Private Mails im Büro erlaubt - gefährlich

Gestattet der Arbeitgeber seinen Beschäftigten, die betriebliche E-Mail-Adresse auch zu privaten Zwecken zu nutzen, ist fraglich, ob er sich dem Anwendungsbereich des Fernmeldegeheimnisses unterwirft und wie weit dieser reicht. Wie das Institut für IT-Recht (www.iitr.de) mitteilt, ergeben sich hieraus erhebliche Probleme für die arbeitsrechtliche Praxis - der neue Entwurf zum Beschäftigtendatenschutzgesetz des Bundesinnenministeriums verspricht hier Abhilfe.

Hintergrund: Erlaubnis privater Nutzung

Erlaubt der Arbeitgeber seinen Beschäftigten die Nutzung des betrieblichen E-Mail Zugangs zu privaten Zwecken, wird er damit zu einem geschäftsmäßigen Anbieter von Telekommunikationsdienstleistungen. Das Telekommunikationsgesetz ("TKG") richtet sich nicht nur an Telekommunikationskonzerne als "klassische" Anbieter von Telekommunikationsdienstleistungen, sondern erfasst auch betriebliche Telekommunikationsanlagen.

Diese Möglichkeit wurde vom Gesetzgeber bewusst offengelassen, denn der Anbieter muss weder die Absicht haben mit dem Angebot von Telekommunikationsdiensten "Geld zu verdienen" (Gewinnererzielungsabsicht - § 3 Nr. 10 TKG), noch muss sich das Angebot an die Allgemeinheit richten sondern kann auch gegenüber einer geschlossenen Benutzergruppe (Belegschaft im betrieblichen Kommunikationsnetz) erbracht werden.

Das Problem: Erlaubnis aufgrund Duldung

Der Arbeitgeber muss nach herrschender Meinung aber nicht einmal explizit die private Nutzung erlauben: es reicht aus, wenn er die auch private Nutzung des E-Mail Zugangs duldet und Verstöße nicht rechtzeitig sanktioniert. Das heißt ganz praktisch: nur das tatsächlich kontrollierte und sanktionierte Verbot privater E-Mail Nutzung schützt den Arbeitgeber wirklich davor, als "Anbieter von Telekommunikationsdienstleistungen" eingeordnet werden zu können.

Rechtsfolge: Arbeitgeber als "Anbieter von Telekommunikationsdienstleistungen"

Folge der Einordnung des Arbeitgebers als "Anbieter von Telekommunikationsdienstleistungen" und damit der Anwendbarkeit des TKG ist, dass dieser den Verpflichtungen zum Schutz des Fernmeldegeheimnisses gemäß § 88 TKG unterliegt. Verbindungs- und Inhaltsdaten, die bei der betrieblichen E-Mail Kommunikation anfallen, dürfen nur in den im TKG ausdrücklich geregelten Fällen (Entgeltermittlung § 97 TKG; Störung und Missbrauch von Telekommunikationsdiensten § 100 TKG) erhoben und ansonsten nicht überwacht werden. Insbesondere darf nicht auf andere einfachgesetzliche Erlaubnisnormen z.B. des Bundesdatenschutzgesetzes ("BDSG") zurückgegriffen werden.

Ein Schutzwall direkt beim Anwender
Viele Webmail-Anbieter (in diesem Beispiele Google Mail) bieten bereits standardmäßig einen guten Schutz vor Spam, wenn die Anwender sich etwas mit den Filtereinstellungen befassen.

die Server bieten standardmäßigen Anti-Spam-Schutz
Hier sind die entsprechenden Meldungen der Ereignisprotolle für die „Inhalts-Identifizierung“ und die „Standardfilterebene“ eines Exchange-Servers zu sehen.

