Beweisbeschaffung durch Zugriff auf das E-Mail-Postfach von Arbeitnehmern

Es ist der typische Fall: Ein ehemaliger Mitarbeiter macht sich selbstständig oder arbeitet für den Wettbewerber. Einige Indizien sprechen dafür, dass sich der Mitarbeiter seinen beruflichen Neustart durch „mitgenommene“ Geschäftsgeheimnisse erleichtert hat. Ein Nachweis ist regelmäßig nur möglich, wenn das geschäftliche E-Mail-Postfach durchsucht wird. Dies ist aber nicht immer zulässig.

Der Ausgangsfall

Der Geschäftsführer unseres Mandanten hatte den Hinweis über einen guten Bekannten erhalten: Ein leitender Mitarbeiter, der vor einigen Wochen gekündigt hatte, hat diesem Bekannten detaillierte Pläne zum Aufbau eines neuen Geschäftsfelds und einer Beteiligung vorgelegt. Wie der Zufall es so wollte, hatten der Geschäftsführer und sein Bekannter kurz zuvor selbst über ein gemeinsames Projekt in diesem Geschäftsfeld gesprochen. Eine Präsentation, die der frühere Mitarbeiter dem Bekannten überlassen hatte, enthielt betriebswirtschaftliche Details, die vermutlich aus dem Hause des Mandanten stammten.

Die Enttäuschung war groß, die Sache nicht ganz unwichtig. Der Geschäftsführer, alte Schule, hat sofort seine IT-Abteilung angewiesen, ihm eine Kopie des gesamten E-Mail-Postfachs des ehemaligen Mitarbeiters zu erstellen – wenn man sucht, wird man sicherlich was finden. Bevor das Vorhaben umgesetzt wurde, haben die Kollegen aus dem Datenschutzrecht interveniert und die Beweisbeschaffung rechtlich begleitet. Der Zugriff auf das Postfach ist nämlich nicht ohne weiteres gestattet. Äußerstenfalls sind nicht nur die Beweise unverwertbar, sondern die Auswertung des Postfachs strafbar.

Rechtliche Anforderungen an den Zugriff auf E-Mails

Da es sich bei den E-Mails um personenbezogene Daten handelt, muss der Zugriff den Anforderungen des Datenschutzrechts genügen. Die Rechtsprechung ist kleinlich: Schon der Umstand, dass der Mitarbeiter zu einem bestimmten Zeitpunkt eine Nachricht gesandt hat, ist ein personenbezogenes Datum. Wenn der Geschäftsführer zu einem späteren Zeitpunkt auf diese Daten zugreifen will, ist dies eine Verarbeitung, für die eben eine Rechtsgrundlage vorhanden sein muss. Die Voraussetzungen für den Zugriff des Arbeitgebers auf die E-Mails des Arbeitnehmers sind in § 26 BDSG geregelt. Die Regelung erfasst auch die Daten ehemaliger Arbeitnehmer. Entscheidend ist, dass die Daten während des Arbeitsverhältnisses entstanden sind.

Keine Gestattung privater E-Mail-Nutzung

Ein Zugriff auf das E-Mailpostfach auf Grundlage des § 26 BDSG kommt nicht in Betracht, wenn der Arbeitgeber als Anbieter einer Telekommunikationsdienstleistung auftritt. Diese Voraussetzung ist erfüllt, wenn die Arbeitnehmer ihre berufliche E-Mailadresse auch zu privaten Zwecken nutzen dürfen. Eine private Nutzung muss dabei nicht ausdrücklich, sondern kann auch durch eine faktische Duldung gestattet sein.

In diesem Fall ist der Arbeitgeber (zumindest nach derzeit noch herrschender Ansicht) an die Anforderungen des § 88 TKG und das Fernmeldegeheimnis gebunden. Der Zugriff des Arbeitgebers auf diese E-Mails ist dann zum Schutze der privaten Kommunikation eingeschränkt. Es ist in diesem Fall auch ohne Bedeutung, dass der Arbeitgeber seinen Zugriff auf bestimmte E-Mails einzuschränken gedenkt, da die latente Gefahr der – wenn auch versehentlichen – Kenntniserlangung von privaten Daten und Details besteht.

Es liegt an dem Arbeitgeber, dieses Szenario zu vermeiden und eine klare Regelung einzuführen. Diese kann er entweder individualvertraglich mit den Arbeitnehmern treffen oder auch im Wege einer Betriebsvereinbarung schaffen.

