Private E-Mailnutzung am Arbeitsplatz
Die Gestattung der privaten Nutzung der betriebseigenen IT-Infrastruktur durch die Mitarbeiter bringt nicht zu unterschätzende rechtliche Komplikationen mit sich – insbesondere was die Archivierung von E-Mails anbelangt. Aus diesem Grund sollte gut überlegt sein, ob überhaupt und, wenn ja, in welcher Art und Weise ein Unternehmen die private E-Mailkommunikation am Arbeitsplatz gestatten sollte. Im Folgenden sollen praxisnahe Lösungen aufgezeigt und hinsichtlich der Archivierungsanforderungen der E-Mails rechtlich beleuchtet werden.

Totalverbot von privaten E-Mails
Zumindest aus rechtlicher Sicht scheint diese Lösung die ideale: Das Unternehmen wird nicht zum Provider, Datenschutz spielt dann keine gesonderte Rolle. So können Rechtsunsicherheiten für den Arbeitgeber und den Arbeitnehmer vermieden und Spamfilter, Vertretungszugriffe, Archivierung und Kontrollen einer missbräuchlichen Nutzung ermöglicht werden. Das Unternehmen hat dann natürlich auch das Recht, beliebig und unbegrenzt auf die E-Mails der jeweiligen Mitarbeiter zuzugreifen beziehungsweise auch zu archivieren. Zu beachten wäre, dass das E-Mailverbot in jedem Fall schriftlich fixiert werden sollte, etwa durch
 

• entsprechende Richtlinien betreffend die Nutzung der firmeneigenen IT-Infrastruktur,
• Betriebsvereinbarungen,
• Einverständniserklärungen der Belegschaft oder gar
• den individuellen Anstellungsvertrag.

Das Verbot ist auch in der Praxis durchzusetzen. Untersagt nämlich ein Arbeitgeber die private Nutzung von E-Mails, ohne dies dann regelmäßig zu kontrollieren und zu sanktionieren, kann sich das Verbot in eine Duldung "umwandeln". Der Arbeitnehmer hat nach einer Weile der Duldung einen Anspruch auf die Leistung, hier die Privatnutzung. Aus diesem Grund sind regelmäßige Kontrollen vorzunehmen und für den Fall von Verstößen Sanktionen zu verhängen, die in besonderen Fällen bis zu einer (verhaltensbedingten) Kündigung reichen.

Vorbehaltslose Erlaubnis von privaten E-Mails
Diese Alternative ist aus rechtlicher Sicht alles andere als ideal. Dem Arbeitgeber ist es verwehrt, den privaten E-Mailverkehr seiner Mitarbeiter zu lesen, geschweige denn zu archivieren. Die Konsequenz ist, dass dem Arbeitergeber nichts anderes übrig bleibt, als sich in der Regel sehr aufwendiger und damit kostenintensiver technischer Lösungen zu bedienen, die in der Lage sind, private E-Mails von dienstlichen zu trennen. Manche Juristen vertreten die Auffassung, dass es in diesem Fall dem Arbeitgeber nicht verwehrt werden dürfe, immerhin den Betreff der jeweiligen E-Mail zu öffnen oder sichtbar zu machen. Es darf jedoch bezweifelt werden, ob eine solche Vorgehensweise mit den bereits skizzierten datenschutzrechtlichen Bestimmungen in Einklang zu bringen ist. Eine Rechtsprechung zu diesem Fall ist bislang nicht bekannt.

Zwischenlösung
Natürlich ist auch eine Zwischenlösung denkbar, etwa dergestalt, dass den Mitarbeitern im Einzelnen vorgeschrieben wird, auf welche Art und Weise mittels E-Mails privat über die firmeninterne IT-Infrastruktur kommuniziert werden kann. Folgende Lösungen bieten sich hierzu an:
 

