Ergebnis 1 bis 3 von 3

Thema: E-Mail-Kontrolle bei Verdachtsfall

  1. #1

    Standard E-Mail-Kontrolle bei Verdachtsfall

    Um es direkt vorweg zu nehmen,

    Zitat Zitat von bdsb
    zu diesem Themenbereich (private E-Mails am Arbeitsplatz) gibt es hier im Forum schon mehrere Diskussionen, vielleicht mal mit der Suche-Funktion durchstoebern.
    das habe ich gemacht, aber auf meine konkrete Frage keine wirkliche Antwort gefunden .

    Folgendes Szenario:

    Die private Nutzung des betrieblichen Mail-Accounts ist ausdrücklich im jeweiligen Arbeitsvertrag verboten. Wenngleich keine Kontrollen stattgefunden haben, stehe ich auf dem Standpunkt, dass hier keine Duldung / betriebliche Übung eingesetzt hat und das Verbot durchschlägt (kann man diskutieren, möchte ich an dieser Stelle aber nicht).

    Eine Mitarbeiterin ist jetzt dahingehend aufgefallen, dass sie Geschäfte mit der direkten Konkurenz unternimmt und dem eigenen Unternehmen schadet. Entsprechende Indizien / Beweise die einen Anfangsverdacht begründen und die nichts mit dem Mail-Account zu tun haben liegen vor, diese wurden vollkommen rechtskonform beigebracht. Aufgrund der potentiellen Nachverfolgbarkeit möchte ich nicht näher auf die Verstöße eingehen.

    Jetzt liegt die Vermutung nahe, dass die Korrespondenz (oder ein Teil davon) über den betrieblichen Mail-Account gelaufen ist und man (Compliance) möchte jetzt hier eine gezielte Kontrolle vornehmen. Den Betriebsrat könnte man einbinden, müsste es aber meiner Meinung nach nicht, da die private Nutzung verboten ist (somit kein Mitbestimmungsrecht) und die Kontrolle keine Leistungskontrolle darstellt.

    Jetzt habe ich "ein wenig tiefer gelesen", bin aber nicht ganz so schlau, wie ich gerne wäre, wie man die Kontrolle jetzt so durchführt, dass die rechtlich sauber ist und nicht von einem Richter gekippt wird, Stichwort: Beweisverwertungsverbot zzgl. ggf. Bußgeld. Für die folgenden, mitunter etwas längeren Zitate entschuldige ich mich schon mal an der Stelle und hoffe, dass diese keinen vom lesen abhalten. Ansonsten die Zitate überspringen und zum Ende des Postings scrollen.

    Beim BayLDA finde ich folgenden Auszug (gekürzt):

    Zitat Zitat von BayLDA: Private Internet- und E-Mail-Nutzung
    Erkennbar private E-Mails dürfen auch bei einem Verbot des Versendens und Empfangens privater E-Mails im Normalfall nicht gelesen werden. [...] Besteht ein konkreter Missbrauchsverdacht (z. B. „ausschweifender“ E-Mail-Verkehr, Austausch von Dateien mit strafbarem Inhalt oder Verrat von Dienstgeheimnissen), sind Protokollierung und Einsichtnahme von E-Mails durch den Dienstherrn erlaubt, soweit dies vorher bekannt gegeben wurde und neben der Dienstvereinbarung mit dem Personalrat wiederum eine schriftliche Einwilligungserklärung aller Betroffenen vorliegt. Eine Protokollierung darf auch ohne Einwilligung der Betroffenen erfolgen, wenn sie zu Zwecken der Datenschutzkontrolle, der Datensicherung, zur Sicherung des ordnungsgemäßen Betriebs der Verfahren oder zu Abrechnungszwecken erforderlich ist.
    Quelle: https://www.datenschutz-bayern.de/te.../privmail.html
    Würde bedeuten, das Unternehmen weiß, dass hier ein Missbrauch vorliegt, muss aber eine Einwilligung der Beschuldigten trotz ausdrücklichem Verbot einholen? Und auch vorher kundtun, dass gezielt kontrolliert wird?

