Heutzutage haben Arbeitnehmer in den allermeisten Unternehmen Zugang zum Internet sowie eine betriebliche E-Mail-Adresse und Telefonnummer. Dennoch hat der deutsche Gesetzgeber deren private Nutzung am Arbeitsplatz bisher nicht ausdrücklich geregelt. Lassen Arbeitgeber eine private Nutzung ausdrücklich zu oder dulden diese, ist seit jeher umstritten, ob und wann Arbeitgeber ihren Mitarbeitern gegenüber das Fernmeldegeheimnis zu wahren haben, wodurch eine Nutzungsüberwachung nur stark eingeschränkt möglich wäre.
Bisherige Auffassung zur Anwendbarkeit des Fernmeldegeheimnisses auf Arbeitgeber
Im Jahr 2016 gab die Datenschutzkonferenz (DSK) eine Orientierungshilfe zur datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz (PDF) heraus, um Unternehmen eine klare Regelung zur privaten Nutzung des Internets und von betrieblichen E-Mail-Konten aufzuzeigen.
Unterschiedliche Regelungen galten gemäß der DSK je nachdem, ob nur eine betriebliche Nutzung erlaubt war, oder, ob den Beschäftigten die private Nutzung des Internets und/oder des betrieblichen E-Mail-Postfachs am Arbeitsplatz gestattet oder diese zumindest über längere Zeit geduldet wurde.
Nur betriebliche Nutzung erlaubt: Fernmeldegesetz nicht anwendbar
Stellt ein Arbeitgeber Hardware bzw. Software zur Verfügung und diese darf nur für betriebliche Zwecke genutzt werden, richten sich die Erhebung, Verarbeitung und Nutzung der dadurch anfallenden personenbezogenen Daten ausschließlich nach dem BDSG und der DSGVO und nicht dem Fernmeldegeheimnis.
Arbeitgeber dürfen bezüglich der Internet- und Telefonnutzung anhand von Protokolldaten stichprobenartig prüfen, ob die Internetnutzung ausschließlich zu betrieblichen Zwecken erfolgt ist, wobei die Auswertung zunächst nur generell und ohne Personenbezug zu erfolgen hat. Eine umfassende Kontrolle ist nur bei einem konkreten Verdacht des Missbrauchs und unter Einhaltung der Verhältnismäßigkeit erlaubt.
In Bezug auf das E-Mail-Postfach kann der Arbeitgeber anordnen, das für betriebliche Zwecke relevante oder vorher festgelegte Themenkreise von ein- und ausgehenden E-Mails an ihn weiterzuleiten sind. Der Arbeitgeber selbst darf mangels Erforderlichkeit aber keine umfassende Weiterleitung an ihn selbst einrichten.
Private Nutzung erlaubt oder geduldet: Fernmeldegesetz anwendbar
Liegt eine ausdrückliche Erlaubnis oder eine Duldung der Nutzung zu privaten Zwecken über längere Zeit vor, besteht eine Ausnahme vom Verbot der privaten Nutzung. Nach Ansicht der DSK sind bei erlaubter bzw. geduldeter privater Nutzung von Internet, betrieblichem E-Mail-Postfach oder Telefon zusätzlich zur DSGVO und dem BDSG auch das TKG (Neufassung seit dem 1. Dezember 2021) und TMG (seit dem 14. Mai 2024 abgelöst durch das Digitale-Dienste Gesetz (DDG)) zu beachten.
Die DSK vertrat in ihrer Orientierungshilfe die Ansicht, dass Arbeitgeber in diesem Fall Telekommunikationsdienste- bzw. Telemediendienste-Anbieter (heute Telekommunikationsdienste- bzw. Digitale-Dienste-Anbieter) sind und deshalb an das Fernmeldegeheimnis, § 88 Abs. 2 Satz 1 TKG (heute § 3 Abs. 1, 2 TDDDG) gebunden sind. Daraus folgt, dass Arbeitgeber grundsätzlich nicht auf diese Daten zugreifen dürfen.
