1. Was hat sich für Arbeitgeber bei Zugriffen auf Mailkonten geändert?
Früher waren Aufsichtsbehörden häufig der Meinung, dass für ein Unternehmen das Fernmeldegeheimnis gilt, wenn die private E-Mail-Nutzung gestattet ist. Und von einer Gestattung konnte man ggf schon ausgehen, wenn die private Nutzung nicht ausdrücklich durch betriebliche Vorschriften verboten war und wenn es der betrieblichen Praxis entsprach. Folge: Zugriffe waren nur mit Einwilligung möglich und Verstöße ggf. sogar strafbar.
Heute zeichnet sich eine klarere Linie ab: Beim Bereitstellen eines E-Mail-Kontos handelt es sich um ein Arbeitsmittel, nicht um ein kommerzielles Telekommunikationsangebot. Das Unternehmen verfolgt keinen wirtschaftlichen Zweck mit der Bereitstellung dieses Dienstes.
➡ Unternehmen gelten in der Regel nicht als Telekommunikationsanbieter, selbst wenn private Nutzung erlaubt oder geduldet wird.
➡ Statt Fernmeldegeheimnis greift in diesen Fällen primär die DSGVO als Rechtsgrundlage für Zugriffe und Auswertung betrieblicher E-Mails.
Praktische Folge: Ein Zugriff auf dienstliche E-Mails ist möglich – aber auf Basis der DSGVO und klar geregelter Prozesse.
2. Was bedeutet das für den Alltag im Unternehmen?
Auch wenn das Fernmeldegeheimnis meist nicht greift: Ein Selbstbedienungsrecht an Mitarbeiterpostfächern gibt es nicht. Unternehmen dürfen also nur auf eMail-Postfächer der Beschäftigten zugreifen, wenn
-
eine Rechtsgrundlage nach Art. 6 DSGVO vorliegt (z. B. Wahrung berechtigter Interessen)
-
Beschäftigte transparent informiert wurden (Art. 13 DSGVO)
-
der Zugriff erforderlich & verhältnismäßig ist z. B. bei Krankheit, Austritt, laufenden Projekten
-
private Mails erkannt & ausgespart werden
Was dürfen Unternehmen aber keinesfalls?
-
private Nachrichten lesen
-
ohne Anlass Postfächer überwachen („Totalüberwachung“)
-
ohne Regeln & Information Zugriffe durchführen
3. Empfehlung für Ihre Organisation
Damit im Ernstfall rechtssicher gehandelt werden kann, sollten klare Regelungen existieren – idealerweise schriftlich in einer Betriebs-/Dienstvereinbarung oder Richtlinie. Dazu wäre folgende Checkliste hilfreich:
✔ Entscheidung: Private Nutzung erlaubt oder verboten?
✔ Regelung zu Zugriffen bei Abwesenheiten (inkl. Stellvertretung)
✔ Dokumentierte Rechtsgrundlage nach DSGVO
✔ Transparente Information aller Mitarbeitenden
✔ Technische Trennung geschäftlich/privat – z. B.
✔ Verfahren einführen zur Kennzeichnung privater Mails
✔ Separates Privates Mail-Konto für Beschäftigte einführen
✔ Löschregeln für dienstliche und private Mails festlegen
Praxis-Tipp: Viele Risiken entfallen, wenn die private Nutzung untersagt oder nur stark eingeschränkt zugelassen wird. Das empfiehlt sich besonders im Gesundheitswesen, wo sensible Daten verarbeitet werden.
4. Besonderheiten im Gesundheitswesen
Hier gelten erhöhte Anforderungen hinsichtlich Vertraulichkeit und Zweckbindung. Daher wird für Kliniken, Praxen, Pflegeeinrichtungen u. ä. Folgendes empfohlen:
🔒 Private Nutzung möglichst einschränken oder besser untersagen
🩺 Projekt- und Patientendaten nicht nur im Postfach speichern, sondern in Systemen mit Zugriffs- und Rollenmanagement
📂 Bei Urlaub & Krankheit vertretungsfähige Ablagestrukturen etablieren
⚠ Zugriff niemals ohne dokumentierten Anlass
Fazit
-
Private Nutzung dienstlicher E-Mail-Konten führt meist nicht zur Anwendung des Fernmeldegeheimnisses.
-
Zugriffe durch Arbeitgeber bleiben möglich – aber ausschließlich auf DSGVO-Basis und mit klaren Regeln.
-
Mit gut formulierten Richtlinien und transparenten Prozessen reduzieren Unternehmen Risiken, sichern Handlungsfähigkeit und bleiben compliant.