E-Mail-Zugriff zur Aufdeckung von Straftaten

Ist eine private Nutzung hingegen nicht gestattet, bemisst sich die Rechtmäßigkeit des Zugriffs nach den Voraussetzungen des § 26 BDSG. § 26 Abs. 1 S. 2 BDSG regelt die Anforderungen, die für den Zugriff bei dem Verdacht von Straftaten auf die E-Mails des Arbeitnehmers zu beachten sind. Betrachten wir die Voraussetzungen im Einzelnen:

  • Die Datenverarbeitung muss „zur Aufdeckung von Straftaten“ erfolgen. Das Merkmal ist grundsätzlich unproblematisch, weil die „Mitnahme“ und anschließende Nutzung von Geschäftsgeheimnissen durch ausgeschiedenen Mitarbeiter gegen eine der Tatbestandsalternativen in § 23 Abs. 1 Nr. 2 oder Nr. 3 GeschGehG verstößt. Aber Vorsicht: Bei den relevanten Informationen muss es sich natürlich um Geschäftsgeheimnisse handeln. Vor der Sichtung der E-Mails muss also insbesondere geklärt werden, ob die Informationen Gegenstand angemessener Geheimhaltungsmaßnahmen waren. Ist dies nicht der Fall, besteht kein Geschäftsgeheimnis und damit auch keine Straftat nach dem GeschGehG
  • Ferner müssen „zu dokumentierende tatsächliche Anhaltspunkte“ vorliegen, die den Verdacht begründen. Hier kommt es natürlich auf den Einzelfall an. Wenn bestimmte Detailinformationen auftauchen, die im eigenen Unternehmen erstellt wurden, kann dies aber schon ausreichen. Die Anforderungen an einen strafrechtlichen Anfangsverdacht sind nicht besonders hoch.
  • Schwierig sind die weiteren Merkmale: die Datenverarbeitung muss „zur Aufdeckung erforderlich“ sein, es darf „kein überwiegendes schutzwürdiges Interesse“ des Arbeitnehmers entgegenstehen und das Vorgehen darf insgesamt nicht unverhältnismäßig sein. Bei diesen Merkmalen sind in nochmals höherem Umfang Vorsicht und eine sorgfältige Abwägung im Einzelfall geboten. Die Sichtung sämtlicher E-Mails eines Mitarbeiters, der möglicherweise die Kontaktdaten von wenigen Zulieferern mitgenommen hat, wäre wohl nicht gerechtfertigt. Etwas anderes gilt, wenn schon mit hoher Wahrscheinlichkeit feststeht, dass der ehemalige Mitarbeiter zumindest einige streng geheime Konstruktionspläne neuer Anlagen mitgenommen hat. In diesem Fall dürfte es wohl verhältnismäßig sein, zur weiteren Aufklärung auch umfassende Durchsuchungen durchzuführen. Eine praxistaugliche Beschränkung kann darin liegen, dass sich die Durchsuchung der E-Mails auf einen bestimmten Zeitraum oder den Austausch mit bestimmten Kontakten konzentriert.

Einwilligungserklärung für E-Mail-Zugriff

Neben dem § 26 Abs. 1 S. 2 BDSG besteht eine weitere Möglichkeit, rechtmäßig auf die E-Mails seiner Arbeitnehmer zuzugreifen: § 26 Abs. 2 BDSG sieht vor, dass der Arbeitnehmer eine entsprechende Einwilligungserklärung abgeben kann. Die Wirksamkeit einer Einwilligungserklärung ist insbesondere daran zu bemessen, ob der Arbeitnehmer sie freiwillig und unter welchen Umständen er sie abgegeben hat. § 26 Abs. 2 S. 1 und 2 BDSG stellen dazu einen auslegungsbedürftigen Bewertungsmaßstab auf. Liegt eine wirksame Einwilligung vor, kann der Zugriff unter Berücksichtigung der jeweiligen Voraussetzungen sowohl auf Grundlage des § 26 Abs. 1 S. 2 BDSG als auch des § 26 Abs. 2 BDSG erfolgen. Dabei präzisiert § 26 BDSG die Vorgaben der seit dem 25.05.2018 geltenden Datenschutz-Grundverordnung (DSGVO), die für die allgemeinen Anforderungen an die Wirksamkeit einer Einwilligung keine besonderen Stolpersteine aufstellt.

Fazit und Praxistipp

Um den Verdacht aufzuklären, dass ein (ehemaliger) Arbeitnehmer Geschäftsgeheimnisse kopiert hat, benötigt der Arbeitgeber Zugriff auf das E-Mailpostfach. Bei dem Versand per E-Mail handelt es sich für den vermeintlichen Verletzer schließlich um einen recht einfachen und zunächst unauffälligen Weg, Geschäftsgeheimnisse zum eigenen Nutzen zu sichern und zu vervielfältigen.

Der Zugriff auf die E-Mails muss rechtssicher gestaltet werden. Zwingend erforderlich ist, dass der Arbeitgeber ein unternehmensweit geltendes Verbot zum privaten Gebrauch der E-Mails aufstellt. Sinnvoll ist außerdem die Einholung einer Einwilligung des Arbeitnehmers bei Eintritt in das Unternehmen. Während des aktiven Arbeitsverhältnisses müssen außerdem eventuelle (rechtsverschärfende) Gesetzesänderungen berücksichtigt werden, um die Erklärungen notfalls anzupassen und auf diesem Wege den Zugriff auch für die Zukunft sicherzustellen.