PROJECT CONSULT

Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH

Datenschutz Gesetz TKG 

Fernmeldegeheimnis: privat, persönlich, dienstlich?

3. April 2023 11:33 Uhr  |  Dr. Ulrich Kampffmeyer  |  Permalink


Die Fachzeitschrift „BvD News – Fachmagazin für Datenschutzbeauftragte“ widmet sich in der Ausgabe 1/2023 ausführlich dem Themen des Fernmeldegeheimnissen und des Umgangs mit E-Mails. Dort wird von Nicole Schmidt, Lilly Steinbrecher, LL.B. und Laura Toska Genkinger die Frage diskutiert „Der Zugang von E-Mails im Rahmen der Geltendmachung von Betroffenenrechten“ (Seite 16 bis 20) und Stefan Sander, LL.M., B.Sc. schreibt ausführlich zu „Das neue Fernmeldegeheimnis – dürfen Arbeitgeber auf dienstliche E-Mail-Postfächer trotz erlaubter Privatnutzung zugreifen?“ (Seite 20 bis 27).

Die Antwort auf Stefan Sanders Frage: Jein mit Tendenz zu Ja und Nein.

Es geht um die alten Fragen, was ist privat, was persönlich und was dienstlich, die sich auch bei klar gefassten Vorgaben gern überlappen. Besonders private E-Mails bereiten hier Probleme. Selbst wenn der Arbeitgeber private E-Mails untersagt, kann nicht verhindert werden, das solche in den Posteingang gelangen. Regeln kann man eigentlich nur, dass keine privaten E-Mails versendet oder beantwortet werden. Zeitweilig „rettete“ man sich auch damit, die Nutzung von Web-basierter Social-Media-Software zu erlauben, um die private Kommunikation nicht abzuschneiden. und natürlich gibt es Grauzonen, wenn man z.B. der Ehefrau an die private E-Mail-Adresse schreibt, die Einladung am Abend abzusagen, weil Überstunden angeordnet worden sind. Irgendwo dazwischen sind persönliche Nachrichten angesiedelt – die Verabredung mit dem externen Projektleiter, Entwürfe für zukünftige Aufgaben und vieles, was unter den Datenschutz fällt. Ganz abgesehen von der Kommunikation für Sonderaufgaben im Unternehmen wie z.B. als Personalrat oder Vertrauensobmann. Dieses sehr widersprüchliche Umfeld ist durch den Gesetzgeber ebenfalls sehr widersprüchlich angegangen worden. Schließlich geht es im TDDSG und TKG auch um die Einschränkung von Grundrechten und Konfliktsituationen mit der DSGVO. Das zum 01.12.2021 neu geregelte Fernmeldegeheimnis hat durch den Gesetzgeber eine Ausgestaltung erfahren, die mit höherrangigem Recht nicht vereinbar ist – so der Autor Sander.

Sehr ausführlich geht Sander auf die Kollisionen des Fernmeldegeheimnisses in der Version vom 01.12.2021 mit anderen Gesetzen ein. Er vom Sachverhalt aus, dass Unternehmen und Behörden für die geschäftliche Kommunikation E-Mail-Postfächer einrichten, betreiben und den MitarbeiterInnen zur Verfügung stellen, die häufig als Domain die Unternehmensdomain besitzen und um Vorname.Name oder ähnliche Namenskonstrukte zur persönlichen Adressierung ergänzt sind. Es geht dabei um personenbezogene Daten und betroffene Probleme, die entsprechend den DSGVO zu schützen sind. Die Verantwortung liegt dabei beim Arbeitgeber, der das Postfach eingerichtet und auch die DSGVO-konformen Regeln der Nutzung zu implementieren hat. Und nun wird es verwirrend, wenn man das TDDSG zusätzlich heranzieht und sich mit der Frage eines Telediensteanbieters beschäftigt. Selbst die Definitionen sind hier schwammig weil in den Gesetzestexten entfallen. Wendet man dies nun auf die Frage „dürfen Arbeitgeber auf dienstliche E-Mail-Postfächer trotz erlaubter Privatnutzung zugreifen?“ zeigt sich, dass eine allgemeingültige TK-rechtliche Erlaubnisse nicht gegeben ist. Dies gilt auch noch nach Beendigung eines Beschäftigtenverhältnisses und dem Ausscheidens. Selbst die Gefahrenabwehr durch Einsichtnahme in ein E-Mail-Postfach durch Administratoren, wie z.B. zum Ermitteln von Trojanern, berechtigte Suche nach Inhalten die eine Gefahrenlage begründen, sind ein Graubereich.