Millionen von Spam-Nachrichten
Wenn Anwender richtig darauf reagieren und diese Art von Mail nicht durch einen Klick auf „Keine Junk-E-Mail“ freigeben, werden viele davon auch von Client-Programmen abgefangen

Die äußere Verteidigungslinie
Eine Appliance, die einen sogenannten „Reputations-Filter“ verwendet, lässt solche Nachrichten erst gar nicht in das Firmennetzwerk gelangen.

Der Antivirus-Schutz kann ebenfalls in der vordersten Linie zum Einsatz kommen
Die meisten Appliances sind dazu in der Lage, die eingehenden Nachrichten vor dem Wechsel in das Firmennetzwerk auf Viren zu untersuchen.

Der Transfer vom E-Mail-Server zum Client
Bei Verwendung von POP3 ist er gänzlich unverschlüsselt und kann mit etwas Knowhow mittels Port-Sniffing und Port-Mirroring protokolliert werden

Ein einfaches Zertifikat für den Einsatz mit S/Mime
: Anbieter wie StartSSL bieten kostenlose Class1-Zertifikate an, die für Privatanwender und kleinen Firmen ausreichen können.

Schneller Einsatz bei einer aktuellen Version von Microsoft Outlook (hier Outlook 2007)
Das Zertifikat wird im Vertrauensstellungscenter importiert. Das funktioniert auch dann tadellos, wenn das Zertifikat zuvor mit dem Firefox angefordert wurde.

Alle gängigen E-Mail-Client-Programme unterstützten S/MIME, wie hier am Beispiel Thunderbird gezeigt wird
Auf Smartphones und Handheld-PCs ist die Unterstützung im Moment noch nicht selbstverständlich.

Nicht zu übersehen
Mit diesem Zertifikat es etwas nicht in Ordnung, was für den Benutzer in aller Deutlichkeit angezeigt wird.

Es ist wichtig, dass ist ein gültiges Zertifikat vorhanden ist
Wer diesen Teil nicht besitzt, kann einem anderem Empfänger zwar eine verschlüsselte Nachricht schicken, muss aber damit rechnen, dass dieser sie nicht lesen kann.

Elegant und übersichtlich gelöst
Die Schlüsselbundverwaltung auf den Apple-Rechnern und OS X. Auch hier fügt sich das freie Class1-Zertifikat problemlos ein.

Eine Archivierung der E-Mail findet häufig sowohl auf dem Client-Computer, als auch auf der Seite des Servers statt
Während es auf dem Client die eigenen Nachrichten sind, die gesichert werden, speichert der Server in der Regel alle ein- und ausgegangenen Nachrichten.

Das heißt konkret: Einschränkung von Kontrollmöglichkeiten

Das Fernmeldegeheimnis oder Telekommunikationsgeheimnis statuiert ein Verbot des "unbefugten Abhörens, Unterdrückens, Verwertens oder Entstellens, von Fernmelde- Botschaften und ist grundgesetzlich geschützt (Art. 10 Grundgesetz). Legaldefiniert ist das Fernmeldegeheimnis in § 88 Abs. 1 TKG, wonach von diesem "der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war", geschützt wird.

Das Bundesverfassungsgericht hat sich 2006 in einer Grundsatzentscheidung zum Anwendungsbereich des Fernmeldegeheimnisses geäußert. Danach soll das Fernmeldegeheimnis die Vertraulichkeit der "privaten" Fernkommunikation gewährleisten, weil die am Kommunikationsvorgang Beteiligten wegen der räumlichen Distanz auf die Hilfe eines Dritten (Telekommunikationsunternehmen) bei der Datenübermittlung angewiesen sind. Geschützt ist neben per Telefon übertragener Kommunikation auch die Datenübertragung per E-Mail.

Das Fernmeldegeheimnis schützt nur vor spezifischen Gefahren, die in Zusammenhang mit dem Übertragungsvorgang stehen. Der Schutzbereich reicht daher nur, soweit die Nachricht noch nicht beim Empfänger angekommen ist und damit der Übertragungsvorgang abgeschlossen ist. Sobald nämlich die Nachricht im "Machtbereich" des Empfängers angelangt ist, kann dieser selbst geeignete Schutzmaßnahmen treffen um den Zugriff von Unbefugten zu verhindern. Zudem können per E-Mail empfangene Dateien gar nicht oder nur sehr schwer von selbst erstellten Dateien unterschieden werden.