    Zitat Zitat von Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil IV
    § 32 Abs. 1 S. 2 BDSG regelt den Datenumgang zum Zwecke der Aufdeckung von Straftaten des betroffenen Beschäftigten im Beschäftigungsverhältnis. Tatbestandliche Voraussetzung für den Datenumgang nach § 32 Abs. 1 S. 2 BDSG ist zunächst ein konkret-individueller Verdacht gegen den betroffenen Beschäftigten, der durch tatsächliche Anhaltspunkte substantiiert ist. Der Datenumgang muss zudem für die Aufdeckung der Straftat geeignet und erforderlich sein. Auch dürfen keine schutzwürdigen Interessen des betroffenen Beschäftigten am Ausschluss des Datenumgangs überwiegen. [...]

    die Norm gilt für jede Form des Datenumgangs: Die Datenerhebung, -verarbeitung und -nutzung ist zur Erfüllung eines bestimmten betrieblichen Zwecks – Aufdeckung von Straftaten des überwachten Beschäftigten im Beschäftigungsverhältnis – unter eng begrenzten Voraussetzungen – tatsächliche Anhaltspunkte für die Tatbegehung, Erforderlichkeit und keine überwiegenden Gegeninteressen des Beschäftigten – zulässig. Der Datenumgang im Beschäftigungsverhältnis für alle anderen Zwecke – Durchführung des Beschäftigungsverhältnisses im Allgemeinen einschließlich Verhinderung von Straftaten bzw. Verhinderung und Aufdeckung von Ordnungswidrigkeiten und Vertragsverletzungen – würde sich damit konsequent nach dem allgemeinen Erlaubnistatbestand des § 32 Abs. 1 S. 1 BDSG richten. Dies würde zum sachwidrigen Ergebnis führen, dass der Datenumgang mit dem höchsten Rechtfertigungsgrad (repressive Aufklärung einer Straftat) strengeren Anforderungen genügen müsste als der gleiche Datenumgang für einen weniger gewichtigen Zweck (bloß präventive Verhinderung einer potentiellen Vertragsverletzung). Dieser Wertungswiderspruch ist in § 32 Abs. 1 S. 2 BDSG konzeptionell angelegt und kann nicht ausgeräumt werden. Die wohl herrschende Meinung wählt deshalb einen Mittelweg: [...]

    Aufdeckung von Ordnungswidrigkeiten und Vertragsverletzungen. Steht die Aufdeckung von Ordnungswidrigkeiten und Vertragsverletzungen in Rede, soll § 32 Abs. 1 S. 2 BDSG – als lex specialis für den Umgang mit Beschäftigtendaten zu Aufdeckungszwecken – Sperrwirkung gegenüber § 32 Abs. 1 S. 1 BDSG entfalten. Kurzum: Ein Datenabgleich zur Aufdeckung begangener Ordnungswidrigkeiten und Vertragsverletzungen soll im Umkehrschluss zur erlaubten Aufdeckung von Straftaten verboten sein. Der Wertungswiderspruch zur nach § 32 Abs. 1 S. 1 BDSG erlaubten Verhinderung von Ordnungswidrigkeiten und Vertragsverletzungen liegt auf der Hand.
    (Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil IV. Datenschutz und Personal Kapitel 1. Beschäftigtendatenschutz Rn. 76-79, beck-online)
    Zumal es hier ein BAG-Urteil vom 29.06.2017 gibt (2 AZR - 597/16), das die Sperrwirkung negiert:

    Zitat Zitat von Rechtslupe
    Erfolgt die Datenerhebung nicht zur Aufdeckung einer im Beschäftigungsverhältnis begangenen Straftat iSd. § 32 Abs. 1 Satz 2 BDSG, kommt vielmehr eine Zulässigkeit der Maßnahme nach § 32 Abs. 1 Satz 1 BDSG in Betracht. Dient die Datenerhebung weder der Aufdeckung von Straftaten iSd. § 32 Abs. 1 Satz 2 BDSG noch sonstigen Zwecken des Beschäftigungsverhältnisses iSd. § 32 Abs. 1 Satz 1 BDSG, kann sie überdies “zur Wahrung berechtigter Interessen” iSd. § 28 Abs. 1 Satz 1 Nr. 2 BDSG zulässig sein. Insoweit wird § 28 BDSG von § 32 BDSG nicht verdrängt

