Datenschutzrechtliche Anforderungen an den Zugriff auf dienstliche E-Mail-Postfächer

Der Zugriff auf dienstliche E-Mail-Postfächer beschäftigt viele Unternehmen regelmäßig. Erkrankt ein Mitarbeiter überraschend, verlässt er kurzfristig das Unternehmen oder besteht ein konkreter Verdacht auf Pflichtverletzungen, stellt sich die Frage, ob und in welchem Umfang der Arbeitgeber auf das Postfach zugreifen darf.

newsletter Zugriff auf Mitarbeiterpostfächer rechtssicher gestalten Ihr externer Datenschutzbeauftragter in Berlin | sofortdatenschutz.de

Wovon die Zulässigkeit des Zugriffs abhängt

Die Antwort hängt von mehreren Faktoren ab. Maßgeblich sind die Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG), die arbeitsrechtliche Treuepflicht sowie die Frage, ob im Unternehmen eine private Nutzung der dienstlichen E-Mail-Adresse erlaubt oder geduldet wird. Hinzu kommt die seit Jahren umstrittene Frage, ob die Anwendbarkeit des Fernmeldegeheimnisses auf Arbeitgeber Anwendung findet, die ihren Beschäftigten die private Nutzung der dienstlichen Kommunikationssysteme gestatten.

Datenschutzrechtlicher Rahmen

Die in dienstlichen E-Mails enthaltenen personenbezogenen Daten unterliegen den Vorgaben der DSGVO und des BDSG. Arbeitgeber dürfen auf dienstliche E-Mail-Postfächer daher nicht beliebig zugreifen. Zulässig ist ein Zugriff grundsätzlich nur, wenn er erforderlich ist, etwa zur Sicherstellung betrieblicher Abläufe, zur Erfüllung gesetzlicher Pflichten oder zur Aufklärung konkreter Pflichtverletzungen und keine milderen Mittel zur Verfügung stehen.

Die Konstellationen in der Praxis

Die Zugriffsmöglichkeiten des Arbeitgebers hängen maßgeblich davon ab, ob die private Nutzung dienstlicher E-Mail-Postfächer untersagt, erlaubt oder faktisch geduldet wird.

1. Verbot der Privatnutzung

Untersagt der Arbeitgeber die private Nutzung der dienstlichen E-Mail-Adresse ausdrücklich und setzt er dieses Verbot auch tatsächlich durch, gilt die gesamte E-Mail-Kommunikation als dienstlich. Da das Fernmeldegeheimnis in dieser Konstellation keine Anwendung findet, hängt die Zulässigkeit eines Zugriffs allein von den datenschutzrechtlichen Erforderlichkeitskriterien ab.

Entscheidend ist allerdings, dass das Verbot nicht nur formal besteht, sondern auch gelebt wird. Eine Klausel im Arbeitsvertrag oder in einer Richtlinie reicht nicht aus, wenn die private Nutzung im Unternehmen über längere Zeit hinweg toleriert wird. In diesem Fall kann eine betriebliche Übung entstehen, die rechtlich einer Erlaubnis gleichgestellt wird.

2. Ausdrückliche Erlaubnis der Privatnutzung

Erlaubt der Arbeitgeber die private Nutzung ausdrücklich, steigen die datenschutzrechtlichen Anforderungen erheblich. Dienstliche und private Kommunikation vermischen sich innerhalb desselben Postfachs und lassen sich technisch häufig nicht zuverlässig trennen.

Damit stellt sich zugleich die Frage nach der möglichen Anwendbarkeit des Fernmeldegeheimnisses. Würde man diese bejahen, wären Zugriffe auf das Postfach nur eingeschränkt möglich, da andernfalls ein Verstoß gegen strafbewehrte Vorschriften zum Schutz der Telekommunikation drohen könnte. In der Praxis wird daher verlangt, dass vor einem Zugriff eine wirksame Einwilligung des Beschäftigten eingeholt wird oder eine andere tragfähige Rechtsgrundlage vorliegt.

Die Einwilligung unterliegt im Beschäftigungsverhältnis jedoch strengen Anforderungen. Aufgrund des bestehenden Abhängigkeits- und Weisungsverhältnisses zwischen Arbeitgeber und Beschäftigten bestehen regelmäßig Zweifel an der tatsächlichen Freiwilligkeit der Einwilligung. Aufsichtsbehörden und Gerichte prüfen solche Einwilligungen daher besonders kritisch und erkennen sie im Zweifel nicht als wirksame Rechtsgrundlage an.

3. Duldung der Privatnutzung

Wird die Privatnutzung weder ausdrücklich erlaubt noch konsequent untersagt, sondern faktisch hingenommen, kann über einen längeren Zeitraum eine betriebliche Übung entstehen. Diese kann rechtlich dazu führen, dass die Duldung wie eine ausdrückliche Erlaubnis behandelt wird.

