"Die rechtlich zwingende Archivierung von e-Mails - was sollte durch eine IT-Betriebsvereinbarung geregelt werden?"

von RA Max-Lion Keller, LL.M. (IT-Recht), 04.10.2007, 13:08 Uhr

Zur Fragestellung Nr. 2:

 

Soweit nun also zu den rechtlichen Rahmenbedingungen der E-Mail Archivierung. Wie hat man dies nun alles in die Praxis umzusetzen? Welche Methoden bieten sich hierzu an? Wie sieht der Spielraum des Unternehmers aus?

Oftmals rede ich geraume Zeit auf Mandanten ein, um sie von der rechtlichen Notwendigkeit (ja dem Gebot) einer effizienten E-Mail Archivierung zu überzeugen. Irgendwann gelingt mir das, die Mandanten geben sich resignierend geschlagen und versprechen mir genervt hoch und heilig, ab nun an alle Unternehmensmails zentral zu speichern und fertig.

Nur ist das wirklich so einfach? Schließlich stößt eine zentrale Archivierungslösung aller „unternehmenseigenen“ E-Mails immer dann auf rechtliche „Vorbehalte“, wenn das jeweilige Unternehmen den Mitarbeitern etwa auch die Nutzung des Email-Postfachs zu privaten Zwecken gestattet hat. Stellt man nämlich den betriebseigenen Internetzugang für betriebsfremde (also private) Zwecke zur Verfügung, wird das Unternehmen in diesem Fall geschäftsmäßiger Anbieter von Telekommunikationsdiensten.


Dies hat wiederum zur Folge:

Das Unternehmen kann nicht mehr ohne weiteres auf private Nutzungs-, Abrechnungs- und Inhaltsdaten der Arbeitnehmer zugreifen. Diese sind während des Übertragungsvorgangs durch das Fernmeldegeheimnis und danach durch das Recht auf informationelle Selbstbestimmung geschützt (Art. 10 Abs. 1 Grundgesetz; Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 Grundgesetz). Jegliche Überwachung und Speicherung der Inhalte und Verbindungsdaten wäre demnach untersagt, ja man müsste derlei Daten vielmehr noch durch angemessene technische Vorkehrungen und sonstige Maßnahmen vor Kenntnisnahme schützen.

Erlaubt also ein Unternehmen die private E-Mail Nutzung, wird es schwierig

• im Bedarfsfall Mitarbeiterkontrollen gesetzeskonform durchführen, etwa wenn es um Fälle von Geheimnisverrat via E-Mail gehen könnte oder um sonstigen Missbrauch der privaten Nutzung von E-Mails.
  
• 
  
• SPAM-Filter einzusetzen
  
• 
  
• Vertretungszugriffe zuzulassen und
  
• 
  
• E-Mails zentral zu archivieren.
  

Wie geht man nun mit diesem Problem um? Es gibt hierzu im Prinzip drei Möglichkeiten:


1. Möglichkeit = Totalverbot des Einsatzes von E-Mails zu privaten Zwecken im Unternehmen

Zumindest aus rechtlicher Sicht scheint diese Lösung die ideale: Das Unternehmen wird nicht zum Provider, Datenschutz spielt dann keine Rolle. So können Rechtsunsicherheiten für den Arbeitgeber und den Arbeitnehmer vermieden und SPAM-Filter, Vertretungszugriffe,, Archivierung und Kontrollen einer missbräuchlichen Nutzung ermöglicht werden. Das Unternehmen hat dann natürlich auch das Recht, beliebig und unbegrenzt auf die E-Mails der jeweiligen Mitarbeiter zuzugreifen bzw. auch zu archivieren.

Zu beachten wäre, dass das E-Mail Verbot in jedem Fall schriftlich fixiert werden sollte, etwa durch

• entsprechende Richtlinien betreffend der Nutzung der firmeneigenen IT-Infrastruktur,
  
• Betriebsvereinbarungen,
  
• Einverständniserklärungen der Belegschaft oder gar
  
• den individuellen Anstellungsvertrag.
  

Wichtig: Das Verbot ist auch in der Praxis durchzusetzen. Untersagt nämlich ein Arbeitgeber die private Nutzung von E-Mails, ohne dies dann regelmäßig zu kontrollieren, kann sich das Verbot in eine Duldung „umwandeln“. Der Arbeitnehmer hat nach einer Weile der Duldung einen Anspruch auf die Leistung, hier die Privatnutzung. Aus diesem Grund sind regelmäßig Kontrollen vorzunehmen und auch für den Fall von Verstößen Sanktionen vorzusehen, die in besonderen Fällen bis zu einer (verhaltensbedingten) Kündigung reichen können.

(Wegen des allgemeinen Betriebsklimas sei in diesem Zusammenhang empfohlen, bei den Mitarbeitern um ein Verständnis für ein Totalverbot der E-Mail Kommunikation zu privaten Zwecken zu werben – etwa mithilfe von Schulungen, welche die datenschutzrechtliche Problematik bei der privaten Nutzung von E-Mails näher bringen).