    Nach § 32 Abs. 1 Satz 1 BDSG dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses u.a. dann erhoben, verarbeitet oder genutzt werden, wenn dies für dessen Durchführung oder Beendigung erforderlich ist. Zur Durchführung gehört die Kontrolle, ob der Arbeitnehmer seinen Pflichten nachkommt, zur Beendigung im Sinne der Kündigungsvorbereitung die Aufdeckung einer Pflichtverletzung, die die Kündigung des Arbeitsverhältnisses rechtfertigen kann. Der Wortlaut des § 32 Abs. 1 Satz 1 BDSG enthält keine Einschränkung, es müsse der Verdacht einer im Beschäftigungsverhältnis verübten Straftat bestehen. Sofern nach § 32 Abs. 1 Satz 1 oder Satz 2 BDSG zulässig erhobene Daten den Verdacht einer Pflichtverletzung begründen, dürfen sie für die Zwecke und unter den Voraussetzungen des § 32 Abs. 1 Satz 1 BDSG auch verarbeitet und genutzt werden. Der Begriff der Beendigung umfasst dabei die Abwicklung eines Beschäftigungsverhältnisses. Der Arbeitgeber darf deshalb alle Daten speichern und verwenden, die er zur Erfüllung der ihm obliegenden Darlegungs- und Beweislast in einem potentiellen Kündigungsschutzprozess benötigt. [...]

    Eine “Sperrwirkung” des § 32 Abs. 1 Satz 2 BDSG gegenüber der Erlaubnisnorm in Satz 1 der Bestimmung in Fällen, in denen der Arbeitgeber “nur” einen – auf Tatsachen gestützten und ausreichend konkreten – Verdacht einer schwerwiegenden Pflichtverletzung des Arbeitnehmers hat, nicht aber den einer im Beschäftigungsverhältnis begangenen Straftat, lässt sich weder aus dem Wortlaut von § 32 Abs. 1 BDSG, noch seiner Systematik oder seinem Sinn und Zweck bzw. der Gesetzeshistorie ableiten. Die Gesetzesbegründung macht vielmehr deutlich, dass eine solche Sperrwirkung weder gewollt war noch mit den kollidierenden Interessen des Arbeitgebers im Einklang stünde.
    Quelle der Urteilskommentierung: https://www.rechtslupe.de/arbeitsrec...hung-2-3125507
    Zitat Zitat von Simitis, Bundesdatenschutzgesetz
    Ist lediglich eine dienstliche Nutzung von E-Mails am Arbeitsplatz erlaubt, besitzt der Arbeitgeber weitgehende Kontrollbefugnisse. Der Arbeitgeber darf dann auf den E-Mail-Account des Beschäftigten zugreifen und die Verbindungsdaten der E-Mails seiner Arbeitnehmer kontrollieren, auch wenn diese den Zugang verweigern; auf diese Weise kann er feststellen, ob seine Arbeitnehmer ihre E-Mail-Accounts lediglich zu betrieblichen Zwecken nutzen oder aber im Rahmen von Compliance-Maßnahmen ermitteln, ob gesetzliche Vorschriften eingehalten werden. Allerdings verlangt auch hier § 32 Abs. 1 Satz 1, dass der Zugriff tatsächlich erforderlich ist: Insbesondere in den Fällen, in denen der Arbeitgeber wegen einer Abwesenheit des Beschäftigten keinen Zugang zu bestimmten geschäftlichen Daten hat, kann sich ein Zugriff auf den E-Mail-Account des nicht erreichbaren Beschäftigten als erforderlich erweisen, um den normalen Geschäftsgang aufrecht zu erhalten. Jedenfalls sofern die begehrten Geschäftsdaten nicht durch einen anderen Beschäftigten in zumutbarer Weise erlangt werden können, dürften die Voraussetzungen des § 32 Abs. 1 Satz 1 für eine Datenerhebung regelmäßig gegeben sein. Umstritten ist hingegen, inwieweit sich das Kontrollrecht des Arbeitgebers auch auf den Inhalt der E-Mails seiner Arbeitnehmer erstreckt. Nach einer Ansicht sollen dienstliche E-Mails Telefongesprächen gleichzustellen sein, so dass ihre „Inhaltskontrolle“ durch den Arbeitgeber insgesamt ausgeschlossen wäre. Dem ist zu Recht entgegen gehalten worden, dass die geschäftliche E-Mail dem Geschäftsbrief weitaus näher steht, auch wenn die Geschwindigkeit des E-Mailverkehrs weit über diejenige der traditionellen Briefkorrespondenz hinausgeht. Der Arbeitgeber kann somit grundsätzlich auch den Inhalt dienstlicher E-Mails seiner Beschäftigten zur Kenntnis nehmen. Dies heißt jedoch nicht, dass der Arbeitgeber, ähnlich wie bei der geschäftlichen Briefkorrespondenz, ohne Weiteres Einsicht in den dienstlichen E-Mail-Account des Arbeitnehmers verlangen kann.
    (Simitis, Bundesdatenschutzgesetz, BDSG § 32 Rn. 91-94, beck-online)
    hhm...

