Rechtliche Zulässigkeit der Weiterleitung von E-Mails bei (Urlaubs-) Abwesenheit – Best Practice Ansatz

Datenschutz
Der Einsatz von E-Mail im Unternehmen ist aufgrund der nicht ausreichenden rechtlichen Regelung in Deutschland immer wieder eine wunderbare Gelegenheit für juristische Auseinandersetzungen. Zwar sind einige Anwendungsfälle durch die Rechtsprechung mittlerweile geklärt (zumindest mehr oder weniger), doch ganz wesentliche Fragen des Umgangs mit E-Mail sind nach wie vor rechtlich umstritten.

Es ist jetzt Anfang August 2011, und wir stecken momentan noch mitten in der Urlaubszeit. Und: Was haben Sie für Ihre Urlaubsabwesenheit für ihren dienstlichen E-Mail-Account geplant? Bleibt dieser etwa für die Zeit des Urlaubs komplett ruhen und bleibt ungelesen?
Dann laufen Sie allenfalls Gefahr, dass wichtige E-Mails nicht bearbeitet werden oder Fristen versäumt werden. Vielleicht haben Sie aber einen Auto-Responder aktiviert, der die Absender von E-Mails an Sie darüber informiert, dass Sie sich gerade im wohlverdienten Urlaub befinden und sich nach Rückkehr aus dem Urlaub zurückmelden werden. Vielleicht informiert der Auto-Responder den Absender freundlicherweise auch darüber, dass Sie für eilige Fälle einen Vertreter haben, bei dem das dringliche Anliegen gegebenenfalls noch einmal selbst durch eine weitere E-Mail vorgebracht werden kann.

Diese Konstellation ist eine einfache und rechtlich unproblematisch Konstellation, die ich immer empfehlen würde, wenn der jeweilige E-Mail-Account nicht regelmäßig mit Fristsachen oder Kundenanliegen beglückt wird.

Was aber können Sie tun, wenn die Bearbeitung der E-Mails während ihres Urlaubs durch Kollegen (oder die Unternehmensleitung) unbedingt erforderlich ist? Dann fangen die rechtlichen Probleme erst so richtig „schön“ an. Dürfen Sie zum Beispiel einem Kollegen Zugriffsrechte auf Ihren E-Mail-Account einräumen? Oder dürfen Sie gar eine Weiterleitung der E-Mail an einen oder mehrere Kollegen einrichten? Das alles sind wunderbare Fragen, auf die es bis heute keine eindeutigen Antworten gibt. Es gibt nämlich keine einschlägige, klare Rechtsprechung zu diesen Fragen, und die Literatur zu diesem Thema schweigt sich zu den wesentlichen Probleme aus oder ist heillos zerstritten.

Für die Beantwortung all dieser Fragen ist stets entscheidend, ob in Ihrem Unternehmen die private Nutzung des dienstlichen E-Mail-Accounts erlaubt ist oder nicht. Ist die private Nutzung erlaubt, wäre nach bisher herrschender Meinung ein Zugriff auf E-Mails während ihres Urlaubs durch Vorgesetzte, Kollegen oder die Unternehmensleitung rechtlich unzulässig. Abhängig von der technischen Ausgestaltung würde nämlich entweder eine Verletzung des Fernmeldegeheimnisses oder eine Verletzung des Rechts auf Integrität und Vertraulichkeit informationstechnischer Systeme vorliegen. Nach einer noch ganz frischen arbeitsrechtlichen Entscheidung des LAG Berlin-Brandenburg (Urteil vom 16.02.2011, Az.: 4 Sa 2132/10) soll aber das Fernmeldegeheimnis zumindest in bestimmten Konstellationen das Fernmeldeheimnis auch bei erlaubter Privatnutzung nicht für den Arbeitgeber greifen. Die Begründung ist jedoch nicht ganz überzeugend, wie ich finde. Ob sich diese Auffassung durchsetzt, wird sich zeigen.

