Suche 
Das BAG hat mit einer Entscheidung vom 31. Januar 2019 (2 AZR 426/18) erneut zur Zulässigkeit von arbeitgeberseitigen Ermittlungshandlungen im Arbeitsverhältnis Stellung genommen. Nunmehr steht fest: Offene Compliance-Maßnahmen setzen nicht zwingend einen durch Tatsachen begründeten Verdacht einer Pflichtverletzung voraus. Es sind jedoch drei Untersuchungsformen zu unterscheiden, bei denen unterschiedliche Voraussetzungen für die jeweiligen Ermittlungen vorliegen müssen.
Der Sachverhalt
Die Parteien stritten um die Wirksamkeit einer ordentlichen Verdachtskündigung. Ein Arbeitnehmer wurde verdächtigt, Inhalte eines Audit-Berichts unerlaubt an Dritte weitergegeben zu haben. Deshalb sollte sein Dienst-Laptop durch die interne Revision untersucht werden. Der Arbeitnehmer händigte daraufhin seinen Rechner aus. Dabei teilte er der internen Revision mit, dass sich noch einige näher bezeichnete private Daten auf dem PC befänden. Während der computerforensischen Begutachtung der Festplatte wurde sodann eine Vielzahl von Tankbelegen entdeckt, die in einer zuvor nicht als „privat“ gekennzeichneten Datei gespeichert waren. Hieraus ergab sich aus Sicht des Arbeitgebers der dringende Verdacht, der Arbeitnehmer habe mit der ihm zur Verfügung gestellten Tankkarte nicht nur sein Dienstfahrzeug betankt, sondern verbotswidrig auch ein weiteres Privatfahrzeug. Hintergrund waren die jeweiligen Tankmengen, die das Fassungsvermögen des Tanks des Dienstwagens überschritten.
Kein Verwertungsverbot
Das BAG hatte u.a. zu entscheiden, ob die aus der Laptop-Kontrolle gewonnen Erkenntnisse über die Inhalte der Tankbelege im Kündigungsschutzprozess gegen den Arbeitnehmer verwertet werden durften. Dies hat das Gericht auf der Grundlage von § 32 Abs. 1 Satz 1 BDSG a.F. (nunmehr geregelt in § 26 Abs. 1 Satz 1 BDSG) angenommen. Dem stehe nicht entgegen, dass die Tankbelege nicht von dem ursprünglichen Verdacht „unerlaubte Weitergabe von Audit-Berichten“ abgedeckt waren. Zwar setzten besonders eingriffsintensive Maßnahmen wie eine heimliche Überwachung den Verdacht einer Straftat oder schweren Pflichtverletzung voraus (hierzu der Blog Beitrag vom 12.09.2017, Verdecke Compliance Maßnahmen im Arbeitsverhältnis- Die Eckpfeiler stehen!). Demgegenüber griffen offene Ermittlungsmaßnahmen weniger intensiv in das allgemeine Persönlichkeitsrecht des Arbeitnehmers ein. Sie könnten somit auch ohne das Vorliegen eines Anfangsverdachts gerechtfertigt sein.
Rechtfertigung der Kontrolle
Das Bemerkenswerte an der Entscheidung ist, dass das BAG zwischen mehreren Formen der (offenen) Überwachung unterscheidet, die jeweils in der Intensität ihres Eingriffs in das Persönlichkeitsrecht des Arbeitnehmers zunehmen und damit zueinander in einem Stufenverhältnis stehen. Ohne dass das BAG das Stufenverhältnis als solches bezeichnet, nennt es – je nachdem wie stark das Persönlichkeitsrecht des Arbeitnehmers durch die Ermittlungsmaßnahme betroffen ist – unterschiedliche Voraussetzungen für die Rechtfertigung des Eingriffs.
1. Stufe: Überprüfung nach abstrakten Kriterien
Auf der ersten Stufe befinden sich solche Überwachungsmaßnahmen, die zur Verhinderung von Pflichtverletzungen nach abstrakten Kriterien durchgeführt werden. Diese Maßnahmen sind gerechtfertigt, soweit sie keinen Arbeitnehmer besonders unter Verdacht stellen und keine privaten Daten des Arbeitnehmers betreffen.
Danach sind offene Compliance-Maßnahmen gegenüber solchen Arbeitnehmern gerechtfertigt, die z.B. nach einem Rotations- oder Zufallsprinzip ausgewählt worden sind. Aber auch das Festlegen eines bestimmten Ereignisses (z.B. die Kündigung des Arbeitsverhältnisses), anlässlich dessen eine Überprüfung durchgeführt werden soll, stellt ein taugliches abstraktes Kontrollkriterium dar.
2. Stufe: Kontrolle bestimmter Arbeitnehmer
Auf der zweiten Stufe stehen sodann gezielte Ermittlungsmaßnahmen gegen konkrete Arbeitnehmer, die nicht nach abstrakten Kriterien bestimmt worden sind. Solche Maßnahmen dürfen nicht aus willkürlichem Anlass erfolgen und setzen damit einen „legitimen Grund“ voraus. Dem Arbeitnehmer ist zudem durch eine Vorabinformation über die Maßnahme Gelegenheit zu geben, bestimmte Daten als „privat“ zu kennzeichnen und sie hierdurch von einer Einsichtnahme auszuschließen. Nutzt der Arbeitnehmer diese Gelegenheit nicht, darf der Arbeitgeber grundsätzlich sämtliche Daten einsehen, solange sie nicht offenkundig als privat zu erkennen sind.
Einen legitimen Grund nimmt das BAG schon an, wenn der Arbeitgeber prüfen möchte, ob der Arbeitnehmer seine arbeitsvertraglichen Pflichten vorsätzlich verletzt hat. Ein durch konkrete Tatsachen begründeter Anfangsverdacht gegen einen oder mehrere Arbeitnehmer reicht hier immer aus, ist jedoch nicht erforderlich. Es wird vielmehr auch ausreichen, wenn etwa eine Gruppe von Arbeitnehmern untersucht wird, die nach bestimmten Bewertungs- oder Gefährdungskriterien zusammengestellt ist. Bei Untersuchungen von Einzelpersonen reicht jede willkürfreie Bestimmung der untersuchten Person aus.
3. Stufe: Kontrolle der privaten Daten eines bestimmten Arbeitnehmers
Auf der dritten Stufe darf der Arbeitgeber auch private Daten des Arbeitnehmers kontrollieren, wenn hierfür ein „qualifizierter Anlass“ besteht. Zur Verdeutlichung dieses Begriffs verweist das BAG auf ein Urteil des EGMR vom 22. Februar 2018 (588/13). Darin bezieht sich der Gerichtshof auf die französische Rechtslage, wonach der Arbeitgeber „außer bei drohender Gefahr oder besonderer Umstände“ Dateien auf einem Computer nicht öffnen darf, die als persönlich gekennzeichnet sind. Die Definition ist jedenfalls für das deutsche Recht noch konturlos und bedarf daher der weiteren Konkretisierung durch die Rechtsprechung.
Fazit
Das BAG akzeptiert die Notwendigkeit von offene Ermittlungsmaßnahmen im Arbeitsverhältnis und setzt die Maßstäbe für solche Maßnahmen bewusst nicht hoch an. Damit entscheidet sich das BAG auf der Schnittstelle zwischen Compliance und Datenschutz für die Notwendigkeit von Compliance-Maßnahmen. Diese klare Entscheidung ist jedoch auf dienstliche Daten beschränkt. Private Daten genießen einen deutlich höheren Schutz, der jedoch im Detail noch konkretisiert werden muss.