Konkret für E-Mails: Auslegung des Begriffs "Herrschaftsbereich des Empfängers"

Bei der Versendung von privaten E-Mails am Arbeitsplatz ist fraglich ab welchem Zeitpunkt die Nachricht im Herrschaftsbereich des Empfängers angelangt ist. Kann man davon bereits ausgehen, wenn die Nachricht auf dem Server des Arbeitgebers angelangt ist, weil ja der jeweilige Angestellte ab diesem Zeitpunkt die weitere Verwendung der E-Mail beeinflussen kann oder soll es darauf ankommen ob die Nachricht auf dem individuell genutzten PC des Beschäftigten eingegangen ist?

BVerfG: E-Mail-Postfach ist geschützt

In einer Entscheidung aus dem Jahre 2009 hat der Bundesgerichtshof ("BGH") zudem ausgeführt, dass der vom Fernmeldegeheimnis geschützte Telekommunikationsvorgang auch dann als abgeschlossen zu betrachten sei, wenn die betreffende E-Mail beim Webmail Provider gespeichert ist. Der Schutz des Fernmeldegeheimnisses würde dadurch erheblich beschränkt, da die E-Mails zumeist auf zentralen Servern gespeichert sind. Die Server können mitunter sehr weit vom lokalen Netzwerkanschluss des Beschäftigten entfernt sein.

Diesem Ansatz des BGH hat das Bundesverfassungsgericht allerdings in einem Beschluss vom 16. Juni 2009 (www.bundesverfassungsgericht.de/entscheidungen/rs20090616_2bvr090206.html), bei dem es um die Beschlagnahmung von E-Mails durch die Strafverfolgungsbehörden ging, widersprochen und stellte klar:

"Der zugangsgesicherte Kommunikationsinhalt in einem E Mail-Postfach, auf das der Nutzer nur über eine Internetverbindung zugreifen kann, ist durch das Fernmeldegeheimnis (Art. 10 Abs. 1 GG) geschützt. Der Kommunikationsteilnehmer hat keine technische Möglichkeit, die Weitergabe der E-Mails durch den Provider an Dritte zu verhindern. Dieser technisch bedingte Mangel an Beherrschbarkeit begründet die besondere Schutzbedürftigkeit durch das Fernmeldegeheimnis, welches jenen Gefahren für die Vertraulichkeit begegnen will, die sich aus der Verwendung eines Kommunikationsmediums ergeben, das einem staatlichem Zugriff leichter ausgesetzt ist als die direkte Kommunikation unter Anwesenden.

Dies gilt unabhängig davon, ob eine E-Mail auf dem Mailserver des Providers zwischen- oder endgespeichert ist. Dem Schutz durch Art. 10 Abs. 1 GG steht nicht entgegen, dass während der Zeitspanne, während deren die E-Mails auf dem Mailserver des Providers "ruhen", ein Telekommunikationsvorgang in einem dynamischen Sinne nicht stattfindet. Art. 10 Abs. 1 GG folgt nicht dem rein technischen Telekommunikationsbegriff des Telekommunikationsgesetzes, sondern knüpft an den Grundrechtsträger und dessen Schutzbedürftigkeit aufgrund der Einschaltung Dritter in den Kommunikationsvorgang an.

Die spezifische Gefährdungslage und der Zweck der Freiheitsverbürgung von Art. 10 Abs. 1 GG bestehen auch dann weiter, wenn die E-Mails nach Kenntnisnahme beim Provider gespeichert bleiben. […] Die Auslagerung der E-Mails auf den nicht im Herrschaftsbereich des Nutzers liegenden Mailserver des Providers bedeutet nicht, dass der Nutzer mit dem Zugriff auf diese Daten durch Dritte einverstanden ist (Beschluss vom 16. Juni 2009, 2 BvR 902/06, www.bundesverfassungsgericht.de/entscheidungen/rs20090616_2bvr090206.html)."

