Die immer wieder vorherrschende Unsicherheit, ob für den Arbeitgeber nun die Normen aus dem TDDDG (früher TTDSG) und somit das Fernmeldegeheimnis gelten, wenn dieser die private E-Mail-, Telefon- oder Internetnutzung seiner Mitarbeiter gestattet, wurde nun von der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) in ihrem 29. Jahresbericht zum Datenschutz geklärt.

Beim TDDDG handelt es sich um das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG, früher TTDSG), in das für uns Datenschützer nun die wesentlichen datenschutzrechtlich relevanten Normen aus dem TKG (alt) überführt wurden.

Bislang wurde der Arbeitgeber, sofern dieser die private Nutzung der betrieblichen Kommunikationsmittel erlaubt und diese seinen Mitarbeitern somit nachhaltig für private Zwecke zur Verfügung stellt, als geschäftsmäßiger Telekommunikationsanbieter eingestuft. Ein entsprechendes Anbieter-Nutzer-Verhältnis wurde sogar bei bloßer Duldung seitens des Arbeitgebers angenommen, sofern der Arbeitgeber die sich eingebürgerte private Nutzung durch die Beschäftigten offensichtlich kennt und über einen längeren Zeitraum ohne Beanstandungen hinnimmt. Dies hatte zur Folge, dass für den Arbeitgeber die Regelungen aus dem TKG, insbesondere das Fernmeldegeheimnis gelten. Insofern musste der Arbeitgeber in der Vergangenheit vorab eine Einwilligung der Betroffenen einholen, wenn dieser auf die Protokolldaten oder E-Mails der Beschäftigten zugreifen wollte. Aus praktischer Sicht wurde somit immer wieder hervorgehoben, dass man doch eine solche Privatnutzung erlauben, aber zugleich klare „Spielregeln“ und Kontrollmechanismen aufstellen solle wie bspw. Betriebs-/Dienstvereinbarung und hierauf Bezug nehmender Einwilligungen der einzelnen Mitarbeiter.

Nun äußerte sich die LDI NRW in ihrem Jahresbericht dahingehend, dass „[…] Arbeitgeber*innen, die ihren Beschäftigten die private Nutzung von Internet und E-Mail erlauben oder dulden, nicht mehr dem Telekommunikationsrecht unterliegen. Deshalb haben sie gegenüber ihren Beschäftigten auch nicht das Fernmeldegeheimnis zu garantieren.“ (S. 76)

Zur Wahrung des Fernmeldegeheimnisses verpflichtet sind nach dem § 3 Abs. 2 S. 1 TDDDG,

  1. Anbieter von öffentlich zugänglichen Telekommunikationsdiensten sowie natürliche und juristische Personen, die an der Erbringung solcher Dienste mitwirken,
  2. Anbieter von ganz oder teilweise geschäftsmäßig angebotenen Telekommunikationsdiensten sowie natürliche und juristische Personen, die an der Erbringung solcher Dienste mitwirken,
  3. Betreiber öffentlicher Telekommunikationsnetze und
  4. Betreiber von Telekommunikationsanlagen, mit denen geschäftsmäßig Telekommunikationsdienste erbracht werden.

Bei Arbeitgebern fehle es laut Aussage der LDI NRW in der Regel am Rechtsbindungswillen und sie treten gegenüber ihren Beschäftigten gerade nicht als geschäftsmäßige Telekommunikationsdienstleister auf. Insofern sei es für die Anwendung des TDDDG unerheblich, ob eine private Nutzung erlaubt oder geduldet sei (vgl. S. 76).

Die Folge ist nun, dass Arbeitgeber das Fernmeldegeheimnis in Bezug auf dienstliche Kommunikationsmittel, bei welchen die Privatnutzung gestattet oder geduldet wird, nicht mehr garantieren müssen. Dies heißt jedoch nicht, dass jegliche Datenverarbeitung von Protokolldaten oder E-Mails gestattet ist. Ganz im Gegenteil greift eben anstelle des TDDDG nun vollumfänglich die DSGVO, geregelt in Art. 95 DSGVO. Nach der DSGVO bedarf ein Zugriff durch den Arbeitgeber auf personenbezogene Daten der Beschäftigen einer Rechtsgrundlage im Einzelfall. Dies kann ggf. auch wiederum eine Einwilligung der Betroffenen beinhalten. Insofern empfiehlt die Aufsichtsbehörde in ihrem aktuellen Tätigkeitsbericht auch, dass über die betriebliche und/oder private Nutzung des Internets und des betrieblichen E-Mail-Accounts eine schriftliche Regelung zu treffen sei. Darin sollen die Fragen des Zugriffs, der Protokollierung, der Auswertung und der Durchführung von Kontrollen eindeutig geklärt werden. Zudem sind die Beschäftigten auch künftig über mögliche Überwachungsmaßnahmen und Sanktionen zu informieren.

Fazit

Auch wenn nun die DSGVO vollumfänglich greift, sollte der Arbeitgeber somit – nach wie vor – die betriebliche und/oder private Nutzung des Internets und des betrieblichen E-Mail-Accounts schriftlich regeln und die Mitarbeiter vollumfänglich über hierdurch mögliche Datenverarbeitungen durch den Arbeitgeber informieren (Art. 13f. DSGVO).