Dauerbrenner rechtlicher Diskussionen ist die Frage, in welchem Rahmen Arbeitgeber die Nutzung des dienstlichen PC überwachen dürfen. Regelmäßig geht es um die private Internet- oder E-Mail-Nutzung. Der Europäische Gerichtshof für Menschenrechte (EGMR) hat sich mittlerweile auch mit der Frage beschäftigt, wann private Dateien auf dienstlichen Computern ausgewertet werden dürfen.
Der Inhalt im Überblick
Grundsätze der Nutzung betrieblicher Arbeitsmittel
Stellt der Arbeitgeber Hardware und Software zur Verfügung, dürfen die Arbeitsmittel nur für die betriebliche Tätigkeit genutzt werden. Eine private Nutzung ist dann erlaubt, wenn sie ausdrücklich durch Arbeitsvertrag oder Betriebsvereinbarung gestattet wird. Daneben ist die „normative Kraft des Faktischen“ zu beachten: Duldet der Arbeitgeber die private Nutzung über einen längeren Zeitraum hinweg, kann eine Privatnutzung als sog. „betriebliche Übung“ ebenfalls gestattet sein.
Diese Grundsätze gelten nicht nur für die Nutzung von Internet- und E-Mail, sondern auch für die Speicherung privater Dateien auf dienstlich zur Verfügung gestellten Geräten.
Auswertung bei ausschließlich betrieblich erlaubter Nutzung
Ist die private Nutzung nicht erlaubt, richtet sich das Recht zur Einsichtnahme ausschließlich nach Datenschutzrecht (hier insbesondere § 26 BDSG). Ein Zugriff auf die Dateien des Gerätes wird zulässig sein, solange der Zugriff für die Durchführung des Arbeitsverhältnisses erforderlich ist, mithin einem schutzwürdigen betrieblichen Zweck dient.
Eine Ausnahme wird dann anzunehmen sein, wenn bestimmte Daten eindeutig privater Natur sind. Ein Zugriff auf private Dateien wird unter Berücksichtigung der allgemeinen Persönlichkeitsrechte des Arbeitnehmers nicht für die Begründung, Durchführung oder Beendigung des Arbeitsverhältnisses erforderlich sein. Ein Zugriff durch den Arbeitgeber dürfte hier nur in den engen Grenzen eines konkreten Missbrauchverdachts i.S.d. § 26 Abs.1 S.2 BDSG zulässig sein.
Auswertung bei erlaubter privater Nutzung
Hinsichtlich einer gestatteten privaten Nutzung des Arbeitsgerätes stellt sich die Rechtslage für die Speicherung privater Daten – im Gegensatz zur Auswertung von E-Mails, bei welcher den Arbeitgeber Pflichten aus dem Fernmeldegeheimnis gem. § 88 Abs. 2 S. 1 TKG treffen können – nicht wesentlich anders dar. Auch hier wird dem Arbeitgeber regelmäßig nicht die Verarbeitung von Dateien erlaubt sein, die eindeutig privater Natur sind.
Es empfiehlt sich daher in jedem Fall zu vereinbaren, private Dateien in einem klar erkenntlichen privaten Bereich zu speichern. Dies hat der EGMR in seinem Urteil vom 22. Februar 2018 nun bekräftigt.
Die EGMR-Entscheidung „Libert/France“ im Detail
Der Entscheidung des Europäischen Gerichtshof für Menschenrechte (EGMR) lag folgender Sachverhalt zugrunde:
Der Beschwerdeführer war Angestellter der staatlichen französischen Eisenbahngesellschaft. Eine interne Unternehmensrichtlinie gestattete die private Nutzung in begrenztem Umfang. Private Dateien seien dann aber als „privat“ zu kennzeichnen.
Aufgrund einer Untersuchung, ausgelöst durch eine Beschwerde eines Kollegen, wurde der Beschwerdeführer für mehrere Monate suspendiert. Als er zu seinem Arbeitsplatz zurückkehrte, stellte er fest, dass sein Arbeitsrechner inspiziert wurde. Sein Nachfolger hatte während seiner Abwesenheit auf dem Laufwerk „D:/Persönliche Daten“ im Ordner „Zum Lachen“ pornografische Dateien entdeckt und Vorgesetze darüber informiert. Der Beschwerdeführer gab an, dass ihm Unbekannte Dritte über da Intranet die Dateien auf den dienstlichen PC übertragen hätten. Er wurde schließlich entlassen.
