Reingeschaut

Bahn sichtete Festplatten von Mitarbeitern“, „Airbus spähte Mitarbeiter aus“, „US-Konzern Honeywell installiert Schnüffelsoftware auf Zehntausenden Bürorechnern“ und „Lidl führte geheime Krankenakten über Mitarbeiter“ sind nur einige der zahlreichen Überschriften, die derzeit in der Presse zu lesen sind. Sie beweisen, dass es etliche Unternehmen entweder mit dem Datenschutz ihrer Arbeitnehmer nicht allzu genau nehmen oder aber, dass die geltenden Gesetze unzureichend sind.

Wohl beides ist der Fall. Deswegen hatte sich die Bundesregierung auch vorgenommen, den Arbeitnehmerdatenschutz zu reformieren und erstmalig explizite Regelungen für den Umgang mit personenbezogenen Daten der Mitarbeiter durch ihre Chefs zu erlassen.

Für Unternehmen ist Compliance ein wichtiges Stichwort, denn sie sind gesetzlich zur Korruptions- und Betrugsbekämpfung verpflichtet. Auch die unberechtigte Weitergabe von Betriebsgeheimnissen steht in ihrem Fokus. In Unternehmen mit Hunderttausenden Mitarbeitern, wie etwa der Deutschen Bahn, ist der dafür erforderliche routinemäßige Abgleich von Mitarbeiter- und Kreditorendaten nur durch automatisierte Verfahren zu bewerkstelligen. Und schon befinden sich die Unternehmen in der Zwickmühle.

Auf der einen Seite stehen die eigenen Interessen und Pflichten hinsichtlich wirksamer Compliance-Maßnahmen. Auf der anderen Seite steht der Arbeitnehmer, dessen persönlicher Bereich durch solche Maßnahmen betroffen sein kann. Wo an dieser Stelle die Grenze zwischen zulässiger und unzulässiger Verarbeitung von personenbezogenen Daten, also Daten, die persönliche oder sachliche Verhältnisse eines Mitarbeiters betreffen, verläuft, beantwortet das hierfür einschlägige Bundesdatenschutzgesetz (BDSG) nur unzureichend.

In § 28 BDSG ist geregelt, dass ein Unternehmer bei ihm vorhandene Daten zur Wahrung seiner berechtigten Interessen nutzen darf, wenn keine schutzwürdigen Interessen der Mitarbeiter überwiegen. Selbstverständlich ist die Korruptions- und Betrugsbekämpfung ein „berechtigtes Interesse“ des Unternehmens. Aber die unspezifische Überprüfung sämtlicher Daten geht auf jeden Fall zu weit.

Keine anlasslose Kollektivüberprüfung

Der Unternehmer muss sich fragen, ob er nicht bestimmte Personen von vornherein ausnehmen kann, weil bei ihnen nicht mit Korruption zu rechnen ist. Beispielsweise ist kaum nachvollziehbar, dass ein Schaffner verdächtig sein soll, auch nur den geringsten Einfluss auf die Vergabe von hohen Investitionen in Schienen oder Wagenmaterial zu nehmen – es sei denn, besondere Umstände im Einzelfall legen das nahe. Selbst wenn er manipulieren wollte, wäre hier ein pauschaler Korruptionsverdacht so fernliegend, dass seine geschäftlichen (und vielleicht sogar privaten E-Mails) oder Kontodaten nicht automatisch auf entsprechende Verdachtsmomente hin elektronisch gescannt werden dürfen.

Zudem gilt im Datenschutz der Grundsatz der Zweckbindung. Dies bedeutet, dass Daten nur zu dem Zweck verarbeitet werden dürfen, zu dem sie erhoben wurden. Ein Bahnmitarbeiter gibt seine Bankverbindung bekannt, damit der Arbeitgeber sein Gehalt überweisen kann. Zweckfremd ist es also, diese Daten für die Korruptionsbekämpfung heranzuziehen. Damit diese Regelung nicht greift, müsste schon ein konkreter Verdacht vorliegen, meinen etliche Datenschutzrechtsexperten. Der Unternehmer muss auch prüfen, ob nicht eine anonymisierte oder zumindest pseudonymisierte Überprüfung bei den Mitarbeitergruppen ausreicht, die vielleicht eher „korruptionsanfällig“ sind und andere erst gar nicht von der Überprüfung erfasst werden.

