Datenschutz von Mitarbeitern im Zusammenhang mit Dienst-PCs

Datenschutz von Mitarbeitern im Zusammenhang mit Dienst-PCs

Mit Urteil vom 07.02.2020 hat das Landesarbeitsgericht Köln entschieden, dass ein Arbeitgeber seinen Arbeitnehmer, der seinen Dienstlaptop entgegen einer vorherigen Vereinbarung exzessiv während der Arbeitszeit für private Zwecke nutzt, fristlos kündigen kann (Aktenzeichen 4 Sa 329/19). Im entschiedenen Fall ging es um mehrere Monate in denen der Arbeitnehmer an mehreren Tagen hintereinander und jeweils über mehrere Stunden den Dienstlaptop für private Internetrecherchen, privaten E-Mail-Verkehr und andere Tätigkeiten außerhalb seines Dienstverhältnisses nutzte.

Rein praktisch betrachtet ist es natürlich nachvollziehbar, dass ein so weit reichender Arbeitszeitbetrug einen besonderen Grund darstellt, wie er für eine fristlose Kündigung erforderlich ist. Im Prozess trat aber auch die Frage auf, ob der Arbeitgeber den Browser- und Emailverlauf des Arbeitnehmers einsehen und als Beweismittel vor Gericht verwenden darf.

Prozessuale Beweisverwertungsverbote?

Die Verwertung des Browser- und Emailverlaufes des Arbeitnehmers könnte durch ein prozessuales Beweisverwertungsverbot verboten sein. Prozessuale Beweisverwertungsverbote verbieten nach dem jeweils anwendbaren Prozessrecht die Verwertung bestimmter vorhandener Beweise per se.

Stehen Arbeitnehmer und Arbeitgeber sich vor Gericht gegenüber, werden dort die Zivilprozessordnung und das Arbeitsgerichtsgesetz angewendet. In diesen Gesetzen gibt es Beweisverwertungsverbote nur als begründungsbedürftige Ausnahmen. Anders gesagt: Alles, was eine der Parteien als Beweis einführt, darf auch im Prozess verwertet werden, außer es wird das Gegenteil begründet.

Die Verwertung des Browser- und Emailverlaufes müsste also durch ein spezielles Gesetz verboten sein, ansonsten darf er als Beweis genutzt werden.

Verfassungsrechtliches Verwertungsverbot?

Das Verbot der Verwertung könnte sich daraus ergeben, dass Grundrechte des Arbeitnehmers verletzt werden.

Browser- und Emailverlauf sind personenbezogene Daten im Sinne der DSGVO. Schließlich lässt sich aus dem Browserverlauf erkennen, wann der Nutzer welche Internetseite aufgerufen hat. Ein Dienstlaptop lässt sich auch einer bestimmten Person zuordnen, sodass ein bestimmbarer Personenbezug vorliegt. Bei dem Emailverlauf ergibt sich das natürlich schon aus den Empfänger- und Absenderangaben.

Personenbezogene Daten werden in erster Linie durch das Grundrecht auf informative Selbstbestimmung geschützt. Im Rahmen dessen muss aber das Interesse des Arbeitgebers an der Verwertung und an der funktionierenden Rechtspflege das Interesse am Schutz des Grundrechtes auf informationelle Selbstbestimmung des Arbeitnehmers überwiegen, damit der Arbeitgeber die Daten verwerten durfte. Auch die Schwere des Eingriffs muss berücksichtigt werden.

Verarbeitet der Arbeitgeber die Daten heimlich, spricht das für eine beachtliche Verletzung des Grundrechtes des Arbeitnehmers. Ebenso wenn der Arbeitgeber bei der Verarbeitung ein reines Beweisinteresse hat. Es muss sich aus den weiteren Umständen gerade die Art der Informationsbeschaffung und Beweiserhebung als gerechtfertigt und damit als schutzbedürftig erweisen, damit er die Daten verwenden darf.

Verarbeitet der Arbeitgeber den Browser- und Emailverlauf des Arbeitnehmers gerade um einen Arbeitszeitbetrug nachzuweisen (reines Beweisinteresse), ist das Grundrecht auf informationelle Selbstbestimmung hier ungerechtfertigt verletzt. Demnach dürften die Daten nicht als Beweis verwertet werden.

Datenschutzrechtliche Rechtfertigung?

Handelt es sich wie hier um die Verarbeitung personenbezogener Daten, könnte das Datenschutzrecht Abhilfe schaffen. Schließlich kennt dieses einige Rechtfertigungstatbestände zur Datenverarbeitung.

