Gestattet der Arbeitgeber seinen Beschäftigten, die betriebliche E-Mail-Adresse auch zu privaten Zwecken zu nutzen, ist fraglich, ob er sich dem Anwendungsbereich des Fernmeldegeheimnisses unterwirft und wie weit dieser reicht. Wie das Institut für IT-Recht (www.iitr.de) mitteilt, ergeben sich hieraus erhebliche Probleme für die arbeitsrechtliche Praxis - der neue Entwurf zum Beschäftigtendatenschutzgesetz des Bundesinnenministeriums verspricht hier Abhilfe.
Hintergrund: Erlaubnis privater Nutzung
Erlaubt der Arbeitgeber seinen Beschäftigten die Nutzung des betrieblichen E-Mail Zugangs zu privaten Zwecken, wird er damit zu einem geschäftsmäßigen Anbieter von Telekommunikationsdienstleistungen. Das Telekommunikationsgesetz ("TKG") richtet sich nicht nur an Telekommunikationskonzerne als "klassische" Anbieter von Telekommunikationsdienstleistungen, sondern erfasst auch betriebliche Telekommunikationsanlagen.
Diese Möglichkeit wurde vom Gesetzgeber bewusst offengelassen, denn der Anbieter muss weder die Absicht haben mit dem Angebot von Telekommunikationsdiensten "Geld zu verdienen" (Gewinnererzielungsabsicht - § 3 Nr. 10 TKG), noch muss sich das Angebot an die Allgemeinheit richten sondern kann auch gegenüber einer geschlossenen Benutzergruppe (Belegschaft im betrieblichen Kommunikationsnetz) erbracht werden.
Das Problem: Erlaubnis aufgrund Duldung
Der Arbeitgeber muss nach herrschender Meinung aber nicht einmal explizit die private Nutzung erlauben: es reicht aus, wenn er die auch private Nutzung des E-Mail Zugangs duldet und Verstöße nicht rechtzeitig sanktioniert. Das heißt ganz praktisch: nur das tatsächlich kontrollierte und sanktionierte Verbot privater E-Mail Nutzung schützt den Arbeitgeber wirklich davor, als "Anbieter von Telekommunikationsdienstleistungen" eingeordnet werden zu können.
Rechtsfolge: Arbeitgeber als "Anbieter von Telekommunikationsdienstleistungen"
Folge der Einordnung des Arbeitgebers als "Anbieter von Telekommunikationsdienstleistungen" und damit der Anwendbarkeit des TKG ist, dass dieser den Verpflichtungen zum Schutz des Fernmeldegeheimnisses gemäß § 88 TKG unterliegt. Verbindungs- und Inhaltsdaten, die bei der betrieblichen E-Mail Kommunikation anfallen, dürfen nur in den im TKG ausdrücklich geregelten Fällen (Entgeltermittlung § 97 TKG; Störung und Missbrauch von Telekommunikationsdiensten § 100 TKG) erhoben und ansonsten nicht überwacht werden. Insbesondere darf nicht auf andere einfachgesetzliche Erlaubnisnormen z.B. des Bundesdatenschutzgesetzes ("BDSG") zurückgegriffen werden.
- Ein Schutzwall direkt beim Anwender
Viele Webmail-Anbieter (in diesem Beispiele Google Mail) bieten bereits standardmäßig einen guten Schutz vor Spam, wenn die Anwender sich etwas mit den Filtereinstellungen befassen. - die Server bieten standardmäßigen Anti-Spam-Schutz
Hier sind die entsprechenden Meldungen der Ereignisprotolle für die „Inhalts-Identifizierung“ und die „Standardfilterebene“ eines Exchange-Servers zu sehen. - Millionen von Spam-Nachrichten
Wenn Anwender richtig darauf reagieren und diese Art von Mail nicht durch einen Klick auf „Keine Junk-E-Mail“ freigeben, werden viele davon auch von Client-Programmen abgefangen - Die äußere Verteidigungslinie
Eine Appliance, die einen sogenannten „Reputations-Filter“ verwendet, lässt solche Nachrichten erst gar nicht in das Firmennetzwerk gelangen. - Der Antivirus-Schutz kann ebenfalls in der vordersten Linie zum Einsatz kommen
Die meisten Appliances sind dazu in der Lage, die eingehenden Nachrichten vor dem Wechsel in das Firmennetzwerk auf Viren zu untersuchen. - Der Transfer vom E-Mail-Server zum Client
Bei Verwendung von POP3 ist er gänzlich unverschlüsselt und kann mit etwas Knowhow mittels Port-Sniffing und Port-Mirroring protokolliert werden - Ein einfaches Zertifikat für den Einsatz mit S/Mime
: Anbieter wie StartSSL bieten kostenlose Class1-Zertifikate an, die für Privatanwender und kleinen Firmen ausreichen können. - Schneller Einsatz bei einer aktuellen Version von Microsoft Outlook (hier Outlook 2007)
Das Zertifikat wird im Vertrauensstellungscenter importiert. Das funktioniert auch dann tadellos, wenn das Zertifikat zuvor mit dem Firefox angefordert wurde. - Alle gängigen E-Mail-Client-Programme unterstützten S/MIME, wie hier am Beispiel Thunderbird gezeigt wird
Auf Smartphones und Handheld-PCs ist die Unterstützung im Moment noch nicht selbstverständlich. - Nicht zu übersehen
Mit diesem Zertifikat es etwas nicht in Ordnung, was für den Benutzer in aller Deutlichkeit angezeigt wird. - Es ist wichtig, dass ist ein gültiges Zertifikat vorhanden ist
Wer diesen Teil nicht besitzt, kann einem anderem Empfänger zwar eine verschlüsselte Nachricht schicken, muss aber damit rechnen, dass dieser sie nicht lesen kann. - Elegant und übersichtlich gelöst
Die Schlüsselbundverwaltung auf den Apple-Rechnern und OS X. Auch hier fügt sich das freie Class1-Zertifikat problemlos ein. - Eine Archivierung der E-Mail findet häufig sowohl auf dem Client-Computer, als auch auf der Seite des Servers statt
Während es auf dem Client die eigenen Nachrichten sind, die gesichert werden, speichert der Server in der Regel alle ein- und ausgegangenen Nachrichten.