Der Europäische Gerichtshof für Menschenrechte (EGMR) hat gestern ein Urteil mit hoher Relevanz für Unternehmen veröffentlicht. Konkret ging es um die Frage, ob ein Arbeitgeber bei einem bestehenden Verbot der privaten Internetnutzung berechtigt ist, die Nutzung des Anschlusses zu überwachen. Das Urteil hat erhebliche praktische Auswirkungen auch in Deutschland.
Der Inhalt im Überblick
Private Nutzung des dienstlichen Internetanschlusses – ein Dauerbrenner
Das Urteil des EGMR vom 05.09.2017 – Application no. 61496/08 betrifft einen datenschutzrechtlichen Dauerbrenner: die Einsichts- bzw. Kontrollmöglichkeiten des Arbeitgebers in die Nutzung des dienstlichen Internetanschlusses. Sofern eine private Nutzung des Internets oder des dienstlichen E-Mail-Accounts stattfindet, kollidieren erhebliche Interessen von Mitarbeitern und Unternehmen. Auf Seiten des Mitarbeiters stehen dabei Grundrechte z.B. aus Art. 10 GG oder auch Art. 8 EMRK. Demgegenüber stehen die Interessen – und zudem gesetzliche Aufbewahrungspflichten – des Arbeitgebers, der ein legitimes Interesse am pflichtgemäßen Umgang mit den grundsätzlich zur Erfüllung der Arbeitspflichten bereitgestellten Arbeitsmitteln hat.
Dieses Spannungsfeld entsteht insbesondere dann, wenn – wie in vielen Unternehmen immer noch der Fall – überhaupt keine Regelungen zur privaten Nutzung des Internetanschlusses und/oder des geschäftlichen E-Mail-Accounts getroffen wurden. Nach der im Datenschutzrecht herrschenden Meinung duldet der Arbeitgeber in diesem Fall auch eine private Nutzung mit der Konsequenz, dass ein Zugriff auf den dienstlichen E-Mail-Account ohne explizite Einwilligung mit erheblichen rechtlichen Konsequenzen behaftet ist und hiervon nur abgeraten werden kann. Gleiches gilt für die sonstige Kontrolle der Nutzung des dienstlichen Internetzuganges ohne explizite Einwilligung des Mitarbeiters. Ist die private Nutzung des Internetanschlusses nicht ausdrücklich verboten und wird dieses Verbot zudem nicht auch kontrolliert, ist eine Kontrolle z.B. des Besuches von Webseiten ebenfalls ohne explizite Einwilligung des Mitarbeiters rechtlich sehr problematisch.
Aus Sicht des Arbeitgebers verschärft das gestrige Urteil des EGMR die Problematik weiter, denn selbst bei einem ausdrücklichen Verbot der privaten Nutzung des Internetanschlusses und der Bekanntmachung der Überwachung dieses Verbots soll eine Kontrolle unter gewissen Umständen unwirksam sein.
Kündigung wegen privater Nutzung des Yahoo-Messengers
Dem Urteil des EGMR liegt ein Sachverhalt aus dem 2007 zu Grunde. Ein rumänischer Staatsangehöriger und Kläger in dem Verfahren hatte damals an seinem Arbeitsplatz den Yahoo-Messenger nicht nur zur Kommunikation mit Kunden seines Arbeitergebers, sondern auch zur privaten Kommunikation mit seinem Bruder und seiner Verlobten genutzt. In dem Unternehmen war die private Nutzung des Internetanschlusses strikt verboten. Zudem war in unmittelbarer zeitlicher Nähe zum fraglichen Zeitraum seitens des Unternehmens nochmals ausdrücklich auf das Verbot hingewiesen worden. Es wurde zudem darauf verwiesen, dass kürzlich eine Mitarbeiterin wegen eines Verstoßes entlassen worden war und das Verbot weiterhin kontrolliert werden würde. Der Kläger hatte zudem schriftlich bestätigt, dass ihm das Verbot bekannt war.
Trotzdem führte er über den Yahoo-Messenger während der Arbeitszeit private Gespräche mit seiner Verlobten und seinem Bruder. Gegenstand der Chats sollen auch intime Informationen zum Sexualleben des Klägers gewesen sein.
Der Arbeitgeber zeichnete die Chatverläufe auf und kündigte dem Arbeitnehmer nachdem die privaten Gespräche bemerkt worden waren. Eine Kündigungsschutzklage des Arbeitnehmers war vor den rumänischen Arbeitsgerichten gescheitert.
