Für die rechtliche Bewertung von E-Mail-Filtern in Unternehmen, egal ob durch die Firma selbst oder durch beauftragte Dritte, ist es entscheidend, ob und unter welchen Bedingungen das Unternehmen seinen Arbeitnehmern die private Nutzung des E-Mail-Systems gestattet hat. Grundsätzlich ist der Arbeitgeber in dieser Entscheidung auf der Grundlage seines Direktionsrechts und seines Eigentumsrechts an den Betriebsmitteln frei.
Gestattet der Arbeitgeber die private Nutzung, so unterliegt das Unternehmen einschließlich beauftragter Dritter - etwa einem Anbieter von Managed Services - gegenüber dem Arbeitnehmer verschiedenen rechtlichen Restriktionen, die bei einem Verbot der privaten E-Mail-Nutzung entfallen. Die Erlaubnis zur Privatnutzung kann ausdrücklich oder konkludent durch betriebliche Übung erteilt werden. Sie liegt auch bei einem ausdrücklichen Verbot der Privatnutzung vor, sofern ein solches Verbot zwar formal ausgesprochen wurde, aber dessen Einhaltung nicht kontrolliert und sanktioniert wird. Wird die private Nutzung des E-Mail-Systems verboten, hat der Arbeitgeber grundsätzlich die Möglichkeit, den E-Mail-Verkehr zu überwachen und auch zu filtern. Allerdings sind in jedem Fall die Mitbestimmungsrechte des Betriebsrates (§ 87 Abs. Ziffer 6 BetrVG) zu berücksichtigen, da E-Mail-Filter als technische Maßnahmen dazu geeignet sind, den Arbeitnehmer zu überwachen.
Private Nutzung als Problem
Ist hingegen die private Nutzung gestattet, so kann der Arbeitgeber die Nutzbarkeit des E-Mail-Accounts nicht ohne weiteres einseitig einschränken. Wenn durch die Spam-Filterung auch private E-Mails erfasst werden, kann der Einsatz von Spam-Filtern allerdings eine solche Einschränkung darstellen. Dies könnte im Extremfall bedeuten, dass der Arbeitgeber bei der Gestattung privater Nutzung Spam-Filter nicht einsetzen kann oder zumindest die Zustellung privater E-Mails sicherstellen muss. Bei erlaubter Privatnutzung ist sowohl im Sinne des Arbeitgebers als auch zur Absicherung von Drittanbietern die Zustimmung der einzelnen Mitarbeiter zur Prüfung des E-Mail-Verkehrs, insbesondere aber zur Löschung beziehungsweise zum Zurückhalten von Spam-E-Mails sinnvoll und geboten.
Aus diesem Dilemma, einerseits den Arbeitnehmern die private Nutzung des betrieblichen E-Mail-Accounts gestatten zu wollen, andererseits die Funktionsfähigkeit der betrieblichen EDV-Systeme sicherstellen zu müssen, kann die von Black Spider angebotene Lösung der individuellen Spam-Quarantäne oder des regelmäßigen Enduser-Message-Reports (EUMR) helfen. Beide Systemausgestaltungen ermöglichen es, dass der Adressat der E-Mail jederzeit die Möglichkeit hat, auf seine E-Mails zuzugreifen.
Das Unternehmen als Diensteanbieter
Jedes Unternehmen, das seinen Mitarbeitern die private Nutzung des E-Mail-Systems erlaubt, ist Diensteanbieter im Sinne des Telekommunikationsgesetzes (TKG) und hat daher die Regelungen des TKG zum Fernmeldegeheimnis zu beachten. So untersagt § 88 TKG es jedem Diensteanbieter, "sich oder anderen über das für die geschäftsmäßige Erbringung der Telekommunikationsdienste einschließlich des Schutzes ihrer technischen Systeme erforderliche Maß hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen".
Gemäß herrschender Rechtsauffassung sind technische Maßnahmen zur Abwehr von Viren und anderem schädlichen Code unter dem Gesichtspunkt des Fernmeldegeheimnisses unproblematisch, da sie dem notwendigen Schutz der technischen Systeme dienen (§ 100 TKG). Anders bei Spam, der im Allgemeinen keine unmittelbare Gefahr für das Unternehmensnetzwerk darstellt. Hier wird man in der Regel nur dann von einer Gefahr für die technischen Systeme sprechen können, wenn eine Spam-Mail virale Elemente enthält oder das Unternehmen gezielt mit einer so großen Menge von Spam-Mails "bombardiert" wird, dass der E-Mail-Dienst wegen Überlastung der Infrastruktur unbenutzbar zu werden droht (Denial-of-Service-Attacke).
Im Rahmen des § 88 TKG ist zu beachten, dass diese Vorschrift dispositiv ist. Eine Einwilligung des Mitarbeiters, etwa in eine Kenntnisnahme und Verarbeitung der E-Mails, ist daher möglich und stellt eine rechtssichere Gestaltungsmöglichkeit dar.
Das Datenschutzgesetz
Unabhängig davon, ob die private E-Mail-Nutzung gestattet oder nicht gestattet ist, unterliegt das Unternehmen den Bestimmungen des Bundesdatenschutzgesetzes (BDSG), diese sind also stets anwendbar. Für den Fall einer Gestattung gelten diese Vorschriften zusätzlich zu denjenigen des TKG. Relevant ist hier insbesondere § 4 Abs. 1: "Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat."
Bei einem E-Mail-System werden grundsätzlich personenbezogene Daten verarbeitet, da bereits die eindeutige Zuordnung einer E-Mail-Adresse zu einem bestimmten Mitarbeiter dieses Kriterium erfüllt. Solche Daten dürfen nur dann gespeichert, geändert oder übermittelt werden, wenn dies im Rahmen der Zweckbestimmung des Vertragsverhältnisses oder vertragsähnlicher Vertrauensverhältnisse mit den Betroffenen erfolgt oder soweit es zur Wahrung berechtigter Interessen der Speicherstelle erforderlich ist und kein Grund zu der Annahme besteht, dass schutzwürdige Interessen des Betroffenen an dem Ausschluss der Verbreitung oder Nutzung offensichtlich überwiegen.
Einwilligung vom Mitarbeiter
Dient die Prüfung von eingehenden E-Mails ausschließlich dem Erkennen von Spam und dessen Aussortieren in einen Quarantäne-Ordner, so kann argumentiert werden, dass eine solche bloße und zudem vollautomatische Sortierung ohne Zugriffsmöglichkeit des Unternehmens sich im Rahmen der Zweckbestimmung des Vertragsverhältnisses bewegt und damit zulässig ist. Die Kontrollmöglichkeiten des Unternehmens bei E-Mails sind jedoch im Einzelnen nicht abschließend geklärt. Eine rechtssichere Möglichkeit besteht deshalb weiterhin in dem Einholen der Einwilligung der Mitarbeiter und ansonsten Betroffenen.
Deutlich günstiger stellt sich die Rechtslage aus der Sicht des Unternehmens dar, wenn die private Nutzung von E-Mails nicht gestattet wird. In diesem Fall findet das Telekommunikationsgesetz keine Anwendung, denn das Unternehmen erbringt gegenüber dem Mitarbeiter dann keine Telekommunikationsdienste. Die E-Mail-Nutzung erfolgt vielmehr ausschließlich zu betrieblichen Zwecken. Rechtlich wichtigste Folge ist, dass das Unternehmen nicht mehr den Regelungen des Fernmeldegeheimnisses aus § 88 TKG unterliegt. Die Anwendbarkeit des Bundesdatenschutzgesetzes bleibt hingegen unverändert bestehen.