Überwachung am Arbeitsplatz
Immer wieder streiten Arbeitgeber und Arbeitnehmer vor Gericht um den Schutz der Privatsphäre am Arbeitsplatz. Die Grenzen für entsprechende Eingriffe sind jedoch eng gefasst – dazu braucht es nicht einmal die EU-Datenschutzgrundverordnung.
Wenn Angestellte „stundenlang im Internet surfen“, sich per E-Mail oder sozialen Medien „mit Freunden auf der halben Welt“ austauschen oder etwa im Lager ständig Betriebsmittel geklaut werden, dann kommt gerne der Gedanke auf, dass man als Arbeitgeber doch eine Möglichkeit haben muss, seine Mitarbeiter zu überwachen. Möglichkeiten bestehen zwar durchaus, aber dennoch sind hier enge Grenzen gesetzt.
Unabhängig von der EU-Datenschutzgrundverordnung (DSGVO) und nationalen Gesetzen hat der Europäische Gerichtshof für Menschenrechte bereits im September 2017 in seiner Auslegung von Artikel 8 der Europäischen Menschenrechtskonvention (EMRK) einige wichtige Punkte klargestellt (Urteil zu Barbulescu vs. Romania, Az. 61496/08, siehe https://hudoc.echr.coe.int/eng#{%22itemid%22:[%22001-177082%22]} – englische Fassung). Diese Entscheidung könnte auch heute noch manchem Arbeitgeber einen Anlass geben, seine bisherige Praxis zu überdenken und zu überarbeiten.
In dem Fall, den zuvor das Landgericht Bukarest zu entscheiden hatte, nutzte ein Vertriebsmitarbeiter neben einem dienstlichen Yahoo-Messenger-Konto auch einen privaten Account. Die internen Vorgaben des Unternehmens untersagten die private Verwendung von Betriebsmitteln und insbesondere die Nutzung von Computern und Telefon für private Zwecke – dies hatte der Angestellte zur Kenntnis genommen. Ein Hinweis auf etwaige Überwachung war hier zunächst noch nicht enthalten. Später erfolgte ein Rundschreiben an alle Angestellten, in dem nochmals aufgefordert wurde, die Arbeitszeit nicht mit der privaten Nutzung des Internets, des Telefons oder des Faxgerätes zu verbringen – dabei gab es auch einen Hinweis, dass die Einhaltung dieser Regeln überwacht würde. Dieses Schreiben hatte der Arbeitnehmer ebenfalls zur Kenntnis genommen.
Praktisch zeitgleich hat der Arbeitgeber die Kommunikation des klagenden Arbeitnehmers über den Yahoo Messenger in Echtzeit protokolliert. Dabei stellte sich heraus, dass der Angestellte in erheblichem Maße Nachrichten mit seinem Bruder und seiner Verlobten ausgetauscht hatte, die auch intime Details enthielten. Dem Angestellten wurden fünf Nachrichten vorgehalten, die er über sein persönliches Yahoo-Konto an seine Verlobte geschickt hatte. Nachdem man ihm die Möglichkeit zu einer Stellungnahme eingeräumt hatte, wurde er kurz darauf entlassen.
Achtung des Privaten
Das Landgericht Bukarest und auch das Berufungsgericht hatten eine Klage des Arbeitgebers abgewiesen. Der Europäische Gerichtshof für Menschenrechte (EGMR) hat indessen dem beschwerdeführenden Arbeitnehmer Recht gegeben und im Ergebnis eine Verletzung von Artikel 8 EMRK angenommen. Der Wortlaut des Artikel 8 EMRK (https://dejure.org/gesetze/MRK/8.html ) ist recht klar und eindeutig: „Jede Person hat das Recht auf Achtung ihres Privatund Familienlebens, ihrer Wohnung und ihrer Korrespondenz.
Auch wenn jedem verständigen Unternehmer klar sein dürfte, dass man grundsätzlich zunächst keinerlei Recht hat, seine Arbeitnehmer „einfach so“ zu überwachen, sondern immer die gegenseitigen Interessen gegeneinander abzuwägen sind, liefert das Urteil des EGMR doch einige sehr wichtige Aspekte, um diesen Abwägungsprozess zu präzisieren und gegebenenfalls neu zu überdenken.
In der deutschen Rechtsprechung hat man sich grob zusammengefasst meist an dem Fall orientiert, dass aus einem Lager in regelmäßigen Abständen Gegenstände geklaut werden und man dies mit „üblichen“ Mitteln nicht mehr aufklären konnte, sodass dann eine heimliche Kameraüberwachung des Lagers unter Abwägung der gegenseitigen Interessen als rechtmäßig anzusehen ist.
