DA+

Aufsatz : Datenschutzgerechte Nutzung von Informations- und Kommunikationstechnik im Unternehmen : aus der RDV 4/2015, Seite 171 bis 180

Aufsichtsbehördliche Positionen zur IuK-Nutzung und ihrer Kontrolle am Arbeitsplatz

Lesezeit 34 Min.

Kaum eine Thematik betrifft so viele Beschäftigte an ihrem Arbeitsplatz wie die Nutzung – und Kontrolle! – betrieblicher Informations- und Kommunikationstechnik (IuK). Arbeitgeber, deren Beschäftigte IuK gleichermaßen zu betrieblichen oder privaten Zwecken nutzen, erheben und verarbeiten dabei personenbezogene Daten der Beschäftigten selbst sowie ihrer innerund außerbetrieblichen Kommunikationspartner. Dabei haben die Arbeitgeber datenschutzrechtliche Anforderungen zu beachten, die sich je nach Kommunikationszweck, -partner und -mittel unterscheiden und insbesondere davon abhängen, ob den Beschäftigten neben der betrieblichen auch die private Nutzung der betrieblichen IuK ganz oder teilweise am Arbeitsplatz gestattet ist.

In der Praxis herrscht auf Grund der Vielfältigkeit der Nutzungs- und Überwachungsmöglichkeiten einerseits und der Differenziertheit der Rechtslage andererseits erhebliche Unsicherheit. Die Aufsichtsbehörden für den Datenschutz treffen regelmäßig auf Unternehmen, die trotz ihres Bemühens um faire und akzeptable Nutzungsbedingungen für die betriebliche IuK gravierende, teilweise sogar strafrechtlich relevante Fehler begehen. Andererseits kennen viele Beschäftigte häufig nicht die Grenzen zulässiger Nutzungen und fühlen sich verunsichert; auch Betriebsräte suchen immer häufiger den Rat der Aufsichtsbehörde.

Die dabei ausgesprochenen Empfehlungen der jeweiligen Datenschutzbehörden sind zwar differenziert, lassen sich aber in vielen Bereichen zusammenführen. Zwar bleibt die Vorlage einer einheitlichen und übergreifenden Orientierungshilfe aller Aufsichtsbehörden weiter ein Desiderat, eine überblicksartige Zusammenstellung der wesentlichen Aspekte der IuK-Nutzung und -Kontrolle am Arbeitsplatz ist aber schon jetzt möglich.

I. Zur Rechtslage

1. Zur Erhebung, Verarbeitung und Nutzung personenbezogener IuK-Daten

Im Betrieb wird den Beschäftigten heute standardmäßig an ihrem Arbeitsplatz Informations- und Kommunikationstechnik (IuK) wie Telefon, E-Mail und Internetzugang zur Nutzung bereit gestellt. Arbeitgeber, deren Beschäftigte IuK (zu betrieb lichen oder privaten Zwecken) nutzen, erheben und verarbeiten dabei Daten der Beschäftigten selbst sowie ihrer inner- und außerbetrieblichen Kommunikationspartner und weiterer Betroffener. Diese Daten werden – abgesehen von den Sonderfällen betrieblicher Geheimnisträger (z.B. Betriebsrat, Betriebsarzt, Gleichstellungsbeauftragte oder betrieblicher Datenschutzbeauftragter, vgl. unten I.6) – nicht anonymisiert erhoben, verarbeitet und genutzt, sondern als Einzelangaben über IuK-Nutzungsverhalten bestimmter, jedenfalls aber für den Arbeitgeber bestimmbarer natürlicher Personen (vgl. § 3 Abs. 1 Bundesdatenschutzgesetz – BDSG) verwendet.

Diese personenbezogenen Daten über die Nutzung der betrieblichen IuK (IuK-Nutzerdaten) werden durch unterschiedliche Gesetze geschützt, welche die Zugriffs- und Nutzungsbefugnis des Arbeitgebers einschränken. Neben dem BDSG sind dabei insbesondere das Telekommunikationsgesetz (TKG) und das Telemediengesetz (TMG) einschlägig. Welche dieser Normen im Einzelfall zur Anwendung gelangt, bestimmt sich nach ihrem Anwendungsbereich (dazu sogleich unter 2.) und einschlägigen Kollisionsregeln. So bestimmt § 1 Abs. 3 Satz 1 BDSG, dass „andere Rechtsvorschriften des Bundes“ zu personenbezogenen Daten dem BDSG vorgehen. Soweit die Anwendungsbereiche von TKG und TMG also eröffnet sind, haben deren Regelungen Vorrang vor dem BDSG.

Zu dieser durchaus komplexen Rechtslage tritt eine Praxis, bei der aufgrund der Vielfältigkeit der Nutzungs- und Überwachungsmöglichkeiten erhebliche Unsicherheit herrscht. Die Aufsichtsbehörden für den Datenschutz[1] treffen regelmäßig auf Unternehmen, die trotz ihres Bemühens um faire und akzeptable Nutzungsbedingungen für die betriebliche IuK gravierende, teilweise sogar strafrechtlich relevante Fehler begehen. Andererseits kennen viele Beschäftigte häufig nicht die Grenzen zulässiger Nutzungen und fühlen sich unsicher, weil sie vermuten, dass ihnen der Arbeitgeber oder die EDV bei der IuK-Nutzung am Arbeitsplatz „über die Schulter guckt“ oder gar ihre private Kommunikation ausspäht. Betriebsräte schließlich suchen immer häufiger den Rat der Aufsichtsbehörde, weil sie zur IuK-Nutzung Betriebsvereinbarungen abschließen oder bestehende prüfen lassen wollen. In allen diesen Fällen sind die Datenschutz-Aufsichtsbehörden nicht nur Kontrollorgane, sondern zugleich zu Beratung und Unterstützung berufen[2]. Diese Beratungen beziehen sich zwar schwerpunktmäßig auf das BDSG, müssen aber bereits aus Gründen der Abgrenzung hiervon auch die Vorschriften des TKG und des TMG mit einbeziehen.

2. Anwendungsbereiche des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG)

Arbeitgeber, deren Beschäftigte die betriebliche IuK zu betrieblichen oder privaten Zwecken nutzen, haben bei der Verwendung anfallender personenbezogener IuK-Daten der Beschäftigten und weiterer Betroffener die Vorgaben des TKG und des TMG zu beachten.

a) Schutzzwecke von TKG und TMG

TKG und TMG bezwecken insbesondere den Schutz des traditionellen Fernmeldegeheimnisses, das sich vom Brief-/Postgeheimnis zum Telekommunikationsgeheimnis fortentwickelt hat und in Artikel 10 des Grundgesetzes (GG) mit Verfassungsrang garantiert ist. Die Kommunikationsfreiheit des Art. 10 GG gewährleistet zum einen, mit einem selbst bestimmten Personenkreis zu kommunizieren, und zum anderen, die Vertraulichkeit dieses Informations- und Gedankenaustauschs zu wahren[3]. Diese Vertraulichkeit der Kommunikation ist besonders dann gefährdet, wenn die Kommunikation nicht zwischen Anwesenden, sondern über räumliche Distanz erfolgt und so auf die Übermittlung durch Dienstleister der Post oder für Telekommunikation angewiesen ist[4]. Nicht nur der Dienstleister, auch andere Dritte könnten diesen erleichterten Zugriff auf die Kommunikation ausnutzen. Art. 10 GG soll einen Ausgleich für die technisch bedingte Einbuße an Privatheit schaffen und erstreckt sich auf den gesamten Kommunikationsinhalt und deren Umstände sowie auf den gesamten Übermittlungsvorgang. Erst mit Beendigung der Übermittlung sind die übermittelten, im alleinigen Herrschaftsbereich des Kommunikationsteilnehmers gespeicherten Informationen nicht mehr vom Fernmeldegeheimnis erfasst. Jetzt kann er eigene Schutzvorkehrungen gegen die unerwünschte Kenntnisnahme durch Dritte treffen und bedarf nicht mehr des gesetzlichen Schutzes.

b) Abgrenzung von TKG und TMG

Die Anwendungsbereiche dieser Gesetze lassen sich wie folgt abgrenzen: Während das TKG die Telekommunikation, also den technischen Vorgang des Aussendens, Übermittelns und Empfangens von Signalen mittels Telekommunikationsanlagen reguliert (§ 3 Nr. 22 TKG) und dabei insbesondere die Vertraulichkeit der Kommunikationsinhalte schützt, stehen im TMG die als Dienstleistung angebotenen Telemedien im Vordergrund (§ 1 Abs. 1 TMG). Zu den Telemedien gehören (nahezu) alle Angebote im Internet, insbesondere auch Suchmaschinen, Webmail-Dienste, Informationsdienste, Podcasts und Chatrooms. Hier werden zwar auch Signale mittels Telekommunikation ausgetauscht, weitere Dienste stehen jedoch im Vordergrund: Beim Surfen im Internet sind dies etwa Such- oder Downloadmöglichkeiten, das Merken bestimmter Seiten (Favoriten) oder besuchter Seiten (Chronik), beim Mailen sind dies Textverarbeitungsmöglichkeiten, die Speicherung empfangener oder gesendeter Mails oder Suchfunktionen.

