Das Bundesarbeitsgericht (BAG) hat vor wenigen Tagen über die Zulässigkeit des Einsatzes von sog. „Keyloggern“ entschieden (dazu in Kürze mehr auf diesem Blog). Jenseits des Einzelfalls belegt die Entscheidung, wie unverändert aktuell das Bedürfnis ist, die Nutzung betrieblicher IT durch die Arbeitnehmer nur innerhalb gewisser Schranken zu gewährleisten – und diese Nutzung dann auch kontrollieren zu können. In diesem Zusammenhang ist häufig umstritten, inwiefern sich Arbeitsgerichte weigern können, vom Arbeitgeber mittels solcher Maßnahmen gewonnene Erkenntnisse zu verwerten, wenn der Arbeitnehmer einer entsprechenden Kontrolle nicht zuvor zugestimmt hat oder es an einer legitimierenden Betriebsvereinbarung fehlt. Wir fassen die wesentlichen Grundsätze zusammen.
Auch ohne ausdrückliches Verbot: Kein Recht zur uneingeschränkten Privatnutzung des Internet
Es gibt – für Viele überraschend – kein Recht des Arbeitnehmers auf private Nutzung des Internets am Arbeitsplatz (EGMR, 12.1.2016 – 61496/08 – Barbulescu; dazu auch unser Blog-Beitrag). Sofern der Arbeitgeber die Privatnutzung nicht ausdrücklich gestattet hat, kann der Arbeitnehmer nicht davon ausgehen, dass eine solche Nutzung toleriert werde oder gar positiv erlaubt sei.
Leicht anders liegt der Fall, wenn der Arbeitgeber von einer Privatnutzung des Internets Kenntnis hat und diese stillschweigend duldet. Eine solche in der betrieblichen Praxis häufig anzutreffende Situation begründet nach zutreffender Auffassung keine betriebliche Übung. Insbesondere darf der Arbeitnehmer nicht darauf vertrauen, er sei zur uneingeschränkten privaten Internetnutzung während der Arbeitszeit befugt. Vielmehr muss er davon ausgehen, dass er das Internet auch ohne ausdrückliches Verbot allenfalls (!) in maßvollem Umfang nutzen darf, zum Beispiel während der Arbeitspausen (LAG Nürnberg, 5 Sa 58/15 zur Duldung von Raucherpausen).
Arbeitgeber ist kein Telekommunikationsanbieter im Sinne des § 88 TKG
Soweit ersichtlich, vertreten die Datenschutzaufsichtsbehörden nach wie vor die – fehlerhafte – Auffassung, der Arbeitgeber sei im Falle der Gestattung der privaten Nutzung seiner elektronischen Ressourcen Anbieter von Telekommunikationsdiensten (§ 3 Nr. 6 TKG) und unterliege hierdurch dem Fernmeldegeheimnis. Deshalb sei eine Internetkontrolle ohne Zustimmung des Arbeitnehmers strafbar. Diese Ansicht ist nicht haltbar, wie die Entscheidungen des LAG Berlin-Brandenburg (Urteil vom 16.02.2011 und Urteil vom 14.01.2016), des LAG Niedersachsen, des LAG Hamm, des ArbG Düsseldorf, des Hessischen VGH, des VGH Baden-Württemberg und des VG Karlsruhe nachdrücklich belegen. Der Arbeitgeber erbringt keine geschäftsmäßigen Telekommunikationsleistungen im Verhältnis zu seinen Arbeitnehmern und unterliegt deshalb nicht den Beschränkungen des Fernmeldegeheimnisses. Mitarbeiterkontrollen sind ausschließlich am BDSG zu messen.
Datenschutzrechtliche Zulässigkeit eines privaten IT-Nutzungsverhaltens
Datenschutzrechtlich ist die Auswertung des privaten Nutzungsverhaltens des Arbeitnehmers gem. § 32 Abs.1 Satz 2 BDSG bei Vorliegen konkreter Anhaltspunkte für eine übermäßige und daher unzulässige private Internetnutzung während der Arbeitszeit ohne Zustimmung des Arbeitnehmers gerechtfertigt. Zwar genügen vage Anhaltspunkte und bloße Mutmaßungen für eine Kontrolle noch nicht. Allerdings ist auch ein dringender Verdacht einer Straftat gem. § 32 Abs. 1 Satz 2 BDSG nicht erforderlich. Vielmehr reicht es aus, wenn der Arbeitgeber zunächst auf anderem Wege konkrete Hinweise für einen Missbrauch durch den Arbeitnehmer erlangt hat und diese durch die anschließende Kontrolle validieren will (BAG, 2 AZR 395/15).
Verwertungsverbote im Prozess?
