Der Trend zur Mitarbeiterüberwachung bis hin zum gläsernen Arbeitnehmer scheint aktuell ungebrochen. Die technischen Maßnahmen und Mittel, um arbeitsvertragliche Pflichtverletzungen aufzudecken, sind vielfältig. Rechtmäßig sind sie allerdings nur in engen Grenzen.
Das Bundesarbeitsgericht hat Mitte vergangenen Jahres bestätigt, dass die technische Mitarbeiterüberwachung nur anlassbezogen erlaubt ist und nicht zu einer Dauerüberwachung ausufern darf (Urteil vom 27.07.2017 – 2 AZR 681/16). Konkret ging es in dem Fall um den Einsatz eines Keyloggers, also einer Spähsoftware auf dem Dienst-PC eines Mitarbeiters, die sämtliche Tastatureingaben protokollierte und regelmäßig Screenshots aufnahm. Die Auswertung der erfassten Daten ergab, dass der Mitarbeiter in erheblichem Umfang Privattätigkeiten an seinem Dienst-PC erledigt hatte, obgleich ihm die Privatnutzung der betrieblichen IT ausdrücklich untersagt war. Der Arbeitgeber sprach die Kündigung aus. Die dagegen gerichtete Klage des Arbeitnehmers hatte in allen Instanzen Erfolg.
Bemerkenswert an dem Fall ist, dass der Arbeitgeber den Arbeitnehmer zuvor darauf hingewiesen hatte, dass sowohl der Internet-Traffic als auch die sonstige Nutzung der Systeme mitgeschrieben und dauerhaft gespeichert werden. Das führt zu der Frage: Wann und in welchem Umfang darf der Arbeitgeber den PC eines Mitarbeiters überhaupt kontrollieren?
Regelung zur Privatnutzung
Arbeitsplätze sind heute standardmäßig mit Informations- und Kommunikationstechnik wie Telefon, E-Mail-Account und Internetzugang ausgestattet. Solche Betriebsmittel darf der Arbeitnehmer grundsätzlich nicht für private Zwecke nutzen, und zwar auch dann nicht, wenn der Arbeitgeber keine ausdrückliche Regelung getroffen hat.
Fehlt es allerdings an einem ausdrücklichen Verbot, riskiert er, dass die Arbeitnehmer dies als Erlaubnis auffassen dürfen. Es kann so eine betriebliche Übung entstehen, aus der die Arbeitnehmer sogar einen Rechtsanspruch auf die private Internetnutzung ableiten könnten. Um diesen Rechtsanspruch zu beseitigen, bleibt dem Arbeitgeber dann nur noch eine einvernehmliche Vertragsänderung oder eine Änderungskündigung.
Der Betriebsrat darf mitbestimmen
Will der Arbeitgeber sichergehen, dass die betriebliche IT ausschließlich zu dienstlichen Zwecken genutzt wird, sollte er dies ausdrücklich anordnen – durch eine allgemeine Arbeitsanweisung, eine entsprechende Regelung im Arbeitsvertrag oder im Rahmen einer Betriebsvereinbarung. Dasselbe gilt für eine erlaubte Privatnutzung, für die Arbeitgeber konkrete Vorgaben machen sollten, etwa zu den Zeiten und der Dauer der Nutzung oder unzulässigen Websites. Ein Betriebsrat darf bei der Ausgestaltung der privaten IT-Nutzung mitbestimmen, hat aber keinen Einfluss auf die Entscheidung des Arbeitgebers, ob die private Nutzung generell erlaubt oder untersagt werden soll.
Kontroll- und Zugriffsmöglichkeiten
Hat der Arbeitgeber die Privatnutzung erlaubt, liegt der Gedanke nahe, dass der Arbeitgeber jederzeit zu Kontrollzwecken auf die Dienst-PCs zugreifen und zum Beispiel E-Mails lesen, den Browserverlauf auswerten oder eben die Tastatureingaben protokollieren darf.