Bei der Internet- und E-Mail-Nutzung am Arbeitsplatz handelt es sich also häufig um IuK-Dienste, die in der Übertragung von Signalen über Telekommunikationsanlagen – also dem Transport von Daten nach dem TKG – bestehen, aber sich darin nicht erschöpfen müssen (vgl. § 1 Abs. 1 TMG). Sofern darüber hinaus Telemedien zur Nutzung bereitgehalten werden (vgl. § 2 Nr. 1 TMG), unterfällt dies dem TMG. Telefonie als Teil betrieblicher IuK unterfällt demgegenüber regelmäßig dem TKG.

c) Das Fernmeldegeheimnis des § 88 TKG

Dem verfassungsrechtlich garantierten Fernmeldegeheimnis des Art. 10 GG unterfallen zunächst nur staatliche Stellen (Art. 1 Abs. 3 GG). Weil Kommunikation in der Regel aber auf die Übermittlung durch (auch private) Dritte angewiesen ist, werden alle Anbieter, die Telekommunikationsdienste erbringen, nach § 88 Abs. 2 Satz 1 TKG dem Fernmeldegeheimnis unterworfen. So genügt der Gesetzgeber seiner Schutzpflicht gegenüber allen Telekommunikationsteilnehmern.

Dem einfachgesetzlichen Fernmeldegeheimnis des § 88 TKG unterliegen der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war (§ 88 Abs. 1 Satz 1 TKG). Zur Wahrung des Fernmeldegeheimnisses ist jeder Diensteanbieter verpflichtet (§ 88 Abs. 2 Satz 1 TKG). Diensteanbieter ist jeder, der ganz oder teilweise geschäftsmäßig Telekommunikationsdienste erbringt oder an der Erbringung solcher Dienste mitwirkt (§ 3 Nr. 6 TKG). Nach § 3 Nr. 10 TKG bedeutet „geschäftsmäßiges Erbringen von Telekommunikationsdiensten“ das nachhaltige Angebot von Telekommunikation für Dritte mit oder ohne Gewinnerzielungsabsicht.

Das gegen den Diensteanbieter gerichtete Fernmeldegeheimnis untersagt es diesem, sich oder anderen über das für die geschäftsmäßige Erbringung der Telekommunikationsdienste einschließlich des Schutzes ihrer technischen Systeme erforderliche Maß hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen (§ 88 Abs. 3 Satz 1 TKG).

§ 88 TKG gilt nach § 7 Abs. 2 Satz 3 TMG auch für Diensteanbieter nach dem TMG. Diese sind nach § 2 Nr. 1 TMG Personen, die eigene oder fremde Telemedien zur Nutzung bereithalten oder den Zugang zur Nutzung vermitteln. Die Bereitstellung eines Telefons, eines Internet-Zugangs oder eines WebmailDienstes in Gestalt eines personalisierten betrieblichen E-MailAccounts (z.B. Frank.Stein@Unternehmen.com) durch den Arbeitgeber für die Arbeitnehmer stellt grundsätzlich ein solches Angebot von Telekommunikationsdiensten bzw. Telemediendiensten dar. Allerdings ist der Beschäftigte dann für den Arbeitgeber kein „Dritter“, wenn er diese Dienste ausschließlich zu betrieblichen Zwecken nutzen soll, denn dann nimmt er diese Dienste für den Arbeitgeber und wie dieser in Anspruch. Dann ist der Arbeitgeber seinen Beschäftigten gegenüber kein Diensteanbieter, die Kommunikation unterfällt nicht dem Fernmeldegeheimnis des § 88 TKG.

d) Der Arbeitgeber als Diensteanbieter

Dies ist jedoch dann anders zu beurteilen, wenn der Beschäftigte die Telekommunikationsdienste nicht (nur) für den Arbeitgeber nutzen darf, sondern dieser deren Nutzung auch für eigene Zwecke des Arbeitnehmers freigegeben hat. Dann erbringt der Arbeitgeber nach § 3 Nr. 10 TKG geschäftsmäßig – nicht notwendig entgeltlich – Telekommunikationsdienste, indem er das nachhaltige Angebot von Telekommunikation für Dritte mit oder ohne Gewinnerzielungsabsicht macht.

Ob der Arbeitgeber ein solches Angebot macht, obliegt (zunächst) seiner eigenen Entscheidung. Da es sich bei den vom Arbeitgeber zur Verfügung gestellten Telekommunikationsund -mediendiensten um Betriebsmittel handelt, darf er die Nutzung dieser Dienste durch Beschäftigte grundsätzlich auf die betriebliche Tätigkeit beschränken. Ihre Nutzung für private Zwecke ist erst erlaubt, wenn der Arbeitgeber die Privatnutzung ausdrücklich z.B. im Arbeitsvertrag oder in einer Betriebsvereinbarung gestattet hat. Will der Arbeitgeber die gewährte private Nutzungsmöglichkeit wieder entziehen, bedarf es einer Änderungskündigung (zu Betriebsvereinbarungen vgl. § 77 Abs. 5 BetrVG) bzw. Änderungsvereinbarung.

Stellt ein Arbeitgeber seinen Beschäftigten einen InternetZugang und/oder ein personalisiertes E-Mail-Postfach zur Verfügung, ohne Regelungen zur Zulässigkeit der privaten Nutzung zu treffen oder überwacht er ein Verbot der privaten Nutzung nicht ausreichend, so kann dies aus Sicht des Beschäftigten als Erlaubnis gedeutet werden und dazu führen, dass eine Gestattung der privaten Nutzung gegebenenfalls sogar in Form einer sog. „betrieblichen Übung“ vorliegt. Dies steht im Ergebnis einer ausdrücklichen Erlaubnis der privaten Nutzung gleich. Von einer betrieblichen Übung spricht man dann, wenn ein Arbeitnehmer aus der regelmäßigen Wiederholung bestimmter Verhaltensweisen des Arbeitgebers einen konkreten Verpflichtungswillen des Arbeitgebers ableiten kann, ihm solle eine Leistung oder Vergünstigung auf Dauer gewährt werden. Will der Arbeitgeber eine durch betriebliche Übung eingeräumte private Nutzungsmöglichkeit wieder entziehen, bedarf es ebenfalls der Änderungskündigung.

Wenn ein Arbeitgeber den Beschäftigten die private Nutzung von IuK erlaubt, ist er nach Auffassung der Aufsichtsbehörden ihnen gegenüber Telekommunikations- bzw. Telemediendienste-Anbieter mit der Konsequenz, dass er an das Fernmeldegeheimnis des § 88 Absatz 2 Satz 1 Telekommunikationsgesetz (TKG; i.V.m. § 7 Abs. 2 S. 3 Telemediengesetz [TMG]) gebunden ist und sich bei Verletzung des Fernmeldegeheimnisses einer Strafbarkeit nach § 206 Strafgesetzbuch (StGB) aussetzen kann. Dass der Arbeitgeber ggf. auch Drittunternehmen als Zugangsanbieter (Access Provider) zum Diensteangebot einschaltet, ist dabei unerheblich. Gegenüber den privat nutzenden Beschäftigten sind die Provider lediglich Auftragnehmer des als Anbieter zu qualifizierenden Arbeitgebers.