Daten Dritter, beispielsweise von Bekannten und Familienangehörigen, sind mit noch mehr Vorsicht zu behandeln, denn sie sind keine Mitarbeiter des korruptionsbekämpfenden Unternehmens. Ihre Daten liegen also nicht aufgrund eines Arbeitsvertrages vor, sondern nur rein zufällig. Andererseits möchte sich ein Vorstand oder Aufsichtsrat nicht vorhalten lassen, die Auswahl der zu überprüfenden Mitarbeiter zu stark eingegrenzt zu haben, wenn dadurch ein Täter nicht entdeckt wird. Eine verzwickte Aufgabe, die nur zu lösen ist, wenn der Gesetzgeber den Verantwortlichen hier den rechtlich erforderlichen, aber auch statthaften Weg zeigt.

Zentraler Bestandteil eines rechtlich sauberen Datenabgleichs ist in jedem Fall die rechtzeitige Einbindung und Zustimmung des Betriebsrats zu solchen Maßnahmen, wenn ein solcher existiert. Denn entweder handelt es sich beim Datenabgleich um zustimmungspflichtige Maßnahmen, weil darüber etwa eine Verhaltenskontrolle der Mitarbeiter möglich ist, oder weil der Betriebsrat allgemein die Aufgaben hat, „darüber zu wachen, dass die zugunsten der Arbeitnehmer geltenden Gesetze (…) durchgeführt werden“, wie es § 80 des Betriebsverfassungsgesetzes vorschreibt.

Auch den betrieblichen Datenschutzbeauftragten sollte ein Arbeitgeber unbedingt einbeziehen, denn seine Aufgabe ist es, die Einhaltung des Datenschutzes durch das Unternehmen sicherzustellen. In Aktiengesellschaften ist bei so bedeutenden Maßnahmen zusätzlich der Aufsichtsrat einzubinden. Wer darüber hinaus Datenschutzrechtsexperten hinzuzieht und für eine saubere Dokumentation sorgt, die im Zweifel den Aufsichtsbehörden für den Datenschutz vorgelegt werden kann, sollte sich auf der sicheren Seite befinden.

Der große Schwachpunkt des Datenschutzes in Deutschland ist, dass es gegen den Missbrauch von personenbezogenen Daten durch Arbeitgeber und andere kaum ein juristisches Mittel gibt. Überdies können sich Unternehmen einigermaßen sicher wähnen, wenn sie in diesem Bereich gegen das Gesetz verstoßen. Daher wäre es vielen Unternehmern Recht, wenn sich an dieser Stelle nichts zu ihren Ungunsten verändert.

Datenschutzverstöße selten geahndet

Zwar können betroffene Mitarbeiter bereits jetzt auf Schadensersatz klagen, diese Möglichkeit sieht das BDSG ausdrücklich vor. Dafür müsste ihnen aber zunächst ein finanziell messbarer Schaden entstanden sein. Auch ein Schmerzensgeldanspruch scheidet in der Regel mangels „Schmerzen“ aus. Und strafbar sind datenschutzrechtliche Verstöße in diesem Bereich ebenso wenig; allenfalls bewegt man sich hier im Bereich von Bußgeldern. Dass diese wegen Vergehen gegen das Datenschutzrecht nur äußerst selten verhängt werden, ist kein Geheimnis. Und wenn, dann meist nur gegen das Unternehmen, nicht aber die persönlich Verantwortlichen. Bleibt also der Imageschaden durch schlechte Presse, wie die eingangs erwähnten Unternehmen derzeit erfahren müssen.

Neben dem Kontodatenabgleich ist für Unternehmen häufig von Interesse, mit wem Mitarbeiter auf Geschäftskosten telefonieren, wo und wie lange sie im Web surfen und welche Inhalte die vom Firmenaccount verschickten E-Mails haben. Auch hier ist eine pauschale Abgrenzung zulässiger Überwachung von unzulässigen Eingriffen in die Rechte der Arbeitnehmer schwierig.