Am Schluss in Kapitel 3 – als Lösung? – schreibt Sander zu „Kollision einer Verordnung (Ursprung Deutschland) mit der Umsetzung einer Richtlinie (Ursprung Europäische Union)“:
<Zitat, Seite 27> „Im Regelungsbereich der DS-GVO ist das Verhältnis von DS-GVO, BDSG und TTDSG nach den allgemeinen Regeln über die Normenkollision aufzulösen, das heißt die DS-GVO geht als Verordnung i. S. d. Art. 288 Abs. 2 AEUV mitgliedstaatlichen Vorschriften vor, soweit nicht eine Öffnungsklausel zugunsten nationalen Rechts vorliegt.19 Soweit die Informationen, die nach § 3 Abs. 1 TTDSG dem Fernmeldegeheimnis unterliegen (S. 1) und auf die sich das Fernmeldegeheimnis erstreckt (S. 2), für den Arbeitgeber als Verantwortlichen personenbezogene Daten gem. Art. 4 Nr. 1 DS-GVO sind, verbietet sich die Anwendbarkeit des einfachgesetzlichen Fernmeldegeheimnisses (konkret: § 3 Abs. 3 TTDSG), um eine i. S. v. Art. 4 Abs. 3 EUV effektive Wirkung der DS-GVO zu ermöglichen. Dies gilt jedenfalls für „rein innerbetriebliche“ Kommunikation via E-Mails.
Diese Argumentation, welche insbesondere im Kontext von Art. 6 Abs. 1 S. 1 lit. f) DS-GVO steht, setzt sich zutreffend mit Art. 95 DS-GVO und dem sehr weiten Gestaltungsspielraum der Mitgliedsstaaten auseinander, welcher diesen durch Art. 5 Abs. 1 Richtlinie 2002/58/EG zugebilligt wurde. Der Wortlaut der Richtlinie beschränkt sich auf den Regelungsauftrag, dass die Mitgliedsstaaten die Vertraulichkeit der Kommunikation durch innerstaatliche Vorschriften sicherzustellen haben. Zutreffend wird jedoch hervorgehoben, dass die Richtlinie 2002/58/ EG ausweislich ihres Art. 3 Abs. 1 nur für die Verarbeitung personenbezogener Daten in Verbindung mit der Bereitstellung „öffentlich zugänglicher“ elektronischer Kommunikationsdienste „in öffentlichen“ Kommunikationsnetzen in der Gemeinschaft gilt und dass es daran bei der rein innerbetrieblichen Kommunikation via E-Mail evident fehle. Insoweit enthält daher § 3 Abs. 3 TTDSG eine überschießende Umsetzung der Richtlinie 2002/58/EG. Überschießende Regelungen sind jedoch ein rein nationales Recht und als solches nicht von der Öffnungsklausel des Art. 95 DS-GVO privilegiert.
Das Nebeneinander von DS-GVO und nationalen datenschutzrechtlichen Vorschriften, welche eine Umsetzung der RL 2002/58/EG darstellen, ist hingegen nicht abschließend geklärt. Virulent wird diese Fragestellung, wenn der Blickwinkel über die zuvor betrachtete, innerbetriebliche Kommunikation via E-Mail hinaus erweitert wird und „das übliche Tagesgeschäft“, namentlich eingehende und ausgehende Handelsbriefe i. S. v. § 257 Abs. 1 Nr. 2, 3 HGB in Gestalt von E-Mails, in den Blick genommen werden. Das in der Literatur formulierte Argument, „ein pauschales Verbot der Datenverarbeitung im Telekommunikationskontext ohne die Möglichkeit der Verarbeitung aufgrund eines erheblichen Interesses [wie in § 3 Abs. 3 TTDSG vorgesehen] sei eine
unzulässige Beschränkung des unionalen Datenschutzniveaus“, trägt die dort gewünschte Schlussfolgerung nicht, dass das Fernmeldegeheimnis nach § 3 Abs. 3 TTDSG vollständig von der DS-GVO verdrängt wird. Denn die DS-GVO ist nur auf die Verarbeitung von Daten in Bezug auf natürliche Personen, mithin personenbezogene Daten, anwendbar.
Die anhand der rein innerbetrieblichen Kommunikation via E-Mail entwickelte, zutreffende Argumentation greift jedoch auch hier durch. Die in Abweichung zum Ref-E hinzugefügten Nr. 2 und Nr. 4 in § 3 Abs. 2 S. 1 TTDSG finden keine Grundlage in der Richtlinie 2002/58/EG, aufgrund deren Geltungsbereichs. Folglich wird § 3 Abs. 3 TTDSG insoweit durch Art. 6 Abs. 1 DS-GVO verdrängt. </Zitat>