Der nach wie vor weitgehend herrschende Konsens[5], dass Arbeitgeber, welche die private Nutzung der betrieblichen IuK erlauben, als Diensteanbieter an das Fernmeldegeheimnis gebunden sind[6], ist auch von der Gesetzeshistorie getragen[7] und wird durch abweichende Ansichten einzelner Gerichte und Stimmen in der Literatur[8] letztlich nicht in Frage gestellt. Überzeugende Gegenargumente werden nicht vorgetragen. Praktisch relevant ist dieser zur Streitfrage heraufstilisierte Einzelaspekt zudem nur für die Strafbarkeit des Arbeitgebers. Die hier interessierenden Fragen der Verwendung der IuK-Daten zu unterschiedlichen Zwecken wird nach Maßgabe der datenschutzrechtlichen Regelungen des TKG/TMG, bei abweichender Auffassung nach denen des gleich gerichteten BDSG entschieden.

e) Grenzen des Fernmeldegeheimnisses

Das Fernmeldegeheimnis gilt nicht unbeschränkt, in ihren Anwendungsbereichen kennen sowohl das TKG als auch das TMG gesetzliche Grenzen, sei es in § 88 TKG selbst (vgl. aa), sei es in den datenschutzrechtlichen Bestimmungen von TKG (vgl. bb) und TMG (vgl. cc). Daneben sind die zeitlichen Grenzen des Fernmeldegeheimnisses zu beachten (vgl. dd). Schließlich kann das Fernmeldegeheimnis durch Einwilligung des/der Betroffenen aufgehoben werden (vgl. ee)

aa) § 88 Abs. 3 TKG

Schon § 88 TKG räumt in Abs. 3 den Diensteanbietern die Befugnis ein, sich Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen, soweit die geschäftsmäßige Erbringung der Telekommunikationsdienste einschließlich des Schutzes ihrer technischen Systeme dies erfordert.

aaa) Virenfilter

Aus Gründen der Datensicherheit dürfen etwa Teilinhalte oder Anlagen von E-Mails unterdrückt werden, wenn sie Inhalte aufweisen, die zu Sicherheitsrisiken auf Rechnern oder im Netzwerk führen können (Virenfilterung). Dies setzt voraus, dass konkrete und dokumentierbare Anhaltspunkte dafür vorliegen, dass bei der Verbreitung der Viren Störungen oder Schäden der Telekommunikations- und Datenverarbeitungssysteme eintreten. Wird die Untersuchung von virenverseuchten E-Mails von der Kenntnisnahme des Inhalts der E-Mail, etwa durch den Systemadministrator, begleitet, so ist der Adressat, also der Beschäftigte, einzubeziehen (vgl. § 33 BDSG).

bbb) Spamfilter

Davon zu unterscheiden ist die Ausfilterung bzw. Veränderung von an den Beschäftigten adressierten „Spam-Mails“, also unerwünschte Zusendungen mit zumeist werbendem Inhalt. Diese gefährden nicht das technische System selbst, sondern die Nützlichkeit des Kommunikationsmittels E-Mail, wenn aufgrund der Vielzahl von Spam-Mails relevante Nachrichten für den Empfänger nur noch schwer erkennbar sind. Hier greift § 88 Abs. 3 TKG nicht als Befugnisnorm, bei Herausfilterung und/oder Löschung droht ein Eingriff ins Fernmeldegeheimnis bzw. eine strafbare Unterdrückung von Daten (§ 206 Abs. 1 und Abs. 2 Nr. 2, § 303 a StGB). Bei gestatteter privater Nutzung schließt eine Einwilligung in die Filterung von E-Mail die Strafbarkeit aus; umstritten ist allerdings, ob dafür die Einwilligung des Empfängers ausreicht oder auch der Absender zustimmen muss.

Generell sind die Beschäftigten darüber zu unterrichten, wenn an sie gerichtete oder von ihnen abgesendete E-Mails ganz oder teilweise unterdrückt werden oder virenverseucht sind (§ 33 BDSG). Die Information allein des Betriebsrats genügt hingegen nicht, kann jedoch auf Grundlage einer Betriebsvereinbarung erfolgen.

bb) Telekommunikationsdatenschutzrecht (§§ 91-107 TKG)

Nach § 97 Abs. 1 TKG dürfen Verkehrsdaten von Nutzern verwendet werden, soweit die Daten zur Ermittlung des Entgelts und zu dessen Abrechnung benötigt werden. Diese Einschränkung des Fernmeldegeheimnisses spielt in der Praxis der IuKNutzung am Arbeitsplatz eine untergeordnete Rolle. War die Nutzung des Diensttelefons in früheren Zeiten noch kostenpflichtig, so ist in Zeiten von Flatrates der Zugriff aufs IuK in aller Regel kostenfrei. Damit scheidet eine Nutzung der Verkehrsdaten für den Arbeitgeber aber aus. Sie sind vom Dienste anbieter nach Beendigung der Verbindung unverzüglich zu löschen (§ 96 Abs. 1 Satz 3 TKG). Eine Erhebung oder Verwendung der Verkehrsdaten zu anderen Zwecken ist unzulässig (§ 96 Abs. 2 TKG).

Das Gleiche gilt für die Regelung des § 100 Abs. 3 TKG, der zur Sicherung des Entgeltanspruchs gegen die rechtswidrige Inanspruchnahme des Telekommunikationsdienstes eine Verwendung der Bestands- und Verkehrsdaten erlaubt.

Allerdings gestattet es § 100 Abs. 1 TKG dem Diensteanbieter, zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern an Telekommunikationsanlagen die Bestandsund Verkehrsdaten der Nutzer zu erheben und zu verwenden. Für diesen Zweck kann daher die Protokollierung der Internetnutzung an der Firewall oder durch ein Überwachungsprogramm zulässig sein.

Die Verarbeitung von Standortdaten (§ 3 Nr. 19 TKG) – etwa eines mobilen Endgerätes – ist nach § 98 Abs. 1 TKG (nur) auf Einwilligungsbasis zulässig und erfordert die jeweilige Benachrichtigung des Nutzers (§ 98 Abs. 1 Satz 2 TKG).

cc) Telemediendatenschutzrecht (§§ 11-15 TMG)

Gestattet der Arbeitgeber die private Nutzung betrieblicher Telemedien, so ist er ein „Diensteanbieter“ im Sinne des TMG (vgl. § 2 Nr. 1 TMG), der Arbeitnehmer ist „Nutzer“ (§ 2 Nr. 3 TMG). Die datenschutzrechtlichen Vorschriften des TMG sind dann anwendbar, soweit die IuK-Nutzung nicht nur ausschließlich zu betrieblichen Zwecken erfolgt (vgl. § 11 Abs. 1 Nr. 1 TMG). Ist letzteres der Fall, kommt subsidiär das BDSG zur Anwendung.

Im Geltungsbereich des TMG darf der Diensteanbieter personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat (§ 12 Abs. 1 TMG). Danach ist die Protokollierung der privaten Nutzung nur zulässig, soweit sie die Inanspruchnahme des Telemediums ermöglicht oder zu Abrechnungszwecken erforderlich ist (§ 15 Abs. 1 TMG). Letzteres ist regelmäßig nicht der Fall, da die Nutzung betrieblicher Telemedien zumeist kostenlos erfolgt. Im Übrigen hat der Diensteanbieter durch technische und organisatorische Vorkehrungen sicherzustellen, dass die anfallenden personenbezogenen Daten über den Ablauf des Zugriffs unmittelbar nach dessen Beendigung gelöscht werden (§ 13 Abs. 4 Nr. 2 TMG).