…durch Einwilligung?

Zunächst einmal ist an eine Einwilligung nach Art. 6 I 1 lit. a DSGVO zu denken. In dem gerichtlich entschiedenen Fall hatten Arbeitnehmer und Arbeitgeber in einem Vertrag über die Überlassung des Laptops vereinbart, dass „der Arbeitgeber die auf den Arbeitsmitteln befindlichen Daten aus Zwecken der Zuordnung zu geschäftlichen oder privaten Vorgängen überprüft und auswertet“. Diese „Einwilligung“ ist jedoch zu unpräzise und zu weit formuliert. Der Arbeitnehmer konnte die Reichweite der Erklärung nicht erkennen, da nicht klar war, welche Daten überprüft werden würden und ob zum Beispiel auch private Emails betroffen sind.

Die Einwilligung ist rechtlich unwirksam.

…durch anderen Erlaubnistatbestand?

Der Arbeitgeber könnte die Verarbeitung des Browser- und Emailverlaufes auf § 26 I BDSG stützen.

Hiernach dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach dessen Begründung für seine Durchführung oder Beendigung erforderlich ist.

Durch die unterzeichnete Vereinbarung über die Nutzungsüberlassung war klar, dass Daten zur Kontrolle gespeichert werden müssen. Die gespeicherten Daten werden dann einer Missbrauchskontrolle unterzogen, um zum Beispiel private Nutzungen festzustellen, die gegen die vertragliche Vereinbarung verstoßen. So sind die Speicherung und Auswertung der Daten für die Durchführung des Arbeitsverhältnisses erforderlich. Der Arbeitgeber hat ein legitimes Interesse an der Erhebung dieser Daten.

Der Arbeitgeber kann die Verarbeitung auf § 26 I BDSG stützen und die Daten auch als Beweis in den Prozess einführen.

Fazit

Wenn einem Arbeitnehmer Mittel überlassen werden, durch die der Arbeitgeber personenbezogene Daten erhebt, gilt es, viele (datenschutz-)rechtliche Fallstricke zu beachten. In jedem Fall sollten ausdrückliche Regelungen zur Verwendung und Überprüfung der Mittel festgehalten werden. Hier greifen einige Bestimmungen und Rechtsgebiete ineinander. Eine fachkundige Beratung ist dabei unerlässlich.

Bring Your Own Device (BYOD) und Datenschutz

Neben der Nutzung von Dienst-PCs stellt auch das Modell „Bring Your Own Device“ (BYOD), bei dem Mitarbeiter ihre privaten Geräte für dienstliche Zwecke nutzen, erhebliche datenschutzrechtliche Herausforderungen dar. Bei BYOD vermischen sich private und geschäftliche Daten auf einem Gerät, was die Durchsetzung datenschutzrechtlicher Anforderungen erschwert.

Der Arbeitgeber muss sicherstellen, dass personenbezogene Daten des Unternehmens auch auf privaten Geräten angemessen geschützt sind. Dies kann durch Mobile-Device-Management-Lösungen (MDM) erreicht werden, die einen geschützten Bereich auf dem Gerät einrichten und die geschäftlichen Daten von den privaten Daten trennen. Gleichzeitig muss der Arbeitgeber die Privatsphäre des Mitarbeiters respektieren und darf nicht auf private Bereiche des Gerätes zugreifen.

Eine klare BYOD-Richtlinie ist unerlässlich. Diese sollte regeln, welche Sicherheitsmaßnahmen auf dem privaten Gerät umgesetzt werden müssen (Verschlüsselung, Passwortschutz, aktuelle Software), welche Anwendungen für dienstliche Zwecke genutzt werden dürfen und was im Falle eines Geräteverlusts oder bei Beendigung des Arbeitsverhältnisses geschieht.

Homeoffice und Telearbeit

Mit der zunehmenden Verbreitung von Homeoffice und Telearbeit sind die datenschutzrechtlichen Anforderungen an die Nutzung von Dienst-PCs weiter gestiegen. Wenn Mitarbeiter von zu Hause aus arbeiten, müssen sie dieselben Datenschutzstandards einhalten wie im Büro. Das stellt sowohl Arbeitgeber als auch Arbeitnehmer vor besondere Herausforderungen.

