TTDSG - Telekommunikation-Telemedien-Datenschutz-Gesetz

Der Arbeitgeber als TK-Anbieter

21.04.2022
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Viele Unternehmen erlauben ihren Mitarbeitern die private Internetnutzung und den Zugriff auf private E-Mails. Dabei spielt das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) eine Rolle.
Wird die private Nutzung des Internets und der E-Mail-Kommunikation am Arbeitsplatz erlaubt oder geduldet, gelten für den Arbeitgeber verschärfte Anforderungen.
Wird die private Nutzung des Internets und der E-Mail-Kommunikation am Arbeitsplatz erlaubt oder geduldet, gelten für den Arbeitgeber verschärfte Anforderungen.
Foto: Antonio Guillem - shutterstock.com

Alter Wein in neuen Schläuchen: Der neue § 3 Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) verpflichtet, wie früher nach § 88 Telekommunikationsgesetz (TKG), die Telekommunikationsanbieter zur Wahrung des Fernmeldegeheimnisses. Gilt dieses Fernmeldegeheimnis damit auch für den Arbeitgeber, wenn dieser die private Nutzung von Internet und E-Mails erlaubt oder jedenfalls duldet?

Mischnutzung

Die Kontrolle und ein Zugriff auf Daten der E-Mail und Internetnutzung der Arbeitnehmer durch den Arbeitgeber hat für letztere oftmals große Bedeutung. Regelmäßig entspricht die Einsichtnahme den unternehmerischen Interessen des Arbeitgebers, z.B. um zu überprüfen, dass keine übermäßige Privatnutzung seitens der Arbeitnehmer oder ein Missbrauch von Betriebs- und Geschäftsgeheimnissen stattfindet. Inwieweit ein Zugriff auf E-Mails der Arbeitnehmer zulässig ist, hängt wesentlich davon ab, ob den Arbeitnehmern eine private Nutzung des beruflichen E-Mail-Postfachs beziehungsweise des Internets gestattet ist oder nicht. Entsprechend unterscheiden sich die vom Arbeitgeber zu wahrenden Anforderungen.

Beim Versenden von E-Mails beziehungsweise der sonstigen Internetnutzung durch die Beschäftigten werden personenbezogene (Beschäftigten-)Daten verarbeitet. Der Arbeitgeber muss jedenfalls die Vorschriften des Bundesdatenschutzgesetzes (BDSG) und der Datenschutzgrundverordnung (DSGVO) einhalten. Die Datenverarbeitung unterliegt engen Voraussetzungen: sie bedarf insbesondere einer Rechtfertigungsgrundlage, darf nur für die bei der Erhebung festgelegten Zwecke, im erforderlichen Umfang und unter transparenter Information der Beschäftigten um den Umgang mit den Daten erfolgen. Ist eine private Nutzung des geschäftlichen E-Mails-Postfachs nicht gestattet, so bleibt es bei den Standardvorschriften des BDSG. Unter gewissen Restriktionen ist damit ein Zugriff des Arbeitgebers möglich.

Fernmeldegeheimnis

Bei Erlaubnis der Privatnutzung oder einer Duldung derselben gelten jedoch verschärfte Anforderungen. Der Arbeitgeber könnte dann zusätzlich zur Wahrung des in § 3 TTDSG normierten Fernmeldegeheimnisses verpflichtet sein. Sämtliche Inhalte und Umstände der Kommunikation unterliegen sodann einem besonderen - den Zugriff einschränkenden - Schutz. Die Folgen sind weitreichend: ein Zugriff auf das E-Mail-Postfach beziehungsweise die Daten zur Internetnutzung durch den Arbeitgeber wird praktisch ausgeschlossen. Probleme stellen sich mit Blick auf Obliegenheiten des Arbeitgebers aus anderen Gesetzen.

»

c.m.c. 2022 - New Managed Services

MSPs und CSPs müssen ihre Managed Services erweitern. Auf dem c.m.c. Kongress am Mittwoch, den 1. Juni 2022, in München, zeigen Service Provider, wie das Cloud- und Managed-Service-Geschäft gelingt.
channel meets cloud cmc

Insbesondere das Handelsgesetzbuch (HGB) normiert eine Verpflichtung für den Arbeitgeber zur Aufbewahrung von Daten. Damit muss der Arbeitgeber andererseits in der Lage sein, auf die E-Mails der Beschäftigten zuzugreifen. Zwangsläufige Ausnahmen von dem Verbot des Datenzugriffs bestehen nicht einmal im Falle eines Urlaubs oder einer längerfristigen Krankheit eines Arbeitnehmers. Erfolgt dennoch ein Zugriff auf die Daten, kann dies eine Strafbarkeit des Arbeitgebers nach § 206 StGB nach sich ziehen.