Damit steht die Einwilligung des Nutzers beim Zugriff auf IuK-Daten im Vordergrund.

dd) Zeitliche Grenzen des Fernmeldegeheimnisses

Solange der Kommunikationsvorgang dauert, unterfällt er dem Fernmeldegeheimnis. Auch nach seiner Beendigung sind Informationen über die Umstände der Kommunikation, die beim Diensteanbieter gespeichert sind, nach Maßgabe des TKG/TMG geschützt (Verwendungsverbote). Die Nutzung dieser Daten lässt sich nur unter Rückgriff auf Ermächtigungsgrundlagen des TKG/TMG rechtfertigen. Informationen, die nach Beendigung des Kommunikationsvorgangs bei den Kommunikationspartnern verbleiben (der vom Empfänger geöffnete Brief, die gelesene E-Mail in seinem Postfach) unterfallen nicht mehr dem Fernmeldegeheimnis. Der Zugriff auf diese Informationen ist – mangels anderweitig einschlägiger Rechtsgrundlage – an den Bestimmungen des BDSG zu messen.

Dies gilt insbesondere für den Zugriff auf das E-Mail-Postfach des Arbeitnehmers. Bei der E-Mail-Nutzung, die sich als zeitlich gestreckte Kommunikation beschreiben lässt, sind dabei die folgenden Unterscheidungen zu beachten:

Solange eine E-Mail noch im Kommunikationsaustausch begriffen ist, ist ein Zugriff nur im Einklang mit spezialgesetzlichen Eingriffsvoraussetzungen des TKG/TMG möglich. Erst wenn die E-Mail beim Empfänger angekommen und sich im ausschließlichen Herrschaftsbereich des Betroffenen befindet – also insbesondere von ihm gelöscht werden könnte –, der Übertragungsvorgang also beendet ist, greift das Fernmeldegeheimnis nicht mehr.

Dieser Umstand ist im Arbeitgeber-Arbeitnehmerverhältnis jedoch regelmäßig nicht gegeben. Zum einen weil der Arbeitgeber in der Praxis eine Kopie der E-Mail auf seinem ZentralServer gespeichert hat, zum anderen weil der Arbeitnehmer bei einem Dienst-PC nicht die gleiche Dispositionsbefugnis hat, wie bei seinem privaten PC und häufig E-Mails nicht endgültig löschen kann.

Der Schutz des Fernmeldegeheimnisses endet in diesen Fällen daher nicht, er erstreckt sich auch auf E-Mails, die auf einem Server des Diensteanbieters zwischen- oder endgespeichert sind. Es gilt damit auch beim „ruhenden“ E-Mail-Verkehr, bei dem ein Telekommunikationsvorgang in einem dynamischen Sinn zwar nicht (mehr) stattfindet, er aber auch noch nicht abgeschlossen ist (BVerfG, Beschluss vom 16. Juni 2009 – 2 BVR 902/06 –). Abgeschlossen ist der schutzbedürftige Telekommunikationsvorgang erst dann, wenn der Kommunikationsteilnehmer dergestalt die alleinige Herrschaft über ihn erlangt hat, dass er selbst jederzeit und unabhängig vom Diensteanbieter die Teile und Ergebnisse der Kommunikation in seinem Herrschaftsbereich vernichten könnte.

ee) Die Einwilligung des Beschäftigten

Bieten TKG/TMG keine Ermächtigungsgrundlage, die dem Arbeitgeber einen Zugriff auf IuK-Daten des Mitarbeiters gestatten könnte, so kann ein Zugriff doch mit Einwilligung des Beschäftigten erfolgen[9].

Zwar fehlt es dem TKG an § 4a BDSG vergleichbaren Normen, die den Umgang mit personenbezogenen Daten auf Grundlage einer Einwilligung gestatten. Die Möglichkeit einer wirksamen Einwilligung im Anwendungsbereich von TKG ergibt sich jedoch bereits aus der Dispositivität des Fernmeldegeheimnisses[10] und wird in einzelnen Vorschriften des TKG vorausgesetzt (vgl. §§ 94, 95 Abs. 5 TKG). Hinsichtlich der an eine Einwilligung zu stellenden Anforderungen kann auf § 4a BDSG zurückgegriffen werden, die bestehende Regelungslücke der §§ 91 ff. TKG löst die Subsidiarität des BDSG nicht aus (§ 1 Abs. 3 BDSG)[11]. § 12 Abs. 1 TMG sieht demgegenüber die Datenverwendung aufgrund Einwilligung ausdrücklich vor.

Eine Aufhebung des Fernmeldegeheimnisses durch eine Betriebsvereinbarung ist hingegen nicht möglich, da insoweit Individualrechte der einzelnen Arbeitnehmer in Rede stehen. Über diese disponiert der einzelne Arbeitnehmer, nicht der Betriebsrat (es sei denn – was jedoch unpraktisch wäre – jeder einzelne Arbeitnehmer ermächtigt den Betriebsrat hierzu).

IuK-Daten sind allerdings nur dann für den Arbeitgeber zugänglich, wenn die Einwilligung sämtlicher Kommunikationspartner vorliegt. Auch der oder die Kommunikationspartner des Arbeitnehmers müssen zuvor wirksam auf den Schutz des Fernmeldegeheimnisses verzichtet haben. Dies erfordert dessen bzw. deren Einwilligungserklärung, die formfrei – auch mündlich – wirksam abgegeben werden kann, zu Nachweiszwecken aber dokumentiert werden sollte. Ohne eine solche Erklärung darf der Arbeitgeber also nur auf Daten zurückgreifen, wenn es um betriebliche Kommunikation zwischen Beschäftigten seines Betriebes geht und die Privatnutzung untersagt ist.

Die grundsätzliche Problematik mangelnder Freiwilligkeit von Einwilligungen in Arbeitsverhältnissen[12], die die immer auch soziale Abhängigkeitsverhältnisse sind, stellt sich bei Einwilligungen in die Aufhebung oder Begrenzung des Fernmeldegeheimnisses nicht. Da der Arbeitgeber die private Nutzung nicht zulassen muss, stellt seine entsprechende Bereitschaft eine Ausweitung der Handlungsmöglichkeiten der Arbeitnehmer dar, die ihre Entscheidungsfreiheit nicht einschränkt. Anders wäre dies nur, wenn die Arbeitnehmer auf die Privatnutzung aufgrund arbeitsvertraglicher Regelung oder betrieblicher Übung bereits einen arbeitsrechtlichen Anspruch hätten – dann ist für Einwilligungserklärungen kein Raum mehr.

Da der Arbeitgeber bei der Erlaubnis der privaten Nutzung seiner IuK frei ist, kann er diese Erlaubnis an einschränkende Voraussetzungen knüpfen. So kann er insbesondere die Erlaubniserteilung an die Bedingung knüpfen, dass der Beschäftigte in die Einschränkung seines Fernmeldegeheimnisses einwilligt. So kann der Arbeitgeber zulässige Nutzungsarten vorgeben und sich Rechte zur Datenverwendung zu Kontrollzwecken einräumen lassen. Auch kann er beispielsweise festlegen, dass die private Nutzung nur in den Arbeitspausen oder nach Dienstende erfolgen darf.

Allerdings muss der Arbeitgeber als Diensteanbieter nach dem TKG/TMG den Beschäftigten transparent erklären, auf welche Art und Weise eine Kontrolle des Umfangs der privaten Nutzung stattfindet (vgl. § 93 TKG, Grundsatz der Transparenz).

3. Abgrenzung der Anwendungsbereiche von TKG/ TMG/BDSG

Die Anwendungsbereiche von TKG/TKG einerseits und BDSG andererseits lassen sich hinsichtlich der Nutzung betrieblicher IuK durch Beschäftigte zu betrieblichen bzw. auch privaten Zwecken wie folgt voneinander abgrenzen:

a) Verbot der privaten IuK-Nutzung

Gestattet der Arbeitgeber die Nutzung der betrieblichen IuK ausschließlich zu betrieblichen Zwecken, richtet sich die Erhebung, Verarbeitung und Nutzung von Daten über das Nutzungsverhalten der Beschäftigten nach dem Bundesdatenschutzgesetzes (BDSG) unter Berücksichtigung der jeweils einschlägigen Vorschriften zur Regelung des Arbeitsverhältnisses (dazu unter 4.).

b) Gestattung der privaten IuK-Nutzung

Sobald ein Arbeitgeber seinen Beschäftigten die private Nutzung von IuK ganz oder teilweise erlaubt, erbringt er ihnen gegenüber geschäftsmäßig Telekommunikationsdienste (§ 3 Nr. 6 TKG) bzw. Telemediendienste (§ 2 Nr. 1 TMG) und ist somit zur Einhaltung des Fernmeldegeheimnisses verpflichtet. Die Speicherung und Nutzung von Verkehrs- bzw. Nutzungsdaten ist danach grundsätzlich nur zu Abrechnungszwecken erlaubt; auf Kommunikationsinhalte darf nicht zugegriffen werden. Weitergehende Verwendungen von IuK-Daten sind nur mit Einwilligung des Beschäftigten zulässig. Diese Einwilligungserklärung kann durch eine Betriebsvereinbarung zwar nicht ersetzt werden, dennoch empfiehlt es sich, über die Nutzung der betrieblichen IuK und die zulässigen Kontrollmaßnahmen eine Betriebsvereinbarung abzuschließen (vgl. dazu unter II.)