Der Arbeitgeber muss technische und organisatorische Maßnahmen treffen, um die Sicherheit der Datenverarbeitung im Homeoffice zu gewährleisten. Dazu gehören eine verschlüsselte VPN-Verbindung zum Firmennetzwerk, eine aktuelle Antivirensoftware, regelmäßige Sicherheitsupdates und eine Festplattenverschlüsselung. Der Mitarbeiter muss dafür sorgen, dass der Dienst-PC in einem abschließbaren Raum aufbewahrt wird und Familienangehörige oder Besucher keinen Zugriff auf geschäftliche Daten haben.

Eine Homeoffice-Vereinbarung, die die datenschutzrechtlichen Pflichten des Mitarbeiters klar definiert, ist zwingend erforderlich. Diese sollte auch regeln, ob und unter welchen Bedingungen der Arbeitgeber das Recht hat, die Einhaltung der Datenschutzmaßnahmen im Homeoffice zu überprüfen.

Monitoring und Überwachung von Dienst-PCs

Die technischen Möglichkeiten zur Überwachung von Dienst-PCs sind vielfältig: Keystroke-Logger, Screenshot-Tools, Bildschirmaufzeichnung, Überwachung des E-Mail-Verkehrs und Tracking der Internetnutzung. Doch nicht alles, was technisch möglich ist, ist auch rechtlich zulässig.

Grundsätzlich gilt: Eine anlasslose und permanente Überwachung der Mitarbeiter ist unzulässig. Das Bundesarbeitsgericht hat in mehreren Entscheidungen klargestellt, dass eine verdeckte Überwachung nur bei einem konkreten Verdacht einer schwerwiegenden Pflichtverletzung zulässig ist und auch dann nur als letztes Mittel, wenn mildere Maßnahmen ausgeschöpft sind.

Offene Überwachungsmaßnahmen müssen dem Mitarbeiter vorab mitgeteilt werden. Besteht ein Betriebsrat, hat dieser nach § 87 Abs. 1 Nr. 6 BetrVG ein Mitbestimmungsrecht bei der Einführung und Anwendung technischer Einrichtungen, die das Verhalten oder die Leistung der Arbeitnehmer überwachen können. Ohne Zustimmung des Betriebsrats sind solche Maßnahmen unwirksam.

Technisch-organisatorische Maßnahmen für Dienst-PCs

Um den Datenschutz bei der Nutzung von Dienst-PCs sicherzustellen, sollten Unternehmen folgende technisch-organisatorische Maßnahmen umsetzen:

Zugangskontrolle: Jeder Dienst-PC sollte mit einem individuellen Benutzerkonto geschützt sein. Passwörter müssen den Unternehmensrichtlinien entsprechen und regelmäßig geändert werden. Eine Multi-Faktor-Authentifizierung erhöht die Sicherheit zusätzlich.

Verschlüsselung: Die Festplatte des Dienst-PCs sollte vollständig verschlüsselt sein, insbesondere bei mobilen Geräten. Im Falle eines Diebstahls oder Verlusts können Unbefugte dann nicht auf die gespeicherten Daten zugreifen.

Automatische Bildschirmsperre: Der Dienst-PC sollte sich nach einer kurzen Inaktivitätszeit automatisch sperren, um unbefugten Zugriff durch Dritte zu verhindern.

Berechtigungskonzept: Mitarbeiter sollten nur auf die Daten und Systeme Zugriff haben, die sie für ihre Arbeit tatsächlich benötigen (Prinzip der minimalen Berechtigung).

Datensicherung: Regelmäßige Backups der auf dem Dienst-PC gespeicherten Daten sind unerlässlich, um Datenverluste durch technische Defekte oder Cyberangriffe zu vermeiden.

Empfehlungen für die betriebliche Praxis

Eine klare und umfassende IT-Nutzungsrichtlinie ist die Grundlage für den datenschutzkonformen Umgang mit Dienst-PCs. Diese Richtlinie sollte eindeutig regeln, ob und in welchem Umfang eine private Nutzung des Dienst-PCs gestattet ist, welche Anwendungen installiert und genutzt werden dürfen, wie mit vertraulichen Daten umzugehen ist und welche Konsequenzen bei Verstößen drohen.

Die IT-Nutzungsrichtlinie sollte von jedem Mitarbeiter schriftlich zur Kenntnis genommen werden. Regelmäßige Schulungen zur Sensibilisierung für Datenschutz und IT-Sicherheit ergänzen die technischen Maßnahmen und tragen dazu bei, ein Bewusstsein für den verantwortungsvollen Umgang mit personenbezogenen Daten zu schaffen.