Anwendbarkeit des Fernmeldegeheimnisses auf den Arbeitgeber

Schon bei der ursprünglichen Normierung des Fernmeldegeheimnisses in der alten Fassung von § 88 TKG war unklar, ob Arbeitgeber dem Fernmeldegeheimnis unterliegen. Die Frage stellt sich nun erneut mit Blick auf den die Norm ersetzenden § 3 TTDSG. Der persönliche Schutzbereich von § 3 TTDSG erfasst etwa Anbieter von ganz oder teilweise geschäftsmäßig angebotenen Telekommunikationsdiensten oder Betreiber von Telekommunikationsanlagen, mit denen geschäftsmäßige Telekommunikationsdienste erbracht werden.

Vielfach wird angenommen, dass Arbeitgeber mit der Erlaubnis der Privatnutzung zum Telekommunikationsanbieter im Sinne des Fernmeldegeheimnisses werden. Dies sei notwendig aufgrund der besonderen Schutzbedürftigkeit der Beschäftigten. Auch die Datenschutzaufsichtsbehörden haben schon 2016 eben diese Auffassung in einer Orientierungshilfe zur datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz vertreten. Eine Aktualisierung ist bisher nicht erfolgt. Eine weite Fassung des Schutzbereichs der Norm und damit eine Erfassung von Arbeitgebern scheint dazu im Interesse des Gesetzgebers gewesen zu sein.

Insbesondere mit Blick auf die notwendige Erfüllbarkeit der oben genannten Aufbewahrungspflichten, wird jedoch zunehmend vertreten, den Arbeitgeber nicht als Telekommunikationsanbieter einzuordnen. Nicht zuletzt die arbeitsgerichtliche Rechtsprechung steht vielfach auf eben diesem Standpunkt. Konsequenz wäre das Fernmeldegeheimnis nicht anzuwenden.

Argumentiert wird hier wie folgt: Wird das Fernmeldegeheimnis angewendet, so führt dies zu erheblichen Widersprüchen und Rechtsunsicherheit. Folge ist das Dilemma, dass bei erlaubter Privatnutzung der Arbeitgeber regelmäßig entweder gegen Aufbewahrungspflichten verstößt oder alternativ eine Verletzung des Fernmeldegeheimnisses im Raum steht. Eine Erlaubnis zur Privatnutzung des E-Mail-Postfachs ist ein Entgegenkommen des Arbeitgebers im Interesse seiner Mitarbeiter. Insofern ist unklar, warum der Arbeitgeber für dieses Zugeständnis in seinen Befugnissen so erheblich eingeschränkt werden sollte. Hinzu kommt, dass das TTDSG lediglich die Vorgaben einer europäischen Richtlinie (sogenannte ePrivacy Richtlinie) umsetzen sollte. Eine Erfassung auch der Arbeitgeber geht jedoch über die Vorgaben der Richtlinie hinaus.

Trotz beachtenswerter Argumentation ist eine finale Entscheidung der Frage bisher weder durch den Gesetzgeber noch die höchstrichterliche Rechtsprechung erfolgt. Es bleibt damit bei der neuen-alten Situation, dass im Zweifel von einer Anwendbarkeit des Fernmeldegeheimnisses auf den die Privatnutzung gestattenden Arbeitgeber ausgegangen werden muss.

Konsequenzen für die Praxis: Verbot der Privatnutzung

Letztlich hat auch die Neuerfassung des Fernmeldegeheimnisses in § 3 TTDSG keinen "neuen Wein" serviert. Arbeitgebern ist weiterhin zu empfehlen, ein Verbot der Privatnutzung des E-Mail-Postfachs beziehungsweise des Internets durch den Arbeitnehmer umzusetzen. Eine E-Mail-Kontrolle wäre sodann auf Basis der DSGVO und dem BDSG möglich.

Bei gleichwohl erlaubter Privatnutzung kann mitunter eine umfängliche technische und organisatorische Trennung von privater und betrieblicher Kommunikation, etwa mittels Nutzung externer E-Mail-Postfächer Abhilfe schaffen. Auch kann eine Einwilligung der Beschäftigten zu möglichen Zugriffen durch den Arbeitgeber eingeholt werden. Werden in dieser Einwilligung ausdrücklich Zugriffsszenarien dargestellt, ermöglicht dies dem Arbeitgeber, den Mitarbeitern eine Privatnutzung zu erlauben, ohne auf notwendige Rechte zu verzichten.

Mehr zum Thema Datenschutz:
IT-Sicherheit muss sich stärker am Datenschutz ausrichten
Großbritannien und die EU-DSGVO
Google führt "Alles-ablehnen"-Button ein
Pandemie zeigt die Zwei-Klassen-Gesellschaft auf
DSGVO-konformes Bewerbermanagement
Office 365 datenschutzkonform nutzen

Zur Startseite