    Zitat Zitat von (Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil IV
    Das Compliance-Management dient nicht allein dem Selbstschutz des Unternehmens und der Unternehmensleitung vor den wirtschaftlichen Folgen, die Verstöße gegen Verhaltensnormen nach sich ziehen, und dem drohenden Reputationsverlust. Aus § 130 OWiG folgt für die Unternehmensleitung vielmehr eine Rechtspflicht, die erforderlichen Überwachungsmaßnahmen zu ergreifen, um zu verhindern, dass aus dem Unternehmen heraus Ordnungswidrigkeiten begangen werden. [...]

    Ein Unternehmen trifft nicht die Verpflichtung, Rechtsverstöße schlechthin zu verhindern; es erfüllt die gesetzlichen oder regulatorischen Compliance-Anforderungen, wenn es ein funktionsfähiges Kontroll- und Informationssystem eingerichtet hat. Art und Umfang der Kontrollen bestimmen sich dabei auch nach den rechtlichen Kontrollschranken, die sich auch aus dem Arbeits- und Datenschutzrecht ergeben können. Einen Zielkonflikt zwischen Erfüllung der gesetzlichen und regulatorischen Compliance-Anforderungen und der Einhaltung der rechtlichen Kontrollschranken gibt es damit auf den ersten Blick nicht. [...]

    Immer dann, wenn ein personenbezogenes Datum auch nur mittelbar den Rückschluss auf ein rechts- oder vertragswidriges Verhalten eines Beschäftigten, Kunden oder Lieferanten zulässt, kommt eine solche Sekundärnutzung in Betracht. So dient die Erhebung des Zeitpunkts, zu dem Personen das Betriebsgelände oder einzelne Betriebsteile betreten oder verlassen haben, primär der Zugangskontrolle. Die Zugangsdaten können aber auch der Aufdeckung auffälliger Anwesenheitsmuster dienen, soweit diese Zweckänderung arbeits- und datenschutzrechtlich zulässig ist. Dasselbe gilt für Zahlungsdaten, mit denen die verantwortliche Stelle primär die Erfüllung von Zahlungsforderungen gegenüber Beschäftigten und Lieferanten nachweist; im Rahmen einer sekundären Nutzung kann beispielsweise ein Abgleich von Kontendaten mit Referenzdaten irregulärer Zahlungsflüsse identifizieren helfen. Die Liste an Beispielen ließe sich beliebig fortsetzen, da ein Großteil der Daten nicht nur betriebliche Abläufe dokumentiert, sondern auch einen Aussagewert über das Verhalten von Beschäftigten, Kunden und Lieferanten enthalten. Der Sekundärzweck der Datennutzung braucht dabei nicht notwendig darin zu bestehen, bereits den unmittelbaren Nachweis eines rechtswidrigen Verhaltens zu führen; Compliance-Zwecken ist bereits gedient, wenn ein abstrakt-genereller Verdacht ausgeräumt oder konkretisiert bzw. individualisiert werden kann. Hinzu tritt die generalpräventive Wirkung, die die Kenntnis entsprechender Kontrollen bei den Betroffenen auslöst.
    (Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil IV. Datenschutz und Personal Kapitel 1. Beschäftigtendatenschutz Rn. 69-75, beck-online)
    Ich wäre wie folgt vorgegangen:

