Der Umgang mit dienstlichen E-Mail-Postfächern stellt Unternehmen regelmäßig vor erhebliche Herausforderungen, insbesondere wenn Beschäftigte kurzfristig ausfallen, das Arbeitsverhältnis beendet wird oder ein Konflikt im Raum steht. Bis vor wenigen Jahren war in solchen Situationen vielfach Zurückhaltung geboten, da die Zulässigkeit von Einsichtnahmen im Kontext möglicher privater Nutzung unter dem Verdacht einer Anwendbarkeit des Fernmeldegeheimnisses und einer potenziellen Strafbarkeit nach § 206 StGB stand.
Aktuelle Entwicklungen im Telekommunikationsrecht und in der datenschutzrechtlichen Auslegung führen jedoch zu einer spürbaren Verschiebung. Der Zugriff ist heute grundsätzlich zulässig, sofern er DSGVO-konform erfolgt. Gleichzeitig bleiben organisatorische Anforderungen und Grenzen bestehen, die zwingend beachtet werden müssen.
1. Die Entwicklung des rechtlichen Rahmens
1.1 Fernmeldegeheimnis im Beschäftigungskontext
Über Jahre beurteilten Fachliteratur und Aufsichtsbehörden die Bereitstellung dienstlicher E-Mail-Postfächer mit erlaubter oder geduldeter Privatnutzung als Telekommunikationsdienstleistung. Arbeitgeber wurden damit als Anbieter eingestuft, sodass das Fernmeldegeheimnis Anwendung finden konnte – mit der Folge, dass Einsichtnahmen ohne Einwilligung unzulässig beziehungsweise strafbewehrt waren.
Die mit dem Telekommunikationsmodernisierungsgesetz eingeführte Neufassung der Definition von Telekommunikationsdiensten stellt diesen Ansatz zunehmend in Frage. Seit 2021 gilt die Voraussetzung, dass entsprechende Dienste „in der Regel gegen Entgelt“ erbracht werden. Die Zurverfügungstellung von E-Mail-Postfächern im Arbeitsverhältnis wird nach aktueller fachlicher Bewertung nicht als wirtschaftliches Angebot, sondern als Bereitstellung eines Arbeitsmittels eingeordnet. Das Fernmeldegeheimnis ist daher im Regelfall nicht einschlägig. Diese Sichtweise wird durch aktuelle Stimmen in der Literatur und Tätigkeitsberichte von Aufsichtsbehörden bestätigt.
1.2 Konsequenz: DSGVO als maßgeblicher Prüfmaßstab
Mit dem Wegfall des Fernmeldegeheimnis-Arguments verschiebt sich die Beurteilung vollständig in den Anwendungsbereich der DSGVO. Zugriffsbefugnisse ergeben sich insbesondere aus Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse), etwa zur Sicherstellung der Geschäftskontinuität, Wahrung vertraglicher Pflichten oder Vermeidung wirtschaftlicher Schäden.
Damit entfällt zwar ein wichtiges Hemmnis, jedoch nicht die Notwendigkeit einer rechtlich strukturierten Vorgehensweise. Einsichtnahmen sind weiterhin nur insoweit zulässig, wie sie erforderlich, zweckgebunden und verhältnismäßig erfolgen.
2. Typische Konfliktszenarien und ihre datenschutzkonforme Bewältigung
2.1 Beendigung des Arbeitsverhältnisses im Streitfall
Besonders kritisch ist der Zugriff, wenn Beschäftigte das Unternehmen unter Anspannung verlassen und arbeitsrechtliche Auseinandersetzungen drohen. Unternehmen sind regelmäßig darauf angewiesen, Kundenkontakte fortzuführen, offene Vorgänge zu lokalisieren oder Fristen zu beachten.
Unter der heutigen Rechtslage kann ein Zugriff auf das dienstliche Postfach in diesen Fällen zulässig sein, sofern eine klare betriebliche Notwendigkeit vorliegt. Das Vorgehen sollte dabei stets nach nachvollziehbaren, dokumentierten Kriterien erfolgen.