Nach strenger Auffassung dürfte im Fall einer erlaubten Privatnutzung von E-Mail Ihr Vorgesetzter im Übrigen auch nicht von Ihnen verlangen können, dass Sie dem Zugriff auf Ihren E-Mail-Account während ihrer Abwesenheit zustimmen. In diesem Fall würde es nämlich an der erforderlichen „Freiwilligkeit“ der Zustimmung/Einwilligung fehlen.

Wenn Sie jedoch freien Herzens und aus eigener Überzeugung gerne während ihrer Abwesenheit ihre E-Mails von einem Kollegen bearbeitet wissen wollen, dann spricht zunächst nichts dagegen, dass Sie eine entsprechende Zustimmung/Einwilligung erteilen. Diese kann in diesen Fällen auch regelmäßig konkludent – also durch stillschweigendes, schlüssiges Handeln – erfolgen, so dass es ausreicht wenn Sie selbst die entsprechende Berechtigung in Ihrem E-Mail-Programm einrichten.

Das hört sich alles auf den ersten Blick nachvollziehbar und gar nicht so komplex an. Jetzt wundern Sie sich vielleicht, warum ich am Anfang geschrieben habe, dass die Rechtslage komplex und und eindeutig sei. Nun ja…dazu dürfen Sie wissen, dass Sie nicht alleine auf diesen Planeten sind. Was meine ich jetzt aber damit? Lassen Sie mich das am besten anhand eines konkreten Beispiels darstellen:

Ich hatte einmal einen Mandanten, einen Geschäftsführer einer GmbH, den ich aufgrund meiner Tätigkeit als Anwalt für das Unternehmen auch einmal in einer etwas pikanten, privaten Angelegenheit strafrechtlich vertreten – bzw. strafrechtlich korrekter ausgedrückt – verteidigt habe. Ohne auf weitere Details einzugehen, ging es in dem Fall um eine nicht besonders schwerwiegende Straftat, die sich jedoch – für den Mandanten etwas peinlich – im „Rotlichtbereich“ zugetragen haben soll. Mit Zustimmung des Mandanten ist die E-Mail-Kommunikation in dieser Angelegenheit über den dienstlichen E-Mail-Account des Geschäftsführers geführt worden und mit seiner Zustimmung auch in unverschlüsselter Form.

Wie es in strafrechtlichen Angelegenheiten üblich ist, habe ich zunächst die so genannte Verteidigungsanzeige an die Staatsanwaltschaft gesendet, in der ich darauf hingewiesen habe, dass mein Mandant zunächst keine Angaben zur Sache macht, bevor nicht Akteneinsicht erteilt wurde, und ein entsprechendes Akteneinsichtsgesuch (das ist mal „Juristendeutsch“) gestellt.

Und dann passierte – auch für Strafsachen nicht unüblich – lange nichts. Nach ca. 3 Monaten erhielt ich dann die Akte von der Staatsanwaltschaft und habe den Mandanten entsprechend über den Inhalt der Akte per E-Mail informieren wollen. Gesagt – getan. Die E-Mail habe ich geschrieben, Korrektur gelesen, und ordnungsgemäß an den Geschäftsführer per E-Mail adressiert.

Als ich ungefähr eine Stunde später meine E-Mails abgerufen habe, bekam ich Gänsehaut. In meiner „Inbox“ hatte ich eine E-Mail, die mich leider nicht auf einen Lottogewinn hingewiesen hat, sondern darauf, dass mein Mandant (der Geschäftsführer) sich im Urlaub befindet und diese E-Mail automatisch an seinen Vertreter im Unternehmen, Herrn Max Mustermann (Name natürlich von mir geändert) weitergeleitet wird. Na toll…auf diese Weise wurde der Geschäftsführer (mein Mandant) durch die Weiterleitung an den Kollegen im Unternehmen als „Rotlicht-Gänger“ geoutet. Diese Situation war mir natürlich sehr unangenehm. Auch wenn ich nicht unmittelbar für die Offenbarung des Geheimnisses verantwortlich war (schließlich musste der Geschäftsführer selbst am besten wissen, dass möglicherweise auch unangenehme E-Mails in seiner E-Mail-Inbox landen, die seine Kollegen nichts angehen), war es doch ein ziemlich blödes Gefühl, daran mitgewirkt zu haben, dass der Ruf des Geschäftsführers in seinem eigenen Unternehmen möglicherweise erheblich geschädigt worden ist.