Hintergrund dieser Ansicht war, dass die Frage, ob ein Arbeitgeber Telekommunikationsdienste- bzw. Digitale-Dienste-Anbieter ist, zum Zeitpunkt der Veröffentlichung der Orientierungshilfe noch nicht höchstrichterlich entschieden oder durch den Gesetzgeber geregelt worden war und die DSK deshalb zur Vermeidung etwaiger Strafbarkeit davon ausging, dass Arbeitgeber Diensteanbieter sind. Daraus folgte, dass ein Zugriff auf Daten, die dem Fernmeldegeheimnis unterlagen, grundsätzlich verboten war.
Wann war eine Einsicht durch den Arbeitgeber bei privater Nutzung dennoch möglich?
Eine Einsichtnahme in E-Mails, den Internetsuch- oder Telefonverlauf war nach bisheriger Auffassung der DSK bei erlaubter bzw. geduldeter privater Nutzung nur dann möglich, wenn zuvor eine Einwilligung der Betroffenen eingeholt wurde. Dies ist zwar als Erlaubnisgrundlage im TDDDG nicht geregelt, muss aber europarechtskonform (im Lichte des Art. 5 Abs. 1 Satz 2 der E-Privacy-Richtlinie) in § 3 TDDDG hineingelesen werden. Deshalb wird vielfach vorgeschlagen, eine private Nutzung vorbehaltlich einer Einwilligung in Überprüfungen der Nutzung auszugestalten. Arbeitsrechtlich ist dies trotz der untergeordneten Stellung der Arbeitnehmer zulässig, da die private Nutzung eine freiwillige Leistung des Arbeitgebers ist, die der Arbeitnehmer unter diesen Bedingungen nicht annehmen muss.
Während eine Einwilligung bei der Einsicht in den Internetsuchverlauf möglich erscheint, ist bei E-Mails sowie der Anruferliste jedoch zu beachten, dass an diesen Vorgängen immer mindestens zwei Personen beteiligt sind und Art. 5 Abs. 1 Satz 2 der E-Privacy-RL die Einwilligung „aller betroffenen Nutzer“ fordert. Holt der Arbeitgeber nur die Einwilligung des Beschäftigten ein, fehlt immer noch eine Einwilligung des jeweiligen externen Kommunikationspartners – deren Einholung in der Praxis kaum möglich erscheint. Auch beim Nachrichtenaustausch mit einer offensichtlich dienstlichen E-Mail-Adresse wurde von den Behörden und Gerichten bisher keine stillschweigende Einwilligung des Dritten angenommen.
Exkurs: Unterfallen E-Mails begrifflich der Telekommunikation und somit auch unter das Fernmeldegeheimnis?
Ob neben der Telefonie auch die E-Mail-Korrespondenz unter den Begriff Telekommunikation fällt, war zunächst nicht zweifelsfrei durch ein Gesetz geregelt. Teils wurde vertreten, man müsse zwischen Telekommunikation und Telemediendiensten unterscheiden. Demnach würden letztere Inhalte nicht durch das Fernmeldegeheimnis geschützt, da es sich nicht um klassische Telekommunikation handele.
Begrifflich werden Telekommunikationsdienste wie bisher in § 3 Nr. 24 TKG (2004) definiert. Zusätzlich wurde über § 3 Nr. 61 b) TKG der „interpersonelle Telekommunikationsdienst“ neu mitaufgenommen. Damit ist klar, dass zum Adressatenkreis der Fernmeldeverpflichteten nach wie vor neben den Festnetz- und Mobilfunknetzbetreibern sowohl die Servicebetreiber als auch die Internet-Service-Provider zählen, wenn diese Telekommunikationsdienste, wie Internettelefonie, E-Mail-Service und SMS-Chatmöglichkeiten anbieten. Somit können auch E-Mails dem Begriff der Telekommunikation unterfallen.