Im vorliegenden Fall des EGMR war jedoch die private Nutzung in jeglicher Form zuvor ausgeschlossen worden – und dennoch hat der EGMR dem Arbeitnehmer Recht gegeben.
Konkrete Angaben
Nach Ansicht des Gerichts hatten es sich die nationalen Gerichte bei der Abwägung der widerstreitenden Interessen zu einfach gemacht: Sie hätten insbesondere versäumt festzustellen, ob der Arbeitnehmer vorab auf die Möglichkeit einer Überwachung seiner Kommunikation auch über den Yahoo Messenger aufmerksam gemacht wurde. Vor allem – und dies dürfte der wichtigste Aspekt dieses Urteils sein – hatte der Arbeitgeber nicht darüber informiert, welche Art und welchen Umfang der Überwachung er sich einräumen wird und wie tief er in die Privatsphäre des Arbeitnehmers einzudringen gedenkt.
Im Umkehrschluss dürfen es Arbeitgeber in solchen Hinweisen also nicht bei pauschalen Ausführungen belassen, sondern müssen im Detail erläutern, welche Maßnahmen sie planen. Es reicht etwa nicht, beispielsweise darauf hinzuweisen, dass der „Telefonverkehr überwacht werden kann“. Vielmehr muss der Arbeitgeber darlegen, wie genau er dies plant: ob er beispielsweise nur Verbindungsdaten auswertet, Telefonate mithört oder sogar aufzeichnet und ob dies durch ein Signal während des Telefonats signalisiert wird.
Will man beispielsweise die Internetnutzung überwachen, muss man ebenfalls angesichts der vielfältigen Möglichkeiten, die heute hierzu bestehen, genau differenzieren, was geplant ist: Schaut sich etwa lediglich jemand in regelmäßigen Abständen den Browserverlauf an oder beabsichtigt das Unternehmen womöglich, in Echtzeit jegliche Internetnutzung mitzuschneiden? Geht man vielleicht sogar so weit, Tastatureingaben aufzuzeichnen? Schaut sich der Arbeitgeber nur an, wie oft ein Mitarbeiter im Internet unterwegs war oder zu welchen Zeiten (etwa in der Mittagspause) oder prüft er sogar, was ein Mitarbeiter sich auf einer Website spezifisch angesehen hat?
Klare Rechtfertigung
Auch einen weiteren Aspekt hat der EGMR im bewussten Fall nochmals betont und als entscheidungsrelevant angesehen: nämlich die Frage der Abwägung der gegenseitigen Interessen. Nach seiner Ansicht haben die nationalen Gerichte es versäumt zu ermitteln, welche spezifischen Gründe die Einführung der Überwachungsmaßnahmen überhaupt gerechtfertigt hätten und ob der Unternehmer gegebenenfalls mildere Möglichkeiten hätte wählen können, um seine Interessen zu wahren.
Auch hier lassen sich zwei sehr wichtige Aspekte für die Bewertung solcher Maßnahmen herausarbeiten: zum einen, dass der Arbeitgeber nicht einfach so eine Überwachungsmaßnahme starten und einsetzen darf, sondern dafür nachvollziehbare Gründe haben muss. Hat er diese nicht, ist eine Überwachungsmaßnahme von vornherein kaum zu rechtfertigen. Es bietet sich daher in der Praxis an, gegebenenfalls direkt den Mitarbeiter darüber zu informieren, warum man diese Maßnahmen plant – was letztlich beim Mitarbeiter auch durchaus die Akzeptanz der Maßnahmen fördern kann.
Doch auch wenn ein Unternehmen die tatsächlichen Gründe aufgeführt hat, kann es nicht einfach loslegen, sondern muss dennoch überprüfen, ob es andere, gegebenenfalls mildere Mittel gibt, die zum gleichen Ergebnis führen. Gibt es sie, wären „härtere“ Maßnahmen unzulässig.
Überwachungsmaßnahmen sind also im Detail zu rechtfertigen und überdies ist zu prüfen, wie man die erforderliche Überwachung alternativ durchführen kann, sodass sie möglichst wenig in die Rechte des Arbeitnehmers eindringt.
An dieser Stelle sei daher nochmals eindringlich an alle Arbeitgeber appelliert, es nicht bei pauschalen Hinweisen auf mögliche Überwachungsmaßnahmen von Mitarbeitern zu belassen – und zwar egal, ob diese dazu berechtigt sind, Betriebsmittel wie das Internet privat zu nutzen oder nicht.