Grundsätze des BVerfG gelten

Zwar hatte das Bundesverfassungsgericht vorliegend über einen Fall mit strafprozessualem Einschlag zu entscheiden. Eine ähnliche Gefahrenlage für die (gestattete) private E-Mail Kommunikation des Arbeitnehmers ergibt sich jedoch gleichwohl, sodass die vom Bundesverfassungsgericht aufgestellten Grundsätze ebenfalls gelten müssen.

Teilweise wird nach der Art des eingesetzten E-Mail Systems (POP3- oder IMAP-Verfahren) unterschieden. Bei einer POP3 Anwendung, wo die E-Mails beim Abruf durch den E-Mail Client (MS Outlook, Mozilla Thunderbird, etc.) vom Server im Regelfall automatisch gelöscht und nur lokal gespeichert werden, unterfallen diese E-Mails nach herrschender Meinung nicht mehr dem Schutz des Fernmeldegeheimnisses. Im Gegensatz dazu wird bei Verwendung des IMAP-Protokolls lediglich eine Kopie der auf dem Server gespeicherten Nachricht angefertigt.

IMAP-Postfach: Fernmeldegeheimnis?

Daraus folgt teilweise die - umstrittene - Ansicht, dass per IMAP weiterhin auf dem Server gespeicherte E-Mail ebenfalls nicht mehr dem Fernmeldegeheimnis unterfallen, denn der E-Mail-Empfänger habe sich ja bewusst dazu entschieden die E-Mail im "Machtbereich" des Arbeitgebers zu belassen anstatt vom Server zu löschen. Dagegen spricht nicht nur, dass ein bloßes passives "zur Kenntnis nehmen" nicht mit einer aktiven Handlung (E-Mail löschen, verschieben etc.) gleichgesetzt werden kann, sondern auch der mit IMAP verbundene Sicherheitsaspekt.

Sinn der grundsätzlich dauerhaften Speicherung der E-Mails auf dem Posteingangsserver ist, dass diese auch im Fall eines Computerabsturzes weiterhin verfügbar sind und zudem die Bearbeitung von E-Mail ggf. nicht auf einen PC Arbeitsplatz beschränkt ist sondern mehrfach abgerufen werden kann. Diese Vorteile dürfen nicht durch ein - aus Sicht des Arbeitnehmers - geringeres Schutzniveau entwertet werden.

Ausblick: neuer Gesetzentwurf zum Beschäftigtendatenschutz sieht Ausnahme vor

Abhilfe verspricht nun der Entwurf des Bundesinnenministeriums vom 11. August 2010 zur Schaffung eines "Gesetzes zur Regelung des Beschäftigtendatenschutzes" (www.datenschutz-berater.de/pdf/Beschaeftigtendatenschutz_E_11082010.pdf), der nach verschiedenen Presseberichten noch diese Woche vom Bundeskabinett verabschiedet werden soll. Danach soll gemäß § 32i Abs. 4 BDSG-E auch bei privaten Daten im E-Mail-Postfach des Beschäftigten der Zugriff durch den Arbeitgeber zulässig sein, wenn der Beschäftigte hiervon weiß und es für den ordnungsgemäßen Geschäftsbetrieb unerlässlich ist.

So schützen Sie Ihre Daten
Meistens sind es eigene Mitarbeiter oder Beschäftige von Partnerfirmen, die unternehmenskritische Daten mitgehen lassen. So können Sie sich davor schützen.

1. Regeln für E-Mail-Kommunikation definieren:
Den Mitarbeitern muss klar sein, dass sie keine unternehmenskritischen Informationen über Web-Mail-Services oder andere ungesicherte Kanäle übertragen dürfen. Bei Bedarf sollten Unternehmen eine Data-Loss-Prevention-Lösung einsetzen.

