Zwischen Aufklärungspflicht und Datenschutz

Wann Unternehmen dienstliche E-Mail-Postfächer prüfen dürfen

Interne Compliance-Untersuchungen sind längst kein Randthema mehr für Großkonzerne. Auch mittelständische Unternehmen geraten zunehmend in Situationen, in denen sie aufklären müssen – sei es wegen Korruptionsvorwürfen, möglicher Exportverstöße, kartellrechtlicher Risiken oder Unregelmäßigkeiten in internationalen Lieferketten.

Spätestens dann stellt sich eine besonders sensible Frage:

Darf das Unternehmen auf dienstliche E-Mail-Postfächer zugreifen?

Viele Geschäftsführungen reagieren zunächst mit Zurückhaltung. Datenschutzrecht wird dabei häufig als potenzielles „Stoppschild“ wahrgenommen. Tatsächlich ist die Lage differenzierter – und für Unternehmen keineswegs hoffnungslos.

Der typische Praxisfall

Ein mittelständisches Maschinenbauunternehmen erhält Hinweise, dass über eine ausländische Tochtergesellschaft Lieferungen in ein sanktioniertes Drittland umgeleitet wurden. Die Geschäftsführung wird informiert, der Verdacht ist konkret, die mögliche Rechtsfolge erheblich: Bußgelder, strafrechtliche Ermittlungen, Ausschluss von öffentlichen Aufträgen.

Die interne Revision stellt fest, dass entscheidende Abstimmungen offenbar nicht im ERP-System dokumentiert wurden, sondern über persönliche E-Mail-Kommunikation liefen – teilweise zwischen Führungskräften verschiedener Standorte.

Ohne Zugriff auf die betreffenden Postfächer bleibt die Aufklärung lückenhaft. Mit Zugriff droht ein Eingriff in Persönlichkeitsrechte. Genau hier beginnt die juristische Abwägung.

Kein „Freibrief“ durch nationales Recht

Früher wurde in solchen Konstellationen häufig reflexartig auf § 26 Abs. 1 S.2 BDSG verwiesen. Danach durften zur Aufdeckung von Straftaten personenbezogene Daten von Beschäftigten nur unter bestimmten Voraussetzungen verarbeitet werden. Es mussten zu dokumentierende tatsächliche Anhaltspunkte bestehen, die den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat. Die Verarbeitung zur Aufdeckung musste erforderlich sein und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung durfte nicht überwiegen. Zudem mussten Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sein.

Doch die jüngere Rechtsprechung des Gerichtshof der Europäischen Union hat klargestellt, dass nationale Vorschriften keine eigenständigen, von der DSGVO losgelösten Rechtfertigungen schaffen dürfen, sofern diese nicht schon ohnehin durch die DSGVO geregelt sind.

Die datenschutzrechtliche Bewertung entscheidet sich dann daher unmittelbar nach der DSGVO – insbesondere nach Art. 6 Abs. 1 lit. f DSGVO, besser bekannt als das „Berechtigte Interesse“.

Für Unternehmen bedeutet das: Die Argumentation muss europarechtskonform geführt werden. Eine pauschale Berufung auf nationales Beschäftigtendatenschutzrecht reicht nicht aus.

Das berechtigte Interesse – mehr als nur ein wirtschaftliches Motiv

Art. 6 Abs. 1 lit. f DSGVO erlaubt Datenverarbeitungen, wenn sie zur Wahrung berechtigter Interessen erforderlich sind und keine überwiegenden Interessen der betroffenen Person entgegenstehen.

Bei internen Untersuchungen geht es regelmäßig nicht um Effizienz, Kontrolle oder Produktivitätssteigerung. Es geht um die Abwehr gravierender Risiken.

Ein Unternehmen, das konkrete Hinweise auf straf- oder sanktionsbewehrte Verstöße ignoriert, setzt nicht nur seine Reputation aufs Spiel. Geschäftsleitung und Organe können sich selbst haftungsrechtlichen Vorwürfen aussetzen. In bestimmten Konstellationen besteht sogar eine Pflicht zur effektiven Aufklärung.

Gerade bei Verdacht auf Exportkontroll- oder Sanktionsverstöße ist das Aufklärungsinteresse daher von erheblichem Gewicht. Es ist nicht bloß legitim – es ist rechtlich verdichtet.

Die andere Seite: Persönlichkeitsrechte bleiben bestehen

Gleichzeitig darf nicht übersehen werden: Auch dienstliche E-Mail-Kommunikation ist personenbezogen. Sie erlaubt Rückschlüsse auf Entscheidungsprozesse, Netzwerke, Denkweisen. Sie kann sensible Inhalte enthalten – selbst wenn private Nutzung offiziell untersagt ist.