Deutsche Gesetze und Rechtsprechung
Auch in der deutschen arbeitsrechtlichen Praxis und der hierzu immer wieder ergangenen ständigen Rechtsprechung löst man die Problematik der Überwachung am Arbeitsplatz durch die sachgerechte Abwägung der widerstreitenden Interessen. Grundsätzlich darf ein Arbeitgeber seine Mitarbeiter selbstverständlich ebenso wenig überwachen wie man beispielsweise einen Nachbarn durch Videoaufzeichnungen überwachen darf. Dies folgt schon allein aus dem allgemeinen Persönlichkeitsrecht des Arbeitnehmers, in das eine solche Maßnahme massiv eingreifen würde
Gleichwohl gibt es selbstverständlich Konstellationen, bei denen man berechtigterweise die Interessen des Arbeitgebers an einer Überwachung höher einstuft als das Recht des Arbeitnehmers, nicht überwacht zu werden. Das klassische Beispiel hierzu ist der bereits angesprochene Lagerraum im Keller, zu dem alle Mitarbeiter Zutritt haben und aus dem immer wieder Gegenstände gestohlen werden. Haben alle anderen Kontrollmöglichkeiten versagt, so ist dort als „letztes Mittel“ auch eine verdeckte Videoüberwachung statthaft.
In den Worten des (für die DSGVO angepassten) Bundesdatenschutzgesetzes klingt das so: „Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.“ (§ 26 Absatz 1 Satz 2 BDSG, vgl. www.gesetze-im-internet.de/bdsg_2018/__26.html )
Es folgt eine kurze Übersicht über die in Deutschland geltende Praxis und entsprechende Urteile:
- Bereits 2003 hat das Bundesarbeitsgericht (BAG) entschieden, dass eine heimliche Videoaufnahme nur dann gerichtsverwertbar ist, wenn ein konkreter Verdacht einer Straftat vorliegt oder andere schwere Verfehlungen gegen den Arbeitgeber gegeben sind (BAG-Urteil vom 27. März 2003 – Az. 2 AZR 51/02). Im Übrigen unterliegt die Einführung einer Videoüberwachung dem Mitbestimmungsrecht des Betriebsrates (BAG-Urteil vom 29. Juni 2004 – Az. 1 ABR 21/03).
- Noch vor Kurzem hat sich das BAG erneut mit dieser Problematik beschäftigen müssen und zu eventuellen Speicherfristen entschieden: Solange die Rechtsverfolgung durch den Arbeitgeber materiell-rechtlich noch möglich ist, darf er die Aufzeichnung einer offenen Videoüberwachung speichern, die vorsätzliche Handlungen eines Arbeitnehmers zu Lasten des Eigentums des Arbeitgebers zeigen (BAG-Urteil vom 23.August 2018 – Az. 2 AZR 133/18)
- Auch wenn dies in einer Betriebsvereinbarung geregelt ist, darf der Arbeitgeber die von einem dienstlichen Telefon geführten Telefonate zwar nicht mitschneiden. Er darf aber die angewählte Ziel-Rufnummer speichern – allerdings auch das nur dann, wenn der Arbeitnehmer die Möglichkeit hat, ein Telefonat privat zu führen und hierbei die Telefonnummer nicht gespeichert wird. Es ist nämlich gängige Rechtsprechung, dass der Arbeitnehmer grundsätzlich in Ausnahmefällen das Recht hat, das Diensttelefon auch privat zu nutzen – etwa wenn überraschend Überstunden anfallen und er seine Familienmitglieder darüber informieren muss, dass er später kommt. Da die geführten Telefonate unter das Fernmeldegeheimnis fallen, ist grundsätzlich das heimliche Mithören oder gar Mitschneiden oder Aufzeichnen von solchen Telefonaten nicht erlaubt. Ähnliches gilt, wenn ein Arbeitnehmer statt des dienstlichen Apparats beispielsweise sein Mobiltelefon benutzt, um private Telefonate zu führen: Denn auch das ist ihm während der Arbeitszeit grundsätzlich verboten, da er während der Arbeitszeit eben zu arbeiten hat. Das Gleiche gilt für die Nutzung anderer (ggf. mobiler) Dienste wie Social Media et cetera. Wobei in Pausen selbstverständlich keine Beschränkungen hinsichtlich privater Geräte bestehen.
- Soll eine Videoüberwachung im öffentlichen Raum des Unternehmens stattfinden, so muss hierauf oft nicht nur hingewiesen werden. Vielmehr ist dies auch nur dann zulässig, wenn entsprechende schutzwürdige.
Interessen des Unternehmens überwiegen, was sich aber meist relativ einfach darlegen lässt – beispielsweise, wenn in einem Einkaufsmarkt schon öfter Waren gestohlen worden sind oder eine besondere Gefährdungslage vorliegt (z. B. in sicherheitssensiblen Bereichen wie bei Banken oder Juweliergeschäften).
