Wenn der Chef die E-Mails überwacht
Wir klären Rechtsfragen zu E-Mails und Ortung
Seit zwei Jahren ist die EU-Datenschutzgrundverordnung (DSGVO) anwendbar und hat die Bedeutung des Datenschutzes auch bei Arbeitnehmerüberwachung und -kontrollen erneut betont. Dem Arbeitgeber sind durch die DSGVO zwar in Bezug auf die Überwachung der Arbeitnehmer datenschutzrechtliche Grenzen gesetzt, gleichzeitig zwingen ihn aber straf- und ordnungsrechtliche Vorschriften, seine Mitarbeiter unter gewissen Umständen zu kontrollieren.
In der Praxis finden Arbeitnehmerüberwachungen und -kontrollen insbesondere im Zusammenhang mit internen Untersuchungen oder IT-Sicherheitstools statt. Auch die Covid19-Krise mit vermehrter Arbeit von zu Hause aus hat bei manchen Firmen das Bedürfnis gesteigert, die Arbeitszeiten und -leistungen der Mitarbeiter genauer zu kontrollieren.
Das Spannungsverhältnis zwischen Datenschutz und Compliance wird bald um eine weitere Facette reicher: Mit der geplanten Einführung des Verbandssanktionen-Gesetzes beabsichtigt der Bund die gesetzliche Normierung eines einheitlichen Unternehmensstrafrechts in Deutschland.
Der Entwurf der Bundesregierung enthält erstmalig auch Verfahrensvorschriften für die Umsetzung von unternehmensinternen Untersuchungen. Deren Einhaltung obliegt dem Arbeitgeber. Nur wenn er den Vorschriften nachkommt, kann er in den Genuss von erheblichen Sanktionsmilderungen gelangen. Hält sich der Arbeitgeber nicht daran, ist es möglich, dass seine eigenen Aufklärungsbemühungen nicht sanktionsmildernd berücksichtigt werden.
Ein wichtiger Grundsatz ist dabei die Einhaltung des Prinzips des „fairen Verfahrens“. Dieser Grundsatz ist Einfallstor für das Datenschutzrecht, da ein Verfahren gegen Arbeitnehmer als potenziell Beschuldigte nur dann fair sein dürfte, wenn neben den arbeitsrechtlichen auch die datenschutzrechtlichen Bestimmungen eingehalten werden. Die Bedeutung des Datenschutzes im Arbeitsverhältnis wird damit in Zukunft gerade im Bereich Compliance weiter zunehmen.
Heißes Thema E-Mail-Überwachung
Im Gegensatz zu anderen Ländern ist der Arbeitnehmer-Datenschutz in Deutschland besonders stark ausgeprägt. Auch im Arbeitsverhältnis gilt das verfassungsrechtlich verbürgte Recht auf informationelle Selbstbestimmung. Eine Totalüberwachung von Arbeitnehmern scheidet somit von vornherein aus.
Der Ansatz „No Expectation of Privacy“im Arbeitsverhältnis gilt in Deutschland nicht. Vielmehr sind für die zulässige Überwachung und Kontrolle der Mitarbeiter die Einhaltung von datenschutz-, arbeits- und telekommunikationsrechtlichen Vorschriften erforderlich.
Insbesondere stellt die Ansicht der Datenschutzbehörden und einiger Gerichte zur Anwendbarkeit des Fernmeldegeheimnisses im Arbeitsverhältnis eine rechtliche Hürde für Überwachungsmaßnahmen dar, die nur im Vorhinein mit einer entsprechenden verbindlichen Regelung überwunden werden kann. Auch kann der Arbeitgeber die Durchführung möglicher Überwachungs- und Kontrollmaßnahmen im Einklang mit rechtlichen Anforderungen erleichtern, indem er generell Transparenz hinsichtlich dieser Maßnahmen schafft.
Um dem Verdacht auf kartellrechtliche Absprachen oder dem Verrat beziehungsweise Missbrauch von Geschäftsgeheimnissen nachzugehen, kommt es oft vor, dass Unternehmen die E-Mails von Mitarbeitern sichten möchten. Im Vorfeld sollten jedoch zunächst die folgenden Aspekte bedacht werden:
Das deutsche Fernmeldegeheimnis
Wenn den Mitarbeitern die private Nutzung des E-Mail-Systems gestattet ist (entweder ausdrücklich oder durch Duldung des Arbeitgebers), ist der Arbeitgeber nach Ansicht der Datenschutzbehörden und einiger Gerichte ein TK-Diensteanbieter und unterliegt dem Fernmeldegeheimnis.
