Datenschutz von Mitarbeitern im Zusammenhang mit Dienst-PCs
Mit Urteil vom 07.02.2020 hat das Landesarbeitsgericht Köln entschieden, dass ein Arbeitgeber seinen Arbeitnehmer, der seinen Dienstlaptop entgegen einer vorherigen Vereinbarung exzessiv während der Arbeitszeit für private Zwecke nutzt, fristlos kündigen kann (Aktenzeichen 4 Sa 329/19). Im entschiedenen Fall ging es um mehrere Monate in denen der Arbeitnehmer an mehreren Tagen hintereinander und jeweils über mehrere Stunden den Dienstlaptop für private Internetrecherchen, privaten E-Mail-Verkehr und andere Tätigkeiten außerhalb seines Dienstverhältnisses nutzte.
Rein praktisch betrachtet ist es natürlich nachvollziehbar, dass ein so weit reichender Arbeitszeitbetrug einen besonderen Grund darstellt, wie er für eine fristlose Kündigung erforderlich ist. Im Prozess trat aber auch die Frage auf, ob der Arbeitgeber den Browser- und Emailverlauf des Arbeitnehmers einsehen und als Beweismittel vor Gericht verwenden darf.
Prozessuale Beweisverwertungsverbote?
Die Verwertung des Browser- und Emailverlaufes des Arbeitnehmers könnte durch ein prozessuales Beweisverwertungsverbot verboten sein. Prozessuale Beweisverwertungsverbote verbieten nach dem jeweils anwendbaren Prozessrecht die Verwertung bestimmter vorhandener Beweise per se.
Stehen Arbeitnehmer und Arbeitgeber sich vor Gericht gegenüber, werden dort die Zivilprozessordnung und das Arbeitsgerichtsgesetz angewendet. In diesen Gesetzen gibt es Beweisverwertungsverbote nur als begründungsbedürftige Ausnahmen. Anders gesagt: Alles, was eine der Parteien als Beweis einführt, darf auch im Prozess verwertet werden, außer es wird das Gegenteil begründet.
Die Verwertung des Browser- und Emailverlaufes müsste also durch ein spezielles Gesetz verboten sein, ansonsten darf er als Beweis genutzt werden.
Verfassungsrechtliches Verwertungsverbot?
Das Verbot der Verwertung könnte sich daraus ergeben, dass Grundrechte des Arbeitnehmers verletzt werden.
Browser- und Emailverlauf sind personenbezogene Daten im Sinne der DSGVO. Schließlich lässt sich aus dem Browserverlauf erkennen, wann der Nutzer welche Internetseite aufgerufen hat. Ein Dienstlaptop lässt sich auch einer bestimmten Person zuordnen, sodass ein bestimmbarer Personenbezug vorliegt. Bei dem Emailverlauf ergibt sich das natürlich schon aus den Empfänger- und Absenderangaben.
Personenbezogene Daten werden in erster Linie durch das Grundrecht auf informative Selbstbestimmung geschützt. Im Rahmen dessen muss aber das Interesse des Arbeitgebers an der Verwertung und an der funktionierenden Rechtspflege das Interesse am Schutz des Grundrechtes auf informationelle Selbstbestimmung des Arbeitnehmers überwiegen, damit der Arbeitgeber die Daten verwerten durfte. Auch die Schwere des Eingriffs muss berücksichtigt werden.
Verarbeitet der Arbeitgeber die Daten heimlich, spricht das für eine beachtliche Verletzung des Grundrechtes des Arbeitnehmers. Ebenso wenn der Arbeitgeber bei der Verarbeitung ein reines Beweisinteresse hat. Es muss sich aus den weiteren Umständen gerade die Art der Informationsbeschaffung und Beweiserhebung als gerechtfertigt und damit als schutzbedürftig erweisen, damit er die Daten verwenden darf.
Verarbeitet der Arbeitgeber den Browser- und Emailverlauf des Arbeitnehmers gerade um einen Arbeitszeitbetrug nachzuweisen (reines Beweisinteresse), ist das Grundrecht auf informationelle Selbstbestimmung hier ungerechtfertigt verletzt. Demnach dürften die Daten nicht als Beweis verwertet werden.
Datenschutzrechtliche Rechtfertigung?
Handelt es sich wie hier um die Verarbeitung personenbezogener Daten, könnte das Datenschutzrecht Abhilfe schaffen. Schließlich kennt dieses einige Rechtfertigungstatbestände zur Datenverarbeitung.
…durch Einwilligung?
Zunächst einmal ist an eine Einwilligung nach Art. 6 I 1 lit. a DSGVO zu denken. In dem gerichtlich entschiedenen Fall hatten Arbeitnehmer und Arbeitgeber in einem Vertrag über die Überlassung des Laptops vereinbart, dass „der Arbeitgeber die auf den Arbeitsmitteln befindlichen Daten aus Zwecken der Zuordnung zu geschäftlichen oder privaten Vorgängen überprüft und auswertet“. Diese „Einwilligung“ ist jedoch zu unpräzise und zu weit formuliert. Der Arbeitnehmer konnte die Reichweite der Erklärung nicht erkennen, da nicht klar war, welche Daten überprüft werden würden und ob zum Beispiel auch private Emails betroffen sind.
Die Einwilligung ist rechtlich unwirksam.
…durch anderen Erlaubnistatbestand?
Der Arbeitgeber könnte die Verarbeitung des Browser- und Emailverlaufes auf § 26 I BDSG stützen.
Hiernach dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach dessen Begründung für seine Durchführung oder Beendigung erforderlich ist.
Durch die unterzeichnete Vereinbarung über die Nutzungsüberlassung war klar, dass Daten zur Kontrolle gespeichert werden müssen. Die gespeicherten Daten werden dann einer Missbrauchskontrolle unterzogen, um zum Beispiel private Nutzungen festzustellen, die gegen die vertragliche Vereinbarung verstoßen. So sind die Speicherung und Auswertung der Daten für die Durchführung des Arbeitsverhältnisses erforderlich. Der Arbeitgeber hat ein legitimes Interesse an der Erhebung dieser Daten.
Der Arbeitgeber kann die Verarbeitung auf § 26 I BDSG stützen und die Daten auch als Beweis in den Prozess einführen.
Fazit
Wenn einem Arbeitnehmer Mittel überlassen werden, durch die der Arbeitgeber personenbezogene Daten erhebt, gilt es, viele (datenschutz-)rechtliche Fallstricke zu beachten. In jedem Fall sollten ausdrückliche Regelungen zur Verwendung und Überprüfung der Mittel festgehalten werden. Hier greifen einige Bestimmungen und Rechtsgebiete ineinander. Eine fachkundige Beratung ist dabei unerlässlich.