• Zeitliche Ausnahmeregelung ("Nutzung in Pausen und außerhalb der Arbeitszeit" oder etwa "nur zwischen 12 Uhr und 13 Uhr") definieren, in der auf einen Freemail-Account wie web.de oder GMX zugegriffen werden darf.
• Den Mitarbeitern kann neben einer geschäftlichen E-Mailadresse auch eine private (und als solche gekennzeichnete) E-Mailadresse zur Verfügung gestellt werden – verbunden mit der Auflage, dass nur letztere zu privaten Zwecken genutzt werden darf. Damit würde eine zentrale und effiziente Archivierung ermöglicht werden, da auf diese Weise eine Vermischung privater und dienstlicher E-Mails ausgeschlossen würde. Nicht zuletzt würde man damit auch etwaigen Konflikten mit Betriebsräten aus dem Weg gehen können, die ansonsten bei betrieblichen Vereinbarungen zur E-Mailnutzung hinzugezogen werden müssten. So wird etwa das Mitbestimmungsrecht von Betriebsräten seitens der Rechtsprechung recht weit gefasst. Es sei demnach ausreichend, wenn technische Maßnahmen dazu geeignet sind, den Arbeitnehmer zu überwachen – was naturgemäß gerade für Telekommunikationssysteme gilt.
• Auch denkbar wären Regelungen, die dem Mitarbeiter vorschreiben, private E-Mails auch im Betreff deutlich als "privat" zu kennzeichnen. So wird es zum Teil bei Behörden praktiziert.

Folgen einer ungenügenden E-Mail-Archivierung
Eine mangelhafte E-Mailarchivierung kann als Verletzung handelsrechtlicher Buchführung gewertet werden und wegen der Maßgeblichkeit zugleich eine Verletzung der steuerrechtlichen Buchführungspflicht gleichkommen. Da Mängel der Buchführung wiederum die steuerrechtliche Beweiskraft der Bücher beeinträchtigt, wäre die Finanzverwaltung in diesem Fall berechtigt, den steuerlichen Gewinn nach § 162 Abs. 2 AO zu schätzen. Zudem könnte die Finanzverwaltung die Buchführungspflicht durch ein Zwangsgeld erwirken (§ 238 Abs. 1 AO).

Straftat
Abgesehen von steuerrechtlichen Sanktionen kann die Verletzung der E-Mailarchivierungspflicht auch strafbar sein. Ein Beispiel hierfür ist die unzureichende oder gar manipulative Archivierung von E-Mails, um vorsätzlich die Übersicht über den Vermögensstand eines Unternehmens zu erschweren mit dem Ziel, Vermögensbestandteile, die im Falle der Eröffnung eines möglichen Insolvenzverfahrens zur Insolvenzmasse gehören, beiseite zu schaffen oder gar zu verheimlichen (vgl. §§ 283 ff. StGB). Darüber hinaus regelt § 283b StGB, dass eine Verletzung der Buchführungspflicht mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft werden kann.

Ordnungswidrigkeit
Des Weiteren kann eine vorsätzliche oder leichtfertige Verletzung der Buchführungspflicht eine Ordnungswidrigkeit sein. Hier käme etwa eine Steuergefährdung gemäß § 379 AO in Betracht, soweit nicht leichtfertige Steuerverkürzung gemäß § 378 AO vorliegt.

Schadensersatz
Es drohen auch zivilrechtliche Sanktionen. So kann die Verletzung der Buchführungspflicht den Vorstand oder Geschäftsführer der jeweiligen Gesellschaft nach § 93 Abs. 2 AktG beziehungsweise § 43 Abs. 2 GmbHG schadensersatzpflichtig machen. Zudem kann die mangelhafte Archivierung von E-Mails eines Unternehmens Schadensersatzansprüche von Vertragspartnern begründen, etwa für den Fall, dass vertrauliche fremde Informationen abhanden gekommen sind. Als Haftungsgrundlage kommen hierbei die schuldrechtlichen Schadensersatzansprüche aus §§ 280 ff. BGB in Betracht. Gerade in diesem Zusammenhang ist auch § 241 Abs. 2 BGB zu beachten, wonach die Pflicht besteht, auf die Rechte, Rechtsgüter und Interessen des Vertragspartners Rücksicht zu nehmen. Hierzu gehören insbesondere die Beachtung von Schutz-, Aufklärungs- und Beratungspflichten.

Darüber hinaus ist zu beachten, dass auch E-Mails bei gerichtlichen Streitigkeiten durchaus Bedeutung zukommen kann – etwa im Rahmen der freien richterlichen Beweiswürdigung. So ließ der Bundesgerichtshof Internet-Ausdrucke als Beweismittel im Strafverfahren wegen der Mitgliedschaft in einer terroristischen Vereinigung zu (12.10.2001/Az. 1 BJs 79/00). Zwar sind E-Mails dabei bei Weitem nicht mit dem Beweiswert einer, wenn auch bis heute nur selten eingesetzten, qualifizierten elektronischen Signatur gleichzusetzen.