Das Fernmeldegeheimnis verbietet unter Androhung von Geldstrafe oder sogar Haftstrafe das Zugänglichmachen von Kommunikationsinhalten und Kommunikationsumständen an Dritte (also: wer hat mit wem wann über was kommuniziert?), es sei denn, der Kommunikationsteilnehmer hat eingewilligt. Teilweise wird sogar vertreten, dass das Fernmeldegeheimnis nicht nur auf rein private Kommunikation Anwendung finden muss, sondern auch auf gemischt beruflich-private oder sogar auf die rein berufliche Kommunikation.
Bei internen Untersuchungen kann eine Zugänglichmachung von Mitarbeiter-E-Mails an Dritte schon dann vorliegen, wenn der externe Dienstleister oder Rechtsberater oder auch die Konzernmutter Informationen zu E-Mail-Kommunikationen des Mitarbeiters erhalten. Zwar werden die Stimmen in der juristischen Literatur und bei den Gerichten immer lauter, dass der Arbeitgeber nicht als TK-Diensteanbieter anzusehen ist und die damit verbundene Strafarkeitsvorschriften bei Verletzung des Fernmeldegeheimnisses auch nicht gelten. Solange diese Rechtsfrage jedoch weder höchstrichterlich noch vom Gesetzgeber entschieden ist, empfiehlt es sich, Maßnahmen zu ergreifen, um die Anwendbarkeit des Fernmeldegeheimnisses zu vermeiden.
Eine Einwilligung der Mitarbeiter bei einer akuten internen Untersuchung stößt zunächst an praktische Grenzen: Unter Umständen verweigert oder widerruft der Mitarbeiter einfach seine Einwilligung. Andererseits gibt es auch rechtliche Grenzen, da die Datenschutzbehörden eine solche Einwilligung grundsätzlich als unwirksam beurteilen können, zumal der Mitarbeiter eine Einwilligung gegenüber seinem Arbeitgeber nicht frei und ohne Zwang abgeben kann.
Daher empfehlen die Datenschutzbehörden, die Privatnutzung des berufichen E-MailAccounts für alle Mitarbeiter ausdrücklich zu verbieten. Zusätzlich muss ein Kontrollsystem etabliert werden, um dieses Verbot auch durchzusetzen. Ein Verbot ohne Durchsetzung kann als geduldete Privatnutzung gesehen werden, die unter Umständen genauso behandelt wird, wie eine ausdrücklich gestattete Privatnutzung. Wenn ein solches Totalverbot der Privatnutzung aus Gründen des Betriebsklimas und der bisherigen Praxis nicht gewünscht ist, kann der Arbeitgeber einen Mittelweg wählen: Trotz des generellen Verbots der Privatnutzung wird dem einzelnen Mitarbeiter angeboten, dass im Einzelfall die Privatnutzung des berufichen E-Mail-Accounts erlaubt wird, wenn er im Gegenzug auf das Fernmeldegeheimnis verzichtet. Eine solche Verzichtserklärung wird von den Datenschutzbehörden als freiwilliger Akt und somit als wirksam angesehen. Unklar ist in diesem Fall allerdings, ob bei einem Widerruf der Verzichtserklärung das Fernmeldegeheimnis für bereits empfangene und gesendete E-Mails wiederaufebt und somit Durchsuchungen dieser BestandsE-Mails zu einer Verletzung des Fernmeldegeheimnisses führen oder auch, ob und wie das Fernmeldegeheimnis für den externen Kommunikationspartner gilt.
Andere Optionen sind, die Nutzung der priva
ten Webmail-Dienste über das Firmen-Internet zu erlauben, sodass die berufliche E-Mail-Korrespondenz im beruflichen E-Mail-Account von der privaten Korrespondenz im Webmail-Dienst getrennt ist. Diese Erlaubnis zur Privatnutzung des Firmen-Internets hat allerdings zur Folge, dass die Nutzungsdaten des FirmenInternets dem Fernmeldegeheimnis unterliegen, etwa die Logfiles als Informationen über die Umstände der Kommunikation über das Internet.
