E-Mails: Ist die Weiterleitung von geschäftlich zu privat erlaubt?

Fachbeitrag

Obwohl die E-Mail als tägliches Arbeitsmittel kaum mehr wegzudenken ist, gibt es zum rechtskonformen Umgang mit einem geschäftlichen E-Mail-Account immer noch große Unsicherheiten. So ist z.B. vielen Arbeitnehmern – aber auch Arbeitgebern – nicht bewusst, dass die Weiterleitung von geschäftlichen E-Mails an private Accounts rechtlich aus verschiedenen Gründen problematisch ist. Neben der Verletzung von Rechtsnormen aus dem UWG oder auch dem StGB kommen auch datenschutzrechtliche Verstöße in Betracht.

Verpflichtung zum Schutz personenbezogener Daten

Es ist in der Praxis gar nicht selten, dass gerade sehr pflichtbewusste Arbeitnehmer sich geschäftliche E-Mails – inklusive Anhängen wie z.B. Reports – an die eigene private E-Mail-Adresse senden um diese dann zu Hause zu bearbeiten. Wahrscheinlich aber gerade deshalb, weil dies aus Sicht der Arbeitnehmer im Interesse des Unternehmens geschieht, ist ein entsprechendes Unrechtsbewusstsein nicht vorhanden. Der Versand von geschäftlichen E-Mails ist aber aus datenschutzrechtlicher Sicht als unzulässig zu bewerten, wenn die E-Mail und/oder der Anhang personenbezogene Daten beinhalten. Dies ist z.B. jedenfalls dann der Fall, wenn ein Report eine Kundenliste o.ä. enthält.

§ 9 BDSG – Fehlende Datensicherheit

Für alle personenbezogenen Daten, die ein Unternehmen erhebt, speichert, nutzt oder verarbeitet, ist das Unternehmen die sog. „verantwortliche Stelle“ im Sinne von § 3 Abs. 7 BDSG. D.h. das Unternehmen ist für den rechtskonformen Umgang verantwortlich und haftet für Rechtsverletzungen. Nach § 9 BDSG ist das Unternehmen dabei verpflichtet geeignete technische und organisatorische Maßnahmen zu treffen um die Datensicherheit zu gewährleisten. Dies umfasst selbstverständlich auch einen ausreichenden technischen Schutz von E-Mail-Accounts, der in Unternehmen in aller Regel durch entsprechende Sicherheitsmaßnahmen der IT gewährleistet wird. Genau diese Sicherheitsmaßnahmen werden in der Regel aber für den privaten E-Mail-Account nicht bestehen. Die wenigsten Nutzer werden wohl den eigenen PC ähnlich professionell schützen, wie dies die Unternehmens-IT-Abteilung gewährleistet. Daher stellt der Versand bzw. die Vorhaltung von geschäftlichen E-Mails im eigenen privaten E-Mail-Account bereits aus diesem Grund einen datenschutzrechtlichen Verstoß dar.

§ 11 BDSG – Auftragsdatenverarbeitung

Die private E-Mail-Adresse besteht in aller Regel bei einem entsprechenden großen Anbieter wie z.B. web.de, der Telekom oder Google. D.h. die geschäftliche E-Mail wird zunächst einmal auf einem Server des E-Mail-Anbieters gespeichert. Auch dieser Umstand ist datenschutzrechtlich problematisch, denn es besteht faktisch fast immer die Möglichkeit, dass der Anbieter auf die E-Mail zugreifen kann. Dieser Umstand ist für den privaten Nutzer grundsätzlich datenschutzrechtlich nicht bedenklich, da das BDSG für ihn nicht gilt. Aber das Unternehmen selbst unterliegt dem BDSG und müsste in einer solchen Konstellation mit dem Anbieter einen Auftragsdatenverarbeitungsvertrag nach § 11 BDSG schließen. Ohne einen solchen Vertrag ist die Speicherung der E-Mail unzulässig.

Weitere datenschutzrechtliche Probleme können zudem entstehen, wenn sich die E-Mail-Server im sog. EU-Ausland wie z.B. USA befinden sollten. Dann handelt es sich beim Versand einer geschäftlichen E-Mail sogar um eine Datenübermittlung ins EU-Ausland und es müsste zudem mit dem E-Mail-Provider ein Vertrag auf Basis der EU-Standardvertragsklauseln geschlossen werden.

Keine Zugriffsmöglichkeit auf E-Mails

Eine weitere Problematik entsteht, wenn das Unternehmen auf die dann im privaten Account gespeicherte E-Mail Zugriff nehmen will / muss. Da es sich um einen privaten Account handelt, gilt grundsätzlich das Telekommunikations-/Fernmeldegeheimnis, dessen Verletzung strafrechtlich geahndet wird. D.h. auch wenn ein Unternehmen die private Nutzung des geschäftlichen Accounts wirksam untersagt hat und somit grundsätzlich Zugriff auf E-Mails nehmen könnte, ist es in dieser Konstellation auf die Zustimmung des Mitarbeiters und Inhabers des privaten Accounts angewiesen.

Weitere mögliche Rechtsverletzungen

Neben den dargestellten datenschutzrechtlichen Problemstellungen birgt die Weiterleitung von geschäftlichen E-Mails auch noch die Gefahr von weiteren Rechtsverletzungen. Da geschäftliche Korrespondenz nicht selten auch Informationen beinhaltet, die Geschäftsgeheimnisse berühren, sind Verstöße gegen Vorschriften aus dem Gesetz gegen unlauteren Wettbewerb (UWG) oder aber auch Verletzungen von vertraglichen Verpflichtungen nicht fernliegend. Bei Berufen, die einer gesetzlichen Verschwiegenheitspflicht unterliegen, besteht sogar die Gefahr von strafrechtlich relevanten Verstößen.

Fazit: Besser nicht weiterleiten

Auch wenn vom Arbeitnehmer eigentlich gut gemeint: Der Versand von geschäftlichen E-Mails an die eigene private E-Mail-Adresse sollte aus den dargestellten Gründen unterbleiben. Ein Zugriff auf geschäftliche E-Mails sollte nur über einen Webaccess-Zugang zum geschäftlichen E-Mail-Account erfolgen. Aber auch hier sollte darauf geachtet werden, dass die notwendigen Maßnahmen zur IT-Sicherheit gewährleistet sind.

Auch das In-Kraft-Treten der Datenschutz-Grundverordnung (DSGVO) am 25.05.2018 wird diese Problematik nicht ändern. Ganz im Gegenteil: Aufgrund der verschärften Anforderungen und des erhöhten Bußgeldrahmens wird es für Unternehmen noch wichtiger werden, den rechtskonformen Umgang mit dem geschäftlichen E-Mail-Account sicherzustellen.

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

2 Kommentare zu diesem Beitrag

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.