Was hat diese Geschichte nun mit unserem Thema zu tun? Ganz einfach: in einer Kommunikation, die über Telekommunikationsmittel wie zum Beispiel Telefon oder E-Mail erfolgt, geht es nicht immer nur um den Schutz des Empfängers einer E-Mail, sondern eben manchmal auch um den Schutz des Absenders einer E-Mail. Im Beispielsfall habe ich zwar keine Geheimnisse über mich verraten, sondern über den Mandanten, der die E-Mail empfangen hat. Das hätte natürlich aber auch noch anders sein können.

Wie dem auch sei, in meinem konkreten Beispielsfall hätte ich mir sehr gewünscht, dass meine E-Mail nicht automatisch an den Vertreter meines Mandanten weitergeleitet worden wäre. Ideal wäre für mich gewesen, wenn ich lediglich eine Benachrichtigung durch einen Auto-Responder bekommen hätte, der mich auf den Urlaub des Mandanten und einen gegebenenfalls bestellten Vertreter hingewiesen hätte. Dann wäre die E-Mail mit dem pikanten Inhalt lediglich bei dem gelandet, den es angeht: meinen Mandanten.

Ob die automatische Weiterleitung von E-Mails während der Abwesenheit (z.B. urlaubsbedingt) an Kollegen oder die Erteilung von Zugriffsrechten auf Ihren E-Mail-Account rechtlich zulässig ist oder nicht, ist juristisch bis heute nicht eindeutig geklärt. Während eine Auffassung davon ausgeht, dass der Absender einer E-Mail damit rechnen müsse, dass auch Kollegen – z.B. während des Urlaubs – auf die E-Mails des Empfängers zugreifen können, geht eine andere Auffassung davon aus, dass auch der Schutz des so genannten B-Teilnehmers (Absender der E-Mail) gewährleistet sein muss und daher eine entsprechende Weiterleitung oder Kenntnisnahme von E-Mails durch Dritte nur mit Zustimmung des E-Mail-Absenders zulässig ist.

Die rechtliche „Bewältigung“ der Herausforderungen der Informationsgesellschaft scheitert also auch einmal wieder an diesem Punkt. Wir Juristen dürfen uns daher immer mehr damit anfreunden, dass wir es – zumindest im Bereich der rechtlichen Beratung – immer weniger mit „Compliance“, also der Einhaltung von Rechtsgrundlagen, und immer mehr mit „Best Practice” zu tun haben. Der Best-Practice-Ansatz zeigt dabei einen Weg auf, bei dem die Einhaltung der Rechtsvorschriften mit relativ hoher Sicherheit gewährleistet ist. Er zielt weniger darauf ab, dass rechtlich Mögliche zu erreichen, sondern eher durch eine größere Vorsicht eine höhere Wahrscheinlichkeit für die Einhaltung der Rechtsgrundlagen zu erhalten.

Tja… und wie sieht nun der Best-Practice-Ansatz für Ihren E-Mail-Account während Ihrer Urlaubsabwesenheit aus? Ich würde – nach meiner ganz persönlichen Meinung – sagen, so:

  1. Wenn Sie im Urlaub selbst ihre E-Mails lesen, dann brauchen Sie weder eine Weiterleitung von E-Mails an Kollegen oder eine Zugriffsberechtigung von Kollegen auf Ihren E-Mail-Account. Sie sollten entsprechend diese Dinge unterlassen. Teilen Sie doch ggf. ihren häufigen Gesprächspartnern im Vorwege mit, dass Sie sich in der Zeit von X bis Y im Urlaub befinden und ihre E-Mails mindestens einmal am Tag (z.B vormittags oder abends) lesen und bearbeiten. Dann können Sie dringliche Sachen immer noch an Kollegen delegieren.

