Header graphic for print
Datenschutz News & Trends
Rubrik: Arbeitsrecht, Beschäftigtendatenschutz, Compliance

Wichtiges Urteil zum Datenschutz am Arbeitsplatz: Arbeitgeber darf Nutzung betrieblicher IT-Systeme auch kontrollieren, wenn er die Privatnutzung erlaubt

Email Review in GermanyLAG Berlin–Brandenburg: Arbeitgeber darf betriebliche IT-Systeme auch dann kontrollieren, wenn er deren private Nutzung erlaubt!

Für Unternehmen ist es oftmals von entscheidender Bedeutung, auf geschäftliche E-Mails oder andere auf Firmenservern gespeicherte Daten zuzugreifen. Dies gilt etwa für Gerichtsverfahren, hier werden immer mehr E-Mails als Beweismittel vorgelegt, etwa für Geschäftsabschlüsse, Vertragskonditionen oder andere rechtlich erhebliche Tatsachen. Aber auch bei Compliance-Kontrollen oder der Aufklärung fraglicher Sachverhalte im Unternehmen spielen betriebliche E-Mails oft eine zentrale Rolle.

Allerdings vertreten die Aufsichtsbehörden für den Datenschutz bereits seit Jahren den Standpunkt, dass Unternehmen nicht oder nur eingeschränkt auf die im Betrieb geführte elektronische Kommunikation zugreifen können sollen, sofern sie ihren Mitarbeitern auch die private Nutzung der IT-Systeme erlauben oder dulden. Eine entsprechende Orientierungshilfe der Datenschutzbehörden können Sie hier abrufen. Die Gerichte erteilten dieser Auffassung der Datenschutzbehörden und eines Teils der Fachliteratur schon bislang eine Absage. Einen Überblick dazu finden Sie hier. Das LAG Berlin-Brandenburg geht nun einen Schritt weiter und zeigt in einer aktuellen Entscheidung auf, welche Vorgaben Arbeitgeber bei der Kontrolle betrieblicher IT-Systeme am Arbeitsplatz beachten müssen.

Unser Überblick fasst die praxisrelevanten Vorgaben der Rechtsprechung zusammen. Er zeigt Unternehmen, wie sie die IT-Nutzung im Betrieb effektiv regeln können und beim Zugriff auf Arbeitnehmerdaten Bußgelder und andere Nachteile vermeiden können.

Für Unternehmen ist es zwar rechtlich vorteilhaft, die private Nutzung betrieblicher E-Mail- und Internetzugänge vollständig zu untersagen. Doch besonders arbeitnehmerfreundlich ist das nicht. Viele Unternehmen bieten ihren Arbeitnehmern daher die Möglichkeit, betriebliche IT-Systeme neben der beruflichen Tätigkeit auch privat zu nutzen. Dies kann jedoch zu Konflikten mit berechtigten Interessen des Arbeitgebers, z.B. an einer effektiven Arbeitsleistung führen. Liegen Anhaltspunkte für Fehlverhalten oder Gesetzesverstöße vor, zum Beispiel den übermäßigen Privatgebrauch von Betriebsmitteln oder der Verdacht auf Compliance-Verstöße, kann der Arbeitgeber sogar dazu verpflichtet sein, den Sachverhalt vollständig und umfassend aufzuklären. Hierbei kommt es regelmäßig zu einem Konflikt zwischen dem Interesse des Arbeitgebers an Aufklärung und dem Grundrecht des Arbeitnehmers auf informationelle Selbstbestimmung.

In einer aktuellen Entscheidung vom 14. Januar 2016 hat das LAG Berlin-Brandenburg über die Wirksamkeit der Kontrolle eines Browserverlaufs durch den Arbeitgeber ohne die Einwilligung des betroffenen Arbeitnehmers entschieden (LAG Berlin-Brandenburg, Urt. V. 14. Januar 2016 – 5 Sa 657/15). Dabei hielten die Landesarbeitsrichter die Auswertung der Internet-Browserdaten für zulässig und verwertbar. Diese Entscheidung hat auch umfassende Auswirkungen auf die Kontrolle von E-Mails und anderen IT-Systemen am Arbeitsplatz. Denn die Landesarbeitsrichter stellten sich klar gegen die Auffassung der deutschen Datenschutzaufsichtsbehörden, dass Arbeitgeber bei erlaubter Internet-Privatnutzung Telekommunikationsdiensteanbieter i.S.v. § 88 Abs. 3 TKG sei und das Fernmeldegeheimnis beachten müsse.

 

Rechtlicher Hintergrund

Ohne eine ausdrückliche betriebliche Regelung ist die private Nutzung von E-Mail und Internet am Arbeitsplatz grundsätzlich verboten. Arbeitnehmer haben in der Regel keinen Anspruch darauf, Betriebsmittel privat zu nutzen. Der Arbeitgeber als Gläubiger der Arbeitsleistung kann deshalb den Datenverkehr des Arbeitnehmers auch nach den Vorgaben des Bundesdatenschutzgesetzes (BDSG) kontrollieren. Dies gilt insbesondere für E-Mails und den Verlauf besuchter Internetseiten.

