Zugriff auf E-Mails von Mitarbeitenden

Der Zugriff eines Arbeitgebers auf E-Mails seiner Angestellten wirft für beide Seiten viele Fragen auf. Es ist nicht immer einfach, zwischen den berechtigten Interessen des Arbeitgebers und der Achtung der Privatsphäre der Angestellten abzuwägen.

Im Rahmen des Zugriffs auf E-Mails von Mitarbeitenden haben Arbeitgeber und Angestellte viele Fragen zum rechtlich korrekten Vorgehen, um IT-Tools wie ein E-Mail-Konto oder den Zugang zu einem Server zu sperren, wenn jemand gekündigt hat oder längere Zeit abwesend ist.

Ist der Arbeitgeber grundsätzlich berechtigt, E-Mails seiner Mitarbeitenden zu lesen?

Es muss zwischen privaten und beruflichen E-Mails unterschieden werden.

Zunächst einmal hat der Arbeitgeber Zugriff auf die E-Mails seiner Angestellten, wenn diese berufsbezogene Kommunikationsmittel in ihrem beruflichen Umfeld nutzen. Er hat berechtigte Interessen (Sicherheit, Verringerung von Missbrauchsrisiken, Arbeitsorganisation und Arbeitsplanung, Kontrolle von Leistungen und Geschäften usw.). Er kann E-Mails unter Einhaltung der Grundsätze des Datenschutzes, insbesondere des Verhältnismässigkeits- und des Öffentlichkeitsprinzips, sowie unter Beachtung des Artikels 26 der Verordnung 3 zum Arbeitsgesetz (ArGV 3) einsehen.

Ein Arbeitgeber ist hingegen nicht berechtigt, den Inhalt eines privaten E-Mails einzusehen, wenn dieses gekennzeichnet (Angabe «persönlich» oder «privat» im Betreff oder Ablage in einem Ordner mit der Bezeichnung «persönlich» oder «privat») oder als solches erkennbar ist (es kann auch aus der Adressierung hervorgehen, ob ein E-Mail privat ist). Vorbehalten sind andere berechtigte Interessen, zum Beispiel bei Verdacht auf eine Straftat, und zwar auch dann, wenn E-Mails zu privaten Zwecken durch Vorschriften oder interne Richtlinien des Unternehmens untersagt sind.

Wenn nichts auf die Art (beruflich oder privat) des E-Mails hinweist und auch die Adressierung nicht auf ein privates E-Mail schliessen lässt, geht das Unternehmen davon aus, dass es sich um ein berufliches E-Mail handelt. Im Zweifelsfall klärt der Arbeitgeber die Frage mit der Arbeitnehmerin oder dem Arbeitnehmer. Interne oder externe Absenderinnen oder Absender müssen ausdrücklich auf diesen Punkt hingewiesen werden.

Für eine bessere Unterscheidung zwischen privaten und beruflichen E-Mails kann das Unternehmen auch festlegen, dass für berufliche E-Mails eher funktionsbezogene (info@) anstelle von persönlichen Adressen (Vorname.Name@) verwendet werden. 

Im Streitfall müssen die Gerichte beurteilen, ob der Zugriff des Arbeitgebers auf E-Mails berechtigt und verhältnismässig war.

In welchen Fällen darf ein Arbeitgeber auf die E-Mails von Angestellten zugreifen, wenn diese aus einem vorhersehbaren oder unvorhersehbaren Grund abwesend sind?

Im Interesse der Transparenz und Vorhersehbarkeit empfehlen wir dem Arbeitgeber, ein internes Reglement zu den Rechten und Pflichten jeder und jedes Einzelnen bei der Nutzung von IT-Tools zu erstellen. Dies beugt Konflikten vor und kann sich bei Kündigungen von Arbeitsverhältnissen oder bei krankheits- oder unfallbedingten Absenzen von Angestellten als wesentlich erweisen. Das Reglement schafft klare Verhältnisse, und die Angestellten werden dazu angehalten, ihre Privatsphäre zu schützen. 

Die Nutzung von IT-Tools sollte im Reglement einfach erklärt und die Mitarbeitenden sollten zum Beispiel im Rahmen interner Weiterbildungen geschult werden, damit alle auf dem gleichen Wissensstand sind.