Der EGMR hatte nun darüber zu entscheiden, ob die Einsichtnahme in die Dateien den Beschwerdeführer in seinem Recht auf Privatleben aus Art. 8 Abs.1 EMRK verletzte. Eine Besonderheit lag darin, dass Art. 8 Abs.2 EMRK die Einschränkung des Abs.1 durch eine Behörde regelt. Dies spielte hier eine Rolle, da die staatliche französische Eisenbahngesellschaft, trotz privatrechtlicher Rechtsform, als „Behörde“ i.S.d. Art. 8 Abs.2 EMRK zu behandeln war. Für die nachfolgend dargestellten datenschutzrechtlichen Erwägungen spielte dies jedoch nur eine untergeordnete Rolle.
Rechtliche Bewertung durch den EGMR
Der EGMR stellte fest, dass die Vorinstanzen zurecht darauf hingewiesen hatten, dass
- bei allen Dateien, die der Beschwerdeführer auf seinem dienstlichen Computer erstellt habe, davon auszugehen war, dass sie dienstlicher Natur waren, mit Ausnahme solcher Daten, die ausdrücklich als „privat“ gekennzeichnet wurden.
- Auch richtig festgestellt wurde, dass ein Arbeitnehmer nicht ein gesamtes Laufwerk, das für berufliche Dateien bestimmt sei, für private Zwecke nutzen könne.
- der Begriff „persönliche Daten“ sich auf Dokumente beziehen kann, die der Mitarbeiter als persönlich behandelt, die jedoch nicht eindeutig seinem Privatleben zuzuordnen seien.
- Der streitgegenständliche Datei-Ordner als „persönlich“ und nicht „privat“ gekennzeichnet war.
Was Arbeitnehmer beachten sollten
Knackpunkt der Entscheidung war die Feststellung des EGMR, dass der Arbeitgeber Dateien, die nicht eindeutig als „private Dateien“ zu erkennen sind, grundsätzlich verwerten darf. Entsprechend drehten sich die Erwägungen des Gerichts überwiegend um die Frage, ob im vorliegenden Fall die abgerufenen pornografischen Dateien als „privat“ zu erkennen gewesen waren. Nur in diesem Fall hätte das „Recht auf Privatleben“ des Arbeitnehmers als Ausfluss des Schutzes der Privatsphäre Vorrang vor dem Interesse des Arbeitgebers an der Datenerhebung gehabt.
Will ein Arbeitnehmer nicht, dass seine privaten Dateien auf dem Arbeitsrechner durch den Arbeitgeber oder Kollegen geöffnet werden, sollte er idealerweise erst gar keine privaten Dateien auf dem Gerät abspeichern. Tut er dies doch, sollte er sicherstellen, dass die Dateien eindeutig als „private Dateien“ zu erkennen sind, etwa durch die Speicherung in einem unmissverständlich bezeichneten Ordner. Der Ordner-Name „Persönlich“ dürfte nach dem EGMR nicht ausreichen. Auch könnte an eine Verschlüsselung des Ordners gedacht werden.
Doch selbst für den Fall, dass die Dateien klar erkennbar privater Natur sind, ist der Arbeitnehmer nicht vor einer Einsichtnahme durch den Arbeitgeber geschützt: Eine Einsichtnahme durch den Arbeitgeber käme etwa bei einem konkreten Verdacht einer schweren Verfehlung in Betracht.
Die entscheidende Frage ist doch die der Grenzziehung zwischen dienstlich und privat.
Glückwünsche zum Geburtstag eines Kollegen im Betrieb würde ich als dienstlich ansehen, Glückwünsche zum Geburtstag eines nicht in dem Betrieb beschäftigten Menschen hingegen als privat.
Ebenso Mails an Kollegen im Betrieb als dienstlich und Mails an Menschen, die nicht dem Betrieb angehören, als privat.
Eine Aufstellung über meine Anwesenheits- und Fehlzeiten im Betrieb ist für mich dienstlich, auch wenn es insofern „private“ Daten sind, die zwar den Vorgesetzten etwas angehen, jedoch nicht unbedingt sämtliche Kollegen.
Über das Themenfeld ließe sich ein ganzer Aufsatz schreiben.
Spannend und nicht beantwortet ist die Frage nach vertraulichen Inhalten. Zum Beispiel an bzw. zwischen dem Betriebsrat, dem Arbeitsmediziner, um nur zwei Beispiele zu nennen. Hier sind ganz spezielle schutzwürdige Belange zu beachten !!!!
