Sommerzeit ist Urlaubszeit

Die warme Jahreszeit beginnt und die „großen“ Ferien rücken in greifbare Nähe. Die Büros und Homeoffice-Arbeitsplätze lichten sich. Doch was passiert mit den eingehenden E-Mails? Für die Meisten dürfte eine Abwesenheitsnotiz (sog. Auto-Responder) das Mittel der Wahl sein, um Kollegen, Geschäftspartner und Kunden über die eigene Abwesenheit zu informieren. So manche Themen können warten, doch es gibt auch to dos, die keinen Aufschub dulden. Doch ist der Abwesenheitsassistent per se datenschutzkonform einsetzbar und welche Punkte gilt es zu beachten?

Der "schnöde" Auto-Responder

Als datenschutzrechtlich unproblematisch stellt sich der Einsatz eines reinen Auto-Responders dar. Hier wird der Absender einer E-Mail lediglich über die Abwesenheit des Adressaten, seine geplante Abwesenheitsdauer sowie ggf. die Kontaktdaten für dringende Fälle informiert. Eine Weiterleitung eingehender E-Mails bzw. ein Zugriff der Kollegen auf das E-Mail-Postfach des Urlaubers findet nicht statt.

Abwesenheit mit Zugriffsrecht oder Weiterleitung

Etwas komplizierter wird es, wenn nicht nur bloße Informationen zur Erreichbarkeit kommuniziert werden, sondern wegen fristgebundenen Sachverhalten oder Kundenanliegen mit hoher Dringlichkeit auch ein Zugriff von bzw. eine Weiterleitung an Kollegen auf E-Mails erfolgt, die allein an den Abwesenden adressiert sind.  Das Problem: Hierzu gibt es weder eine eindeutige Rechtsprechung, noch einen Konsens in der Literatur. Doch was ist genau das Problem?

Datenschutzrechtliche Vorgaben

Schaut man sich zunächst einmal die datenschutzrechtlichen Vorgaben an, so gilt es folgende Punkte im Auge zu behalten:

Eine automatische Weiterleitung könnte dazu führen, dass sensible Informationen in die falschen Hände gelangen, was einen Verstoß gegen die Grundsätze der Datenintegrität und Vertraulichkeit zur Folge hätte (vgl. Art. 5 Abs. 1 lit. f DSGVO). Dieses Problem lässt sich in der Praxis jedoch leicht durch eine konkrete Vertreterregelung unter Beachtung des Need-to-know-Prinzips lösen. Daneben sind auch weitere datenschutzrechtliche Grundsätze des Art. 5 Abs. 1 DSGVO, wie das Transparenzgebot sowie der Zweckbindungsgrundsatz zu beachten, d.h. die Weiterleitung von E-Mails sollte auf das erforderliche Maß beschränkt sein und nur diejenigen (personenbezogenen) Daten umfassen, die für den jeweiligen Zweck notwendig sind.

Privatnutzung erlaubt oder verboten?