2. Datenverschlüsselung einsetzen:
Insbesondere Daten auf mobilen Rechnern und mobilen Speichermedien sollten grundsätzlich verschlüsselt werden, weil diese Geräte häufiger abhanden kommen.

3. Starke Passwörter verwenden:
Die Zugangs-Codes zu Arbeitsplatzrechnern und Firmennetz sollten mindestens acht Zeichen sowie Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen wie $ oder % enthalten. Alle 45 bis 60 Tage sollten die Passwörter gewechselt werden.

4. Regelmäßig Sicherheits-Audits durchführen:
Schwachstellen werden oft nur dann offenbar, wenn die internen IT-Sicherheitsmaßnahmen überprüft werden. Weil IT-Administratoren ungern selbst auf Lücken verweisen, sind externe Anbieter ratsam.

5. IT-Sicherheits-Regelwerk erstellen und pflegen:
Wenn definiert wird, wer wann Zugang zu welchen Netzwerk-Segmenten, Anwendungen und Daten hat, lässt sich der Zugriff auf kritische Informationen, wie etwa Entwicklungsunterlagen, steuern, überwachen und nachvollziehen.

6. Vertrauenswürdigkeit von Partnern prüfen:
Häufig benötigen Partner oder Lieferanten für ihre Dienste sensiblen Daten (Callcenter arbeitet mit Adressdaten). Im Zweifel sollten die externen Partner Sicherheitszertifizierungen etwa nach ISO 27000 nachweisen.

7. System-Management konsequent umsetzen:
Benutzer-Accounts von Usern und Administratoren müssen sorgfältig gepflegt werden. Verlassen Mitarbeiter das Unternehmen, müssen Zugriffsrechte gelöscht werden.

8. Auch Systemverwalter überwachen:
Geltende Compliance-Regeln und Datenschutzgesetze schreiben auch die Kontrolle des Administrators vor.

9. Spezielle Sicherheitssysteme nutzen:
Data-Loss-Prevention-Systeme (DLP), Datenverschlüsselung sowie Lösungen, die den Zugang zu Daten und Systemen kontrollieren (Identity- und Access-Management), sind hilfreich.

10. Die Gebäudesicherheit nicht vergessen:
Der Schutz vor Datenklau beginnt schon beim Zugang zum Firmengelände oder zu bestimmten Abteilungen. Lieferanten oder externe Mitarbeiter sollte nicht ohne Aufsicht in Abteilungen mit IT-Arbeitsplätze arbeiten.

Fazit

Die Reichweite des Fernmeldegeheimnisses ist bei der E-Mail Überwachung durch den Arbeitgeber auch wegen seiner strafrechtlichen Absicherung eine kritische Größe und in jedem Fall zu beachten. Wollen Arbeitgeber die Privatkommunikation über die betriebliche E-Mail-Adresse gestatten, haben diese sich bei der Überwachung in den Grenzen der Erlaubnisnormen des TKG zu bewegen und müssen dadurch auf weitgehende Kontrollen ihrer Beschäftigten verzichten. Abhilfe verspricht der neue Entwurf des Bundesinnenministeriums zum Beschäftigtendatenschutz: danach sollen Kontrollen insb. des E-Mail-Postfachs künftig möglich sein, wenn der Beschäftigte hiervon weiß und die Kontrolle für den ordnungsgemäßen Geschäftsbetrieb unerlässlich ist.

Der Autor Dr. Sebastian Kraska ist Rechtsanwalt und externer Datenschutzbeauftragter im IITR Institut für IT-Recht - Kraska GmbH. Der Autor Benjamin Schuetze ist Ass. iur. im IITR Institut für IT-Recht - Kraska GmbH.

Kontakt:

IITR Institut für IT-Recht - Kraska GmbH, Eschenrieder Straße 62c, 82194 Gröbenzell, Tel.: 089 5130392-0, E-Mail: skraska@iitr.de, Internet: www.iitr.de