Rechtlich gesehen sind solche Kontrollmaßnahmen allerdings Datenerhebungen im Sinne des Bundesdatenschutzgesetzes (BDSG). Das BDSG regelt den Umgang mit personenbezogenen Daten und konkretisiert damit das allgemeine Persönlichkeitsrecht der Betroffenen. Wesentlicher Grundsatz des Gesetzes ist das sogenannte Verbotsprinzip mit Erlaubnisvorbehalt: Der Umgang mit personenbezogenen Daten ist grundsätzlich verboten – es sei denn, es greift eine gesetzlich geregelte Ausnahme oder die betroffene Person hat schriftlich darin eingewilligt. Das im Grundgesetz verankerte allgemeine Persönlichkeitsrecht beinhaltet unter anderem das Recht am gesprochenen und geschriebenen Wort sowie das Recht auf informationelle Selbstbestimmung, wonach jeder selbst über die Preisgabe und Verwendung seiner persönlichen Daten entscheiden kann.
Greift also der Arbeitgeber auf den Dienst-PC zu, verschafft er sich dadurch Einzelangaben über persönliche und sachliche Verhältnisse des Arbeitnehmers – sprich personenbezogene Daten – und greift damit in dessen allgemeines Persönlichkeitsrecht ein.
Erlaubnistatbestand
Wenn es um die Kontrolle der privaten E-Mail- oder Internetnutzung geht, hat der Arbeitgeber zunächst die Möglichkeit, die Einwilligung eines Mitarbeiters einzuholen (seit Mai 2018: §51BDSG und Art.6,7DGSVO), um auf dessen Dienst-PC zugreifen zu können. Der Arbeitnehmer kann seine Einwilligung jedoch jederzeit widerrufen.
Ist ein Betriebsrat vorhanden, sind die Kontrollmöglichkeiten zwingend in einer Betriebsvereinbarung zu regeln. Eine solche Betriebsvereinbarung kann die Einwilligung der Mitarbeiter im Zweifel jedoch nicht ersetzen.
Für die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten im Rahmen eines Arbeitsverhältnisses enthält das BDSG allerdings zwei Erlaubnistatbestände, auf die sich der Arbeitgeber zur Realisierung von Kontrollmaßnahmen berufen kann:
- Durchführung des Beschäftigungsverhältnisses
Arbeitgeber sind berechtigt, personenbezogene Daten zu erheben, zu verarbeiten oder zu nutzen, wenn dies für die Durchführung oder die Beendigung des Beschäftigungsverhältnisses erforderlich ist (ab Mai 2018: §26Abs.1S.1BDSG). Die Durchführung des Beschäftigungsverhältnisses umfasst unter anderem die Informationen, die der Arbeitgeber zur Wahrnehmung seiner Rechte und Pflichten gegenüber seinen Arbeitnehmern und zur Einhaltung arbeitsvertraglicher und gesetzlicher Ge- und Verbote benötigt (wie Familienstand, Qualifikationen, Arbeitszeiten, Betriebsorganisation, Personalplanung). Damit fällt auch die Durchführung von Kontrollen zur Einhaltung eines Verbots der privaten PC-Nutzung in den Anwendungsbereich dieser Vorschrift.
Dies bedeutet jedoch keinen Freifahrtschein für eine unbegrenzte Überwachung der Dienst-PCs. Vielmehr muss der Zugriff auf die Mitarbeiterdaten auch „erforderlich“ sein. Das bedeutet, dass von mehreren Maßnahmen diejenige gewählt werden muss, die den betroffenen Arbeitnehmer am wenigsten beeinträchtigt. So ist zum Beispiel die Beteiligung des Arbeitnehmers bei der Einsichtnahme von E-Mails einer heimlichen Kontrolle vorzuziehen. Zur reinen Missbrauchskontrolle sind kurzfristige stichprobenartige Kontrollen ausreichend.
- Verdacht einer Straftat
Daneben darf der Arbeitgeber personenbezogene Daten eines Beschäftigten auch dann erheben, verarbeiten oder nutzen, wenn tatsächliche Anhaltspunkte den konkreten Verdacht begründen, dass der Arbeitnehmer eine Straftat oder eine ähnlich schwerwiegende Pflichtverletzung begangen hat (ab Mai 2018: §26Abs.1S.2BDSG).