Die Aufsichtsbehörden verfolgen das Ziel, eine Muster-Betriebsvereinbarung zur IuK-Nutzung vorzulegen.

Ohne wirksame Einwilligung des Beschäftigten sperrt sich der Arbeitgeber also vom Zugriff auf die IuK-Daten vollständig aus – auch von denen aus betrieblicher Kommunikation, sofern er diese nicht eindeutig von privater unterscheiden kann. Damit schafft er durch die Gestattung der Privatnutzung eine prinzipiell inakzeptable Situation für seinen Betrieb und seine eigenen Interessen.

4. Das Regelungsregime des BDSG

Das BDSG kommt wie gezeigt zur Anwendung, soweit TKG und TMG nicht einschlägig sind – etwa falls nur die betriebliche Nutzung der betrieblichen IuK gestattet ist – oder Regelungslücken enthalten, die eine Subsidiarität des BDSG nach § 1 Abs. 3 nicht auslösen. Darüber hinaus ist das BDSG als höherrangiges Recht Maßstab für Betriebsvereinbarungen zur Datenverwendung aus der IuK-Nutzung und ist bei der Beurteilung der Wirksamkeit von Einwilligungen heranzuziehen.

Überlässt der Arbeitgeber den Beschäftigten die betriebliche IuK alleine zur betrieblichen Nutzung und schließt er, etwa durch entsprechende wiederholte und auf ihre Einhaltung hin kontrollierte Weisungen, eine gegenläufige betriebliche Übung aus, so wird er nicht zum Anbieter von Telekommunikations- oder Telemediendiensten. Dies erlaubt es ihm, ohne Einschränkungen durch das Fernmeldegeheimnis auf Kommunikationsinhalte und -ergebnisse zugreifen zu können – soweit dies arbeitsrechtlich und datenschutzrechtlich gestattet ist. Arbeitsrechtlich hat er dabei die Einschränkungen seines Kontrollrechts zu beachten, datenschutzrechtlich insbesondere das Erforderlichkeitsprinzip, wie es in §§ 32 Abs. 1 Satz 1 und in § 28 Abs. 1 Satz 1 Nr. 2 BDSG zum Ausdruck kommt.

Innerhalb des BDSG wiederum ist zu differenzieren, welchen Zweck der Arbeitgeber mit seinem Zugriff verfolgt: ob er mit Blick auf ein bestimmtes Arbeitsverhältnis vorgenommen wird (§ 32 Abs. 1 Satz 1), ggf. sogar auf einen Verstoß des Arbeitnehmers (dann § 32 Abs. 1 Satz 2 BDSG) oder ob er erfolgt, um allgemeinere betriebliche Interessen zu wahren (vgl. § 28 Abs. 1 Satz 1 Nr. 2 BDSG).

Im Mittelpunkt aller Überlegungen zur Rechtfertigung von Datenverwendungen steht daher die konkrete und korrekte Bestimmung des vom Arbeitgeber verfolgten Zwecks.

a) § 32 Abs. 1 Satz 1 BDSG

Dient die Erhebung, Verarbeitung oder Nutzung personenbezogener IuK-Daten des Arbeitnehmers solchen des einzelnen Arbeitsverhältnisses, so richtet sich die Zulässigkeit von Datenverwendungen nach § 32 BDSG. Dessen Absatz 1 Satz 1 erlaubt den Umgang mit personenbezogenen Daten, wenn dies für die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist.

aa) Erforderlichkeit der Mitarbeiterkontrolle

Allgemeine Kontrollmaßnahmen zur Feststellung, ob Arbeitnehmer sich an ihre vertraglichen Verpflichtungen und betrieblichen Weisungen halten, kann der Arbeitgeber grundsätzlich auf § 32 Abs. 1 S. 1 BDSG stützen, da sie zur Durchführung des Beschäftigungsverhältnisses erforderlich sind. So ist ein Zugriff auf IuK-Daten etwa zulässig, um die Einhaltung des Verbots, das betriebliche E-Mail-System zu privaten Zwecken zu nutzen, zu verifizieren. Schließlich hat der Arbeitgeber ein berechtigtes Interesse daran zu kontrollieren, ob ein Verbot der privaten Nutzung befolgt wird bzw. eine erlaubte private Nutzung sich in dem vorgesehenen Rahmen bewegt. Eine solche Kontrollmaßnahme ist als datenschutzrechtlich erforderlich einzustufen.

Erforderlich können nach datenschutzrechtlichen Maßstäben allerdings nur solche Datenverwendungen sein, die auch im Übrigen rechtmäßig sind. Der Einsatz rechtswidriger Mittel ist niemals erforderlich. Daher ist an dieser Stelle insbesondere auch zu prüfen, ob die Maßnahmen des Arbeitgebers mit dem Arbeitsrecht im Einklang stehen. Zu erwähnen ist hier ein zentraler und praxisrelevanter Aspekt des Arbeitsrechts: Arbeitsrechtswidrig ist die unverhältnismäßige Ausübung des Direktions- und Kontrollrechts des Arbeitgebers. Daher ist eine Vollkontrolle des Arbeitnehmers, die über die stichprobenartige Ausübung der Kontrollbefugnis des Arbeitgebers zu klar definierten und eingegrenzten Kontrollzwecken hinausgeht und sämtliche seiner Arbeitsleistungen erfasst und bewertet, rechtswidrig. Daher ist der Arbeitgeber im Rahmen von Leistungs- und Verhaltenskontrollen nur zu Stichproben[13] befugt, die generelle Durchleuchtung des Arbeitnehmers ist hingegen unzulässig[14].

bb) Beispiele für erforderliche Kontrollmaßnahmen

aaa) Beispiel Telefonnutzung

Nutzt der Beschäftigte das ihm ausschließlich zu betrieblichen Zwecken überlassene Telefon – unabhängig davon, ob es sich um einen Festnetzanschluss oder ein Mobiltelefon handelt -, so kann der Arbeitgeber dessen Nutzung stichprobenartig überprüfen. Dies gilt sowohl für Verkehrsdaten, als auch für Inhaltsdaten (soweit dabei keine Persönlichkeitsrechte des Beschäftigten verletzt werden). Inhaltsdaten sind allerdings nur dann für ihn zugänglich, wenn auch der Kommunikationspartner auf den Schutz des Fernmeldegeheimnisses wirksam verzichtet. Dies erfordert dessen Einwilligungserklärung. Eine vollständige Aufzeichnung aller Telefonate zu Kontrollzwecken wäre unverhältnismäßig und daher nicht erforderlich gem. § 32 Abs. 1 Satz 1 BDSG.

bbb) Beispiel E-Mail-Nutzung

Ein- und ausgehende betriebliche E-Mails seiner Beschäftigten darf der Arbeitgeber im selben Maße zur Kenntnis nehmen wie dessen übrigen betrieblichen Schriftverkehr. Beispielsweise kann er verfügen, dass ihm seine Beschäftigten jede für den Geschäftsgang relevante oder fest definierte ein- oder ausgehende E-Mails einzeln zur Kenntnis zuleiten. Dies ist zur Durchführung des Arbeitsverhältnisses, insbesondere zur Wahrnehmung der Direktions- und Kontrollbefugnis des Arbeitgebers erforderlich. Eine durch den Arbeitgeber eingerichtete automatisierte Weiterleitung aller ein- und ausgehenden E-Mails an den Vorgesetzten wäre allerdings arbeitsrechtlich als dauerhafte Vollkontrolle unzulässig

ccc) Beispiel Internetnutzung

Der Arbeitgeber hat grundsätzlich das Recht, anhand von Protokolldaten stichprobenartig zu prüfen, ob das Surfen des Beschäftigten betrieblicher Natur ist, ob sich der Beschäftigte also an die Untersagung der privaten Nutzung auch tatsächlich hält. Eine Vollauswertung des Surfverhaltens der Beschäftigten wäre arbeitsrechtswidrig und daher nicht erforderlich i.S.v. § 32 Abs. 1 Satz 1 BDSG.

b) § 32 Abs. 1 Satz 2 BDSG

Absatz 1 Satz 2 ermächtigt zu Datenverwendungen des Arbeitgebers, um einem dokumentierten, auf tatsächlichen Anhaltspunkten beruhenden Verdacht auf eine im Beschäftigungsverhältnis begangene Straftat eines bestimmten Mitarbeiters auf verhältnismäßige Weise nachzugehen.