Empfehlenswert sind insbesondere:
- Festhalten des Zwecks der Einsichtnahme (z. B. Sicherstellung der Geschäftsfähigkeit im Projektbereich),
- formale Anordnung durch eine befugte Stelle (Geschäftsleitung, Personalabteilung),
- Durchführung im Vier-Augen-Prinzip, um Missbrauch und Fehleingriffe auszuschließen,
- Beschränkung des Zugriffs auf geschäftlich relevante Inhalte,
- konsequente Nichtauswertung privater Nachrichten, sofern diese anhand der Meta-Informationen erkennbar sind,
- Protokollierung der Prozesse.
Besonders kritisch bleibt die vollständige Freigabe des gesamten Postfachs an eine Nachfolgeperson. Ein solches Vorgehen ist regelmäßig nicht erforderlich und birgt vermeidbare Risiken.
2.2 Plötzliche oder längerfristige Abwesenheit
Auch bei Krankheit, Unfall oder sonstigen Ausfällen besteht häufig die Notwendigkeit, auf dienstliche Postfächer zuzugreifen. Hier besteht regelmäßig kein arbeitsrechtlicher Konflikt, doch dieselben materiell-rechtlichen Maßstäbe gelten.
In solchen Fällen ist ein abgestuftes Vorgehen empfehlenswert, das zunächst auf temporäre Maßnahmen abzielt – etwa automatisierte Abwesenheitshinweise oder Weiterleitungen eingehender Kommunikation an Funktionspostfächer. Nur wenn dies nicht ausreicht, sollte ein gezielter Zugriff erfolgen, wiederum unter Protokollierung und Beachtung des Verhältnismäßigkeitsgrundsatzes.
2.3 Übergabe an Nachfolgerinnen und Nachfolger
Aus praktischer Sicht naheliegend, aber datenschutzrechtlich problematisch ist die vollständige Übernahme des vorhandenen Postfachs durch eine andere Person. Dies kann zur Verarbeitung von überflüssigen, sensiblen oder privaten Informationen führen, die keine Relevanz für die künftige Verwendung haben.
Stattdessen empfehlen wir:
- Einrichtung neuer E-Mail-Konten für nachfolgende Funktionsträger,
- Weiterleitung lediglich zukünftiger Korrespondenz,
- gezielte Identifikation und Übernahme relevanter Kommunikation,
- zeitnahe Löschung oder Archivierung des Altpostfachs.
Diese Vorgehensweise ermöglicht die Fortführung geschäftlicher Aufgaben, ohne unnötig alte personenbezogene Inhalte zu verarbeiten.
3. Bedeutung der Privatnutzung und Handlungsoptionen der Unternehmen
Ob das dienstliche Postfach ausschließlich geschäftlich genutzt wird oder gelegentliche private Nutzung toleriert wird, bleibt weiterhin von großer praktischer Relevanz. Zwar entfällt das Risiko aus dem Fernmeldegeheimnis weitgehend, doch die DSGVO verlangt weiterhin eine Differenzierung im Umgang mit potenziell privaten Inhalten.
Unternehmen haben im Wesentlichen drei Handlungsoptionen:
- Ausschluss der Privatnutzung
Klar geregelt, technisch und organisatorisch durchsetzbar, geringstes Risiko.
- Erlaubte Nutzung im begrenzten Umfang
Erfordert Kennzeichnungspflichten, transparente Hinweise an Beschäftigte und definierte Zugriffsprozesse.
- Ungeklärte, faktische Duldung
Praktikabel im Alltag, jedoch juristisch fragwürdig und nur als Übergangsmodell empfehlenswert.
In jedem Fall empfehlen wir, entweder bereits vorhandene oder neu zu etablierende Regeln nachvollziehbar zu dokumentieren, in Richtlinien oder Betriebsvereinbarungen zu verankern und Beschäftigte angemessen zu informieren.