Hallo,
ich denke, was auch rechtlich interessant wäre und mir immer wieder einmal passiert, ist, dass Arbeitgeber ohne Zustimmung des Arbeitnehmers private Geräte des Arbeitnehmers „nutzen“, also entweder die private E-Mail-Adresse für den Log-In zu Firmen-Apps ungefragt nutzen oder mal eben die private Mobilfunknummer „entwenden“ und auf die Visitenkarte schreiben bzw. das private Handy dann für geschäftliches genutzt wird. Ist das einfach so möglich? Der Arbeitgeber hat doch an sich nicht zu entscheiden, dass ich meine privaten Daten für das Unternehmen nutze, oder?
Soweit nicht ausnahmsweise zur Durchführung des Arbeitsverhältnisses zwingen erforderlich (etwa Rufbereitschaft) kann der Arbeitgeber bereits das Abfragen der privaten Mobilfunknummern seiner Arbeitnehmer nicht rechtfertigen, weil nicht erforderlich i.S.d § 26 Abs.1 BDSG. Ein berechtigtes Interesse hätte der Arbeitgeber wohl nur bei denjenigen Mitarbeitern, die über relevante Informationen verfügen um etwa eine IT-Systemstörung zeitnah zu beheben. Daher ist sowohl die Erhebung als auch die Übermittlung und/oder Offenbarung der privaten Handynummern und E-Mail-Adressen an Dritte durch den Arbeitgeber datenschutzrechtlich unzulässig. Grundsätzlich muss der der Arbeitgeber seine Mitarbeiter mit Arbeitsmitteln ausstatten, die sie brauchen, um ihre arbeitsvertraglichen Aufgaben erfüllen zu können. Unter solch Arbeitsmittel fällt daher auch ein dienstlich genutztes Handy, sofern für die entsprechende Aufgabe notwendig.
Wie verhält es sich wenn ein Arbeitnehmer länger krankheitsbedingt abwesend ist und der Arbeitgeber an den Rechner muss weil es der einzige Rechner mit bestimmten Programmen ist. Der Arbeitnehmer während der Krankheit aber den Kontakt verweigert. Das Passwort des Arbeitnehmers könnte zurückgesetzt werden um an die Programme zu kommen aber man hat dann auch automatisch Zugriff auf eventuell private Daten. Ist ein zurücksetzten des Passworts und somit Zugriff auf den Rechner des Mitarbeiters hinsichtlich DSGVO erlaubt. Ich habe so einen Fall gerade in unserem Unternehmen.
Hier sollte zwischen zwei Sachverhalten getrennt werden:
1. Das grundsätzliche Recht des Arbeitgebers, während der Abwesenheit eines Mitarbeiters auf das Gerät zuzugreifen:
Soweit es dem Arbeitgeber darum geht, im Falle einer Abwesenheit wegen Urlaubs oder Krankheit auf das Gerät zugreifen zu müssen, ist als erstes an eine datenschutzrechtliche Einwilligung des Betroffenen zu denken. Erst wenn diese nicht eingeholt werden kann, muss dem Arbeitgeber auch ein Zugriffsrecht ohne Einwilligung zugestanden werden (so etwa das Hessische LAG zum Zugriff auf ein E-Mail-Postfach während der Abwesenheit eines Mitarbeiters, Urteil vom 21.09.2018, Az. 10 Sa 601/18). Unabhängig hiervon ist es schon aus betrieblichen Gründen ratsam, sicherzustellen, dass der Betrieb nicht vom Vorhandensein eines Arbeitsgerätes abhängt (Schutzziel der Verfügbarkeit gem. Art. 32 Abs.1 lit. b DSGVO).
2. Der Zugriff auf eventuell private Daten des Mitarbeiters auf dem Arbeitsgerät:
Hier gelten die im Artikel beschriebenen Grundsätze: Ist für den Arbeitgeber deutlich erkennbar, dass es sich um private Daten des Mitarbeiters handelt, dürfte eine Datenerhebung weder für die Durchführung des Beschäftigungsverhältnisses erforderlich sein, noch wird der Arbeitgeber ein legitimes Interesse für die Erhebung und Auswertung anbringen können, dass gegenüber dem informationellen Selbstbestimmungsrecht des Betroffenen überwiegen dürfte.