Liegen dokumentierte konkrete Anhaltspunkte für eine durch den Beschäftigten im Arbeitsverhältnis begangene Straftat vor, kann der Arbeitgeber etwa das betriebliche Postfach gemäß § 32 Abs. 1 S. 2 BDSG sichten, wenn dies für die Aufklärung der Straftat erforderlich und in Anbetracht möglicher schutzwürdiger Interessen des Betroffenen nicht unverhältnismäßig erscheint. Um die Verhältnismäßigkeit eines solchen Zugriffs zu wahren, ist insbesondere die Schwere des in Rede stehenden Delikts in die Abwägung einzubeziehen. Eine personenbezogene Vollkontrolle durch den Arbeitgeber ist als schwerwiegender Eingriff in das informationelle Selbstbestimmungsrecht der Beschäftigten hingegen regelmäßig unverhältnismäßig zulässig. Auch bei Straftatverdacht wird der Arbeitgeber daher immer nur schrittweise und differenzierend auf IuK-Nutzerdaten des betroffenen Beschäftigten zugreifen dürfen.

Ausdrücklich ist darauf hinzuweisen, dass die Bestimmung des § 32 Abs. 1 Satz 2 BDSG einen dokumentierbaren Anfangsverdacht gegen einen bestimmten Beschäftigten voraussetzt, also niemals Rechtsgrundlage für allgemeine Aufklärungsmaßnahmen sein kann, bei denen etwa ein Straftatverdacht besteht, dieser aber noch keinem bestimmten Beschäftigten zugeordnet werden kann.

Umgekehrt bedeutet die Regelung des § 32 Abs. 1 Satz 2 BDSG, dass Aufklärungsmaßnahmen des Arbeitgebers in Bezug auf vermutete Regelverstöße unterhalb der Straftatschwelle (Ordnungswidrigkeiten, Compliance-Verstöße gegen Unternehmensregeln oder Einzelweisungen) nicht auf § 32 Abs. 1 Satz 2 BDSG gestützt werden können. Ob hierfür auf § 28 Abs. 1 Satz 1 Nr. 2 BDSG zurückgegriffen werden kann, ist umstritten. Eine personenbezogene Kontrolle darf jedenfalls nur durchgeführt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den konkreten Verdacht eines Verstoßes gegen Verhaltensvorschriften bzw. den in der Betriebsvereinbarung festgelegten Umfang der erlaubten Privatnutzung begründen und soweit die Kontrollmaßnahme verhältnismäßig ist. Das Schutzniveau des § 32 Abs. 1 Satz 2 BDSG darf also keinesfalls unterlaufen werden.

c) § 28 Abs. 1 Satz 1 Nr. 2 BDSG

Diese Vorschrift – deren Anwendbarkeit neben § 32 BDSG umstritten ist[15] – gestattet die Datenverwendung zur Wahrung berechtigter Interessen des Unternehmens, soweit dies hierfür erforderlich ist und schutzwürdige Interessen des Betroffenen nicht überwiegen. In der Regel wird es hierbei um Zwecke gehen, die nicht in Bezug auf das einzelne Arbeitsverhältnis (dann wäre § 32 Abs. 1 BDSG einschlägig), sondern mit Blick auf die gesamte Belegschaft umgesetzt werden. Hierzu zählen etwa allgemeine verdachtslose (präventive) Kontrollen in Bezug auf vermutete, aber noch nicht dokumentierbare (vgl. § 32 Abs. 1 Satz 2 BDSG) Compliance-Verstöße im Unternehmen oder um Maßnahmen zur Aufrechterhaltung der betrieblichen Geschäftsabläufe.

Die Zulässigkeit des Zugriffs des Arbeitgebers auf IuK-Nutzerdaten ergibt sich aus einer Prüfung der Erforderlichkeit der Maßnahme zur Wahrung definierter betrieblicher Interessen und aus einer Gegenüberstellung und Abwägung mit schutzwürdigen Interessen der betroffenen Beschäftigten. Diese Interessen werden dann immer überwiegen, wenn die Maßnahme arbeitsrechtswidrig ist, etwa nicht stichprobenartig und mit klar definierten Kontrollzwecken, sondern als Vollkontrolle (alle Beschäftigte, alle möglichen Kontrollzwecke) durchgeführt wird.

aa) Präventive Compliance

Der stichprobenartige Zugriff etwa auf das E-Mail-Postfach von Arbeitnehmern mit definierten Kontrollzweck kann als präventive Maßnahme zulässig sein, um regel- oder gesetzwidriges Verhalten frühzeitig zu erkennen und zukünftig zu verhindern. Rechtmäßig gewonnene Ergebnisse solcher Präventivmaßnahmen können im Rahmen des BDSG (vgl. § 28 Abs. 2) zweckändernd auch für die Sanktionierung im Einzelfall aufgedeckter Regelverstöße genutzt werden.

Nicht als Ermächtigungsgrundlage zur Verfügung steht hingegen § 32 Abs. 1 S. 2 BDSG, da in dieser Konstellation ein konkreter Tatverdacht gegen einen bestimmten Arbeitnehmer noch nicht besteht. Bei nicht stichprobenartig, sondern allgemein auf alle Beschäftigte oder ganze Beschäftigtengruppen bezogenen präventiven Kontrollmaßnahmen (ComplianceMaßnahmen) steht einer zweckändernden Nutzung der Kontrollergebnisse zu Sanktionszwecken (repressive Nutzung) die Regelung des § 32 Abs. 1 Satz 2 BDSG entgegen, der ansonsten umgangen würde.

bb) Zugriff auf Geschäftskorrespondenz in Abwesenheit des Beschäftigten

Bei vorübergehender Abwesenheit oder Ausscheiden eines Mitarbeiters darf der Arbeitgeber zur Wahrnehmung berechtigter Geschäftsinteressen i.S. des § 28 Abs. 1 S. 1 Nr. 2 BDSG auf das (ausschließlich zu betrieblichen Zwecken zu nutzende) E-Mail-Postfach dieses Arbeitnehmers zugreifen, um dort vermutete Geschäftsinformationen zu erlangen. Zur Wahrung des arbeitsrechtlichen Verhältnismäßigkeitsgrundsatzes hat der Arbeitgeber zuvor zu prüfen, ob weniger schwerwiegende Maßnahmen – Nachfrage beim Arbeitnehmer selbst, dessen Vertreter oder beim Geschäftspartner – ebenso zielführend wären und ob dem Zugriff keine überwiegenden schutzwürdigen Belange des Beschäftigten entgegenstehen.

d) Betriebsvereinbarung

Um die mit der Verwendung von IuK-Daten verfolgten Zwecke und die hierbei zu beachtenden Verfahrensweisen konkret und transparent festzulegen, empfiehlt sich der Abschluss einer Betriebsvereinbarung. Auch die Betriebsvereinbarung ist eine Rechtsvorschrift im Sinne von § 4 Abs. 1 BDSG, sie darf jedoch nicht gegen höherrangiges Recht, insbesondere gegen §§ 32, 28 und 31 BDSG verstoßen, sonst wäre sie (teil-) unwirksam.

Zwar muss sich die Betriebsvereinbarung bei ausgeschlossener Nutzung der IuK darauf beschränken, die einschlägigen Erlaubnistatbestände des BDSG konkretisierend auszugestalten und wird weitgehend deklaratorischer Natur sein, dies kann mit Blick auf die besonderen Verhältnisse des Unternehmens und zur Förderung der Rechtssicherheit bei der IuK-Nutzung jedoch von Vorteil sein.

Die Aufsichtsbehörden verfolgen das Ziel, eine Muster-Betriebsvereinbarung zur IuK-Nutzung vorzulegen.

e) Einwilligung

Für eine Einwilligung des Beschäftigten in (Kontroll-)Maßnahmen des Arbeitgebers unter Verwendung von IuK-Daten ist bei ausschließlich betrieblich zu nutzender IuK regelmäßig kein Raum: Es besteht zum einen kein Bedürfnis nach einer Einwilligung, da der Arbeitgeber bereits über hinreichende rechtliche Grundlagen seiner Kontrollmaßnahmen verfügt. Zum anderen ist die datenschutzrechtliche Einwilligungsbefähigung des Beschäftigten mangels Freiwilligkeit der Einwilligung (vgl. § 4a BDSG) im sozialen Abhängigkeitsverhältnis zum Arbeitgeber stark eingeschränkt. Anders als bei der Einwilligung in die Bedingungen für die private Nutzung betrieblicher IuK findet hier auch keine Ausweitung der Handlungsmöglichkeiten des Arbeitnehmers statt, die für die Freiwilligkeit seiner Einwilligung streiten könnte.

Sollten ausnahmsweise keine Zweifel an der Wirksamkeit der Einwilligung des Arbeitnehmers bestehen, etwa weil ihm neben der Einwilligungsoption weitere nachteilsfreie Handlungsmöglichkeiten vom Arbeitgeber eröffnet werden, so ist beim Zugriff auf Kommunikationsdaten auch die Einwilligung des Kommu nikationspartners einzuholen. Die Einwilligungserklärung des außerbetrieblichen Kommunikationspartners bedarf dabei keiner bestimmten Form, sie kann insbesondere auch vorab (etwa zu Beginn eines Telefonats) mündlich abgegeben werden. Der Arbeitgeber sollte allerdings für eine hinreichende Dokumentation dieser Einwilligungserklärung Sorge tragen.

5. Protokollierung der IuK-Nutzung

Eine Protokollierung der IuK-Nutzung, also die Speicherung von Verkehrsdaten (§ 3 Nr. 30 TKG) über den Zeitraum der Diensteerbringung hinaus, kann aus Gründen der Systemsicherheit, der Kostenabrechnung oder der Missbrauchskontrolle erforderlich und nach Maßgabe der Vorschriften des TKG, TMG und BDSG (s.o.) zulässig sein. Bei gestatteter privater Nutzung kommt darüber hinaus eine Protokollierung auf Basis erteilter Einwilligungen in Betracht.

a) Grundsatz der Datensparsamkeit

Hierbei ist der Grundsatz der Datensparsamkeit (§ 3a BDSG) zu beachten. Dieser hat Auswirkungen auf die Art und Weise der Kontrolle der IuK-Nutzung und auf den Zugriff auf IuK-Protokolldaten. So ist es beispielsweise bei der Kontrolle der betrieblichen Internetnutzung in einem ersten Schritt völlig ausreichend, wenn zunächst nur eine Auswertung des allgemeinen Surfverhaltens im Betrieb ohne Personenbezug erfolgt, insbesondere ohne Einbeziehung der IP-Adresse und anderer Daten zur Identifizierung einzelner Beschäftigter. Treten dabei Hinweise auf eine missbräuchliche Nutzung auf, so kann der Arbeitgeber in einem nächsten Schritt stichprobenartig das Nutzungsverhalten einzelner Beschäftigter überprüfen. Stichprobenartig bedeutet dabei, dass er keinen Einfluss auf die Auswahl der zu überprüfenden Beschäftigten nehmen darf. In der Regel geschieht dies durch eine zufallsartige Auswahl unter den Beschäftigten, etwa durch Los. Kommt diese Zufallskontrolle zum Ergebnis, dass der überprüfte Beschäftigte keinen Verstoß begangen hat, so kann der Arbeitgeber weitere Kontrollen anschließen. Vollkontrollen aller Beschäftigten sind regelmäßig unverhältnismäßig.

Präventive Maßnahmen (etwa Vorgaben zu zulässigen oder unzulässigen Nutzungen, die technisch umgesetzt werden [white lists/black lists]), lassen regelmäßig die Erforderlichkeit von Protokollierungen entfallen und sind damit unter dem Aspekt des § 3a BDSG vorzugswürdig.

b) Vorgaben des § 9 BDSG

Darüber hinaus sind bei der Protokollierung der IuK-Nutzung insbesondere auch die Vorgaben des § 9 BDSG zu beachten. Dies bedeutet im Einzelnen:

  • Die Erhebung und Verwendung von Protokolldaten muss an genau definierte Zwecke gebunden werden, etwa zur Aufrechterhaltung der Systemsicherheit, zur Analyse und Korrektur technischer Fehler im Netz, zur Optimierung der Rechnerleistungen im Netzwerk, zur Ermittlung der Kosten verbrauchter Ressourcen zwecks interner Leistungsverrechnung sowie zur Kontrolle der Einhaltung dienst-/arbeitsrechtlicher Vorgaben erfolgen. Diese Zweckbindung – etwa zur Missbrauchskontrolle – schließt weitergehende Nutzungen – etwa zur Leistungskontrolle aus.
  • Zugriffe auf Protokolldaten sind nur auf Grundlage von Berechtigungskonzepten zulässig (§ 9 Satz 1 BDSG i.V.m. Anlage Ziff. 3), die vorgeben, unter welchen Umständen durch welche Stelle Zugriffe erfolgen dürfen. Zugriffe auf Protokolldaten sind zu dokumentieren (§ 9 Satz 1 BDSG i.V.m. Anlage Ziff. 5).
  • Aufbewahrungs- und Löschfristen von Protokolldaten richten sich nach § 35 Abs. 2 Satz 2 Nr. 3 BDSG. Sie sind zu löschen, wenn ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist.
  • Zugriffe auf Protokolldaten sind zu dokumentieren (§ 9 Satz 1 BDSG i.V.m. Anlage Ziff. 5). Aufbewahrungs- und Löschfristen von Protokolldaten richten sich nach § 35 Abs. 2 Satz 2 Nr. 3 BDSG. Sie sind zu löschen, wenn ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist.

6. IuK-Nutzerdaten zu Geheimnisträgern

Bei Beschäftigten, denen in ihrer Tätigkeit persönliche Geheimnisse anvertraut werden (z.B. Betriebsrat, Betriebsarzt, Gleichstellungsbeauftragte, Schwerbehindertenbeauftragte, betriebliche Datenschutzbeauftragte) und die deshalb in einem besonderen Vertrauensverhältnis zu den betroffenen Personen stehen, muss eine Kenntnisnahme des Arbeitgebers von den Verkehrs- und Inhaltsdaten der IuK-Nutzung ausgeschlossen werden. Dementsprechend müssen Vorkehrungen getroffen werden, dass auch E-Mails, die der Kommunikation der Beschäftigten mit Geheimnisträgern dienen (erkennbar etwa anhand des Empfängers oder Betreffs), vom Arbeitgeber nicht zur Kenntnis genommen werden. Es empfiehlt sich, für diese Stellen nicht-personalisierte funktionsbezogene Postfächer (z.B. Betriebsrat@Unternehmen.de) einzurichten und diese von Kontrollen bzw. Auswertungen auszunehmen.

7. Verwertbarkeit von IuK-Daten

IuK-Nutzerdaten können auch im Rahmen von (arbeits-)gerichtlichen Auseinandersetzungen zwischen Arbeitgeber und Beschäftigtem Bedeutung erlangen. Hierbei ist die Rechtsprechung zu sog. Beweisverwertungsverboten zu beachten[16].