Entscheidend ist, ob der Arbeitgeber die private Mitbenutzung von Telefon, E-Mail und Internet gestattet hat oder nicht. Denn private Nachrichten gehen den Arbeitgeber nichts an. Ist die private Nutzung erlaubt, muss der Arbeitnehmer streng genommen jedes Mal um Erlaubnis gebeten werden, wenn man ihn überprüfen will. Dass dies aus der Sicht des Arbeitgebers nicht zielführend ist, liegt auf der Hand.

Unternehmen sind also gut beraten, eine private Nutzung entweder nicht zu gestatten oder genauen Regeln zu unterwerfen. So kann etwa eine private Mitnutzung unter der Bedingung erlaubt werden, dass der Arbeitnehmer aus Compliance-Gründen mit stichprobenartigen Überprüfungen einverstanden ist. Dabei muss der Arbeitgeber aber strikt darauf achten, dass er keine private Nachrichten zur Kenntnis nimmt. Bemerkt er, dass er private Informationen überprüft, muss er die Maßnahmen sofort einstellen. Überwacht werden darf nur bei konkreten Verdachtsmomenten. Selbst dann gilt aber, dass der Betriebsrat – wenn vorhanden – zustimmen muss.

Für Telefonate gilt, dass Informationen darüber, wie lange der Mitarbeiter mit wem telefoniert hat, nur kontrolliert werden dürfen, wenn entweder der Arbeitsvertrag oder eine Betriebsvereinbarung das vorsieht. Private Inhalte sind auch in diesen Fällen ausgenommen, wenn der Mitarbeiter einen wichtigen Grund für sein privates Telefonat hatte. Denn er kann sich auf das Fernmeldegeheimnis und das allgemeine Persönlichkeitsrecht stützen, also verfassungsmäßig garantierte Rechte. Ähnliches gilt bei der Einrichtung von Überwachungskameras. Überdies müssen die Mitarbeiter – außer in schwerwiegenden Einzelfällen – über das Vorhandensein der Kamera informiert sein. Schließlich muss der Betriebsrat solchen Maßnahmen zustimmen.

Einen rechtlichen Unterschied macht es, wenn ein Unternehmen den Mitarbeitern das Versenden privater E-Mails vom Geschäftsaccount gestattet und solche E-Mails entweder abfängt oder aber erst kontrolliert, wenn sie auf dem Mitarbeiter-PC nach Abschluss des Übertragungsvorgangs gespeichert werden. Ein Unternehmen, das private E-Mail-Nutzung gestattet, ist nach Meinung vieler Juristen ein „Anbieter von Telekommunikationsleistungen“ und als solcher an das im Telekommunikationsgesetz geregelte Fernmeldegeheimnis gebunden. Dieses gilt aber nur, solange der Telekommunikationsvorgang noch nicht abgeschlossen ist, die E-Mail also noch nicht im Posteingang des Mitarbeiters liegt. Überprüft der Arbeitgeber bereits vorher, macht er sich strafbar. Überprüft er erst anschließend, verletzt er „nur“ noch das Datenschutzrecht, das hierfür keine Straftatbestände vorsieht. Höchstrichterliche Rechtsprechung zu diesen Themenkomplexen fehlt in Deutschland leider noch.

Orientiert man sich hier an den Urteilen und Regelungen für die Telefonüberwachung, dürfte auch E-Mail nur stichprobenartig auf die Einhaltung von Verboten privater Nutzung kontrolliert werden. Bei eindeutig geschäftlichen E-Mails darf der Arbeitgeber aber – außer dem Inhalt der E-Mail selbst – jede Information speichern und verarbeiten. Dies betrifft beispielsweise Datum, Absender und Adressat. Die inhaltliche Kontrolle ist unter Juristen auch bei geschäftlichen E-Mails umstritten. Die „juristische Wahrheit“ dürfte sich zwischen totalem Verbot, analog dem Verbot des Abhörens von (geschäftlichen) Telefonaten, und voller Freigabe der Kontrolle bewegen, wie dies für Geschäftspost überwiegend anerkannt ist.

Risiko des Ausspähens von Privatem

Wenn allerdings die private Mitnutzung erlaubt ist, wird diese Grauzone noch grauer. Woran soll der Arbeitgeber erkennen, ob es sich um Privates oder Geschäftliches handelt? Einige Juristen ziehen daraus den Schluss, dass der Unternehmer eben überhaupt nichts kontrollieren darf, auch die geschäftlichen Mails nicht, weil das Risiko des Ausspähens von Privatem zu hoch ist. Andere wiederum gestatten die Kontrolle, verpflichten den Unternehmer aber, die Überprüfung sofort abzubrechen, wenn erkennbar wird, dass private Inhalte betroffen sein können. Klarer Regelungsbedarf also für ein Arbeitnehmerdatenschutzgesetz.