Die vorgenannten Optionen werden typischerweise durch eine Betriebsvereinbarung , durch eine interne Richtlinie zur Nutzung der IT-Systeme oder auch durch Regelungen im Arbeitsvertrag implementiert. Einen Königsweg zum Umgang mit dem Fernmeldegeheimnis in Deutschland gibt es derzeit nicht. Unternehmen sollten unter Abwägung der konkreten Arbeitsumstände mit den möglichen rechtlichen Implikationen die für sie beste Lösung ermitteln.
Datenschutzrechte
Selbst wenn die Anwendbarkeit des Fernmeldegeheimnisses ausgeschlossen worden ist, müssen Firmen bei einer Durchsuchung auch von rein geschäftlichen E-Mails die Datenschutzprinzipien wie Erforderlichkeit, Verhältnismäßigkeit, Datenminimierung, Erlaubnis durch eine Rechtsgrundlage und Transparenz beachten.
Diese Datenschutzprinzipien erfordern insbesondere Maßnahmen zur Beschränkung der Durchsuchung auf das absolut erforderliche Maß, die Dokumentation der datenschutzrechtlichen Rechtsgrundlage für die Durchsuchung, die Beschränkung der Zugriffsrechte, die transparente Information an die Mitarbeiter über den Zweck der Durchsuchung sowie gegebenenfalls die Durchführung einer Datenschutzfolgenabschätzung.
Insbesondere die Bestimmung der richtigen datenschutzrechtlichen Rechtsgrundlage erfordert eine sorgfältige Analyse. Soweit die Durchsuchung der E-Mails zur Aufdeckung von Straftaten oder von schwerwiegenden Pflichtverletzungen des Arbeitnehmers stattfindet, besteht eine datenschutzrechtliche Rechtsgrundlage, vorausgesetzt, dokumentierte tatsächliche Anhaltspunkte begründen den Verdacht, dass der betroffenen Arbeitnehmer im Beschäftigungsverhältnis eine Straftat oder schwerwiegende Pflichtverletzung begangen hat, die Durchsuchung ist zur Aufdeckung erforderlich, und das schutzwürdige Interesse des Arbeitnehmers gegen die Durchsuchung der E-Mails überwiegt nicht (insbesondere dürfen Art und Ausmaß der Durchsuchung im Hinblick auf den Anlass nicht unverhältnismäßig sein).
In der Praxis wird in der Regel stufenweise vorgegangen, um dem Grundsatz der Erforderlichkeit und Verhältnismäßigkeit gerecht
zu werden: auf der ersten Stufe beispielsweise Gespräche mit dem Arbeitnehmer zur Aufdeckung des Sachverhalts; auf der zweiten Stufe automatisierte Durchsuchung der E-Mails nach Stichworten und begrenzt auf einen möglichst kurzen Zeitraum; und erst auf der dritten Stufe eine manuelle Durchsicht von möglicherweise relevanten E-Mails.
Betriebsrat
Sofern es sich nicht um anlassunabhängige Kontrollen beziehungsweise Stichproben, sondern um die Aufklärung konkreter individueller Pflichtverletzungen handelt, unterliegen solche Untersuchungsmaßnahmen mangels kollektiven Bezugs nicht der betrieblichen Mitbestimmung.
Gleichwohl unterliegt die Einführung und Nutzung der technischen Einrichtung (hier: das E-Mail-Postfach beziehungsweise das E-MailProgramm, welches Gegenstand der Untersuchung ist, oder auch das E-Discovery -Tool zur automatischen Durchsuchung des beruflichen E-Mail-Accounts) der betrieblichen Mitbestimmung.
Der Abschluss einer entsprechenden Betriebsvereinbarung über die Einführung und Nutzung der Einrichtung, die das Recht des Arbeitgebers auf die Vornahme von Auswertungen im Fall eines dringenden Verdachts von schweren Pflichtverletzungen und Straftaten eines Mitarbeiters normiert, ist in jedem Fall geboten. Dies gilt auch für die nachfolgend geschilderten Konstellationen, die – da es sich um Zugriffsrecht auf technische Einrichtungen handelt – ebenfalls der betrieblichen Mitbestimmung unterliegen.