Aktuelle Entwicklungen zur Anwendbarkeit des Fernmeldegeheimnisses auf Arbeitgeber
Seit Inkrafttreten des TDDDG, welches nun in § 3 Abs. 2 TDDDG anstelle von § 88 TKG Abs. 2 Satz 1 die nach dem Fernmeldegesetz verpflichteten aufzählt, wird vermehrt vertreten, dass Arbeitgeber, die eine private Nutzung gestatten oder dulden nun nicht mehr dem Begriff des Digitale-Dienste-Anbieters oder des Telekommunikationsanbieters unterfallen, da sich die rechtliche Bewertung durch die Neufassung der Vorschriften geändert habe.
So sieht es bspw. die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen in ihrem 29. Tätigkeitsbericht aus 2024 (12.2). Zur Begründung führt sie an, dass das TDDDG vor allem Anbieter von öffentlich zugänglichen und von geschäftsmäßig angebotenen Telekommunikationsdiensten verpflichte sowie Betreiber von öffentlichen Telekommunikationsnetzen und solche von geschäftsmäßig ausgerichteten Telekommunikationsanlagen. Bei Arbeitgebern, die die private Nutzung erlauben oder dulden, fehle es in der Regel am Rechtsbindungswillen: Arbeitgeber treten gegenüber ihren Beschäftigten nicht als geschäftsmäßige Telekommunikationsdienstleister auf.
Die Folge wäre, dass statt der spezifischen telekommunikationsrechtlichen Regeln nur die Vorschriften der DSGVO und des BDSG Anwendung finden würden (siehe Art. 95 DSGVO). Danach muss sich jede Verarbeitung personenbezogener Daten auf eine Rechtsgrundlage stützen lassen – dies sichert ein ähnlich hohes Schutzniveau wie bei Anwendung des Fernmeldegeheimnisses.
Die Landesbeauftragte NRW gibt in ihrem Bericht an, dass auch andere Aufsichtsbehörden dies inzwischen ähnlich sähen, womit eine Abkehr vom Fernmeldegeheimnis als möglich erscheint. Eine Stellungnahme anderer Datenschutzbehörden gibt es dazu jedoch nicht.
Vergleich alter und neuer Rechtslage
Im Vergleich des Fernmeldegesetzes in der alten Fassung von § 88 Abs. 1 Satz 1 TKG mit der neuen Fassung in § 3 Abs. 1 Satz 1 TDDDG, lässt sich erkennen, dass sich an der Formulierung des Fernmeldegesetzes selbst nichts geändert hat. Eine Änderung besteht jedoch im Bereich der nach dem Fernmeldegeheimnis Verpflichteten. Dieser entscheidet darüber, ob Arbeitgeber dem Fernmeldegeheimnis unterliegen. § 3 Abs. 2 Satz 1 Nr. 1-4 TDDDG enthält nun im Gegensatz zu § 88 Abs. 2 Satz 1 TKG (alte Fassung), der alle Diensteanbieter verpflichtete, eine differenziertere Aufzählung von nach dem Fernmeldegeheimnis Verpflichteten. Ein Arbeitgeber ist hierin zwar nicht ausdrücklich erwähnt, jedoch ist es denkbar, dass er dennoch unter einen der in § 3 Abs. 2 Nr. 1-4 TDDDG genannten Oberbegriffe fällt. In der Gesetzesbegründung war man von einer Verengung des Anwendungsbereichs abgerückt.