Schreibt jedoch der Absender eine bestimmte Person im Unternehmen an, verknüpft mit der Erwartung, dass die darin enthaltenen Information auch nur diese Person erhalten soll, so wird es schon problematischer. Wenn nämlich zwischen Absender und Empfänger ein besonderes Vertrauensverhältnis besteht, dürfte in der Regel kein Interesse daran bestehen, dass eine andere als die direkt angesprochene Person den Inhalt der E-Mail einsieht und bearbeitet. Für die Frage der Zulässigkeit einer automatischen Weiterleitung eingehender E-Mails, des Zugriffs auf das E-Mail-Postfach durch Kollegen (Urlaubsvertretung) oder sogar den Chef ist entscheidend, ob die private Nutzung des E-Mail-Accounts im Unternehmen erlaubt oder verboten ist. Ist die Privatnutzung erlaubt oder wird vom Arbeitgeber (stillschweigend) geduldet, kann grundsätzlich nicht mehr zwischen privaten und geschäftlichen E-Mails unterschieden werden. Ein Zugriff/eine automatische Weiterleitung wäre dann rechtlich unzulässig. 
Etwas anderes würde nur dann gelten, wenn im Vorfeld technisch die „Spreu vom Weizen“ getrennt werden würde, d.h. nur diejenigen E-Mails weitergeleitet werden würden, die beispielsweise anhand bestimmter vordefinierter Kriterien wie Absender, Betreff, Inhalt, Anhänge auch eindeutig dem geschäftlichen Bereich zugeordnet werden könnten. Hier bewegen wir uns jedoch in einer Grauzone, da auch dann keine 100% Sicherheit besteht, dass nicht doch auch private Inhalte in den Mails enthalten sind. In jedem Fall bedarf der Einsatz von E-Mail-Programmen oder einer KI-Software, die eingehende E-Mails vor der Weiterleitung nach bestimmten Inhalten und Schlüsselwörtern scannt, einer genauen datenschutzrechtlichen Überprüfung und kompetenter Voreinstellung. Eine sorgfältige Testphase und regelmäßige Überprüfungen der eingerichteten Filterregeln wären zwingend geboten.

Um dieses Problem von vornherein zu umgehen und sich die Zugriffsmöglichkeit nicht zu verbauen, macht es aus Arbeitgebersicht absolut Sinn, die Privatnutzung des geschäftlichen E-Mail-Accounts ausdrücklich zu untersagen. In diesem Fall muss der Arbeitgeber erstmal davon ausgehen, dass sich im E-Mail-Postfach der Beschäftigten ausschließlich E-Mails mit rein geschäftlichem Inhalt befinden. Ein Zugriff bzw. eine Weiterleitung an die vorab ausdrücklich festgelegte Urlaubsvertretung ist dann grundsätzlich erstmal unproblematisch soweit - und das gilt generell – eine Rechtsgrundlage hierfür besteht, vorab eine Verhältnismäßigkeitsprüfung sowie eine Interessenabwägung durchgeführt wurde.

Einbindung des Betriebsrats

Soweit im Unternehmen eine Interessenvertretung besteht, ist zudem zu beachten, dass das Thema der erzwingbaren Mitbestimmung des Betriebsrats nach § 87 Abs. 1 Nr. 1-14 BetrVG unterliegt, da es insbesondere um Fragen der Ordnung des Betriebs und des Verhaltens der Arbeitnehmer im Betrieb geht. Der Betriebsrat ist bei der konkreten Ausgestaltung im Rahmen einer entsprechenden Betriebsvereinbarung zwingend zu beteiligen. Eine eindeutige Regelung ist damit nicht nur datenschutzrechtlich sinnvoll, sondern auch arbeitsrechtlich geboten, sorgt für Transparenz und ein einheitliches Vorgehen. Die Frage, ob die Privatnutzung des E-Mail-Accounts im Betrieb erlaubt oder verboten ist, entzieht sich hingegen der Mitbestimmung des Betriebsrats; sie stellt allein eine unternehmerische Entscheidung dar.

Fazit

Die gemachten Ausführungen zeigen, dass bei dem Thema Abwesenheitsregelungen Einiges zu beachten ist. Hat man sich die wesentlichen Punkte jedoch einmal vor Augen geführt und eine klare Regelung getroffen, ist das Thema gut und rechtskonform händelbar. Sicherlich gibt es Konstellationen, bei denen man das Thema dadurch umgehen kann, dass statt personalisierten E-Mail-Accounts Sammel-E-Mail-Postfächer ohne konkrete Ansprechpartner genutzt werden (z.B.: kundenservice@xy, oder support@xy). Dies macht in der Praxis v.a. in Fällen Sinn, bei denen es nicht um einen konkreten Adressaten, sondern um die reine Bearbeitung des Anliegens geht. Zudem besteht der große Vorteil, dass der Absender bereits vor Versendung seiner Mail von einem größeren Adressatenkreis ausgehen darf.

Autor: Sebastian Wurzberger