Streit um die Anwendbarkeit des Fernmeldegeheimnisses im Arbeitsverhältnis

Lange war umstritten, ob Arbeitgeber bei erlaubter Privatnutzung dienstlicher E-Mail-Systeme dem Fernmeldegeheimnis unterliegen. Hintergrund war die Frage, ob sie dadurch als Anbieter von Telekommunikationsdiensten anzusehen sind. Das Fernmeldegeheimnis, früher im Telekommunikationsgesetz (TKG) geregelt, heute im Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) verankert, schützt Inhalte und Umstände der Telekommunikation und ist strafbewehrt.

Teile der Datenschutzaufsichtsbehörden und der Literatur bejahten eine Anwendbarkeit des Telekommunikationsrechts auf Arbeitgeber. Die arbeitsgerichtliche Rechtsprechung lehnte diese Auffassung dagegen überwiegend ab.

Inzwischen zeichnet sich jedoch ein deutlicher Kurswechsel ab. Mehrere Datenschutzaufsichtsbehörden, darunter die Aufsichtsbehörde Nordrhein-Westfalen und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), vertreten mittlerweile die Auffassung, dass Arbeitgeber auch bei erlaubter Privatnutzung grundsätzlich nicht dem Telekommunikationsrecht unterfallen. Unterstützung erhält diese Sichtweise zudem durch ein Hinweispapier der Bundesnetzagentur aus dem Jahr 2025.

Eine höchstrichterliche Klärung steht weiterhin aus. Unabhängig davon gelten beim Zugriff auf Mitarbeiterpostfächer hohe Anforderungen an Erforderlichkeit, Transparenz und Verhältnismäßigkeit.

Bedarf an einer betrieblichen Regelung

Zugriffe auf dienstliche E-Mail-Postfächer werden in der Praxis aus verschiedenen Anlässen erforderlich, etwa bei kurzfristigen Ausfällen, beim Ausscheiden von Beschäftigten, in Verdachtsfällen oder zur Erfüllung gesetzlicher Aufbewahrungspflichten. Ohne klare Regelungen entstehen in diesen Situationen Unsicherheiten auf beiden Seiten.

Der erste und grundlegende Schritt ist die Entscheidung über die Privatnutzung dienstlicher E-Mail-Systeme. Unternehmen sollten festlegen, ob eine private Nutzung erlaubt, eingeschränkt oder untersagt ist, und diese Entscheidung schriftlich dokumentieren. Von dieser Weichenstellung hängt ab, welche datenschutzrechtlichen Anforderungen im weiteren Verlauf gelten und welche Zugriffsszenarien überhaupt in Betracht kommen.

Darauf aufbauend sollte eine verbindliche interne Richtlinie regeln, unter welchen Voraussetzungen ein Zugriff zulässig ist, wie Vertretungen organisiert werden, welche Stelle einen Zugriff genehmigt und dokumentiert und wie mit Postfächern beim Ausscheiden von Beschäftigten umzugehen ist.

Zugriffe bei erlaubter oder geduldeter Privatnutzung sowie in Verdachtsfällen erfordern besondere Sorgfalt. Es empfiehlt sich, den Datenschutzbeauftragten in die Erstellung der Richtlinie einzubeziehen. Gibt es einen Betriebsrat, ist auch dessen Beteiligung zu prüfen.

Fazit

Die rechtlichen Anforderungen an den Zugriff auf dienstliche E-Mail-Postfächer sind komplex und in Teilen noch nicht abschließend geklärt. Das gilt besonders dort, wo private und dienstliche Kommunikation zusammenfallen. Wer frühzeitig klare interne Strukturen schafft, reduziert nicht nur rechtliche Risiken, sondern schützt auch das Vertrauen der Beschäftigten.

Praxis-Tipps

Mit den folgenden Maßnahmen lassen sich die zentralen Risiken im Zusammenhang mit dem Zugriff auf Mitarbeiterpostfächer wirksam steuern:

  • Schaffen Sie eine verbindliche Richtlinie zur Nutzung dienstlicher E-Mail-Systeme und zum Zugriff auf Mitarbeiterpostfächer. Die Richtlinie sollte insbesondere Privatnutzung, Zugriffsanlässe, Vertretungsregelungen, Dokumentationspflichten sowie den Umgang mit Postfächern beim Ausscheiden von Beschäftigten regeln.
  • Treffen Sie eine eindeutige Entscheidung über die private Nutzung dienstlicher E-Mail-Systeme und kommunizieren Sie diese schriftlich.
  • Setzen Sie ein Verbot der Privatnutzung konsequent durch und vermeiden Sie eine stillschweigende Duldung.
  • Beziehen Sie den Datenschutzbeauftragten frühzeitig ein, insbesondere bei Verdachtsfällen.
  • Prüfen Sie vor jedem Zugriff, ob mildere Mittel ausreichen.
  • Dokumentieren Sie jeden Zugriff nachvollziehbar.
  • Holen Sie bei erlaubter oder geduldeter Privatnutzung nach Möglichkeit vorab die Zustimmung der betroffenen Person ein und vermeiden Sie die Einsichtnahme in erkennbar private E-Mails.

Sofortdatenschutz – Kontaktaufnahme

*“ zeigt erforderliche Felder an

Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Wir verarbeiten Ihre personenbezogenen Daten zur Bearbeitung Ihrer Anfrage. Weitere Informationen finden Sie in unserer Datenschutzinformation .

Inhalt