2. Möglichkeit = Vorbehaltslose Erlaubnis des Einsatzes von E-Mails zu privaten Zwecken

Diese Alternative ist aus rechtlicher Sicht alles andere als ideal. Dem Arbeitgeber ist es verwehrt, den privaten E-Mailverkehr seiner Mitarbeiter zu lesen, ja geschweige denn zu archivieren. Konsequenz: Dem Arbeitergeber bleibt nichts anderes übrig, als sich, in der Regel sehr aufwendigen und damit kostenintensiven technischen Lösungen zu bedienen, die in der Lage sind, private Mails von dienstlichen zu trennen. Von manchen Juristen wird vertreten, dass es in diesem Fall dem Arbeitgeber nicht verwehrt werden dürfe, immerhin den Betreff der jeweiligen E-Mail zu öffnen bzw. sichtbar zu machen. Es darf jedoch bezweifelt werden, ob eine solche Vorgehensweise mit dem Datenschutz in Einklang zu bringen ist. Rechtsprechung zu diesem Fall ist jedenfalls bislang nicht bekannt.


3. Möglichkeit = Die Zwischenlösung

Natürlich ist auch eine Zwischenlösung denkbar, etwa dergestalt, dass den Mitarbeitern im Einzelnen vorgeschrieben wird, auf welche Art und Weise mittels E-Mails privat über die firmeninterne IT-Infrastruktur kommuniziert werden kann. Folgende Lösungen bieten sich hierzu an:

• Zeitliche Ausnahmeregelung („Nutzung in Pausen und außerhalb der Arbeitszeit“ oder „nur zwischen xx Uhr und yy Uhr“) definieren, in der auf einen Freemail-Account (wie web.de) zugegriffen werden darf.
  
• 
  
• Den Mitarbeitern kann neben einer geschäftlichen E-Mailadresse auch eine privat (und als solche gekennzeichnete) E-Mailadresse zur Verfügung gestellt werden - verbunden mit der Auflage, dass nur letztere zu privaten Zwecken genutzt werden darf. Damit würde eine zentrale, sowie effiziente Archivierung ermöglicht werden, da auf diese Weise eine Vermischung privater wie auch dienstlicher E-Mail ausgeschlossen würde. Nicht zuletzt würde man damit auch etwaigen Konflikten mit Betriebsräten aus dem Weg gehen können, die ansonsten bei betrieblichen Vereinbarungen zur E-Mailnutzung hinzugezogen werden müssten. So wird etwa das Mitbestimmungsrecht von Betriebsräten seitens der Rechtsprechung recht weit gefasst. Es sei demnach ausreichend, wenn technische Maßnahmen dazu geeignet sein könnten, den Arbeitnehmer zu überwachen – was naturgemäß gerade für Telekommunikationssysteme gilt.
  
• 
  
• Auch könnte man an Regelungen denken, die dem Mitarbeiter vorschreiben würden, private E-Mails auch im Header deutlich als „privat“ zu kennzeichnen. So wird es zum Teil auch von Behörden praktiziert.
  

Ich für meinen Teil empfehle, der eben skizzierten Zwischenlösung zu folgen. Wenn man dies rechtlich umsetzt, kriegt man ziemlich viel unter einen Hut:

• Meiner Erfahrung nach, fühlen sich die Mitarbeiter in der Regel schnell bevormundet (was wiederum dem Unternehmensklima nicht gerade zuträglich ist), wenn man jegliche private Nutzung der unternehmenseigenen Kommunikationseinrichtungen unterbindet. Die „Zwischenlösung“ hätte den Reiz, dass man durch klare Regelungen den Interessen beider Seiten (Arbeitgeber wie auch Arbeitnehmer) nachkommen kann.

 

• Der Unternehmer kann zudem durch klare rechtliche Vorgaben genau festlegen, in welchem Maße eine private Nutzung der TK-Einrichtungen möglich sein soll und Fälle der Zuwiderhandlung auch entsprechend sanktionieren.
  

 

• Die schwierige Abgrenzung zwischen privaten und dienstlichen Mails würde bei der „Zwischenlösung“ entfallen.
  

Zwar wird das Unternehmen Telekommunikationsanbieter und hat sich den erweiterten Datenschutzbestimmungen des TKG zu unterwerfen. Nur, auch dies kann man rechtlich ganz gut abfangen was mich nun zu der Frage führt, wie eine entsprechende IT-Handlungsanleitung in Form einer Mitarbeiterrichtlinie oder – je nach Größe des Unternehmens auch eine sog. IT- Betriebsvereinbarung aussehen könnte. Dies möchte ich Ihnen zuletzt noch kurz skizzieren:

Ziel einer „IT-Handlungsanleitung“, die die oben erwähnte „Zwischenlösung“ abbilden sollt, ist es allgemeine Richtlinien der Ausgestaltung und Entwicklung für das Arbeiten mit IT-Systemen aufzustellen, wobei insbesondere die folgenden Aspekte geregelt werden sollten:

1. Umgang mit Infrastruktur (Gebäude etc.)
2. Umgang mit Arbeitsplatz
3. Umgang mit Telefon, Internet und E-Mail
4. Umgang mit externen Datenträger
5. Passwortgebrauch, mobile Geräte und Home Office

Ich möchte an dieser Stelle aus Zeitgründen nur noch kurz auf die rechtlichen Regelungen zum Umgang mit den betriebseigenen Kommunikationseinrichtungen, wie etwa dem Telefon, dem Internet oder auch der E-Mail eingehen.

• Weitere Artikel
  zum Thema
• Anmeldung zum
  IT-Recht Newsletter
• Online-Nutzung unserer
  Beiträge und Linksetzung