Ist ein Arbeitnehmer vorübergehend (wegen Urlaub oder Krankheit) oder dauerhaft wegen Ausscheidens aus dem Unternehmen abwesend, besteht häufig das Bedürfnis, die geschäftlichen E-Mails (und andere Dateien) des Arbeitnehmers sowohl in den Archiven als auch neu im
Posteingang zur Fortsetzung des Geschäftsbetriebs einzusehen. Auch hier ist zunächst eine Regelung erforderlich, die eine Verletzung des Fernmeldegeheimnisses bei Zugriff auf die E-Mails vermeidet. Zusätzlich sollte eine transparente, die Interessen der Mitarbeiter angemessen berücksichtigende Regelung gelten – sei es als interne Richtlinie, als Betriebsvereinbarung oder als Teil des Arbeitsvertrags, die Umstände und Bedingungen eines Zugriffs festlegen.
Software überwacht Mitarbeiter
Um vertrauliche Informationen, Geschäftsgeheimnisse und personenbezogene Daten vor unberechtigtem Zugriff zu schützen, setzen Arbeitgeber regelmäßig IT-Tools wie Data Loss Prevention Tools, Virenfilter oder SSL-Entschlüsselungs-Systeme ein. Soweit diese Tools den Zweck verfolgen, den Zugriff auf personenbezogene Daten zu verhindern, werden diese grundsätzlich als geeignete und erforderliche Sicherheitsmaßnahmen zum Schutz der personenbezogenen Daten (Artikel 32 DSGVO) angesehen. Allerdings sind bei der Implementierung dieser Tools wiederum die Beschränkungen des Fernmeldegeheimnisses und des Datenschutzes zu beachten.
Sollte die Privatnutzung des beruflichen E-MailAccounts und des Firmen-Internets nicht ausdrücklich und wirksam verboten sein, führen diese Tools regelmäßig – der Ansicht der Datenschutzbehörden und einiger Gerichte folgend – zur Verletzung des Fernmeldegeheimnisses und somit zu einer möglichen Strafbarkeit. Zudem sind diese Werkzeuge so zu implementieren, dass sie die oben erwähnten Datenschutzprinzipien beachten.
Insbesondere die Prinzipien von Erforderlichkeit, Verhältnismäßigkeit und Datensparsamkeit verlangen typischerweise ein stufenweises Vorgehen. Auf der ersten Stufe sollten die Tools – soweit möglich – mit Pseudonymen statt mit vollständigen Namen der Mitarbeiter arbeiten. Auf der zweiten Stufe ist der Mitarbeiter nach Möglichkeit durch automatisierte Warnmeldungen auf ein mögliches Fehlverhalten hinzuweisen. Auf der dritten Stufe sollten pseudonymisierte Protokolle ausgewertet werden, bevor bei einem tatsächlich festgestellten Verstoß das Pseudonym dem Mitarbeiter zugeordnet wird.
Eine Software, mit der der Arbeitgeber sämtliche Tastatureingaben zum Zweck der Mitarbeiterkontrolle protokolliert, ist grundsätzlich datenschutzrechtlich unzulässig. Nur im Einzelfall und bei einem konkreten dokumentierten Verdacht, dass der Mitarbeiter im Beschäftigungsverhältnis im Zusammenhang mit der Nutzung des Computers eine Straftat oder einen anderen schwerwiegenden Pflichtverstoß begangen hat, und wenn es kein milderes Mittel zur Aufdeckung gibt, kann eine solche Keylogger-Software zulässig sein. Darüber hinaus müssen Arbeitgeber die Beschränkungen des Fernmeldegeheimnisses beachten.
Bei außerhalb des Betriebs tätigen Mitarbeitern kann der Arbeitgeber ein Interesse an der Ortung der Mitarbeiter haben, beispielsweise mittels GPS, WLAN oder über das Mobilfunknetz des Firmenhandys. Mit einer Ortung ließe sich einerseits die Einhaltung der Arbeitszeit überprüfen. Zum anderen kann die Ortung der wirtschaftlichen Optimierung von Geschäftsabläufen (zum Beispiel Routenplanung, Auslastungsmanagement, Treibstoffverbrauch, etc.) dienen. Im Zuge der Covid-19-Pandemie ist des Öfteren auch der Vorschlag der dauerhaften Echtzeitortung von Mitarbeitern zur Nachverfolgung von Infektionsketten gemacht worden.
