Überwachung von Kommunikationsdaten des Arbeitnehmers – zulässig oder nicht?

Inwieweit ist es zulässig, den E-Mail-Verkehr bzw. sonstige Kommunikationsdaten von Mitarbeiter/-innen wahlweise systematisch, stichprobenartig oder lediglich in besonderen Anlassfällen zu überprüfen?

Anlassfälle dafür gibt es aus Sicht der Unternehmen genug:

  • die Überprüfung einer möglichen Dienstpflichtverletzung des Dienstnehmers,
  • dringliche Recherchen während seiner Abwesenheit oder
  • die Prüfung bei Angriffen von außen

Diese Fragestellung ist für zwei mögliche Fallgruppen unterschiedlich zu bewerten:

WICHTIG:

Dem Arbeitgeber steht es frei, die private Nutzung von E-Mail-Adressen, Mobiltelefonen und anderen „devices“ freizugeben oder sie zu untersagen.

Für den Fall, dass eine private Nutzung erlaubt ist, sind die Überwachungsmöglichkeiten des Arbeitgebers dennoch stark eingeschränkt. Er hat im Rahmen der Verhältnismäßigkeit das Grundrecht des Mitarbeiters auf Datenschutz zu wahren. Eine regelmäßige Einsicht in persönliche Korrespondenzen ohne entsprechende Begründung ist nicht möglich.

In Rechtsprechung und Lehre hat sich die Meinung durchgesetzt, wonach der Arbeitgeber in diesem Fall lediglich Logfiles insoweit protokollieren und auswerten darf, als es für die Überprüfung der Einhaltung des IT-Systems unbedingt erforderlich ist. Auch in diesem Fall ist der Verhältnismäßigkeitsgrundsatz zu beachten. Nur bei tatsächlichen Unregelmäßigkeiten dürfen überhaupt weitergehende Auswertungen in engen Grenzen vorgenommen werden.

Auch praktisch macht die private Nutzung von E-Mail-Adressen bzw. sonstigen Kommunikationsmitteln des Dienstnehmers oftmals Probleme.

Zum Beispiel:

  • Wenn ein ehemaliger Mitarbeiter das Unternehmen auffordert, sämtliche E-Mails aus seinem als „Privat“ bezeichneten E-Mail Ordner zu löschen. De facto ist es ja unzulässig ist zu prüfen, inwieweit hier allenfalls unternehmensrelevante Informationen abgespeichert sind.
  • Oder die Gefahr enormer Schäden durch Schadsoftware im System, die der Mitarbeiter in Folge der Privatnutzung des E-Mail-Accounts erhält und mit teils massiven Folgen öffnet bzw. geöffnet hat.

Diese zahlreichen praktischen Probleme haben zuletzt dazu geführt, dass sich in den Unternehmen wieder das Verbot der Privatnutzung von E-Mail-Adressen und sonstigen Kommunikationsmitteln durchgesetzt hat.

Dieses Verbot ermöglicht zwar ebenfalls keine flächendeckende und systematische Überwachung aller Kommunikationsdaten, gibt jedoch dem Arbeitgeber zumindest einen größeren Spielraum, entsprechende Stichproben durchzuführen.

Zuletzt hat beispielsweise der EGMR im Rahmen einer Beschwerde eines ehemaligen Mitarbeiters gegen seinen vormaligen Arbeitgeber eine interessante Entscheidung getroffen:

Der Dienstnehmer wurde entlassen, da bei einer stichprobeartigen Kontrolle private Nutzungen entdeckt wurden. Die Beschwerde des Dienstnehmers, die sich auf vermeintlich unzulässig (nämlich durch eine Datenschutzverletzung) erlangte Beweismittel stützte, hat der EGMR abgewiesen. Dies begründete der EGMR damit, dass das Verbot der Privatnutzung ausdrücklich geregelt war, der Arbeitgeber ein Interesse hatte, die Erfüllung von Dienstpflichten zu prüfen, sich die Durchsuchung des Arbeitgebers lediglich auf Chatprotokolle bezog und dass andere Daten nicht durchsucht wurden.

Auch wenn dieses Urteil in einschlägiger Fachliteratur¹ als „nicht gut gelungen“ bezeichnet wurde, lieferte es weitere Argumente dafür, die Privatnutzung des Internets bzw. E-Mail-Accounts der Mitarbeiter zu unterbinden.

Sollte man diese Nutzung den Mitarbeitern dennoch ermöglichen wollen, ist bei der Datenverarbeitung stets auf mögliche Eingriffe in die Privatsphäre der Mitarbeiter Rücksicht zu nehmen. Diesbezüglich bietet sich die Anwendung des sog. Modells der stufenweisen Kontrollverdichtung² an, das auf folgende drei Stufen setzt:

  1. Maschinelle Überwachung zur Gewährleistung der Systemfunktionalität.
  2. Signifikante Abweichung von der „normalen“ IT-Nutzung.
  3. Zugriff auf Kommunikationsdaten bei Verdacht auf
    (Vertrags-)Rechtsverletzung

Wichtig ist, dass in jeder dieser Stufen der für Grundrechtseingriffe maßgebliche Grundsatz der Verhältnismäßigkeit und die Anwendung des jeweils gelindesten Eingriffsmittels gewährleistet ist³.

Bei Fragen zur datenschutzkonformen Prüfung von Kommunikationsdaten von Mitarbeitern stehe ich Ihnen gerne zur Verfügung.

Quellen, die beim Verfassen dieses Informationsbeitrags herangezogen wurden:

¹ Haidinger in dako 3/2016, „Überwachung von Kommunikationsdaten des Arbeitnehmers – alles beim Alten oder Trendwende nach dem EGMR-Urteil Barbulescu?
² Kotschy/Reimer in ZAS 2004/25, „Die Überwachung der Internet-Kommunikation am Arbeitsplatz, ein Diskussionsbeitrag aus datenschutzrechtlicher Sicht“.
³ Knyrim in Datenschutzrecht (3. Auflage, 2015), „Arbeitnehmerdatenverarbeitung“