Allerdings hat sich bei Unternehmen überwiegend die E-Mail als Standardkommunikationsmittel durchgesetzt, sodass E-Mails häufig die einzige Möglichkeit darstellen, Absprachen zwischen Streitparteien, vereinbarte Erfolge bei Projekten sowie Verantwortlichkeitsverteilungen, Change Requests, Dokumentationen von Geschäftsvorfällen, Protokolle von Besprechungen, Terminverschiebungen und so weiter nachzuweisen. Schon aus diesem Grund ist es sinnvoll, elektronisch gespeicherte Mitteilungen revisionssicher und in einer Art und Weise zu speichern und zu indexieren, die den permanenten und schnellen Zugriff erlaubt ("Allzeit-Verfügbarkeit") und die Integrität der Daten gewährleistet.

Persönliche Haftung
Im Aktiengesetz ist festgelegt, dass eine persönliche Haftung des Vorstands dann in Betracht kommt, wenn er Entwicklungen, die zukünftig ein Risiko für das Unternehmen darstellen könnten, nicht durch ein Risikomanagement überwacht und mit geeigneten Maßnahmen begegnet (§ 91 Abs. 2 und § 93 Abs. 2 AktG). Dazu gehört eben auch die unterlassene Speicherung geschäfts- oder steuerrechtlich relevanter E-Mails.

Nahezu dieselben Anforderungen gelten für den Geschäftsführer einer GmbH, der "die Sorgfalt eines ordentlichen Geschäftsmannes" aufzubringen hat (§ 43 Abs. 1 GmbHG). Diese zugegebenermaßen eher allgemein gehaltene Formulierung beinhaltet in der rechtlichen Praxis ähnliche Folgerungen für das Risikomanagement wie für Vorstände nach dem Aktiengesetz. Kommt die Geschäftsführung oder der Vorstand – als Verantwortliche – der oben beschriebenen Pflicht zur Archivierung von E-Mails (als allgemeine Risikovorsorgepflicht) nicht nach und entsteht dem Unternehmen dadurch ein finanzieller Schaden, kann dies zu einer persönlichen Haftung der Mitglieder des Vorstands beziehungsweise der Geschäftsführung und unter Umständen auch der Aufsichtsratmitglieder (§ 116 AktG) führen.

Basel II
Das Bundeskabinett hat im Februar 2007 den Gesetzesentwurf zur Umsetzung der Banken- und Kapitaladäquanz-Richtlinie, besser bekannt unter dem Namen "Basel II", verabschiedet. Dies hat zur Folge, dass die Banken und Finanzinstitute in Deutschland gesetzlich dazu verpflichtet sind, die Vorgaben des Basel II-Abkommens zu beachten und insbesondere eine individuelle Bonitätseinschätzung des jeweiligen kreditsuchenden Unternehmens durchzuführen. Mittels dieser Bonitätseinschätzung kann sodann ermittelt werden, wie hoch die Wahrscheinlichkeit ist, dass der Kredit an die Bank auch wieder zurückgezahlt wird (Einschätzung des Ausfallrisikos). Sollte das Ausfallrisiko dabei als hoch eingestuft werden, wird sich die Bank dies bezahlen lassen, indem sie die Bonität des kreditsuchenden Unternehmens herabsetzt und nur ungünstige Kreditkonditionen weitergibt. Im schlechtesten Fall kommt es gar zu einer Weigerung einer Kreditgewährung.

Es ist selbstverständlich, dass in diesem Zusammenhang ein besonderes Augenmerk auf dem operationalen "Risikomanagement" (und damit der E-Mail-Archivierungspflicht) liegen muss. Eine funktionierende IT-Infrastruktur hat grundlegende Bedeutung für jedes Unternehmen, da sie in den meisten Fällen unternehmerisches Handeln heutzutage überhaupt erst ermöglicht. Fallen die IT- und damit auch Mailing-Systeme aus, sind die Unternehmen in der Regel nicht mehr handlungsfähig. Aus diesem Grund werden die Banken sehr genau prüfen, ob der Kreditsuchende zumindest die Grundlagen des IT-Risikomanagements beachtet und sich durch die Einhaltung bestimmter Sicherheitsvorkehrungen vor einem folgenschweren Ausfall der IT schützt.

Max-Lion Keller/dr/ln | Stand: März 2008