Ist dies nun hilfreich? Kann man – wie vor den DSGVO – einfach noch erklären, dass alle E-Mails mit der Firmen-URL als geschäftlich, dienstlich und damit für das Unternehmen zugreifbar zu gelten haben? Dies wäre die einfachste Lösung – aber ist sie noch rechtlich tragbar? Diese wie auch zahlreiche andere Lösungsansätze des Themas „Dienstlich, Persönlich, Privat“ werden durch die vermeintliche Lösung von Sander nicht angesprochen. Ganz abgesehen davon, dass der größte Teil der Kommunikation im Unternehmen nach außen sowieso aufbewahrungs- und nachweispflichtig nach HGB/AO ist. Und daher Zugriff auf E-Mails auch nicht nur durch das Unternehmen, sondern auch durch Dritte wie Außenprüfer erfolgt. Hier steht das Unternehmen schon seit den GDPdU vor der Frage, wie E-Mails und andere Daten „auseinanderflöhen“, damit bei der Datenhaltung sowohl dem Datenschutz als auch den Anforderungen von HGB, Abgabenordnung, GoBD, Zollgesetzen usw. erfüllt werden können. Und auch die Frage, wie es mit der Kontrolle der Nachrichten bei KRITIS-Unternehmen ist, die in besonders kritischen Bereichen tätig sind und aktive Gefahrenabwehr betrieben müssen, ist der Zugriff auf alle E-Mails aller MitarbeiterInnen aus Sicherheitsgründen ein wichtiges Thema. Solche Bereiche, wo E-Mail aber auch andere Kommunikationsformen hineinspielen, sind in Deutschland nicht klar und auch nicht sinnvoll geregelt.

Translation by ChatGPT

Telecommunications secrecy: private, personal, official?

The trade magazine „BvD News – Fachmagazin für Datenschutzbeauftragte“ extensively covers the topic of telecommunications secrecy and the handling of emails in issue 1/2023. In it, Nicole Schmidt, Lilly Steinbrecher, LL.B., and Laura Toska Genkinger discuss the question „Access to emails in the context of exercising data subject rights“ (pages 16 to 20), and Stefan Sander, LL.M., B.Sc. writes in detail about „The new telecommunications secrecy – are employers allowed to access work email accounts despite permitted private use?“ (pages 20 to 27).

The answer to Stefan Sander’s question: It’s complicated, with a tendency towards both yes and no.

This concerns the old questions of what is private, personal, and official, which even with clearly defined guidelines tend to overlap. Private emails in particular can cause problems. Even if employers prohibit private emails, it cannot be prevented that such emails enter the inbox. The only rules that can really be enforced are that no private emails are sent or answered. At times, the use of web-based social media software was allowed to avoid cutting off private communication. And of course, there are gray areas, such as when writing to one’s spouse at their private email address to cancel plans in the evening due to overtime. Personal messages are somewhere in between – the appointment with the external project manager, drafts for future tasks, and much more that falls under data protection. Not to mention communication for special tasks in the company, such as the works council or trust officer. This very contradictory environment has also been approached very contradictorily by the legislature. After all, the TDDSG and TKG also deal with the restriction of fundamental rights and conflicts with the GDPR. The new Telecommunications Secrecy Act, which was regulated as of December 1, 2021, has been shaped by the legislature in a way that is incompatible with higher-ranking law – according to the author, Sander.

Sander extensively addresses the collisions of the Telecommunications Secrecy Act in the version from December 1, 2021 (TKG, Fernmeldegeheimnis), with other laws. He starts from the fact that companies and authorities set up and operate email accounts for business communication, which are often based on the company domain and are supplemented by first name.last name or similar name constructs for personal addressing. This involves personal data and related problems that must be protected in accordance with the GDPR. The responsibility lies with the employer, who has set up the mailbox and also has to implement GDPR-compliant rules for its use. And now it becomes confusing when the TDDSG is also taken into account and one deals with the question of a telemedia service provider. Even the definitions are vague here because they are not included in the legal texts. If we now apply this to the question „Are employers allowed to access work email accounts despite permitted private use?“ it becomes clear that there is no general TK-legal permission. This also applies after the termination of an employment relationship and the employee’s departure. Even the danger prevention by accessing an email mailbox by administrators, such as to detect trojans or search for content that constitutes a danger, is a gray area.

