Mitautor: Christian Frerix*

Im ersten Teil dieses Artikels wurde die Rechtslage in Deutschland erläutert. Danach dürfen Arbeitgeber private Inhalte ihrer Arbeitnehmer in der Regel nie lesen. Unabhängig davon können protokollierte Inhalte aber trotzdem zum Beweis vorgebracht werden. Das sind nämlich zwei verschiedene Paar Schuhe. Jetzt soll der Frage nachgegangen werden, ob und inwieweit sich durch die EGMR-Rechtsprechung etwas daran ändert.

Den ganzen Artikel lesen.

Mitautor: Christian Frerix*

In aller Regelmäßigkeit ist die Internet- und IT-Nutzung zu privaten Zwecken am Arbeitsplatz Gegenstand angeregter Diskussionen. Auch ich beschäftige mich mit dieser Thematik in schönster Regelmäßigkeit. Sowohl ganz praktisch am lebenden Herzen, also in den Unternehmen, als auch theoretisch in meinem Fachartikel oder im Blog. Nun gibt es erneut einen guten Grund, sich etwas vertiefter mit diesem Thema auseinanderzusetzen, nämlich ein jüngst erschienenes Urteil des Europäischen Gerichtshofs für Menschenrechte (EGMR, Urteil vom 12.01.2016 – Az. 61496/08).

In der Sache Barbulescu gegen Rumänien wurde um die Rechtmäßigkeit einer Kündigung gestritten. Die Kündigung hatte der Arbeitgeber ausgesprochen, weil der Arbeitnehmer während der Arbeitszeit am Dienst-PC den Dienst-Account eines Messengerdienstes zu privaten Zwecken genutzt und damit gegen betriebsinterne Vorgaben verstoßen hatte. Die Kündigung wurde durch den EGMR bestätigt. Soweit so altbekannt.

Spannend wird das Ganze aber dadurch, dass der Arbeitgeber von der betriebsfremden PC-Nutzung Kenntnis erlangte, weil er diese überwachte und Chatverlaufsprotokolle erstellte. In Deutschland undenkbar? Nun ja, vielleicht nicht (mehr), wenn man bedenkt, dass der EGMR dieses Vorgehen gebilligt hat. Ermöglicht der EGMR den Arbeitgebern nun also tatsächlich – wie landauf landab den Schlagzeilen zu entnehmen war – das unbegrenzte Lesen und Auswerten privater Kommunikationsinhalte? Wer sich nun denkt ‚Wo kämen wir denn da hin‘, ist mit dieser Ansicht wohl nicht allein. Aber frei nach Marti kämen wir wohl nirgendwo hin, wenn wir nicht den Weg gehen würden, um zu schauen, wo wir denn hinkämen, wenn wir ihn gingen. In diesem Sinne: Fangen wir einmal von vorne an.

Das bedeutet, dass wir uns im ersten Teil des Artikels zunächst einmal mit der geltenden Rechtslage in Deutschland auseinandersetzen, bevor wir uns dann im zweiten Teil vertieft mit dem EGMR-Urteil beschäftigen.

Und ach ja, eine Ankündigung schon an dieser Stelle: Die Datenschutzbehörden haben eine aktuelle Orientierungshilfe zum Thema herausgegeben. Damit werden wir uns hier im Blog ebenfalls in Kürze befassen!

Wie ist die Rechtslage in Deutschland?

Jedes Arbeitsverhältnis lebt vom Zusammenspiel der Rechte von Arbeitnehmern und Arbeitgebern. Schließlich gibt  niemand seine Rechte mit Dienstbeginn an der Unternehmenstür irgendwo ab. Nutzt der Arbeitnehmer betriebliche Infrastruktur (Internet, Telefon, Fax etc.) zu Privatzwecken, so ist das zunächst eine Form der Persönlichkeitsentfaltung, die über die Persönlichkeitsrechte (in diesem Fall insbesondere das Recht auf informationelle Selbstbestimmung) grundrechtlichen Schutz genießen kann. Dem steht entgegen, dass die Infrastruktur vom Arbeitgeber grundsätzlich zu Betriebszwecken bereitgestellt wird. Ob und in welchem Umfang diese Mittel zu privaten Zwecken genutzt werden dürfen, regelt allein der Arbeitgeber. Dies erlaubt ihm das Recht am eingerichteten und ausgeübten Gewerbebetrieb. Problematisch wird’s logischerweise dann, wenn die betrieblichen Vorgaben nicht eingehalten werden. Um einen geregelten Betriebsablauf zu gewährleisten, gilt es deshalb die Rechte von Arbeitnehmern und Arbeitgebern in ein Gleichgewicht zu bringen. Wie auf europäischer Ebene auch, genießen die Rechte der einen Partei dabei nie grundsätzlichen Vorrang gegenüber den Rechten der anderen. Vielmehr ist in jedem Einzelfall zu prüfen, wessen Rechte schützenswerter sind (sog. Einzelfallabwägung). Die trotz eines Verbotes vom Dienst-PC verschickte Nachricht nach Hause, dass man länger im Büro bleibt, wird dabei anders bewertet als das exzessive Chatten mit Freunden auf Facebook. Während ersteres auf Grund des dienstlichen Bezuges im Zweifel sogar noch als dienstliche Nutzung gelten kann, ist letzteres ein klarer und zu ahndender Verstoß des Arbeitnehmers.

