E-Mails: Ist die Weiterleitung von geschäftlich zu privat erlaubt?

Fachbeitrag

Obwohl die E-Mail als tägliches Arbeitsmittel kaum mehr wegzudenken ist, gibt es zum rechtskonformen Umgang mit einem geschäftlichen E-Mail-Account immer noch große Unsicherheiten. So ist z.B. vielen Arbeitnehmern – aber auch Arbeitgebern – nicht bewusst, dass die Weiterleitung von geschäftlichen E-Mails an private Accounts rechtlich aus verschiedenen Gründen problematisch ist. Neben der Verletzung von Rechtsnormen aus dem UWG oder auch dem StGB kommen auch datenschutzrechtliche Verstöße in Betracht.

Verpflichtung zum Schutz personenbezogener Daten

Es ist in der Praxis gar nicht selten, dass gerade sehr pflichtbewusste Arbeitnehmer sich geschäftliche E-Mails – inklusive Anhängen wie z.B. Reports – an die eigene private E-Mail-Adresse senden um diese dann zu Hause zu bearbeiten. Wahrscheinlich aber gerade deshalb, weil dies aus Sicht der Arbeitnehmer im Interesse des Unternehmens geschieht, ist ein entsprechendes Unrechtsbewusstsein nicht vorhanden. Der Versand von geschäftlichen E-Mails ist aber aus datenschutzrechtlicher Sicht als unzulässig zu bewerten, wenn die E-Mail und/oder der Anhang personenbezogene Daten beinhalten. Dies ist z.B. jedenfalls dann der Fall, wenn ein Report eine Kundenliste o.ä. enthält.

§ 9 BDSG – Fehlende Datensicherheit

Für alle personenbezogenen Daten, die ein Unternehmen erhebt, speichert, nutzt oder verarbeitet, ist das Unternehmen die sog. „verantwortliche Stelle“ im Sinne von § 3 Abs. 7 BDSG. D.h. das Unternehmen ist für den rechtskonformen Umgang verantwortlich und haftet für Rechtsverletzungen. Nach § 9 BDSG ist das Unternehmen dabei verpflichtet geeignete technische und organisatorische Maßnahmen zu treffen um die Datensicherheit zu gewährleisten. Dies umfasst selbstverständlich auch einen ausreichenden technischen Schutz von E-Mail-Accounts, der in Unternehmen in aller Regel durch entsprechende Sicherheitsmaßnahmen der IT gewährleistet wird. Genau diese Sicherheitsmaßnahmen werden in der Regel aber für den privaten E-Mail-Account nicht bestehen. Die wenigsten Nutzer werden wohl den eigenen PC ähnlich professionell schützen, wie dies die Unternehmens-IT-Abteilung gewährleistet. Daher stellt der Versand bzw. die Vorhaltung von geschäftlichen E-Mails im eigenen privaten E-Mail-Account bereits aus diesem Grund einen datenschutzrechtlichen Verstoß dar.

§ 11 BDSG – Auftragsdatenverarbeitung

Die private E-Mail-Adresse besteht in aller Regel bei einem entsprechenden großen Anbieter wie z.B. web.de, der Telekom oder Google. D.h. die geschäftliche E-Mail wird zunächst einmal auf einem Server des E-Mail-Anbieters gespeichert. Auch dieser Umstand ist datenschutzrechtlich problematisch, denn es besteht faktisch fast immer die Möglichkeit, dass der Anbieter auf die E-Mail zugreifen kann. Dieser Umstand ist für den privaten Nutzer grundsätzlich datenschutzrechtlich nicht bedenklich, da das BDSG für ihn nicht gilt. Aber das Unternehmen selbst unterliegt dem BDSG und müsste in einer solchen Konstellation mit dem Anbieter einen Auftragsdatenverarbeitungsvertrag nach § 11 BDSG schließen. Ohne einen solchen Vertrag ist die Speicherung der E-Mail unzulässig.

Weitere datenschutzrechtliche Probleme können zudem entstehen, wenn sich die E-Mail-Server im sog. EU-Ausland wie z.B. USA befinden sollten. Dann handelt es sich beim Versand einer geschäftlichen E-Mail sogar um eine Datenübermittlung ins EU-Ausland und es müsste zudem mit dem E-Mail-Provider ein Vertrag auf Basis der EU-Standardvertragsklauseln geschlossen werden.

