Gilt das Fernmeldegeheimnis (noch) für Arbeitgeber?
Seit langer Zeit ist umstritten, ob Arbeitgeber in bestimmten Konstellationen als Telekommunikationsanbieter zu qualifizieren sind und sie somit das Fernmeldegeheimnis beachten müssen. Mittlerweile kommt Bewegung in die Thematik und erste Aufsichtsbehörden schwenken um!
Während das Datenschutzrecht mit der DSGVO und dem BDSG ganz allgemein Geltung beansprucht, gibt es für den spezifischen Bereich der Telekommunikation für bestimmte Akteure besondere Vorgaben.
Dazu zählt das Fernmeldegeheimnis. Ursprünglich geregelt in § 88 TKG, mittlerweile in § 3 TDDDG, soll es den Inhalt und die Umstände der Telekommunikation schützen. Es gilt nicht nur für staatliche Akteure, sondern nach § 3 Abs. 2 TDDDG auch für bestimmte private Akteure. Ergänzt wird das Fernmeldegeheimnis durch einen Straftatbestand in § 206 StGB.
Das Problem
Strittig war hinsichtlich des Fernmeldegeheimnisses bislang vor allem, wann ein Arbeitgeber als Anbieter von Telekommunikationsdiensten zu qualifizieren ist. Einschlägige Telekommunikationsdienste sind etwa der Internetzugang ganz allgemein, die Festnetz- oder Mobilfunktelefonie aber auch Chat-Programme und E-Mail-Accounts, die der Arbeitgeber jeweils seinen Arbeitnehmern zur Verfügung stellt.
Die Datenschutz-Aufsichtsbehörden sowie einzelne Arbeitsgerichte nahmen bislang teilweise bereits dann die Anbietereigenschaft eines Arbeitgebers an, wenn dieser seinen Mitarbeitenden die Privatnutzung von Telekommunikationsdiensten am Arbeitsplatz gestattete oder duldete.
Zumindest bei einzelnen Datenschutz-Aufsichtsbehörden scheint sich nun eine Trendwende abzuzeichnen. So schreibt beispielsweise die Datenschutzaufsicht für NRW (LDI NRW) in ihrem 29. Tätigkeitsbericht für das Jahr 2023, für Arbeitgeber gelte das Fernmeldegeheimnis nicht (mehr), wenn sie die private Nutzung der betrieblichen E-Mail- oder Internetdienste erlauben oder dulden. Mangels Rechtsbindungswillen würden sie ihren Arbeitnehmern gegenüber nämlich nicht als geschäftsmäßige Telekommunikationsdienstleister auftreten.
Daneben gehen nach Darstellung des LDI NRW auch die Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) sowie weitere Landesdatenschutzbehörden davon aus, dass Arbeitgeber nicht mehr dem Fernmeldegeheimnis unterfallen, auch wenn sie die private Nutzung erlauben oder dulden. Ähnliches hatte etwa die hessische Datenschutz-Aufsichtsbehörde in ihrem Tätigkeitsbericht für das Jahr 2022 festgestellt.
Was folgt hieraus für Unternehmen?
Zunächst handelt es sich bei dieser Einschätzung nur um einen Hinweis in einem Tätigkeitsbericht einer einzelnen Datenschutz-Aufsichtsbehörde. Es liegt noch keine entsprechende Stellungnahme der Datenschutzkonferenz (DSK), also der Datenschutz-Aufsichtsbehörden aller Länder vor. Daher ist diese Einschätzung bislang noch nicht bundesweit belastbar.
Daneben entfallen mit dieser Einschätzung auch nur die spezifisch telekommunikationsrechtlichen Vorgaben aus § 3 TDDDG. Die DSGVO sowie insbesondere auch § 26 BDSG finden bei Datenverarbeitungen im Arbeitsverhältnis weiterhin Anwendung.
Sofern ein Arbeitgeber also personenbezogene Daten aus der privaten Nutzung seines Internetzugangs oder anderer Telekommunikationsdienste durch einen Arbeitnehmer verwenden will (z.B. Protokolldaten oder E-Mails), bedarf dies weiterhin unter anderem einer entsprechenden datenschutzrechtlichen Rechtsgrundlage.
Allerdings muss hier mangels Anwendbarkeit des Fernmeldegeheimnisses nicht mehr zwingend auf die Einwilligung abgestellt werden. Vielmehr kann auch ein berechtigtes Interesse des Arbeitgebers nach Durchführung einer Interessenabwägung ausreichend sein, um eine Verarbeitung der relevanten Daten zu rechtfertigen.
Ungeachtet dieser vermeintlichen Trendwende empfiehlt es sich aber weiterhin, die private Nutzung von Internetzugang und anderer Telekommunikationsdienste am Arbeitsplatz ausdrücklich zu regeln und die Zulässigkeit der Verarbeitung personenbezogener Daten stets anhand des konkreten Einzelfalls zu prüfen. Die Verarbeitung dieser personenbezogenen Daten im Arbeitsverhältnis wird damit zwar einfacher, die datenschutzrechtliche Prüfung bleibt aber erforderlich.