Wer darf denn nun was eigentlich  – oder doch nicht?

Mit dem Vorstehenden ist aber immer noch nicht die Frage beantwortet, was der Arbeitgeber unternehmen darf, um einer verbotswidrigen Nutzung entgegenzuwirken? Darf diese überwacht und dürfen daraus gezogene Erkenntnisse verwertet werden? Dürfen daraufhin auch Kündigungen ausgesprochen werden? Zur Lösung dieser Fragen wurden in der Vergangenheit verschiedene Fallgruppen gebildet, aus denen sich unterschiedliche Rechtsfolgen ergeben. Unterschieden wird zwischen dem Verbot, der Duldung und der Erlaubnis der Nutzung durch den Arbeitgeber. Je nachdem, wie dies im Unternehmen gehandhabt wird, verschieben sich auch die schützenswerten Interessen.

Was darf der Arbeitgeber wann (nicht) lesen?

Wird die Nutzung zu privaten Zwecken durch den Arbeitgeber untersagt, so muss dieser auch dafür Sorge tragen, dass das Verbot eingehalten wird. Eingebürgert hat sich dabei die Zulässigkeit einer stichprobenartigen Überprüfung des Nutzungsverhaltens. Will der Chef also wissen, ob der Messenger auf dem Dienst-PC ausschließlich zu dienstlichen Zwecken genutzt wird, so darf er dies vereinzelt überprüfen lassen. Mit den Rechten des Arbeitnehmers ist das auch vereinbar, da der Arbeitgeber auf Grund des Verbotes nicht damit rechnen muss, bei der Überprüfung auf private Inhalte zu stoßen.

Was aber tun, wenn sich dabei doch Privates findet? Beschäftigtendaten dürfen nur erhoben und gespeichert werden, wenn dies zum Zwecke der Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist (§ 32 BDSG). Erforderlich wäre in diesem Fall das Wissen, ob der Messenger (auch) privat genutzt wird oder nicht. Nicht erforderlich ist dagegen zu wissen, was genau im Rahmen der privaten Nutzung kommuniziert wurde.  Das hat den Arbeitgeber nur in den seltensten Fällen zu interessieren (z.B. beim Verdacht betriebsbezogener Straftaten). So die Theorie. Insbesondere bei Social Media-Nutzungen stellt sich jedoch die Frage, wie man feststellen will, ob diese privat oder dienstlich genutzt werden, wenn die Inhalte nicht gelesen werden dürfen? Dazu sogleich.

Trägt der Arbeitgeber nicht dafür Sorge, dass alle sich konsequent an das Verbot halten, so droht die Gefahr einer Duldung, die dann zu einer faktischen Nutzungserlaubnis führt. Wird ein Verbot betreffend die gesamte Infrastruktur ausgesprochen, den Mitarbeitern die Nutzung bspw. des Dienst-PC‘s zu privaten Zwecken aber vereinzelt erlaubt, so ist hier eine strikte Trennung zwischen Verbot und (Teil-) Erlaubnis kaum mehr möglich. Eine stichprobenartige Überprüfung des Dienst-PCs kann nun nicht mehr durchgeführt werden, da der Arbeitgeber hier damit rechnen muss, auch auf private Inhalte zu stoßen und das Persönlichkeitsrecht des Arbeitnehmers zu verletzen. Das heißt auch, dass der Arbeitgeber aus diesem Grunde auch nicht mehr „mal eben“ auf die Emails und die Ordner-Struktur der Mitarbeiter zugreifen kann. Um eben nicht Gefahr zu laufen, vom „Persönlichkeitsrecht des Arbeitnehmers im eigenen Betrieb erstickt zu werden“, ist es so immens wichtig, Regelungen für eine private Nutzung zu treffen. Warum eine Trennung von dienstlicher und privater Kommunikation heutzutage realistischerweise nicht mehr möglich ist, können Sie hier nachlesen.