Kontrollen sind allerdings nur zulässig, wenn der Arbeitgeber sich hierbei auf einen Erlaubnistatbestand stützen kann. Eine solche Erlaubnis kann beispielsweise in eine Betriebsvereinbarung zur IT-Nutzung liegen. Denn Betriebsvereinbarungen stellen nach gefestigter Rechtsprechung eine Erlaubnisnorm im Sinne von § 4 Abs. 1 BDSG dar. Ohne wirksame Einwilligungserklärung (§ 4a BDSG) sind solche Kontrollen dann nur zulässig, wenn diese der Durchführung des Arbeitsverhältnisses (§ 32 Abs. 1 BDSG) oder der Wahrung berechtigter Interessen des Arbeitgebers dienen (§ 28 Abs. 1 BDSG). Diese Bewertung von Betriebsvereinbarungen als datenschutzrechtliche Erlaubnisnorm wird sich auch mit der kommenden EU-Datenschutz-Grundverordnung (DS-GVO) nicht ändern. Im Gegenteil: Art. 82 DS-GVO schreibt ausdrücklich vor, dass Betriebsvereinbarungen Regelungen zur Datenverarbeitung am Arbeitsplatz vorsehen dürfen. Einen Überblick zum Beschäftigtendatenschutz nach der GS-GVO finden Sie hier.

Stellt der Arbeitgeber infolge zulässiger und verhältnismäßiger Maßnahmen eine exzessive private Nutzung des Internets fest, kann dies im Einzelfall arbeitsrechtliche Konsequenzen bis hin zu einer außerordentlichen Kündigung rechtfertigen. Denn durch übermäßige private Nutzung des Internets während der Arbeitszeit verletzt der Arbeitnehmer seine Hauptpflicht, zu arbeiten. Ob eine Kündigung wegen unerlaubter oder ausufernder Privatnutzung wirksam ist, hängt dabei immer von den Umständen des Einzelfalls ab.

Die Entscheidung

In dem vom LAG Berlin-Brandenburg entschiedenen Fall hatte der Arbeitgeber dem Arbeitnehmer einen Dienstrechner zur Verfügung gestellt. Der Arbeitgeber hatte die private Nutzung des Internets im Betrieb nur in Ausnahmefällen und nur während der Pausen gestattet. Nach konkreten Hinweisen auf eine Privatnutzung in größerem Maße wertete der Arbeitgeber ohne Zustimmung des Arbeitnehmers dessen Browserverlauf aus. Hierbei stellte sich heraus, dass der Arbeitnehmer innerhalb von 30 Arbeitstagen mindestens 40 Stunden damit verbracht hatte, privat im Internet zu surfen. Selbst nach Abzug der Pausenzeiten hatte der Arbeitnehmer nach den späteren Feststellungen des LAG mindestens 10% seiner Arbeitszeit mit privater Internetnutzung verbracht. Der Arbeitgeber kündigte daraufhin das Arbeitsverhältnis mit dem Arbeitnehmer außerordentlich.

Die Richter bewerteten die außerordentliche Kündigung als rechtmäßig. Hierbei hielten sie sowohl die Speicherung der Browserdaten als auch deren Auswertung für rechtmäßig. Zwar handele es sich bei dem Browserverlauf um personenbezogene Daten. In deren Kontrolle habe der Arbeitnehmer nicht eingewilligt. Allerdings sei eine derartige Datenverwertung nach § 32 Abs. 1 BDSG erlaubt gewesen. Hierbei bewerteten die Landesarbeitsrichter die Datenspeicherung und die anschließende Auswertung als geeignetes, erforderliches und verhältnismäßiges Mittel, um den vorliegenden Verdacht auf Missbrauch des betrieblichen Internet-Zugangs zu überprüfen.

Insbesondere erkannte das LAG Berlin-Brandenburg an, dass der Arbeitgeber im konkreten Fall keine andere Möglichkeit hatte, mit anderen, gleich geeigneten und weniger einschneidenden Mitteln den Umfang der unerlaubten Internetnutzung nachzuweisen. Denn der Arbeitnehmer konnte den Umfang der Internetnutzung aus der eigenen Erinnerung nicht mehr präzise rekonstruieren. Pauschale, auf Schätzungen beruhende Angaben genügen dabei nicht.