EGMR: Informationen zur Überwachung des Klägers möglicherweise unzureichend
Erfolg hingegen hatte die Klage vor dem EGMR. Der Europäische Gerichtshof für Menschenrechte befand, dass die Überwachung bzw. Aufzeichnung der Kommunikation den Klägern in seinen Rechten aus Art. 8 EMRK verletzt habe. Die rumänischen Arbeitsgerichte hätten bei der Ablehnung der Kündigungsschutzklage nicht ausreichend festgestellt, ob der Kläger vorab nicht nur generell über Kontrollen informiert worden war, sondern auch ausdrücklich darüber, dass auch seine Kommunikation über den Yahoo-Messenger aufgezeichnet wird. Weiter fehle es an der Feststellung, ob das Kläger über das Ausmaß der Überwachung und die Intensität des Eingriffs in seine Rechte informiert worden sei. Auch das Fehlen weiterer Feststellungen durch die rumänischen Gerichte bemängelte der EGMR.
Auswirkungen des Urteils für Unternehmen
Das Urteil hat in der Praxis erhebliche Auswirkungen für Unternehmen. Wie eingangs dargestellt bestehen für Unternehmen erhebliche datenschutzrechtliche Schwierigkeiten, wenn die private Nutzung des geschäftlichen Internetanschlusses erlaubt oder gar nicht geregelt ist. In diesem Fall ist z.B. der Zugriff auf das geschäftliche E-Mail-Postfach bei einer Abwesenheit des Mitarbeiters ohne dessen Einwilligung rechtlich höchst bedenklich. Dies ist insbesondere deshalb problematisch, weil Unternehmen bzgl. Geschäftsunterlagen nach dem HGB und der AO eine gesetzliche Aufbewahrungspflicht trifft. Da Geschäftsunterlagen auch z.B. in einer E-Mail-Korrespondenz bestehen können, stehen eine ganze Reihe von Unternehmen vor dem Problem, dass ein E-Mail-Account ggfls. archiviert wurde, aber ein Zugriff aufgrund von datenschutzrechtlichen Vorgaben und einer möglichen Verletzung des Telekommunikationsgeheimnisses faktisch unmöglich wird. Dies jedenfalls dann, wenn der Mitarbeiter hierzu nicht explizit sein Einverständnis erklärt hat.
Insbesondere um diese Problematik zu vermeiden, ist es aus Unternehmenssicht der einzig rechtsichere Weg jedenfalls die private Nutzung des geschäftlichen E-Mail-Accounts generell zu untersagen und das Verbot zu kontrollieren. Da die Grundsätze der dargestellten EGMR-Entscheidung sicherlich auch auf den E-Mail-Verkehr anzuwenden sind, sollten zudem eingesetzte Kontrollmaßnahmen vorab detailliert den Mitarbeitern dargestellt werden. Dabei ist auch darauf zu achten, dass mitgeteilt wird, ob und in welchem Ausmaß Kommunikationsinhalte zur Kenntnis genommen werden können.
Soll weiter auch ein Zugriff auf den Browserverlauf durch den Arbeitgeber oder andere – auch nur technische – Kontrollen der Nutzung des Internetanschlusses möglich sein, gilt das Vorangestellte entsprechend.
Dient das Urteil dem Datenschutz wirklich?
Als Medien- und Datenschutzrechtler habe ich viele gut begründete und nachvollziehbare Urteile gelesen. Das vorliegende Urteil des EGMR ist anders. Meine Einschätzung beruht dabei nicht nur auf der komplizierten Begründung des Urteils, die juristische Fragen aufwirft um ihnen nachher selbst wieder auszuweichen oder juristischen Gegenargumenten. Vielmehr wird aus meiner Sicht in der gesamten Problemstellung die Unternehmenssicht nicht ausreichend gewürdigt. Ich bin zwar ein großer Verfechter von Persönlichkeitsrechten, aber es ist vorliegend doch so, dass es um die Nutzung von Arbeitsmitteln geht, die der Arbeitgeber zur Erfüllung der Arbeitspflichten zur Verfügung stellt. Im Grundsatz ist es daher eine Selbstverständlichkeit, dass diese Arbeitsmittel nur für geschäftliche Zwecke genutzt werden dürfen. Es bedarf daher nicht eines expliziten Verbots der privaten Nutzung, sondern im Gegenteil einer expliziten Erlaubnis der privaten Nutzung. Liegt eine solche explizite Gestattung nicht vor, sollte eine Vermutung zu Gunsten einer ausschließlich geschäftlichen Nutzung gelten. Die derzeit herrschende gegenteilige Auffassung, die nicht nur ein Verbot, sondern zudem die Kontrollen dieses Verbots verlangt, degradiert m.E. Arbeitnehmer zu „Kindergartenkindern“ denen man unterstellt, dass Verbote nicht immer eingehalten werden.
