDDDG“) zu beachten hätten und dadurch stark bei den Zugriffsmöglichkeiten auf dienstliche E-Mail-Postfächer eingeschränkt wären. Liegt, wie oft, keine wirksame Einwilligung des betroffenen Beschäftigten vor, ist ein Zugriff nur in wenigen Ausnahmen möglich.
Eine verbreitete und in den letzten Jahren aufstrebende Gegenauffassung ist hingegen der Ansicht, dass Arbeitgeber in diesen Konstellationen nicht als Anbieter eines solchen Telekommunikationsdienstes gelten. Diese Ansicht hätte zur Folge, dass für Arbeitgeber das Fernmeldegeheimnis nicht gilt. Diese Auffassung hat insbesondere in der arbeitsgerichtlichen Rechtsprechung Anklang gefunden.
Stellungnahme der LDI NRW: Fernmeldegeheimnis gilt nicht mehr für Arbeitgeber
In dem 29. Tätigkeitsbericht schließt sich die LDI NRW der letztgenannten Auffassung an. Die LDI NRW führt darin aus, dass „nach Inkrafttreten des TTDSG“ – gemeint ist nunmehr das TDDDG – „deutsche Aufsichtsbehörden (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, LDI NRW sowie weitere Landesdatenschutzbehörden) davon aus[gehen], dass sich eine rechtliche Bewertung geändert hat: Arbeitgeber*innen, die ihren Beschäftigten die private Nutzung von Internet und E-Mail erlauben oder dulden, unterliegen nicht mehr dem Telekommunikationsrecht. Deshalb haben sie gegenüber ihren Beschäftigten auch nicht das Fernmeldegeheimnis zu garantieren“ (29. Tätigkeitsbericht der LDI NRW, S. 76).
Die LDI NRW betont, dass Arbeitgeber, die die private Nutzung gestatten (oder dulden) gegenüber ihren Beschäftigten nicht als geschäftsmäßige Telekommunikationsdienstleister aufträten. Es fehle den Arbeitgebern am Rechtsbindungswillen, weshalb sie auch nicht wollten, dass die entsprechenden rechtlichen Normen für sie gelten. Die Argumentation folgt damit der aufstrebenden Meinung, die diese Position bereits unter dem TKG a. F. vertrat.
Die LDI NRW führt weiter aus, dass durch das TDDDG statt der telekommunikationsrechtlichen Regeln nun die DSGVO Anwendung fände, die ein ausreichend hohes Schutzniveau vermitteln würde und zudem eine Rechtsgrundlage für den Zugriff auf die personenbezogenen Daten der Beschäftigten verlange.
Endlich Rechtssicherheit?
Unserer Auffassung nach sprachen stets gute Gründe gegen die Anwendbarkeit des Fernmeldegeheimnisses in diesen Fällen. Dementsprechend ist die Position der LDI NRW zu begrüßen, vertraten die Aufsichtsbehörden – jedenfalls unter alter Rechtslage – genau die gegenteilige Position (vgl. nur etwa die Orientierungshilfe der DSK aus dem Jahr 2016).
Weiterhin lässt die Formulierung aufhorchen, dass „deutsche Aufsichtsbehörden (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, LDI NRW sowie weitere Landesdatenschutzbehörden)“ diese Auffassung nun offenbar gemeinschaftlich vertreten (29. Tätigkeitsbericht der LDI NRW, S. 76). Sollten sich also auch die weiteren Aufsichtsbehörden dieser Position anschließen, dürfte dieser Meinungsstreit damit endlich weitgehend geklärt sein.
Da die Formulierung gleichwohl nicht indiziert, dass sich ausnahmslos jede Aufsichtsbehörde dieser Auffassung anschließt, bleibt zunächst abzuwarten, ob es vereinzelt noch gegenteilige Positionen bei den Aufsichtsbehörden geben wird. Absolute Rechtsicherheit besteht damit noch nicht. Auch Gerichte sind an Stellungnahmen und Beschlüsse der Aufsichtsbehörden nicht gebunden, könnten also weiterhin anders entscheiden – wobei sie schon in der Vergangenheit bereits der Anwendung des Fernmeldegeheimnisses eher abgeneigt waren. Es ist aber nicht zu erwarten, dass es noch zu größerem Streit in der Unternehmenspraxis kommen wird, wenn sich die aufsichtsbehördliche Praxis nun wie oben angedeutet entwickelt. In jedem Fall hätten Arbeitgeber durch die Position der Aufsichtsbehörde(n) dann ein gewichtiges Argument mehr auf ihrer Seite.
Was ist für Unternehmen nun zu tun?
Grundsätzlich können die bisherigen landläufigen Empfehlungen, dass die (private) Nutzung von dienstlichen E-Mail-Postfächern und Internet geregelt werden sollte, aufrechterhalten werden. Zurecht empfiehlt die LDI NRW in ihrem o. g. Tätigkeitsbericht weiterhin, die (private) Nutzung der E-Mail-Postfächer und des Internets entsprechend schriftlich zu regeln. Zu beachten ist nämlich, dass der Zugriff auf ein E-Mail-Postfach auch aus datenschutzrechtlicher Sicht erheblichen Restriktionen unterliegen kann – unabhängig vom Fernmeldegeheimnis. Der Zugriff auf ein E-Mail-Postfach eines Beschäftigten bedarf z. B. stets einer datenschutzrechtlichen Rechtsgrundlage, die sich an dem Zweck des Zugriffs zu messen hat. Insbesondere bei Erlaubnis der privaten Nutzung ist der Zugriff auf E-Mail-Postfächer von Beschäftigten also nicht anlasslos möglich. Regelmäßig sind in Abhängigkeit des gestatteten Umfangs der Privatnutzung entsprechende (Schutz-)Maßnahmen zugunsten der Beschäftigten zu treffen bzw. empfehlenswert, wie z. B. Lösch- und Kennzeichnungsmöglichkeiten von privaten Nachrichten, und Informationspflichten zu erfüllen (z. B. mittels Datenschutzhinweisen). Eine saubere Regelung der (privaten) Nutzung der dienstlichen E-Mail-Postfächer und des Internets kann helfen, diese Pflichten einzuhalten und die Voraussetzungen für einen Zugriff auf E-Mail-Postfächer in vielen Fällen schaffen.