  2. Wenn Sie im Urlaub nicht Ihre E-Mails lesen wollen UND es nicht zwingend erforderlich ist, dass der E-Mail-Account z.B. für Wahrung von Fristangelegenheiten von Kollegen gelesen wird, dann richten Sie einen Auto-Responder ein („Abwesenheitsbenachrichtigung“), der den Absender einer E-Mail an Sie darüber informiert, dass Sie sich im Urlaub befinden und wann Sie zurück wieder zurück sind. Außerdem sollten Sie gerne darauf hinweisen, dass die E-Mail nicht an einen Kollegen weitergeleitet bzw. gelesen wird. Hilfreich ist es daher, auf Namen und E-Mail-Adresse (ggf. auch Telefonnummer etc.) eines Kollegen hinzuweisen, der sich um das Anliegen kümmern kann, damit der E-Mail-Absender eine Chance der Bearbeitung seines Anliegens bekommt.

  3. Wenn durch Nichtbearbeitung Ihrer E-Mails mit hoher Wahrscheinlichkeit ein Schaden für Absender von E-Mails an Sie entstehen kann, dann kann es unter Umständen geboten (und auch zulässig sein), eine Zugriffsberechtigung auf Ihren E-Mail-Account für Kollegen einzurichten. Dies sollte jedoch stets die Ausnahme sein. Wenn Sie regelmäßig mit denselben Personen kommunizieren und z.B. E-Mails von Personen, mit denen Sie vorher keinen Kontakt gehabt haben, selten bekommen, dann können Sie ihre üblichen Kontaktpersonen besser im Vorwege über einen Vertreter informieren, an den diese sich während Ihrer Abwesenheit wenden sollen. Oder Sie verweisen auf einen ggf. bestehen Gruppen-E-Mail-Account (z.B. vertrieb@mustermann-firma-xyz.de). Dann wird eine Kenntnisnahme der E-Mails an Sie durch Kollegen entbehrlich, und der Schutz des E-Mail-Empfängers bleibt gewährleistet.

Ach ja…„one more thing“: Wenn Sie Datenschutzbeauftragter eines Unternehmens sind, sollten Sie während der Urlaubsabwesenheit sehr vorsichtig mit Weiterleitungen und Zugriffsberechrtigungen für Dritte sein, wenn es sich um die E-Mail-Adresse handelt, die in der Außendarstellung oder in der bisherigen Korrespondenz mit Betroffenen verwendet wurde. Denn nach § 4f Abs. 4 BDSG unterliegt der Datenschutzbeauftragte einer besonderen Verschwiegenheitspflicht zugunsten des Betroffenen. Der Datenschutzbeauftragte ist – soweit nicht eine Befreiung durch den Betroffenen erteilt wurde – verpflichtet, Stillschweigen über die Identität des Betroffenen sowie der Umstände seines Anliegens zu bewahren. Wenn nun jedoch ein Kollege die E-Mail an den Datenschutzbeauftragten während dessen Urlaubs zur Kenntnis bekommt, dann gibt es ein Problem. Das erkennen Sie selbst, nicht wahr?
Allerdings sieht das BDSG erstaunlicherweise keine Sanktionen bei der Verletzung der Verschwiegenheitspflicht durch den Datenschutzbeauftragten vor. Jedoch kann im Falle eines materiellen oder immateriellen Schadens des Betroffenen durch die Verletzung der Verschwiegenheitspflicht ggf. ein Schadensersatzanspruch gegenüber dem Datenschutzbeauftragten durch den Betroffenen geltend gemacht werden.

Sie merken…alles nicht ganz so einfach mit diesen E-Mails.

Und ich bin mir sicher, dass Sie den für Sie passenden Weg nun finden werden.

Der nächste Urlaub kommt bestimmt. Ich freue mich für Sie. Genießen Sie ihn – mit Auto-Responder 😉

Ihr Stephan Hansen-Oest

Hinweis: Dieser Beitrag stammt aus meinem Newsletter Datenschutz-Tipps für Unternehmen, den Sie kostenlos abonnieren können:
Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.