4. Hinweis zur Nutzung von Auto-Respondern nach dem Austritt
Im Zusammenhang mit der Beendigung von Arbeitsverhältnissen spielt auch die Frage eine Rolle, wie mit eingehenden E-Mails an die personenbezogenen Postfächer ausgeschiedener Beschäftigter umzugehen ist. Aus datenschutzrechtlicher Sicht ist die Verwendung automatischer Antwortfunktionen grundsätzlich zulässig, sofern sie einem legitimen betrieblichen Zweck dient und dementspechend datenschutzkonform ausgestaltet wird.
Ein Auto-Responder stellt dabei ein geeignetes Mittel dar, um Absenderinnen und Absender darüber zu informieren, dass die betreffende Adresse nicht mehr genutzt wird und alternative Kontaktwege bereitstehen. Voraussetzung ist, dass die Nachricht neutral formuliert ist und keinerlei Rückschlüsse auf den Grund des Ausscheidens oder persönliche Umstände zulässt. Aussagen wie „befindet sich im Krankenstand“, „wurde gekündigt“ oder „arbeitet nun bei Unternehmen X“ sind natürlich ebenso unzulässig wie Hinweise, die den Eindruck erwecken, die Person wäre noch erreichbar.
Zulässig sind daher rein organisatorische Hinweise, beispielsweise:
„Diese E-Mail-Adresse wird nicht mehr genutzt. Bitte wenden Sie sich an [Funktionspostfach/Telefonnummer].“
Zur Wahrung der Datenminimierung sollte die Nutzung eines solchen Hinweises zeitlich begrenzt sein. Eine Dauer von wenigen Wochen wird von uns in der Praxis regelmäßig als ausreichend angesehen. Anschließend muss das Postfach deaktiviert und der Eingang neuer E-Mails technisch unterbunden werden oder auf ein Funktionspostfach umgeleitet werden.
Der Einsatz von Auto-Respondern bietet damit eine rechtssichere Möglichkeit, Kommunikationskanäle zu steuern, ohne personenbezogene Daten auszuwerten oder den Eindruck eines fortbestehenden Arbeitsverhältnisses zu erzeugen. Daher sehen wir diesen Punkt auch als festen Bestandteil in einem datenschutzkonformen Offboarding-Prozess.
5. Fazit: Mehr Handlungsspielraum, aber klare Leitplanken
Der Wegfall der telekommunikationsrechtlichen Restriktionen eröffnet Unternehmen größere Flexibilität, wenn Beschäftigte ausscheiden oder im Konfliktfall die Fortführung betrieblicher Kommunikation erforderlich ist. Gleichzeitig bleibt die datenschutzrechtliche Pflicht zur Zweckbindung, Verhältnismäßigkeit und Transparenz bestehen.
Damit ergibt sich ein realistischer Mittelweg:
Zugriffe auf E-Mail-Postfächer sind möglich und oft sogar unvermeidbar, sie sollten jedoch strukturiert, minimalinvasiv und dokumentiert erfolgen. Unternehmen, die ergänzend klare Nutzungsregelungen einführen und interne Prozesse definieren, reduzieren Risiken, erhöhen die Rechtssicherheit und vermeiden unnötige Konflikte mit ehemaligen oder abwesenden Beschäftigten. Ein Auto Reply darf eingerichtet werden, unterliegt aber klaren Grenzen des Persönlichkeitsrechts.
Rechtlicher Hinweis
Dieser Beitrag stellt eine allgemeine fachliche Einschätzung dar und ersetzt keine rechtliche Prüfung des Einzelfalls. Entscheidungen zum Zugriff auf E-Mail-Postfächer sollten stets unter Berücksichtigung der konkreten Umstände und immer in Abstimmung mit Datenschutz- oder Rechtsberatung erfolgen.