Der Fall Honeywell schließlich wirft die Frage auf, unter welchen Voraussetzungen Schnüffelsoftware auf Firmen-PCs installiert und ausgeführt werden darf. Das Programm ist in der Lage, unbemerkt die komplette Festplatte zu kopieren, E-Mails zu scannen, Internetverbindungen zu protokollieren et cetera. Außerdem kann sie gelöschte Daten wiederherstellen.

Ein solcher Einsatz kann nur gestattet sein, wenn die private E-Mail- und Internetnutzung untersagt ist. Aus diesem Grund hat Honeywell Deutschland eine entsprechende Betriebsvereinbarung zwischenzeitlich aufgekündigt. In diesem Fall ist zwingend der Betriebsrat einzubinden, denn es liegt ein klarer Fall (potenzieller) Verhaltenskontrolle vor. Der Fall wird derzeit in Offenbach verhandelt.

Fazit

Um den Arbeitnehmerdatenschutz ist es in Deutschland nicht zum Besten bestellt. Dies liegt nicht zuletzt daran, dass die bestehenden Gesetze nur unzureichend einen für Arbeitnehmer und Arbeitgeber angemessenen Interessenausgleich schaffen. Viele Arbeitgeber sind angesichts der von Politik und Gesellschaft geforderten Vermeidung und Aufklärung von Korruption unsicher, wie sie dies ohne verbindliche Datenschutzregelungen bewerkstelligen sollen. Der Hinweis, dass es nach geltender Rechtslage einer Interessenabwägung bedarf, hilft dabei wenig.

Trotzdem sollte klar sein, dass sich die systematische Durchforstung von Hunderttausenden von E-Mails der eigenen Mitarbeiter ganz sicher am Rande des Zulässigen, wenn nicht sogar im Bereich des Rechtswidrigen bewegt. Noch deutlicher im roten Bereich befindet sich derjenige, der systematisch die Krankendaten seiner Mitarbeiter protokolliert und auswertet.

Bis der Arbeitnehmerdatenschutz gesetzlich neu geregelt ist, müssen Arbeitgeber mit den alten Regelungen vorlieb nehmen – was nicht zwingend schlechter sein muss, denn in juristischen Grauzonen lässt sich gelegentlich besser argumentieren. Interessant ist in diesem Zusammenhang ein Urteil des Bundesverfassungsgerichts vom April 2009 (Az. 2 BvR 1372/07, 2 BvR 1745/07). In ihrer Entscheidung bestritten die Karlsruher Richter einen Eingriff in das Grundrecht auf informationelle Selbstbestimmung durch maschinelle Durchsuchung größerer Datenbestände nach bestimmten Kriterien. Zwar ging es dort um den Kreditkartennummernabgleich zum Aufspüren von Käufern kinderpornografischer Bilder, also eine schwerwiegende Straftat. Aufschlussreich ist das Urteil aber auch hinsichtlich des Arbeitnehmerdatenschutzes – etwa für den Fall Deutsche Bahn.

Denn die Richter argumentierten, dass ein Grundrechtseingriff nur dann vorliegt, wenn die Daten auch „zur Kenntnis genommen“ werden, nicht aber, wenn die „Daten anonym und spurenlos“ aus der (maschinellen) Suche ausgeschlossen werden. Filtert also „nur“ eine Maschine Daten aus, nicht aber ein Mensch, ist der Eingriff für den Betroffenen entweder gar nicht vorhanden oder nur gering. Die Argumentation der Bahn, dass es sich um einen automatischen Abgleich mithilfe eines Computerprogramms gehandelt hat, würde genau passen. Angesichts der Skandale der letzten Zeit dürfte dennoch etwas Zurückhaltung angesagt sein, will man sein Unternehmen nicht in den Schlagzeilen wiederfinden.

Topbias Haar, LL.M., ist Syndikusanwalt und Rechtsanwalt mit Schwerpunkt IT-Recht. (gs)