Bei einer Ortung über Telekommunikationsgeräte wie das Firmen-Handy können hierbei zum einen die rechtlichen Anforderungen des Fernmeldegeheimnisses relevant werden. Zum anderen ist eine ununterbrochene und präzise
Ortung des einzelnen Mitarbeiters grundsätzlich unzulässig. Die vereinzelte und grobe Ortung kann hingegen erlaubt sein, wenn sie der Durchführung des Beschäftigungsverhältnisses dient. Ob die Ortung von Außendienstmitarbeitern zum Zwecke des Flottenmanagements und der Einsatzkoordinierung statthaft ist, hängt von der konkreten Umsetzung ab, insbesondere von Häufigkeit und Genauigkeit der Ortung, transparenter Information und ortungsfreien Zeiträumen. Grundsätzlich kann auch die Kontrolle der Arbeitszeit des Mitarbeiters ein zulässiger Verarbeitungszweck sein, wenn dies nicht zu einer Totalüberwachung führt.
Ortung nur in engen Grenzen erlaubt
In jedem Fall muss der Arbeitgeber die Ortung entsprechend der allgemeinen Datenschutzprinzipien umsetzen, das heißt zulässiger Verarbeitungszweck, transparente Information an die Mitarbeiter, Ortung nur im absolut erforderlichen Rahmen (wenn möglich nur Ortung eines Gebiets statt Ortung des exakten Standorts), konkrete Festlegung des Zwecks, sehr begrenzte Speicherung der Daten und sehr begrenzter Zugriff auf die Daten.
Auch kann das Telekommunikationsgesetz insbesondere bei der Ortung über Handys, die auf „Bring your own Device“beruhen, eine Einwilligung des Mitarbeiters erfordern, welche wegen des Arbeitnehmer-Arbeitgeberverhältnisses aber meist unwirksam sein wird. Erfolgt die Ortung über das Mobilfunknetz des TK-Anbieters, müsste bei jeder Ortung eine SMS an das Handy versandt werden, soweit die Ortung nicht nur auf dem Handy angezeigt wird. Bei einer Ortung via Internet und GPS vertritt der Bundesbeauftragte für den Datenschutz und Informationsfreiheit die Auffassung, dass das Telekommunikationsgesetz nicht gilt, und somit „nur“die datenschutzrechtlichen Grundprinzipien einzuhalten sind.
Zufällige, anlasslose und verdachtsunabhängige Kontrollen von Taschen (zum Beispiel am Ausgang, um Diebstähle zu verhindern) oder Schubläden (zum Beispiel bei Call-Center-Mitarbeitern, um Kreditkartenbetrug zu verhindern) in Anwesenheit des Mitarbeiters sind regelmäßig datenschutzrechtlich zulässig, wenn das Unternehmen die Grundprinzipien des Datenschutzrechts beachtet. Das Fernmeldegeheimnis spielt in diesem Kontext keine Rolle. Zwar ist in diesem Fall der Gegenstand der Untersuchung keine technische Einrichtung, allerdings unterliegen allgemeine Kontrollen dem Mitbestimmungsrecht des Betriebsrats, da ein kollektiver Bezug vorliegt und solche Maßnahmen das Verhalten der Arbeitnehmer im Betrieb tangieren, nämlich die Kontrolle des Arbeitgebers zu dulden.
Home-Office-Kontrollen: Das ist zulässig
Bei Arbeitgebern, deren Mitarbeiter im HomeOffice arbeiten, kann das Bedürfnis nach einer technischen Überwachung hinsichtlich der Arbeitszeit bestehen. Hierzu sind eine Vielzahl unterschiedlicher Überwachungs- und Kontrollmittel denkbar, etwa das Protokollieren des Ein- und Ausloggens am Computer, der Aktivitäten im Firmennetzwerk bis hin zu einzelnen Tastenanschlägen am Rechner.
Die Aufzeichnung der Häufigkeit der Tastenanschläge wird grundsätzlich wegen des Charakters der Dauerüberwachung unzulässig sein (siehe oben zu Keylogger-Software). Die Überprüfung der Login-Daten lässt sich mit dem analogen Einstempeln vergleichen und als zulässig ansehen, wenn die Firma die sonstigen Grundprinzipien des Datenschutzrechts beachtet.
Auswertungen des Aktivitätsstatus bei InstantMessenger-Diensten werden auch nur in Einzelfällen zulässig sein, weil der Zweck des Aktivitätsstatus typischerweise nicht die Arbeitszeitkontrolle, sondern die Echtzeit-Kommunikation ist und deshalb eine Aufzeichnung des Aktivitätsstatus grundsätzlich nicht erforderlich sein dürfte. Umfassende oder gar lückenlose Kontrollmaßnahmen des Arbeitgebers sind aber auch im Home Office grundsätzlich unzulässig.