Die kurze Antwort lautet: nicht ohne Grenzen. Dass E-Mail-Konto, Computer oder Microsoft-Teams-Umgebung dem Unternehmen gehören, beseitigt weder den Datenschutz noch die Privatsphäre der Beschäftigten. Umgekehrt bedeutet dieser Schutz nicht, dass jeder Zugriff des Arbeitgebers verboten ist. Eine konkrete und begrenzte Prüfung kann rechtmäßig sein, wenn sie einem echten betrieblichen oder rechtlichen Zweck dient, unbedingt erforderlich und verhältnismäßig ist und die Beschäftigten vorher klar informiert wurden.
Entscheidend sind Zweck und Vorgehensweise. Nach ernsthaften Hinweisen auf den Abfluss vertraulicher Informationen nach einer bestimmten geschäftlichen Nachricht zu suchen, ist etwas anderes, als routinemäßig sämtliche Unterhaltungen zu lesen, um zu bewerten, wer „genug“ arbeitet. Ersteres kann unter strengen Voraussetzungen gerechtfertigt sein. Letzteres lässt sich wesentlich schwerer mit Erforderlichkeit und Verhältnismäßigkeit vereinbaren.
Ein Firmenkonto ist kein datenschutzfreier Raum
Der Arbeitgeber verwaltet normalerweise die technische Infrastruktur: Er richtet das Konto ein, bezahlt die Lizenz, legt Sicherheitsregeln fest und kann Administratorrechte besitzen. Die technische Möglichkeit ist jedoch keine automatische rechtliche Erlaubnis. Das Öffnen, Durchsuchen, Kopieren, Exportieren oder Aufbewahren von Nachrichten ist eine Verarbeitung personenbezogener Daten und benötigt eine Rechtsgrundlage sowie einen festgelegten Zweck.
Auch eine rein berufliche Nachricht kann Angaben über Verhalten, Zusammenarbeit, Leistung, Gesundheit, Gewerkschaftstätigkeit oder persönliche Umstände enthalten. Hinzu kommen Daten von Kunden, Kollegen und anderen Personen. Die Prüfung betrifft daher nicht nur die Person, deren Konto geöffnet wird.
Der Rechtsrahmen in Griechenland
Die Datenschutz-Grundverordnung verlangt Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung, begrenzte Speicherung und Sicherheit. Artikel 27 des griechischen Gesetzes 4624/2019 bestimmt zusätzlich, dass Beschäftigtendaten für Zwecke des Arbeitsverhältnisses verarbeitet werden dürfen, wenn dies unbedingt erforderlich ist.
Arbeitgeber stützen eine Prüfung häufig auf berechtigte Interessen, etwa den Schutz von Geschäftsgeheimnissen, die Sicherheit der Systeme, die Untersuchung von Betrug, die Durchsetzung rechtlicher Ansprüche oder die Fortführung eines kritischen Vorgangs. Ein berechtigtes Interesse ist kein Freibrief. Der Zweck muss tatsächlich bestehen, der Zugriff muss notwendig sein und ein weniger eingreifendes Mittel darf nicht zum gleichen Ergebnis führen.
Die Einwilligung von Beschäftigten ist wegen des Abhängigkeitsverhältnisses selten die beste Grundlage. Die Rechtmäßigkeit sollte auf einer objektiven Notwendigkeit beruhen und nicht auf einem pauschalen Zustimmungsfeld bei der Einstellung.
Wann ein gezielter Zugriff gerechtfertigt sein kann
- bei einem ernsthaften und dokumentierten Verdacht auf Weitergabe von Geschäftsgeheimnissen oder vertraulichen Dateien,
- bei der Untersuchung eines Cybersicherheitsvorfalls, von Schadsoftware, Betrug oder unbefugtem Zugriff,
- bei der Suche nach klar bestimmter Geschäftskorrespondenz für ein laufendes Gerichts- oder Aufsichtsverfahren,
- zur Wiederherstellung kritischer Unternehmensinformationen bei plötzlicher längerer Abwesenheit, wenn keine mildere Kontinuitätslösung funktioniert,
- für eine bekannte, begrenzte und dokumentierte Compliance-Prüfung in einem stark regulierten Bereich.