Auch hoben die Landesarbeitsrichter hervor, dass in Abwesenheit des Arbeitnehmers oder sogar heimlich durchgeführte Kontrollen besonders schwerwiegend in das allgemeine Persönlichkeitsrecht eines Arbeitnehmers eingreifen können. Allerdings sei eine in Anwesenheit des Arbeitnehmers durchgeführte Auswertung des Browserverlaufs auch kein grundsätzlich milderes Mittel gegenüber einer in dessen Abwesenheit durchgeführten Kontrolle. Denn der Arbeitnehmer hat in beiden Fällen keine beachtliche Möglichkeit, den Verlauf oder das Ergebnis der Auswertung zu beeinflussen.

Ein Beweisverwertungsverbot wegen einer denkbaren Übertretung datenschutzrechtlicher Vorschriften oder des TKG lehnte das LAG Berlin-Brandenburg ab. Zwar könnten datenschutzrechtswidrig ermittelte Informationen unter bestimmten Voraussetzungen als Beweismittel ausgeschlossen sein. In dem hier entschiedenen Fall sahen die Richter die Ermittlungsmaßnahmen des Arbeitgebers allerdings als datenschutzrechtskonform an.

Auch einem Beweisverwertungsverbot wegen eines möglichen Verstoßes gegen das TKG erteilten die Richter eine klare Absage. Denn nach Auffassung des LAG Berlin-Brandenburg wird selbst ein Arbeitgeber, der den Arbeitnehmer die private Internet- und E-Mail-Nutzung gestattet, nicht zu einem Telekommunikationsdiensteanbieter im Sinne von § 88 TKG. Denn es fehle in dieser Fallkonstellation an einem geschäftsmäßigen Erbringen von Telekommunikationsdiensten.

Praxistipps

Das Urteil des LAG Berlin-Brandenburg ist eine ausgewogene Entscheidung. Sie zeigt Unternehmen Grenzen und Wege auf, rechtssicher auf betriebliche Internet- und Kommunikationssysteme zuzugreifen. Die Entscheidung zeigt aber auch, dass Unternehmen weiterhin gut beraten sind, klare Vorgaben und Verhaltensregeln für die private Nutzung betrieblicher IT-Systeme aufzustellen, um Unklarheiten von Beginn an zu beseitigen. So weiß der Arbeitnehmer genau, welche Nutzungen, in welchem Umfang, er vornehmen darf. Dadurch entsteht durch ein hohes Maß an Transparenz auch ein gewisser Abschreckungseffekt in Bezug auf missbräuchliche Nutzung der betrieblichen IT-Systeme.

Liegen einem Arbeitgeber Anhaltspunkte für einen Verstoß gegen ein Verbot der Privatnutzung oder gegen verbindliche Verhaltensregeln zur erlaubten Privatnutzung vor, sollte der Arbeitgeber diesen Anhaltspunkten auch nachgehen. Hierzu sind Unternehmen häufig schon aufgrund ihrer gesetzlichen Aufsichtspflichten angehalten. Zudem erfordert jedes wirksame Compliance-Konzept auch wirksame Kontrollen.

Bevor ein Arbeitgeber mit Kontrollmaßnahmen beginnt, sollte er genau prüfen, ob und welche Aufklärungsmaßnahmen datenschutzrechtlich zulässig sind. Hierbei müssen die Ermittler auch beurteilen, ob es für den Arbeitnehmer weniger belastend und für die Ermittlungen gleich erfolgsversprechend ist, den Arbeitnehmer vor oder bei den Ermittlungen einzubinden. Unüberlegtes “Drauf-los-Ermitteln” kann zu erheblichen Strafbarkeitsrisiken oder dazu führen, dass der Arbeitgeber einen klaren Pflichtenverstoß des Arbeitnehmers in einem anschließenden Kündigungsschutzverfahren nicht nachweisen kann.

Das Urteil ist auch deswegen für Unternehmen erfreulich, weil die Richter hervorgehoben haben, dass ein Arbeitgeber nicht zum Telekommunikationsdiensteanbieter wird, wenn er den Arbeitnehmer die private Nutzung der betrieblichen E-Mail- und Internetzugänge erlaubt. Andernfalls könnten Arbeitgeber selbst auf dienstliche E-Mails ihrer Arbeitnehmer kaum noch rechtssicher zugreifen. Unternehmer wären erheblichen strafrechtlichen Risiken ausgesetzt.

Bis zu einer höchstrichterlichen Entscheidung hierzu sind Unternehmen weiterhin gut beraten, die private Internetnutzung entweder vollständig zu verbieten oder rechtliche Risiken durch geeignete Regelungen zu reduzieren oder auszuschließen. Hierzu bieten es sich insbesondere an, eine Betriebsvereinbarung zur E-Mail- und Internetnutzung abzuschließen oder eine entsprechende Richtlinie zu erlassen.

Hier finden Sie einen Überblick sowie eine Checkliste dazu, welche Punkte Sie dabei in der Praxis regeln sollten und können. Gerne können Sie uns bei Fragen auch direkt ansprechen.

Die Entscheidung des LAG Berlin-Brandenburg können Sie hier im Volltext abrufen.