Datenschutzrecht schützt nicht nur das „Private“, sondern auch die berufliche Kommunikation als Ausdruck der Persönlichkeit.

Deshalb ist der Zugriff auf ein Postfach immer ein erheblicher Eingriff. Und genau deshalb darf er nicht routinemäßig oder pauschal erfolgen.

Der entscheidende Unterschied: Anlass und Ausgestaltung

In der Praxis zeigt sich ein klarer Unterschied zwischen zwei Konstellationen:

  1. Präventive oder flächendeckende Kontrollen

Diese sind regelmäßig unzulässig. Ein Generalverdacht gegenüber der Belegschaft trägt die Abwägung nicht.

  1. Konkreter Verdacht mit klarer Eingrenzung

Hier kann die Abwägung zugunsten des Unternehmens ausfallen.

Entscheidend ist, ob die Maßnahme:

  • an einen konkretisierten Sachverhalt anknüpft,
  • sich auf bestimmte Personen beschränkt,
  • zeitlich und thematisch eingegrenzt ist,
  • forensisch kontrolliert durchgeführt wird.

Ein Beispiel aus der Praxis:

Statt ein gesamtes Postfach „durchzulesen“, werden Suchbegriffe definiert, die unmittelbar mit dem Verdachtsmoment zusammenhängen. Der Zeitraum wird auf wenige Monate begrenzt. Die Auswertung erfolgt ausschließlich durch ein kleines Team aus Legal und Compliance. Private Inhalte werden nicht weiterverwendet.

In solchen Konstellationen kann die Interessenabwägung tragfähig zugunsten des Unternehmens ausfallen.

Warum Governance wichtiger ist als Technik

Viele Unternehmen unterschätzen, dass die datenschutzrechtliche Zulässigkeit nicht allein von der Rechtsgrundlage abhängt, sondern maßgeblich von der organisatorischen Umsetzung.

Eine rechtlich zulässige Maßnahme kann durch unkontrollierte Durchführung rechtswidrig werden.

Bewährt haben sich insbesondere:

  • eine dokumentierte Verdachtsanalyse vor Beginn der Maßnahme,
  • eine klare Trennung zwischen IT-Sicherung und inhaltlicher Auswertung,
  • Protokollierung sämtlicher Zugriffe,
  • transparente Nachinformation der betroffenen Personen, sobald der Untersuchungszweck dies zulässt.

Datenschutz wirkt hier nicht als Verhinderungsinstrument, sondern als Strukturprinzip: Er zwingt Unternehmen zu methodischer, verhältnismäßiger und nachvollziehbarer Aufklärung.

Mittelstand und internationale Risiken

Gerade mittelständische Unternehmen unterschätzen häufig ihre eigene Risikolage. Internationale Vertriebsstrukturen, komplexe Lieferketten oder Joint Ventures führen dazu, dass auch KMU schnell in regulatorisch anspruchsvolle Situationen geraten.

Die Vorstellung, interne Untersuchungen seien nur ein Thema für DAX-Konzerne, ist überholt.

Zugleich fehlt im Mittelstand oft eine etablierte Investigations-Governance. Entscheidungen werden ad hoc getroffen – unter Zeitdruck, mit erheblicher Unsicherheit.

Hier liegt das eigentliche Risiko: nicht im Zugriff selbst, sondern im unstrukturierten Zugriff.

Fazit: Kein Tabu – aber klare Leitplanken

Die Einsichtnahme in dienstliche E-Mail-Postfächer ist datenschutzrechtlich nicht grundsätzlich verboten. Sie ist jedoch an hohe Anforderungen gebunden.

Sie kann zulässig sein, wenn:

  • ein konkreter, belastbarer Verdacht besteht,
  • erhebliche rechtliche Risiken im Raum stehen,
  • mildere Mittel nicht ausreichen,
  • die Maßnahme strikt verhältnismäßig und dokumentiert durchgeführt wird.

Unternehmen sind also weder handlungsunfähig noch frei von Grenzen.

Gerade für mittelständische Strukturen gilt:

Wer frühzeitig eine saubere rechtliche Architektur für interne Untersuchungen schafft, reduziert nicht nur Bußgeldrisiken, sondern stärkt auch die eigene Verteidigungsfähigkeit gegenüber Behörden und Gerichten.

Datenschutzrecht ist in diesem Kontext kein Hindernis. Es ist der Rahmen, der professionelle Aufklärung von unzulässiger Kontrolle unterscheidet.

Bild von Kenan Tilki

Kenan Tilki

Manager Data Protection Services, Creditreform Compliance Services GmbH