Einer Verwertung der gewonnenen Informationen bleibt auch dann zulässig, wenn der Arbeitgeber die Auswertung ohne Beteiligung des Betriebsrats gemäß § 87 Abs. 1 Nr. 6 BetrVG oder unter Verstoß gegen die Bestimmungen einer Betriebsvereinbarung durchführt. Nach der zutreffenden Auffassung des Bundesarbeitsgerichts stellt die Verletzung mitbestimmungsrechtlicher Vorgaben kein eigenständiges Verwertungsverbot dar (BAG, 2 AZR 395/16). Anders ist die Situation nur, wenn die Betriebsparteien in einer Betriebsvereinbarung ein ausdrückliches Verwertungsverbot vereinbart haben.
Einsichtnahme in den Browserverlauf
Will der Arbeitgeber unerlaubte private Internetnutzung am Arbeitsplatz überprüfen, ist er berechtigt, auch ohne Zustimmung des Arbeitnehmers den Browserverlauf des Dienst-PC auszuwerten.
Der Arbeitgeber im Falle des LAG hatte konkrete Anhaltspunkte für den Verdacht, dass der Arbeitnehmer in einem Zeitraum von zwei Monaten während seiner Arbeitszeit mindestens 40 Stunden das Internet privat genutzt hatte. Dieser Verdacht wurde durch eine Auswertung des Internetbrowsers des Computers des Arbeitnehmers bestätigt und das Arbeitsverhältnis daraufhin außerordentlich gekündigt. Der gekündigte Arbeitnehmer berief sich darauf, dass der Arbeitgeber die private Nutzung des Internets erlaubt habe.
Das LAG wies die Klage – zu Recht – ab: Zwar handelt es sich hierbei klar um personenbezogene Daten. Die Datenauswertung für die Zwecke einer Missbrauchskontrolle sei jedoch auch ohne solche Einwilligung zulässig, wenn und weil der Arbeitgeber keine andere Möglichkeit habe, den Umfang einer unerlaubten Internetnutzung nachzuweisen (LAG Berlin-Brandenburg vom 14. Januar 2016, 5 Sa 657/15 [vor dem BAG später vergleichsweise erledigt]).
Sichtung des dienstlichen Kalenders
Selbst datenschutzwidrig erlangte Informationen können im Prozess verwertbar sein, da keine notwendige Verbindung zwischen Datenschutzverstoß und Beweisverwertungsverbot besteht. Nur intensive Eingriffe in das Persönlichkeitsrecht führen zur Unverwertbarkeit. Das gilt etwa, wenn bei verbotener Privatnutzung die (heimliche) Sichtung als privat markierter Kalendereinträge im dienstlichen elektronischen Kalender erfolgt, um den Verdacht eines Arbeitszeitbetrugs aufzuklären.
Selbst wenn eine Sichtung im Beisein der Betroffenen ein milderes Mittel gewesen wäre, ist die Eingriffsintensität so gering, dass die entsprechenden Daten dennoch im Prozess verwertet werden können (LAG Rheinland-Pfalz vom 25. November 2014, 8 Sa 363/14 [Revision zugelassen, BAG 2 AZR 258/15]).
Verdeckte Videoüberwachung
Eine verdeckte Videoüberwachung von Arbeitnehmern ist zulässig, wenn zunächst der konkrete Verdacht einer strafbaren Handlung oder einer anderen schweren Verfehlung zu Lasten des Arbeitgebers besteht. Weniger einschneidende Mittel zur Sachverhaltsaufklärung müssen ausgeschöpft und die Videoüberwachung praktisch das einzige Aufklärungsmittel sein. Weiter darf die Videoüberwachung nicht unverhältnismäßig sein. Wann das BAG eine verdeckte Überwachung für zulässig hält, lesen Sie hier.
Verwertungsverbote – nur ein Problem des Arbeitgebers?
Dass die Nutzung und Verwertung von Daten nicht nur ein Problem für den Arbeitgeber darstellt, sondern auch den Betriebsrat betreffen kann, zeigt schließlich instruktiv eine Entscheidung des LAG Berlin-Brandenburg; hierzu ebenfalls unser Blog-Beitrag.
Empfehlung zur praktischen Handhabung
Arbeitgebern ist die Aufstellung verhältnismäßiger und transparenter Grundsätze über die private Internetnutzung zu empfehlen, etwa in einer IT- Nutzungsrichtlinie oder Betriebsvereinbarung. Hierzu gehören insbesondere klare Regelungen zum Privatnutzungsverbot oder zur eingeschränkten Privatnutzung außerhalb der Arbeitszeit nebst Hinweisen auf mögliche Kontrollmaßnahmen.
Zudem ist anzuraten, konkrete Anhaltspunkte für eine unzulässige Internetnutzung detailliert zu protokollieren und erst anschließend, ggf. unter Hinzuziehung des Arbeitnehmers, des Betriebsrats sowie des Datenschutzbeauftragten den Browserverlauf zu untersuchen. Hierdurch wird dokumentiert, dass der Arbeitgeber bei der Aufklärung aus begründetem Anlass und mit Augenmaß im Hinblick auf das Persönlichkeitsrecht des Arbeitnehmers vorgegangen ist.