Dementsprechend klarer wird die Sache, wenn die private Nutzung ausdrücklich erlaubt ist. Eine Erlaubnis allein reicht jedoch nicht. Vielmehr muss damit eine Regelung einhergehen, die die Interessen von Arbeitnehmer (Recht auf informationelle Selbstbestimmung) und Arbeitgeber (Recht am eingerichteten und ausgeübten Gewerbebetrieb) in einen verhältnismäßigen Ausgleich bringt. In meinem Fachaufsatz habe ich auf S. 6 des Artikels in Form von Bulletpoints 10 besonders wichtige Regelungsinhalte herausgegriffen. Zu diesen 10 Punkten gehört unter anderem eine Definition des inhaltlichen (privat/dienstbezogen) Umfangs der Nutzung,  Regelungen zur Vertretung von Zugriffsrechten im Krankheitsfall, Regelungen zur Kontrolle in Verdachtsfällen oder Regelungen zur Nutzung von unternehmenseigenen mobile devices. Im Einzelnen bitte einfach hier (S. 6) nachlesen.

Wir halten also fest, dass das Lesen privater Nachrichten durch den Arbeitgeber – bis auf wenige Ausnahmen – nicht zulässig ist. Lediglich die stichprobenartige Überwachung ist im Falle eines Nutzungsverbotes erlaubt. Werden dabei jedoch private Inhalte entdeckt, gilt der Grundsatz: Finger weg!

Was darf das Gericht wann (nicht) lesen?

Davon zu trennen ist die Frage, ob die Gerichte die Überwachungsinhalte (nach Einführung in den Prozess) lesen und verwerten dürfen. Die Berücksichtigung der Inhalte zur Urteilsfindung könnte den Arbeitnehmer ebenfalls in seinen o.g. Rechten verletzen. Hierbei gilt aber der Grundsatz, dass die Nichtberücksichtigung in den Prozess eingeführter Beweismittel in Widerspruch zu den Grundprinzipien des deutschen Zivil- und Arbeitsgerichtsverfahrens steht. Das heißt also, dass die Gerichte grundsätzlich alle Beweismittel zu berücksichtigen haben. Das gilt erst recht, wenn sich um die zu beweisenden Tatsachen gestritten wird. Einen Sonderfall bilden dabei Beweismittel, die rechtswidrig erlangt wurden. So muss also zwischen der Erlangung einer Information oder eines Beweismittels und dessen Verwertung getrennt werden. Aus dem Umstand, dass eine Information oder ein Beweismittel unzulässig erlangt wurde, ergibt sich nämlich noch nicht zwingend deren Nichtverwertbarkeit. Erst wenn durch die Verwertung erneut erheblich geschützte (Grund-)Rechte des Arbeitnehmers verletzt werden, kann ein prozessuales Verbot einer Verwertung in Betracht kommen. Deshalb wird also in einem ersten Schritt geprüft, ob das Beweismittel rechtswidrig erlangt wurde. Ist das nicht der Fall, darf/muss es verwertet werden. Ist es doch der Fall, erfolgt eine weitere Prüfung dahingehend, ob eine Verwertung den Betroffenen schon wieder in seinen Rechten verletzt. Das Ergebnis hängt immer vom Einzelfall ab.

Insgesamt heißt das also, dass Arbeitgeber private Inhalte in der Regel nie lesen dürfen. Unabhängig davon können protokollierte Inhalte aber trotzdem zum Beweis vorgebracht werden. Das sind nämlich zwei verschiedene Paar Schuhe.

Nun wissen wir, wie die Rechtslage in Deutschland ist. Wir wissen aber noch nicht, was der EGMR damit zu tun hat. Angesichts des fortgeschrittenen Umfangs dieses ersten Teils – und um die Spannung aufrecht zu erhalten – verschieben wir die Beantwortung dieser Frage einfach in den zweiten Teil, auf den Sie sich bitte schon einmal freuen dürfen.

In diesem Sinne,

bis dahin!

*Der Jurist Christian Frerix promoviert derzeit an der Universität Hamburg und war daneben bis November 2017 in der Anwaltskanzlei Diercks (vormals: im Hamburger Büro von Dirks & Diercks Rechtsanwälte) als Jurist tätig.

Das könnte Sie in diesem Zusammenhang auch noch interessieren:

Einsatz von „Keyloggern“ zur Mitarbeiterüberwachung grundsätzlich unzulässig (BAG, Az. 2 AZR 681/16)

Active Sourcing und Talent Relationship Management (TRM) unter der Datenschutzgrundverordnung

Einsatz von Skype und zeitversetzten Video-Interviews in Personalauswahlverfahren unzulässig?

Kündigung wegen Beleidigung von Vorgesetzten mittels Emoticons (LAG BaWü, Az. 4 Sa 5/16)

Was tun bei geschäftsschädigenden Äußerungen von Mitarbeitern in Social Media?