    - Dokumentation der Beweislage und Begründung, warum man Einsicht in die Emails zu nehmen gedenkt.
    - Im 4-Augen-Prinzip den Account nach Mails mit dem Stichwort "Namen des Konkurrenzunternehmens" durchsuchen (da private Nutzung verboten ist, müsste es sich hier ja um geschäftliche Korrespondenz handeln, die der Arbeitgeber einsehen darf).
    - Belastende Mails unter Beachtung des need-to-know-Prinzips ausleiten und speichern

    Wie sehen die Mitforisten / Mitforistinnen den Sachverhalt? Bin ich auf dem datenschutzrechtlichen Holzweg?

    Vielen Dank für die Antworten / Anregungen und noch einen angenehmen Brückentag ,
    KvJ

  2. #2
    Registriert seit
    19.06.2009
    Beiträge
    4.253

    Standard

    Mit dem zitierten Urteil des BAG ist die "Sperrwirkung" des Abs. 2 vom Tisch. Der vermutete Verdacht bezieht sich auf eine schwerwiegende Pflichtverletzung. Das Ergebnis der Abwägung ist klar § 32 Abs. 1 trägt.

    Die 4 Augen stammen wohl von Compliance und dem DSB. Ich sehe da keine Verfahrensfehler. Eine unverzügliche nachträgliche Information/Anhörung des/der Betroffenen ist geboten.
    Ulrich Dammann
    Moderator - Administrator

  3. #3

    Standard

    Danke für Ihre Antwort Herr Dammann.

    Würden Sie meine o.a. angedachte Vorgehensweise so mittragen, wenn Sie entscheiden müssten/sollten/dürften, ob gezielt nach Emails gesucht werden darf?:

    - Dokumentation der Beweislage und Begründung, warum man Einsicht in die Emails zu nehmen gedenkt
    - Im 4-Augen-Prinzip den Account nach Mails mit dem Stichwort "Namen des Konkurrenzunternehmens" durchsuchen (da private Nutzung verboten ist, müsste es sich hier ja um geschäftliche Korrespondenz handeln, die der Arbeitgeber einsehen darf)
    - Belastende Mails unter Beachtung des need-to-know-Prinzips ausleiten und speichern

Ähnliche Themen

  1. Kassenpersonal bei DV Beschäftigte ?
    Von Starkiller im Forum Bestellung des DSB
    Antworten: 6
    Letzter Beitrag: 14.09.2017, 11:17
  2. Datenschutz bei Kontaktformularen
    Von janinaschubert im Forum Internet
    Antworten: 5
    Letzter Beitrag: 29.06.2017, 10:28
  3. Antworten: 2
    Letzter Beitrag: 17.12.2013, 16:02
  4. Kontrolle dienstlicher E-Mail-Accounts auf verbotene Privatnutzung
    Von Stingray65 im Forum Arbeitnehmerdatenschutz
    Antworten: 24
    Letzter Beitrag: 13.04.2012, 20:38
  5. E-Mail Signatur mehrer Gesellschaften in einer E-Mail
    Von DataHood im Forum KOMMUNIKATION MEDIEN INTERNET, SPEZIELLE TECHNIKEN
    Antworten: 0
    Letzter Beitrag: 10.06.2010, 15:26

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •