Beschäf­tig­ten­schutz - 25. August 2016

Vorsicht, Falle!

Bei der privaten Nutzung von Internet, Telefon und E-Mail am Ar­beits­platz sind nicht nur arbeits­recht­liche Aspekte zu beachten. Auch in puncto Daten­schutz handelt es sich hierbei um ein hoch­sen­sibles Thema.

Die private Nutzung von Internet, Telefon und E-Mail wird erst seit jüngerer Zeit unter datenschutzrechtlichen Aspekten in die strategische Betrachtung einbezogen. Lange Zeit erfolgte eine Befassung mit diesem Thema punktuell erst dann, wenn auf E-Mails von Beschäftigten zugegriffen werden sollte, aber der Arbeitgeber sich nicht sicher war in Bezug auf die Zulässigkeit. Häufig kam es dann zu einem bösen Erwachen.

Was gilt datenschutzrechtlich?

Ist die Privatnutzung von Internet, Telefon und/oder E-Mail durch den Arbeitgeber gestattet oder im Rahmen einer betrieblichen Übung geduldet, dann ist der Arbeitgeber in Bezug auf die Nutzung seiner Mitarbeiter Diensteanbieter im Sinne des Telekommunikationsgesetzes (TKG). Die einschneidenste Konsequenz für den Arbeitgeber ist dann, dass er das Telekommunikationsgeheimnis nach § 88 TKG zu beachten hat. Das bedeutet, dass er grundsätzlich weder vom Inhalt noch von den näheren Umständen (insbesondere Verkehrsdaten) der Telekommunikation Kenntnis nehmen darf. In den Datenschutzbestimmungen des TKG sind Ausnahmen insbesondere in Bezug auf Verkehrsdaten geregelt, soweit das zur Erbringung oder Abrechnung des Telekommunikationsdienstes erforderlich ist. Das ist deshalb so einschneidend, weil ein Verstoß dagegen einen Verstoß gegen § 206 Strafgesetzbuch (StGB) darstellt und strafbar ist.

Strittige Rechtslage

Ist die Anwendung des Telekommunikationsgeheimnisses bei Privatnutzung umstritten? Ja, das ist es. Insbesondere zwei Landesarbeitsgerichte sowie Stimmen in der Fachliteratur haben versucht, Argumente zu finden, warum das Telekommunikationsgesetz nicht anwendbar sei. Ein Teil der Rechtsprechung, die überwiegende Literatur zum TKG und die Datenschutzaufsichtsbehörden sind jedoch der eingangs genannten Ansicht. Für diese Ansicht sprechen insbesondere zwei Aspekte – das ist das Ergebnis der konsequenten Anwendung der Definitionen des TKG. Das Schutzbedürfnis des Betroffenen ist in Bezug auf die private Kommunikation nicht geringer als bei einem sonstigen klassischen TK-Anbieter. Für den Arbeitgeber hat das erhebliche Konsequenzen: Er kann bei Maßnahmen der IT-Sicherheit eingeschränkt sein, weil auch eine Malware-Filterung häufig auf den Inhalt der Kommunikation zugreift. Er ist eingeschränkt bei Archivierungslösungen beispielsweise bei E-Mails. Konstellationen der plötzlichen Erkrankung, des plötzlichen Ausscheidens oder gar des Verdachts krimineller Aktivitäten eines Beschäftigten können den Zugriff auf E-Mails oder Internetnutzung erforderlich machen, aber die Rechtslage ist dann nicht klar.

Gestattung der Privatnutzung

Will der Arbeitgeber einerseits die Privatnutzung nicht verbieten, aber andererseits auch nicht benachteiligt sein, dann besteht die Lösung in einer aktiven Gestaltung der Privatnutzung. Es gilt bei der Gestattung kein Alles-oder-nichts-Prinzip. Denn die Privatnutzung muss nicht bedingungslos gestattet werden. Die Gestattung der Privatnutzung kann von der Einwilligung des Beschäftigten in bestimmte Aktivitäten des Arbeitgebers abhängig gemacht werden. Für eine solche Einwilligung gelten die datenschutz- und strafrechtlichen Anforderungen an eine Einwilligung.
Das Wichtigste ist: Die Einwilligung gestattet nur, was sie für den betroffenen Beschäftigten transparent regelt. Nicht mehr, aber auch nicht weniger. Die Einwilligung sollte daher nicht in einer Hauruckaktion entworfen werden, sondern aktuelle und sich abzeichnende Bedürfnisse abdecken. In der Praxis erfolgt gerade bei Einwilligungen im Beschäftigungsverhältnis auch eine Angemessenheitsprüfung der Einwilligung. Es sollte beim Ausmaß des Gestatteten der Bogen nicht überspannt werden.
Die Einwilligung muss freiwillig erteilt werden. Gerade im Beschäftigungsverhältnis ist es fraglich, ob ein Mitarbeiter sich wirklich frei entscheiden kann. Überwiegend wird zwischenzeitlich die Ansicht vertreten, dass die Freiwilligkeit bei angemessenen Eingriffen bei einer gestatteten Privatnutzung gegeben ist. Wenn ein Betriebsrat vorhanden ist, dann sollte die Privatnutzung in einer Betriebsvereinbarung geregelt sein, in welcher auch die Ausgestaltung der Einwilligung des jeweiligen Beschäftigten geregelt wird. Diese Betriebsvereinbarung hat dann insbesondere zwei Inhalte: 1. Regelung des Rahmens einer privaten Nutzung und der Zugriffsbefugnisse des Arbeitgebers. 2. Eckpunkte oder sogar ein Muster der Einwilligung des jeweils Nutzenden. Die Mitbestimmungspflichtigkeit nach dem Betriebsverfassungsgesetz darf natürlich in keinem Fall vergessen werden. Denn die Maßnahmen sind typischerweise auch zur Mitarbeiterkontrolle geeignet.

Ausschluss der Privatnutzung

Keinesfalls genügt es, pro forma die Privatnutzung zu verbieten und dann bewusst die Augen vor der Realität zu verschließen.

Eine Alternative zur Vermeidung der rechtlichen Probleme besteht natürlich darin, die Privatnutzung gänzlich zu verbieten. Das muss dann aber konsequent durchgesetzt werden. Damit ist zwar nicht gemeint, dass anlasslos Kontrollen durchgeführt werden müssen, ob eine Privatnutzung unterbleibt, aber der Arbeitgeber muss reagieren und das Verbot durchsetzen, wenn er von einer Missachtung Kenntnis erlangt. Keinesfalls genügt es, die Privatnutzung pro forma zu verbieten und dann bewusst die Augen vor der Realität zu verschließen. Das führt jedenfalls mit der Zeit zu einer geduldeten Privatnutzung, die im vorliegenden Kontext wie eine gestattete Privatnutzung wirkt.

Restunsicherheit bei Interessenabwägung

Ein Ausschluss der Privatnutzung führt allerdings nicht dazu, dass die Daten vogelfrei wären. Typischerweise wird es sich um personenbezogene Daten handeln, und damit kommen die allgemeinen Datenschutzbestimmungen zum Schutz des Betroffenen zur Anwendung. Diese allgemeinen Datenschutzbestimmungen eröffnen allerdings eine Alternative zur Einwilligung: Die gesetzlichen Zulässigkeitsregelungen (insbesondere §§ 32, 28 Bundesdatenschutzgesetz – BDSG; es ist allerdings umstritten, ob § 28 BDSG neben § 32 BDSG zur Anwendung kommen kann). Denn diese stellen – vereinfacht gesagt – für die Frage der Zulässigkeit auf eine Interessenabwägung ab. Das bedeutet, dass für die Frage, ob etwa der Zugriff wegen unerwarteter Krankheit beziehungsweise die Archivierung von E-Mails zulässig ist, eine Abwägung der Interessen des Arbeitgebers gegen die Interessen des betroffenen Beschäftigten erfolgen muss. Nicht verheimlicht werden darf aber, dass eine Interessenabwägung zugunsten der Zulässigkeit zwar leichter erscheint als das Einholen einer Einwilligung. Der Nachteil der Interessenabwägung ist aber, dass ihr stets eine Restunsicherheit anhaftet, ob das Ergebnis zutreffend ist; zudem stellt sie eine Momentaufnahme dar und die Gewichtung kann sich im Laufe der Zeit verändern. In der Praxis entsteht daher häufig das Gefühl, die gesetzlichen Regelungen mit Interessenabwägung sind nicht so stabil wie die Einwilligung.

Differenzierung möglich

Die Nutzung von Internet, E-Mail und Telefon muss nicht einheitlich geregelt sein. Beispielsweise bietet es sich an, die Privatnutzung von E-Mail zu verbieten, aber die private Nutzung von Internet unter klar geregelten Bedingungen und in klar definiertem Rahmen zuzulassen.

Mehr DAZU

MEHR DAZU

Bei Fragen zu Datenschutz und IT-Sicherheit berät Sie DATEV-Consulting.

Weitere Informationen unter: www.datev.de/consulting

Hinweise zu einem umfassenden IT-Sicherheitsmanagement unter www.datev.de im Top-Thema „Kommunikationswege im digitalen Wandel“

Zum Autor

JE
Dr. Jens Eckhardt

Rechtsanwalt und Fachanwalt für IT-Recht, Datenschutz-Auditor (TÜV), Compliance Officer (TÜV) und IT-Compliance Manager (TÜV) in der Kanzlei Eckhardt Rechtsanwälte Partnerschaft mbB in Düsseldorf

Weitere Artikel des Autors