Keine Zugriffsmöglichkeit auf E-Mails

Eine weitere Problematik entsteht, wenn das Unternehmen auf die dann im privaten Account gespeicherte E-Mail Zugriff nehmen will / muss. Da es sich um einen privaten Account handelt, gilt grundsätzlich das Telekommunikations-/Fernmeldegeheimnis, dessen Verletzung strafrechtlich geahndet wird. D.h. auch wenn ein Unternehmen die private Nutzung des geschäftlichen Accounts wirksam untersagt hat und somit grundsätzlich Zugriff auf E-Mails nehmen könnte, ist es in dieser Konstellation auf die Zustimmung des Mitarbeiters und Inhabers des privaten Accounts angewiesen.

Weitere mögliche Rechtsverletzungen

Neben den dargestellten datenschutzrechtlichen Problemstellungen birgt die Weiterleitung von geschäftlichen E-Mails auch noch die Gefahr von weiteren Rechtsverletzungen. Da geschäftliche Korrespondenz nicht selten auch Informationen beinhaltet, die Geschäftsgeheimnisse berühren, sind Verstöße gegen Vorschriften aus dem Gesetz gegen unlauteren Wettbewerb (UWG) oder aber auch Verletzungen von vertraglichen Verpflichtungen nicht fernliegend. Bei Berufen, die einer gesetzlichen Verschwiegenheitspflicht unterliegen, besteht sogar die Gefahr von strafrechtlich relevanten Verstößen.

Fazit: Besser nicht weiterleiten

Auch wenn vom Arbeitnehmer eigentlich gut gemeint: Der Versand von geschäftlichen E-Mails an die eigene private E-Mail-Adresse sollte aus den dargestellten Gründen unterbleiben. Ein Zugriff auf geschäftliche E-Mails sollte nur über einen Webaccess-Zugang zum geschäftlichen E-Mail-Account erfolgen. Aber auch hier sollte darauf geachtet werden, dass die notwendigen Maßnahmen zur IT-Sicherheit gewährleistet sind.

Auch das In-Kraft-Treten der Datenschutz-Grundverordnung (DSGVO) am 25.05.2018 wird diese Problematik nicht ändern. Ganz im Gegenteil: Aufgrund der verschärften Anforderungen und des erhöhten Bußgeldrahmens wird es für Unternehmen noch wichtiger werden, den rechtskonformen Umgang mit dem geschäftlichen E-Mail-Account sicherzustellen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

5 Kommentare zu diesem Beitrag

  1. Vielen Dank für diesem umfangreichen und informativen Artikel. Bei uns im Büro war das Weiterleiten bisher auch gängige Praxis, wenn man mal einen Report oder ein Dokument noch schnell zu hause abarbeiten wollte. Wir arbeiten jedoch seit kurzen mit einem externen Datenschutzbeauftragten aus einer IT Firma (LINK GELÖSCHT) zusammen. Hauptsächlich um uns für die DVGSO zu rüsten. Aber uns wurde auch geraten, das Weiterleiten einzustellen. Jetzt kann ich die Gründe gut nachvollziehen. Denn es kann sich von Fall zu Fall doch um sehr sensible Daten handeln. Die es zu schützen gilt.

  2. Guten Tag, wie sieht es aus bei Vereinen? Es ist meist nicht möglich, für jeden ehrenamtlichen Teamleiter eine @mein-verein.de-Mailadresse einzurichten. (1) Ist von einer Weiterleitung von E-Mails von der info@-Adresse zur privaten Adresse des Teamleiters abzuraten? (2) Kann man z.B. eine sportart@mein-sportverein.de Mailadresse an ein eine oder mehrere private Mailadessen weiterleiten, so dass Interessenten Kontakt mit den Leitern aufnehmen können? Oder ist es transparenter, eine anonyme Mailadresse eines Free-Mail-Anbieters auf die Webseite zu stellen (z.B. sportart-bei-verein@gmx.de)? – Vielen Dank im Voraus.

    • Das BDSG gilt uneingeschränkt auch Vereine. Alle drei von Ihnen genannten Varianten können wir nicht empfehlen. Bei der Weiterleitung von E-Mails an die privaten Adressen stehen Sie vor den im Artikel näher erläuterten, rechtlichen Problemen. Möchten Sie eine Free-Mail Adresse nutzen, wäre aus den im Artikel genannten Gründen zumindest ein Auftragsdatenverarbeitungsvertrag, zum Teil auch Standardvertragsklauseln notwendig. Abhilfe könnte eine Sammel-E-Mail Adresse (bspw. info@sportverein.de) schaffen, zu der bestimmte Mitarbeiter über einen verschlüsselten Web Access Zugriff erhalten.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.