Auch dann ist die Suche nach Zeitraum, Konto, Suchbegriffen oder Dateikategorie einzugrenzen. Zunächst können Metadaten, Sicherheitsprotokolle oder Unternehmensunterlagen geprüft werden, bevor Nachrichteninhalte geöffnet werden. Nur befugte Personen dürfen Zugriff erhalten; ihre Handlungen sind zu protokollieren und Kopien müssen eine festgelegte Aufbewahrungsfrist haben.
Wann Überwachung problematisch wird
Eine dauerhafte oder intransparente Inhaltsüberwachung greift besonders tief ein. Neugier, der Wunsch, „Einsatz“ zu messen, die technische Berechtigung eines Administrators oder ein pauschaler Hinweis auf Produktivität reichen nicht aus. Problematisch sind vor allem heimliches und fortlaufendes Mitlesen, massenhafte Auswertung zur Leistungsbewertung, Nutzung zu einem nicht angekündigten Zweck, Zugriff auf erkennbar private Bereiche ohne zwingenden Grund und unbefristete Aufbewahrung oder unnötige Weitergabe.
Europäische Leitlinien bevorzugen Prävention gegenüber ständiger Überwachung. Regeln zur Verhinderung von Datenabfluss, Versandbeschränkungen, getrennte Berechtigungen und Sicherheitswarnungen schützen das Unternehmen häufig mit einem geringeren Eingriff in Inhalte.
Was bei Teams besonders zu beachten ist
Dieselben Grundsätze gelten für Teams, Slack und vergleichbare Plattformen. Teams umfasst mehr als Chat: private Unterhaltungen, Kanäle, Anhänge, Besprechungsaufzeichnungen, Anwesenheitsdaten, Kalender und Aktivitätsprotokolle können zusammen ein sehr detailliertes Bild des Arbeitsalltags ergeben.
Die Bezeichnung „privater Chat“ bedeutet nicht zwingend, dass eine Nachricht für die Organisation technisch unsichtbar ist. Umgekehrt erlaubt das Vorhandensein von eDiscovery-, Retention- oder Administratorfunktionen nicht deren beliebigen Einsatz. Das Unternehmen muss festlegen, wer suchen darf, welche Genehmigung erforderlich ist, welcher Vorfall untersucht wird und wie der Zugriff dokumentiert wird.
Die Vorabinformation muss verständlich sein
Die griechische Datenschutzbehörde verlangt eine vorherige, klare und geeignete Information über Methoden, Zwecke und Verfahren der Kontrolle. Eine brauchbare Richtlinie für E-Mail und Kollaborationswerkzeuge sollte erläutern, ob gelegentliche private Nutzung erlaubt ist, welche technischen Daten protokolliert werden, wie lange sie gespeichert bleiben, wann ausnahmsweise Inhalte eingesehen werden können, wer den Zugriff genehmigt und wo Beschäftigte ihre Rechte ausüben können.
Der pauschale Satz „Das Unternehmen darf alles überwachen“ macht eine unverhältnismäßige Kontrolle nicht rechtmäßig. Die Richtlinie muss konkret, zugänglich und konsequent angewendet werden.
Was die Entscheidung 43/2019 zeigt
In einem Fall zum Zugriff auf geschäftliche E-Mails hielt die griechische Datenschutzbehörde die konkrete Prüfung für rechtmäßig, weil interne Regeln die private Nutzung untersagten und interne Kontrollen vorsahen und weil Anhaltspunkte die Untersuchung rechtfertigten. Die Entscheidung war keine allgemeine Überwachungserlaubnis. Im selben Fall stellte die Behörde weitere Verstöße fest, darunter unzulässige Videoüberwachung und eine Verletzung des Auskunftsrechts des Beschäftigten.
Die praktische Lehre lautet: Jede Maßnahme wird gesondert bewertet. Eine gerechtfertigte E-Mail-Prüfung legitimiert nicht jedes andere Überwachungssystem und entbindet den Arbeitgeber nicht von der Pflicht, Betroffenenrechte zu beantworten.
Abwesenheit, Krankheit und Ausscheiden
Betriebliche Kontinuität verlangt nicht automatisch die Öffnung des gesamten Postfachs. Gute Organisation hat Vorrang: Funktionspostfächer, Vertretungsregeln, Abwesenheitsnotizen, befugte Fallübergabe und die Ablage geschäftlicher Unterlagen in gemeinsamen Arbeitsbereichen statt ausschließlich im persönlichen Posteingang.