Fazit
Hinsichtlich der Möglichkeit zur privaten Nutzung des Internets während der Arbeitszeit oder auch in Pausen sollte unbedingt eine Betriebsvereinbarung bestehen oder eine Einzelfallregelung in den Arbeitsverträgen aufgenommen werden – nicht nur, um Klarheit und eine deutliche Abgrenzung für alle Beteiligten zu schaffen, sondern auch, um für den Arbeitgeber eine Sanktionsmöglichkeit zu eröffnen, falls gegen diese Regeln verstoßen wird.
Leider muss man im Ergebnis feststellen, dass Arbeitgebern nur geraten werden kann, eine private Nutzung des Internets und auch beispielsweise von (dienstlichen) E-Mails strikt zu verbieten. Denn wenn man die Möglichkeit einräumt, dass Arbeitnehmer mit ihrem Internetbrowser auch privat Seiten aufrufen oder beispielsweise private E-Mails verschicken, dann sind dem Arbeitgeber in der Regel die Hände gebunden, was eventuelle Überwachungsmaßnahmen betrifft. Unter normalen Umständen darf man dann nicht einmal in das E-Mail-Postfach des Mitarbeiters schauen, weil ja die Gefahr bestünde, auch private Korrespondenz zur Kenntnis zu nehmen.
Ist aber eine private Nutzung strikt verboten, dann kann der Arbeitgeber sowohl die E-Mail-Korrespondenz durchlesen als auch die rein dienstliche Nutzung des Internets prüfen.
Best Practices mit eingeräumter Privatnutzung
Was ist aber in der Praxis wirklich ratsam? Der Unternehmer steht ja vor dem Dilemma, dass er kaum so unfreundlich sein will, seinen Mitarbeitern strikt „jeden privaten Tastendruck“ im Internet zu verbieten, auch wenn ihm das aus rechtlicher Sicht zu raten ist. Die Lösung kann man nur in einem Kompromiss finden: Da der Aufruf von mit Schadsoftware befallenen Internetseiten zum Beispiel Viren oder Trojaner in das Unternehmen schleusen und im schlimmsten Fall (z. B. bei Ransomware) den kompletten Rechner sperren kann, lässt sich ein Privatnutzungsverbot dienstlicher PCs sicherlich gut begründen.
Um die Mitarbeiter zufriedenzustellen, kann man stattdessen die Nutzung des privaten Smartphones erlauben (natürlich außerhalb des allg. Unternehmens-WLAN). Alternativ kann man zum privaten Surfen (z. B. im Pausenraum) einen vom Firmennetz abgekoppelten Rechner anbieten, der regelmäßig alle Nutzungsdaten löscht. Oder man greift auf eine Idee des BSI zurück und installiert spezielle „Remote-Controlled Browsers Systems“ (ReCoBS), mit denen ein Nutzer Webseiten nicht auf dem eigenen PC ansurft, sondern nur das Abbild eines „Remote-Browsers“ betrachtet – dieser Browser selbst und jeglicher darin ausgeführter oder interpretierter Code aus Webseiten läuft auf einem System (Terminalserver) außerhalb des eigentlichen Firmennetzwerks (https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Internetsicherheit/recobslanginfo_pdf).
Sanktionen
Welche Konsequenzen ein Arbeitgeber ziehen darf, wenn er dahinterkommt, dass ein Mitarbeiter seine Grenzen überschreitet, ist letztlich keine zum Sachverhalt der privaten Nutzung dienstlicher Ressourcen spezifische Fragestellung, sondern ergibt sich aus den üblichen Sanktionsmöglichkeiten im Arbeitsrecht.
Auch hier gilt der Grundsatz der Verhältnismäßigkeit! Hat etwa ein Mitarbeiter nur kurz in sein Bankkonto geschaut oder handelt es sich um einen ähnlichen, minimalen Missbrauch, so wird eine sofortige Kündigung mit Sicherheit vor dem Arbeitsgericht keinen Bestand haben. Der Arbeitgeber ist vielmehr gehalten, hier zunächst eine Abmahnung zu schreiben – in der Hoffnung, dass der Mitarbeiter sein vertragswidriges Verhalten zukünftig unterlässt.
Handelt es sich jedoch um einen sehr schwerwiegenden Verstoß, beispielsweise ein Geheimnisverrat oder das Herunterladen von Pornografie oder Ähnlichem, dann wird man meist dazu neigen, eine fristlose Kündigung als angemessen und sachgerecht anzusehen, weil in diesem Fall der Arbeitgeber unmittelbar geschädigt wird oder zumindest einen Reputationsschaden erleiden kann.
Wie immer gibt es bei derartigen Abwägungen aber keine festen Grenzen – man kann sich hier lediglich von seinem Instinkt und der arbeitsrechtlichen Praxis leiten lassen. Die Einbeziehung entsprechend erfahrener Fachanwälte ist daher dringend anzuraten.