Das vorliegende Urteil verschärft diesen einseitigen und letztlich auch unangemessenen Schutz von Arbeitnehmern noch zusätzlich. Es muss nicht nur ein Verbot und eine Kontrolle erfolgen, sondern zudem auch eine explizite und umfassende Aufklärung über die Kontrollmaßnahmen im Einzelnen. Anderenfalls läuft der Arbeitgeber Gefahr, dass die Kontrolle unrechtmäßig erfolgt. Eine solche Ausdehnung des Persönlichkeitsschutzes am Arbeitsplatz ist m.E. sicherlich nicht geeignet die Akzeptanz des Datenschutzes zu erhöhen. Dies bestätigt auch meine Erfahrung als Datenschutzbeauftragter. Ich kenne kein Unternehmen in dem nicht einerseits der Arbeitgeber generell kein Problem damit hätte, wenn die Arbeitnehmer den Internetanschluss gelegentlich privat nutzen. Umgekehrt zeigen die Arbeitnehmer und auch der Betriebsrat stets ebenfalls großes Verständnis dafür, dass der Arbeitgeber zur Wahrung seiner gesetzlichen Pflichten Zugriff z.B. auf den geschäftlichen E-Mail-Account nehmen können muss. Dies zeigt, dass in der Praxis eine Interessenkollision grundsätzlich gar nicht wahrgenommen wird und der gesamte Problemkreis der rechtlichen Ausgestaltung geschuldet ist.
M.E. wäre es daher deutlich besser gewesen, wenn der Europäische Gerichtshof für Menschenrechte mit der vorliegenden Entscheidung die Ausgangslage nicht noch verschärft hätte, sondern insgesamt der Meinung der abweichenden Richter gefolgt wären. Die Entscheidung ist mit 11 zu 6 Stimmen gefällt worden und die abweichenden Richter haben in ihrer Begründung aus meiner Sicht sehr zutreffend festgestellt, dass bereits schon Schwierigkeiten bestehen, zu erkennen, warum der Kläger in der vorliegenden Konstellation überhaupt eine vernünftige Erwartung bzgl. des Schutz seiner Privatsphäre; also der vorliegenden privaten Kommunikation haben konnte.
Es wäre wünschenswert, wenn der Gesetzgeber sich endlich entschließen könnte, den gesamten Problemkreis abschließend zu regeln und die bestehenden Unsicherheiten und aus meiner Sicht unverhältnismäßige Gewichtung von Interessen zu beseitigen.
„die abweichenden Richter haben in Ihrer Begründung aus meiner Sicht sehr zutreffend festgestellt,“ – in *meiner* Begründung? Wusste ich gar nicht… :-)
:) Vielen Dank. Ist geändert.
Ihrem Statement ist nichts aber auch gar nichts hinzuzufügen.
Ich bin hier vollkommen ihrer Meinung.
Als Datenschutzbeauftragter bin ich entsetzt über das EGMR- Urteil! Dies bedeutet eine absolute Diskriminierung von Arbeitgeberrechten! Wo soll das noch hinführen? Ich empfehle absoluten Widerstand dagegen und die Forderung nach Aufhebung dieses Schandurteils!
Haha, was haben wir gelacht. Ironie bitte in Zukunft gesondert kennlich machen. Besten Dank.
… die Kontrolle von Arbeitnehmern bzw. deren Verhalten durch Auswertung von Programmen wie Yahoo-Messenger bzw. derer Logfiles, ist eine Verarbeitung von personenbezogenen Daten.
Datenschutz bedeutet, dass eine solche Auswertung nur zulässig ist, wenn es eine entsprechende Ermächtigungssgrundlage gibt.
Das ergibt sich auch aus der im Mai 2018 in Kraft tretenden DSGVO.
Eine Ermächtigungsgrundlage kann ich in dem Sachverhalt des EGMR nicht erkennen.
Allein vor diesem Hintergrund ist das Vorgehen des Arbeitgebers datenschutzrechtlich nicht zulässig.
Als Verfechter von Persönlichkeitsrechten sollte dem Verfasser das bekannt sein.
@Stefan
Bemerken Sie den grundlegenden Fehler in Ihrer Argumentation selbst oder muss man Ihre Nase drauf drücken?
Sie sprechen von einem Gesetz, was zum Zeitpunkt Ihres Kommentars noch lange nicht gültig war und zudem zum Zeitpunkt des Vorfalls an dieses Gesetz noch nicht einmal zu denken war. Ihre gesamte Argumentation ist hinfällig.
Und die Ermächtigungsgrundlage lag de facto dadurch vor, dass der Arbeitnehmer SCHRIFTLICH das Verbot und die Kontrolle zur Kenntnis genommen und damit akzeptiert hat.