Nach dem Ausscheiden sollte das Konto in einem kontrollierten Verfahren deaktiviert werden. Der Zugriff auf alte Korrespondenz bleibt auf offene geschäftliche Vorgänge beschränkt. Eine langfristige automatische Weiterleitung aller neuen Nachrichten erzeugt zusätzliche Risiken und sollte regelmäßig durch einen Absenderhinweis mit neuer Kontaktadresse ersetzt werden.
Gelöschte Nachrichten können noch vorhanden sein
Das Löschen im Posteingang oder in Teams führt nicht immer zur sofortigen endgültigen Entfernung. Aufbewahrungsregeln, Backups oder ein Legal Hold können Kopien erhalten. Dadurch wird nicht jede Wiederherstellung rechtmäßig. Auch sie benötigt Zweck, Rechtsgrundlage, Erforderlichkeit, Zugriffskontrolle und eine begrenzte Speicherdauer.
Was Beschäftigte tun können
- Richtlinien lesen. Fordern Sie die Nutzungsrichtlinie, den Datenschutzhinweis für Beschäftigte und die Regeln für E-Mail, Teams und Protokolle an.
- Konkrete Auskunft verlangen. Welche Daten wurden zu welchem Zweck und auf welcher Grundlage von wem geprüft, an wen übermittelt und wie lange gespeichert?
- Arbeitgeber oder Datenschutzbeauftragten schriftlich ansprechen. Eine sachliche, präzise Anfrage schafft eine klare Dokumentation.
- Anwendbare Rechte ausüben. Das Auskunftsrecht muss Rechte Dritter berücksichtigen, darf aber nicht schlicht ignoriert werden.
- Keine fremden Daten massenhaft kopieren. Beweise müssen rechtmäßig gesichert werden. Der Export von Kunden- oder Kollegenkorrespondenz ohne Beratung kann ein neues Vertraulichkeitsproblem auslösen.
- Frühzeitig fachliche Hilfe suchen. Disziplinarverfahren, Kündigung, Offenlegung sensibler Daten oder schwere Überwachung erfordern eine individuelle rechtliche Prüfung. Auch eine Beschwerde bei der griechischen Datenschutzbehörde kommt in Betracht.
Checkliste für Arbeitgeber
- Sind genauer Zweck und Rechtsgrundlage dokumentiert?
- Gibt es konkrete Tatsachen, die den Zugriff erforderlich machen?
- Reichen Metadaten, Protokolle oder ein milderes Mittel aus?
- Wurde das Personal vorher klar informiert?
- Sind Zeitraum, Konten und Suchbegriffe eng begrenzt?
- Bestehen Genehmigung, Rollentrennung und Audit-Protokoll?
- Sind Aufbewahrungsfrist und sichere Löschung festgelegt?
- Ist bei systematischer oder risikoreicher Überwachung eine Datenschutz-Folgenabschätzung erforderlich?
Fazit
Ein Arbeitgeber erhält kein unbegrenztes Leserecht, nur weil er E-Mail oder Teams bereitstellt. Für einen bestimmten Zugriff kann ein rechtmäßiger Zweck bestehen, doch Erforderlichkeit, Verhältnismäßigkeit, Transparenz und Sicherheit müssen nachweisbar sein. Beschäftigte sollten weder jede Firmenkommunikation für vollständig privat halten noch akzeptieren, dass bei Firmeneigentum „alles erlaubt“ sei. Entscheidend sind Richtlinie, tatsächliche Umstände und konkrete Durchführung.
Offizielle Quellen
- Griechische Datenschutzbehörde: Fragen zur Überwachung am Arbeitsplatz
- Entscheidung 43/2019 zum Zugriff auf Firmen-E-Mails
- Verordnung (EU) 2016/679 (DSGVO)
- Griechisches Gesetz 4624/2019, Artikel 27
Foto: Karola G / Kaboompics über Pexels. Die abgebildeten Personen stehen nicht mit Nomika Epilekta in Verbindung.
Dieser Beitrag enthält allgemeine Informationen auf Grundlage der am 14. Juli 2026 verfügbaren Quellen. Er ersetzt keine individuelle Rechtsberatung und keine Prüfung der konkreten Richtlinie, Tatsachen und Beweismittel.
Kommentare
Share your thoughts about this article.
Noch keine Kommentare. Schreiben Sie den ersten Kommentar.
Kommentar absenden