Im Ergebnis besteht nach wie vor keine Einigkeit darüber, ob ein Arbeitgeber, der die private Nutzung von Internet und E-Mail-Postfach erlaubt bzw. duldet, nun unter eine der dort genannten Nummern fällt. Für nahezu jeden der dort aufgeführten Begriffe („Anbieter“, „öffentlich zugängliche Telekommunikationsdienste“, „an der Erbringung solcher Dienste mitwirken“) werden bezüglich der Anwendung auf Arbeitgeber, die eine private Nutzung erlauben oder dulden, verschiedenste Argumente und Gegenargumente von Literatur, Rechtsprechung und Praxis angeführt. Damit ist die Antwort auf die Frage, ob Arbeitgeber unter das Fernmeldegeheimnis fallen – mangels ausdrücklicher gesetzlicher Regelung oder höchstrichterlicher Rechtsprechung – noch genauso unsicher wie unter Anwendung des damals geltenden § 88 Abs. 2 Satz 1 (alte Fassung).
Unter welchen Umständen macht sich der Arbeitgeber sogar strafbar?
Problematisch ist auch die korrespondierende strafrechtliche Vorschrift des § 206 Abs. 1 StGB, welcher eine unbefugte Mitteilung einer anderen Person über Tatsachen, die dem Fernmeldegeheimnis unterliegen und die einem als Inhaber oder Beschäftigten eines Unternehmens bekanntgeworden sind, mit bis zu fünf Jahren Freiheitsstrafe oder mit Geldstrafe bestraft.
Die umstrittene Einordnung, ob der Arbeitgeber, der eine private Nutzung zulässt, dem Fernmeldegeheimnis unterliegt, ist strafbegründendes Tatbestandsmerkmal. Auch hier entfällt eine Strafbarkeit nur durch eine Einwilligung aller Kommunikationsbeteiligten – welche aber bei E-Mails und Telefonie kaum von allen Nutzern möglich ist. Erlaubt man als Arbeitgeber also eine private Nutzung ohne eine Einwilligung aller Nutzer zu haben und führt dann entgegen des Fernmeldegeheimnisses Kontrollen durch, kommt eine Strafbarkeit zumindest tatbestandlich in Betracht.
Rechtliche Einschätzung
Die Diskussion um die Anwendbarkeit des Fernmeldegesetzes ist insbesondere durch die Aussage der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfale in ihrem Bericht aus 2024 wieder erneut angefacht worden. Jedoch kann ihrer Aussage nicht zu viel Bedeutung beigemessen werden, da es sich zum einen nur um die Stellungnahme einer einzigen Aufsichtsbehörde handelt, zum anderen ist sie für den Bereich des Fernmeldegeheimnisses gar nicht originär zuständig – zuständige Aufsichtsbehörde ist allein die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) (§ 29 TDDDG).
Auch lässt sich trotz aller Argumentation nicht genau abschätzen, welcher Ansicht Gerichte und andere Behörden zukünftig folgen werden. Erlaubt bzw. duldet ein Arbeitgeber eine private Nutzung, besteht bei Einsichtnahmen in die E-Mails, Anrufprotokolle oder Internetsuchverläufe ohne wirksame Einwilligung weiterhin das Risiko von aufsichtsrechtlichen Maßnahmen durch den BfDI sowie einer Strafbarkeit nach § 206 Abs. 1 StGB.
Fazit
Auch wenn sich in Literatur und Praxis die Stimmen mehren, die erlaubte bzw. geduldete private IT-Nutzung durch den Arbeitgeber nicht mehr dem Fernmeldegeheimnis unterfallen zu lassen, gehen damit einige Risiken einher. Daher ist es zu empfehlen, bis zu einer höchstrichterlichen Entscheidung, gesetzlichen Regelung oder flächendeckenden Stellungnahmen weiterer Datenschutzbehörden den Arbeitnehmern eine private Nutzung entweder ausdrücklich zu untersagen, eine Einwilligung zur Kontrolle der Internetnutzung einzuholen und bzw. oder ansonsten von Nutzungskontrollen abzusehen, um eine Strafbarkeit nach § 206 Abs. 1 StGB sowie Maßnahmen der Aufsichtsbehörden zu vermeiden.