At the end of Chapter 3, as a solution, Sander writes regarding the collision of a regulation (originating from Germany) with the implementation of a directive (originating from the European Union):
<Quote, page 27> „In the area covered by the GDPR (in Germany DSGVO, BDSG), the relationship between the GDPR, BDSG (Bundesdatenschutzgesetz (neu)) and TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) must be resolved according to the general rules of norm collision, which means that the GDPR, as a regulation within the meaning of Article 288(2) TFEU, takes precedence over national provisions, unless there is an opening clause in favour of national law.19 To the extent that the information subject to telecommunications secrecy under Section 3(1) TTDSG (sentence 1) and to which telecommunications secrecy extends (sentence 2) constitutes personal data within the meaning of Article 4(1) GDPR for the employer as controller, the application of the simple statutory telecommunications secrecy (specifically: Section 3(3) TTDSG) is prohibited in order to enable the effective effect of the GDPR within the meaning of Article 4(3) TFEU. This applies at least to „purely internal“ communication via e-mails. This argument, which is particularly relevant in the context of Article 6(1)(f) GDPR, correctly deals with Article 95 GDPR and the very wide margin of discretion granted to Member States by Article 5(1) Directive 2002/58/EC. The wording of the Directive is limited to the regulatory mandate that Member States must ensure the confidentiality of communications through domestic legislation. However, it is correctly emphasized that according to Article 3(1) of Directive 2002/58/EC, the directive only applies to the processing of personal data in connection with the provision of „publicly available“ electronic communications services „in public“ communication networks in the Community, which is clearly not the case with purely internal communication via e-mail. Therefore, Section 3(3) TTDSG contains an excessive implementation of Directive 2002/58/EC. However, excessive regulations are purely national law and as such are not privileged by the opening clause of Article 95 GDPR. The coexistence of the GDPR and national data protection regulations, which represent an implementation of Directive 2002/58/EC, is not yet conclusively clarified. This question becomes relevant when the perspective is expanded beyond the purely internal communication via e-mail previously considered and „the usual daily business“, namely incoming and outgoing commercial letters within the meaning of § 257 (1) No. 2, 3 HGB in the form of e-mails, is considered. The argument formulated in the literature that „a blanket ban on data processing in the telecommunications context without the possibility of processing based on a significant interest [as provided for in § 3(3) TTDSG] would be an impermissible restriction of the Union’s level of data protection“ does not support the conclusion desired there that telecommunications secrecy is completely displaced by the GDPR pursuant to § 3(3) TTDSG. This is because the GDPR only applies to the processing of data relating to natural persons, i.e. personal data. However, the correct argumentation developed on the basis of purely internal communication via e-mail also applies here. The No. 2 and No. 4 added to § 3(2) sentence 1 TTDSG in deviation from the Ref-E do not have a basis in Directive 2002/58/EC due to its scope. Consequently, § 3(3) TTDSG is displaced to that extent by Article 6(1) GDPR.“</Quote>

Is this helpful now? Can you still explain, as before the DSGVO (GDPR), that all emails with the company URL are to be considered business-related, and therefore accessible to the company? This would be the easiest solution – but is it still legally viable? This, as well as numerous other approaches to the „Work, Personal, Private“ topic, are not addressed by Sander’s supposed solution. Furthermore, most of the communication within the company is already subject to retention and verification requirements under the German Commercial Code (HGB) and the Tax Code (AO, GoBD). Therefore, access to emails is not only granted to the company but also to third parties such as external auditors. Since the introduction of the GDPdU (predecessor of GoBD for taxation audits), companies have been grappling with the question of how to separate emails and other data, so that data storage complies with both data protection and the requirements of the Commercial Code, Tax Code, GoBD, customs laws, etc. The question of how to control messages at KRITIS (criticial infrastructure companies regulated by German law) companies, which operate in particularly critical areas and must actively implement threat prevention, is also an important issue. In such areas, where email as well as other forms of communication are involved, regulation in Germany is neither clear nor sensible.

Dr. Ulrich Kampffmeyer

Curriculum auf Wikipedia https://de.wikipedia.org/wiki/Ulrich_Kampffmeyer

Neuen Kommentar verfassen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich stimme zu, dass die von mir eingegebenen Daten einschließlich der personenbezogenen Daten an PROJECT CONSULT übermittelt und dort zur Prüfung der Freischaltung meines Kommentars verwendet werden. Bei Veröffentlichung meines Kommentars wird mein Name, jedoch nicht meine E-Mail und meine Webseite, angezeigt. Die Anzeige des Namens ist notwendig, um eine individuelle persönliche Kommunikation zu meinem Beitrag zu ermöglichen. Anonyme oder mit falschen Angaben eingereichte Kommentare werden nicht veröffentlicht. Zu Nutzung, Speicherung und Löschung meiner Daten habe die Datenschutzerklärung zur Kenntnis genommen.

Ich versichere, mit meinem Kommentar alle gültigen Vorgaben des Urheberrechts beachtet zu haben. Ich habe keine Bilder, Grafiken, Texte oder Links in meinem Beitrag verwendet, die durch CopyRight, Leistungsschutzrecht oder Urheberrecht geschützt sind. Für den Inhalt meines Kommentars bin ich trotz Prüfung und Freischaltung durch PROJECT CONSULT ausschließlich selbst verantwortlich. Meine Rechte am Beitrag werden bei PROJECT CONSULT nur durch die CC Creative Commons by-nc-nd Vorgaben gewahrt.