Hat der Arbeitgeber Kenntnis von IuK-Nutzerdaten auf unzulässige Weise erlangt, ist ihre prozessuale Einführung und Verwertung nicht ohne weiteres möglich. Insoweit ist eine Verletzung des Rechts auf informationelle Selbstbestimmung anzunehmen, welches durch das BDSG und die Datenschutzbestimmungen von TKG und TMG einfachgesetzlich konkretisiert wird. Beweise, die unter Verletzung dieses Individualrechts gewonnen wurden, unterliegen einem prozessualen Verwertungsverbot, sofern nach Güterabwägung mit dem Beweisinteresse des Arbeitgebers eine Verwertung nicht ausnahmsweise gerechtfertigt erscheint[17]. Besondere Umstände des Einzelfalls müssen die an sich rechtswidrige Informationsbeschaffung und Beweiserhebung als ausnahmsweise schutzwürdig erscheinen lassen[18], was insbesondere dann der Fall sein kann, wenn der Beweisführer sich in einer notwehrähn lichen Lage befindet[19]. Angesichts der verfassungsrechtlichen Garantie der informationellen Selbstbestimmung muss ein Verstoß gegen datenschutzrechtliche Bestimmungen – das Fernmeldegeheimnis zählt zu den von § 39 Abs. 1 BDSG erfassten Amtsgeheimnissen[20] – jedenfalls dann regelmäßig zu einem Beweisverwertungsverbot führen, wenn die Voraussetzungen einer Eingriffsnorm nicht beachtet wurden[21]. Die jüngste Rechtsprechung des BAG zur Unverwertbarkeit datenschutzwidrig erhobener Beweismittel in Zivilverfahren stützt die Annahme von Beweisverwertungsverboten[22].

II. Ausblick

Die rasant fortschreitende technische Entwicklung und die damit nur bedingt Schritt haltende Rechtsentwicklung weisen den Aufsichtsbehörden für den Datenschutz die Aufgabe zu, für Orientierung in diesem komplexen Rechtsgebiet zu sorgen. Eine Reihe von Aufsichtsbehörden hat deshalb bereits entsprechende Orientierungshilfen vorgelegt, etwa der ULD Schleswig-Holstein[23] oder der BfDI[24]. Zuletzt hat der LfDI Rheinland-Pfalz eine aktuelle Orientierungshilfe zur datenschutzgerechten Ausgestaltung und Kontrolle der Nutzung von Informations- und Kommuni – kationstechnik des Unternehmens durch Beschäftigte zubetrieblichen und zu privaten Zwecken[25] vorgestellt. Ziel aller Aufsichtsbehörden in Deutschland muss es bleiben, durch die Koordinierung und Konsolidierung der bislang eigenständig vorgelegten Orientierungshilfen eine länderübergreifend vereinheitlichte, gemeinsame Orientierungshilfe vorzulegen.

Dr. Stefan Brink

Leiter Privater Datenschutz beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz.

[1] Vgl. die Orientierungshilfen des ULD https://www.datenschutzzentrum.de/internet/private-und-dienstliche-internetnutzung.pdf (Stand 4/2014) und des BfDI https://www.bfdi.bund.de/SharedDocs/Publikationen/Arbeitshilfen/LeitfadenInternetAmArbeitsplatzneu.pdf;jsessionid= 0883803AA925E3755034DA2774959D37.1_cid329?__blob=publicationFile&v=3 (Stand 1/2008)

[2] Vgl. § 38 Abs. 1 BDSG.

[3] Durner, in: Maunz/Dürig, GG, 2013, Art. 10 GG Rn. 42; Pagenkopf, in: Sachs, GG, 2011, Art. 10 Rn. 8; Hermes, in: Dreier, GG, 2013, Art. 10 Rn. 15.

[4] Vgl. Durner, in: Maunz/Dürig, GG, 2013, Art. 10 GG Rn. 43; Hermes, in: Dreier, GG, 2013, Art. 10 Rn. 15.

[5] Vgl. Seifert, in Simitis: BDSG, 8. Aufl. 2014, § 32 Rn. 90; Gola/Schomerus, BDSG, 11. Aufl. 2012, § 32 Rn. 18; Hassemer in Weth/Herberger/ Wächter, Daten- und Persönlichkeitsschutz im Arbeitsverhältnis, 2014, 549, 571 Rn. 91.

[6] Z.B. Stamer/Kuhnke, in: Plath, BDSG, 2013, § 32 Rn. 79; Seifert, in: Simitis, BDSG, § 32 Rn. 92; Zöll, in: Taeger/Gabel BDSG, 2010, § 32 Rn. 34; Sassenberg/Mantz, BB 2013, S. 889; Panzer-Heemeier, DuD 2012, S. 48 (50).

[7] BT-Drs. 13/3609, 33 (53)

[8] Hessischer VGH, Beschluss vom 19.5.2009, AZ: 6 A 2672/08.Z; LAG Niedersachsen, 31.5.2010, AZ: 12 Sa 875/09; LAG Berlin-Brandenburg, 16.2.2011, AZ: 4 Sa 2132/10; VG Karlsruhe, 27.5.2013, AZ: 2 K 3249/12; VGH Baden-Württemberg, 30.7.2014, 1 S 1352/2013; Wybitul, NJW 2014, 3605 ff. m.w.N.

[9] Jenny, in: Plath, BDSG, 2013, § 88 TKG Rn. 11.

[10] Elschner, in: Hoeren/Sieber/Holznagel, Multimedia-Recht, 2014, Teil 22.1 Rn. 88; Eckhardt, in: Spindler/Schuster, Recht der elektronischen Medien, 2011, § 94 TKG Rn. 2.

[11] Elschner, in: Hoeren/Sieber/Holznagel Multimedia-Recht, 2014, Teil 22.1 Rn. 89; vgl. allgemein zum Verhältnis des BDSG zum TKG Munz, in: Taeger/Gabel, BDSG, 2010, § 88 TKG Rn. 7.

[12] Vgl. zum Streitstand Riesenhuber, in: Wolff/Brink, Datenschutzrecht in Bund und Ländern, 2013, § 32 Rn. 35 ff.

[13] Unter einer Stichprobe wird dabei eine Verfahrensweise der Auswahl einer zu kontrollierenden Person aus einer Mehrzahl von Beschäftigten zu klar definierten Kontrollzwecken verstanden, bei der zufallsartig und ohne weitere Einflussmöglichkeit des Arbeitgebers oder Dritter die Auswahlentscheidung getroffen wird (Beispiel: Taschenkontrolle von Beschäftigten am Werksausgang, Auswahl durch Würfeln einer bestimmten Zahl).

[14] Vgl. Zöll, in: Taeger/Gabel, BDSG, 2010, § 32 Rn. 24; Hilbrans, in: Däubler/Hjort/Schubert/Wolmerath, Arbeitsrecht, 2013, § 32 BDSG Rn. 20.

[15] Zum Streitstand Riesenhuber, in: Wolff/Brink, Datenschutzrecht in Bund und Ländern, 2013, § 32 Rn. 16 ff.

[16] Greger, in: Zöller, ZPO, 2014, § 286 Rn. 15a; OLG Karlsruhe NJW 2000, 1577 (1578).

[17] Siehe etwa OLG Karlsruhe NJW 2000, 1577 (1578).

[18] BAG NJW 2008, 2732 (2735).

[19] So auch Thüsing/Pötters, in: Thüsing, Beschäftigtendatenschutz und Compliance, 2014, § 21 Rn. 32.

[20] Plath, in: Plath, BDSG, 2013, § 39 Rn. 7.

[21] Thüsing/Pötters, in: Thüsing, Beschäftigtendatenschutz und Compliance, 2014, § 21 Rn. 30 m.w.N.

[22] Dazu ausführlich Brink/Wybitul, ZD 2014, 225 ff.

[23]Https://www.datenschutzzentrum.de/internet/private-und-dienstlicheinternetnutzung.pdf (Stand 4/2014).

[24]Https://www.bfdi.bund.de/SharedDocs/Publikationen/Arbeitshilfen/LeitfadenInternetAmArbeitsplatzneu.pdf;jsessionid=0883803AA925 E3755034DA2774959D37.1_cid329?__blob=publicationFile&v=3 (Stand 1/2008).

[25]Https://www.datenschutz.rlp.de/downloads/oh/oh_iuk_arbeitsplatz.pdf