Aber auch in diesen Fällen muss ein Zugriff auf den Dienst-PC erforderlich sein. Insbesondere darf auch hier die Überwachungsmaßnahme nur so lange andauern, bis der Mitarbeiter überführt oder der Verdacht ausgeräumt werden kann.
In der Keylogger-Entscheidung des BAG fehlte es schon am konkreten Verdacht einer Straftat oder einer ähnlich schweren Pflichtverletzung. Die Überwachung erfolgte ohne jeglichen Anlass „ins Blaue hinein“ und war daher unzulässig.
Inhalt der Überwachung
Ist eine Überwachung nach Maßgabe der DSGVO an sich gestattet, stellt sich im nächsten Schritt die Frage, auf welche Inhalte der Arbeitgeber zugreifen darf. Grundsätzlich dürfen Verbindungsdaten von E-Mails und besuchten Internetseiten, wie Datenvolumen, IP-Adressen, Datum, Uhrzeit, Verlaufsdaten, Betreff, Absender und Empfänger, eingesehen werden.
Ist die Privatnutzung der betrieblichen IT ausdrücklich untersagt, darf zudem auf die Inhalte sämtlicher E-Mails zugegriffen werden. Private E-Mails sind in diesem Fall wie betrieblicher Schriftverkehr zu behandeln, da Arbeitnehmer keine Vertraulichkeit bezüglich ihrer verbotenen privaten Kommunikation erwarten dürfen. Der Arbeitgeber ist vielmehr berechtigt, sich über die ordnungsgemäße Leistungserbringung seiner Arbeitnehmer zu informieren.
Ist die Privatnutzung dagegen (teilweise) erlaubt, ist eine Inhaltskontrolle privater E-Mail-Korrespondenz nur in Ausnahmefällen zulässig, soweit es um den Schutz des Unternehmens geht. Es muss der konkrete Verdacht einer schwerwiegenden Pflichtverletzung, zum Beispiel auf Industriespionage, vorliegen, der im Einzelfall den Zugriff auf private Inhalte rechtfertigt. Für eine stichprobenartige anlassunabhängige Kontrolle der vertraglichen Vorgaben zur Privatnutzung reicht es in der Regel aus, die Verbindungsdaten zu kontrollieren, ohne den Inhalt einer E-Mail einzusehen.
Fazit
Um im Einzelfall möglichst wenigen Restriktionen beim Zugriff auf Dienst-PCs zu unterliegen, ist aus Arbeitgebersicht ein umfassendes Verbot der Privatnutzung der betrieblichen IT zu empfehlen.
Will der Arbeitgeber die Privatnutzung erlauben, sollte er dafür sorgen, dass ein separater E-Mail-Account für die private Kommunikation des Arbeitnehmers eingerichtet wird, damit die betriebliche Kommunikation für den Arbeitgeber frei zugänglich bleibt. Zusätzlich sollte die Einwilligung des Arbeitnehmers zu Missbrauchskontrollen mit klar beschriebenen Kontrollzwecken und deren Umfang eingeholt werden.
Schlussendlich müssen Arbeitgeber bedenken, dass Verstöße gegen das BDSG nicht nur zu Beweisverwertungsverboten vor Gericht, sondern auch erhebliche Bußgelder nach sich ziehen können. Die seit Mai 2018 geltende DSGVO stärkt die Rechte der Arbeitnehmer noch weiter. Neben den bisherigen Ansprüchen auf Schadensersatz kann zukünftig auch ein Schmerzensgeld für die Verletzung des allgemeinen Persönlichkeitsrechts geltend gemacht werden.
Ein Essay von Katharina Rosbund und Christian von Bitter.Christian von Bitter und Katharina Rosbund sind Fachanwälte für Arbeitsrecht bei SKW Schwarz Rechtsanwälte in Hamburg.