Zusammenfassend empfehlen wir im Fall von Abgängen oder Absenzen aufgrund von Krankheit oder Unfall im Umgang mit E-Mails und Serverzugängen folgendes Vorgehen: 

Zugriff auf E-Mails von Angestellten, die das Unternehmen verlassen  

Wenn Angestellte ein Unternehmen verlassen, müssen sie vor ihrem Ausscheiden einer berechtigten Person ihre unerledigten Geschäfte übergeben und E-Mails weiterleiten. 

Sie bestätigen in einer Erklärung, dass sie dem Unternehmen alle beruflichen Dokumente ausgehändigt haben. Für die Angestellten muss die Möglichkeit bestehen, private E-Mails und andere private Dokumente auf einen privaten Datenträger zu kopieren und sie von den Servern des Unternehmens zu löschen. Daten und Unterlagen, die dem Unternehmen noch dienen können oder gerade bearbeitet werden, sollten an Vertretungen der ausscheidenden Mitarbeitenden oder deren zuständige Vorgesetzte weitergegeben werden.

Spätestens am letzten Arbeitstag werden die Zugriffsrechte auf die E-Mails (wie auch auf die anderen Computerkonten) der Angestellten entfernt, und ihre Mailbox wird (wie auch alle anderen persönlichen Datenträger) gelöscht. Die Computerkonten werden nach einer bestimmten Zeit gelöscht. Bei Freistellungen oder fristlosen Kündigungen werden die Kontodaten sofort gesichert und die Zugriffsrechte entfernt, spätestens am letzten Arbeitstag. 

Im Todesfall wird das E-Mail-Konto des Verstorbenen sofort gesperrt, und die Daten werden gesichert.

E-Mails und andere private Daten werden dann nach dem Vier-Augen-Prinzip aussortiert (im Beisein von Angehörigen, wenn es sich um einen Todesfall handelt). Personen, die dem Mitarbeitenden nach dessen Ausscheiden eine E-Mail schicken, erhalten automatisch eine Nachricht mit der Information zur Aufhebung des E-Mail-Kontos und einer E-Mail-Adresse, an die sie ihre Nachricht senden können. Die E-Mails werden nicht automatisch innerhalb des Unternehmens weitergeleitet.

Zugriff auf die E-Mails von Angestellten, die wegen Krankheit oder aus anderen vorhersehbaren oder nicht vorhersehbaren Gründen abwesend sind

Bei vorhersehbarer Absenz (Ferien, Urlaub, Militärdienst usw.) sollten Mitarbeitende eine automatische Abwesenheitsmeldung einrichten und eine Nachricht verfassen, die als Antwort auf alle eingehenden E-Mails versendet wird. Es ist sinnvoll, eingehende E-Mails nicht automatisch an die Mailbox der Vertretung weiterzuleiten. Schliesslich kann erstens nicht garantiert werden, dass nur berufliche E-Mails weitergeleitet werden. Und zweitens können die Absenderinnen und Absender die Weiterleitung ihrer Nachrichten nicht verhindern. Am sinnvollsten ist es daher, eine automatische Abwesenheitsmeldung vorzusehen, in der Mitarbeitende jene E-Mail-Adresse angeben, an die eine Nachricht gesendet werden kann (z. B. an das Sekretariat oder eine Vertretung), wenn Absenderinnen oder Absender dies wünschen.

Um Problemen vorzubeugen, die bei krankheits- oder unfallbedingter Absenz entstehen können, muss rechtzeitig eine Vertretung ernannt werden. Wenn dies nicht geschehen ist und die Rückkehr des Mitarbeitenden nicht abgewartet werden kann, sollte das Vier-Augen-Prinzip (Kontrolle durch zwei Personen) angewendet werden.

Benutzernamen und Passwörter sind vertraulich und dürfen nicht an den Arbeitgeber weitergegeben werden, es sei denn, es handelt sich um eine Ausnahme und es liegt ein Rechtfertigungsgrund vor. Zum Beispiel, wenn abwesende Angestellte auf ihren Konten über Informationen verfügen, die für die Fortführung der Unternehmenstätigkeit unerlässlich sind. Für das Unternehmen ist es ratsam, diese Aspekte in Richtlinien festzulegen und jeden Zugriff auf den Mailserver des Unternehmens zu protokollieren.

Die Einhaltung dieser Grundsätze trägt zu einem reibungslosen Ablauf beim Ausscheiden von Angestellten bei und beugt Problemen vor, die sich aus einer Krankheit oder einem Unfall ergeben können.