Kündigung wegen Äußerungen in Social Media – Teil 2 (ArbG Herne, Az. 5 Ca 2806/15)

Kündigung wegen Äußerungen in Social Media – Teil 1 (ArbG Mannheim, Az. 6 Ca 190/15)

Fristlose Kündigung und Schadensersatz wegen privater Internetnutzung am Arbeitsplatz (LAG Rheinland-Pfalz, Az. 5 Sa 10/15)

Erlaubt der EGMR das Lesen privater Nachrichten von Arbeitnehmern durch Arbeitgeber?

Mitautor: Christian Frerix, wissenschaftlicher Mitarbeiter*

Im zweiten Teil dieses Artikels wechseln wir die Perspektive. Nachdem wir im ersten Teil gezeigt haben, dass das externe Scoring dem Grunde nach zulässigerweise betrieben werden kann, schauen wir nun darauf, ob das Geschäftsmodell – im jeweils konkreten Fall – auch von den Kunden, also den den Auftrag gebenden Unternehmen, unter datenschutzrechtlichen Aspekten genutzt werden darf. Das BDSG kennt keine ausdrücklichen Lösungen für diese Fragestellungen. Die Normen zum Scoring und zu Auskunfteien wurden zum einen vor dem Hintergrund von Bonitäts-Prüfungen und Kreditvergaben entwickelt, zum anderen sind sie nur mühsam auf Sachverhalte wie den hiesigen, die unter Zuhilfenahme modernster Data-Analysen und Data-Mengen arbeiten, zu adaptieren (Mehr dazu gibt’s im ersten Teil des Artikels, ebenso wie den Hinweis auf den dazugehörigen Fachaufsatz).

Den ganzen Artikel lesen.

Mitautor: Christian Frerix, wissenschaftlicher Mitarbeiter*

Mit dem BDSG und neuen Technologien verhält es sich so, wie in dem Märchen vom Wettrennen zwischen Hase und Igel: Kommt der Gesetzgeber mit einer Regelung endlich zum Ziel, ist die neue Technologie schon lange da. Dass es dann möglicherweise schon einen weiteren Regelungsbedarf in diesem Bereich gibt, merkt er dabei erst später. So ähnlich sieht‘s auch beim Scoring aus. Hier hat der Gesetzgeber zwar erkannt, dass es etwas zu regeln gibt. So richtig passt diese Regelung aber – eigentlich – nur zum Kreditscoring. Dass es darüber hinaus noch andere Möglichkeiten des Scoring gibt und dass diese besser auch geregelt werden sollten, soll – wie bereits angekündigt und versprochen – im nachfolgenden Beitrag gezeigt werden. Da es dazu jede Menge zu schreiben gibt, die meisten aber wohl (verständlicherweise) nicht alles auf einmal genießen möchten, wird der Beitrag in zwei Teile gegliedert. Der erste Teil enthält dabei grundsätzliche Ausführungen zum Scoring und zum (externen) Scoring als Geschäftsmodell. Der zweite Teil befasst sich mit Fragen rund um den Einsatz in der Arbeitswelt.

[Und wer sich dem Thema lieber gänzlich fachlich, sprich juristisch, nähern möchte, dem sei der Aufsatz  Big Data Analysen & Scoring in der (HR-)Praxis (Fachaufsatz in der PinG, 01/16, S. 30) ans Herz gelegt.]

Den ganzen Artikel lesen.

Wie war das? „Big Data ist wie Teenage-Sex alle reden drüber, aber keiner weiß, wie es geht.“ (Quote: Dan Ariely auf FB, Jan 2013). Nun, ganz so ist es im Jahr 2016 nicht mehr. Big Data Analysen sind nicht mehr die Zukunft, die „sicher bald kommt“. Die Zukunft ist da. Die Aufbereitung und Auswertung von Datenmassen hat für zahlreichen Unternehmen mittlerweile einen nicht unerheblichen wirtschaftlichen Nutzen. Und das gilt eben nicht mehr „nur“ in Bezug auf das Marketing und die digitalen Werbenetzwerke. Das sogenannte Scoring weckt vielmehr in all möglichen Branchen Begehr. Scoring meint, vereinfacht ausgedrückt, dass Datenmassen gesammelt und aus diesen unter Zuhilfenahme eines Algorithmus ein Wahrscheinlichkeitswert (Scorewert) für ein bestimmtes zukünftiges – individuelles und/oder kollektives – Verhalten errechnet wird. Derartige Scoring-Verfahren erfreuen sich gerade im Bereich Human Resources, kurz HR, zunehmender Beliebtheit. Denn schließlich kann auf diesem Wege unter anderem auch berechnet werden, ob ein Mitarbeiter eines Unternehmens möglicherweise beabsichtigt eben dieses zu verlassen. Und solch ein Wissen kann wiederum im Recruiting oder Retention-Management bares Geld wert sein. Doch halt! War da nicht noch etwas? Der Datenschutz?

Den ganzen Artikel lesen.