Die Datenschutzkonferenz von Bund und Ländern (DSK) erläutert in ihrer Orientierungshilfe (PDF-Dokument) den datenschutzrechtlichen Rahmen sowie die bestehenden Regelungsmöglichkeiten im Zusammenhang mit der Nutzung betrieblicher Internet- und E-Mail-Dienste. Darin vertritt die DSK die Position, dass Arbeitgeber, die ihren Beschäftigten die private Nutzung betrieblicher E-Mail-Konten oder des Internets gestatten oder diese zumindest stillschweigend dulden, als Anbieter von Telekommunikationsdiensten gelten. Die DSK ging davon aus, dass Arbeitgeber als Telekommunikationsdiensten im Sinne des früheren Telekommunikationsgesetz (TKG a.F.) sind und damit der fernmelderechtlichen Vertraulichkeitspflicht unterliegen – mit der Folge, dass jeglicher Zugriff auf private Kommunikation verboten wäre. Diese Auffassung ist jedoch durch die neue Gesetzeslage und die abweichende Auslegung der Bundesnetzagentur überholt.
In dem „Hinweispapier zur Einstufung von nummernunabhängigen interpersonellen Telekommunikationsdiensten“ (PDF-Dokument) stellt die Bundesnetzagentur dar, dass die Bereitstellung eines E-Mail-Zugangs zur privaten Nutzung durch den Arbeitgeber nicht als Telekommunikationsdienst im Sinne des TKG anzusehen sei. Ausschlaggebend hierfür ist die Definition des Telekommunikationsdienstes gemäß § 3 Nr. 24 und Nr. 61 TKG, wonach ein solcher Dienst nur dann vorliegt, wenn die Leistung regelmäßig elektronisch, gegen Entgelt und unter Nutzung elektronischer Kommunikationsnetze erbracht wird. Bei der rein internen Bereitstellung von E-Mail-Konten durch den Arbeitgeber, insbesondere ohne Gewinnerzielungsabsicht, fehlt es an diesen Voraussetzungen.
Aus Datenschutzsicht bedeutet die aktuelle Einordnung durch die Bundesnetzagentur, dass ausschließlich die Regelungen der DSGVO und des BDSG greifen. Maßgeblich sind insbesondere Art. 6 und Art. 88 DSGVO sowie § 26 BDSG, die die Voraussetzungen regeln, unter denen personenbezogene Daten von Beschäftigten im Rahmen des Arbeitsverhältnisses verarbeitet werden dürfen.
Insbesondere ist von Bedeutung, ob die private Nutzung des betrieblichen E-Mail-Systems erlaubt oder untersagt ist. Wird die private Nutzung vertraglich oder durch interne Regelungen wirksam ausgeschlossen, handelt es sich bei der Kommunikation regelmäßig um rein dienstliche Vorgänge. In diesen Fällen können Arbeitgeber unter Beachtung der datenschutzrechtlichen Vorgaben, insbesondere im Hinblick auf Zweckbindung, Verhältnismäßigkeit und Transparenz, technische Kontrollmaßnahmen einsetzen oder Zugriff auf dienstliche E-Mails nehmen. Anders stellt sich die Situation dar, wenn die private Nutzung erlaubt oder geduldet wird. In diesem Fall ist eine inhaltliche Kontrolle datenschutzrechtlich nur unter eng begrenzten Voraussetzungen zulässig, da nicht ausgeschlossen werden kann, dass auch besonders sensible private Inhalte betroffen sind.
Technische Kontrollmaßnahmen, die einen Zugriff auf E-Mail-Inhalte oder Metadaten erfordern, sind ein zentraler Bestandteil der betrieblichen IT-Sicherheit und der ordnungsgemäßen Systemprotokollierung. Arbeitgeber setzen technische Maßnahmen wie Logfile-Analysen, Spam- und Phishing-Filter, Virenscanner, Inhaltsanalysen oder automatische Archivierungslösungen ein, um Angriffe frühzeitig zu erkennen und Schadsoftware abzuwehren. Ist die private Nutzung betrieblicher E-Mail-Systeme jedoch gestattet oder wird sie stillschweigend geduldet, können diese Maßnahmen datenschutzrechtlich problematisch werden.
Gleiches gilt im Zusammenhang mit gesetzlich Archivierungs- und Aufbewahrungspflichten. Sind private Nachrichten Bestandteil der betrieblichen Kommunikationssysteme, könnte ein Widerspruch zwischen steuer- und datenschutzrechtlichen Vorgaben erfolgen.
Vor diesem Hintergrund ist es aus datenschutzrechtlicher Sicht zu empfehlen, die private Nutzung des betrieblichen E-Mail-Systems klar und verbindlich auszuschließen, idealerweise durch arbeitsvertragliche Regelungen oder Betriebsvereinbarung. Dadurch wird rechtlich eindeutig festgelegt, dass es sich bei der betrieblichen E-Mail-Kommunikation ausschließlich um dienstliche Vorgänge handelt, deren Verarbeitung auf Grundlage des § 26 Abs. 1 BDSG und DSGVO zulässig sein kann. Zugleich erhalten Arbeitgeber die notwendige Rechtssicherheit bei der Implementierung technischer Maßnahmen zur IT-Sicherheit, zur Missbrauchskontrolle oder zur betrieblichen Organisation.
Weiterführende Nachweise und Quellen
- Datenschutzkonferenz (DSK): Orientierungshilfe „E-Mail und Internet am Arbeitsplatz“ (Stand: Januar 2016). PDF-Dokument (externer Link)
- Hinweispapier zur Einstufung von nummernunabhängigen interpersonellen Telekommunikationsdiensten (Stand Juni 2025). PDF-Dokument (externer Link)
- Telekommunikationsgesetz TKG (Stand Juli 2025). Gesetze im Internet (externer Link)