DA+

Aufsatz : Prüfungspflichten beim Verbot der Nutzung von Internet und E-Mail im Unternehmen : aus der RDV 5/2016, Seite 246 bis 253

Lesezeit 25 Min.

Die Abgrenzung zwischen der Erlaubnis und dem Verbot einer privaten Nutzung von Internet und E-Mail am Arbeitsplatz beschäftigt die juristische Literatur seit vielen Jahren. Einigkeit besteht darüber, dass es dem Arbeitgeber frei steht, die Privatnutzung zu verbieten, um die Arbeitsleistung seiner Mitarbeiter überwachen zu können. Weitgehende Einigkeit besteht auch darüber, dass im Falle der Anordnung eines solchen Verbots eine Pflicht entsteht, dessen Einhaltung zu kontrollieren. Wie allerdings genau diese Kontrolle unter datenschutzrechtlichen Bedingungen aussehen muss und kann, ist bislang nur wenig behandelt worden. Der nachfolgende Beitrag hat sich die entsprechende juristische Diskussion zum Ziel gesetzt und will gleichzeitig rechtskonforme Leitlinien zur Durchführung der notwendigen Kontrollen aufstellen.

I. Überwachung von E-Mail- und Internetverkehr

Die Überwachung des E-Mail- und Internetverkehrs der Arbeitnehmer ist ein hochsensibles und zugleich juristisch umstrittenes Thema. Um zu prüfen, ob und unter welchen Voraussetzungen der Arbeitgeber die digitale Kommunikation seiner Mitarbeiter überwachen darf, ist es nach h.M. notwendig zu differenzieren, ob die private Nutzung der geschäftlichen E-Mail und Internetanbindung ausdrücklich erlaubt ist, der Arbeitgeber diese möglicherweise geduldet oder ausdrücklich verboten hat.[1]

1. Erlaubnis einer privaten Nutzung

Ausgangspunkt ist dabei zunächst die ausdrückliche Erlaubnis einer privaten Nutzung von E-Mail und Internet am Arbeitsplatz. Dabei ist inzwischen vor allem die Frage nach der Einstufung des Arbeitgebers als E-Mail- und Access-Providers i.S. eines Diensteanbieters nach TKG umstritten.

a) Aktuelle Rechtslage

Nach noch immer weitverbreiteter Ansicht – insbesondere auch der Datenschutzbehörden[2] – hat die Erlaubnis der Privatnutzung zur Folge, dass der Arbeitgeber als Diensteanbieter im Sinne des TKG anzusehen ist.[3] Dies hätte ins besondere zur Folge, dass dieser damit auch dem Fernmeldegeheimnis nach § 88 TKG unterliegt – mit den entsprechend weitreichenden Konsequenzen. Danach wäre eine Überwachung der E-Mails und des Internetverkehrs ohne zusätzliche Vereinbarungen grundsätzlich verboten.[4] Eine Klassifizierung des Arbeitgebers als Diensteanbieter im Sinne des Telemediengesetzes (TMG), insbesondere nach § 2 Abs. 1 Nr. 1 TMG, scheidet dagegen in den allermeisten Fällen aus[5] und kommt nur für vom Arbeitgeber selbst betriebene oder in dessen Auftrag gehostete Webdienste[6], etwa betriebliche Webmail-Portale, in Betracht.

b) Tendenz der aktuellen Rechtsprechung der Arbeitsgerichte

Die neuere Rechtsprechung im Bereich des Arbeitsrechts tendiert jedoch dahin, den Arbeitgeber nicht als Diensteanbieter im Sinne des TKG zu klassifizieren. So vertreten das LAG Niedersachsen und das LAG Berlin-Brandenburg explizit die Auffassung, dass § 88 TKG deshalb keine Anwendung findet, da der Arbeitgeber schon kein Diensteanbieter im Sinne des TKG ist.[7] Die Urteile begründen dies jedoch nur sehr unzureichend: In der Entscheidung des LAG Niedersachsen fehlt dazu jegliche Begründung, das LAG Berlin-Brandenburg führt in seiner Entscheidung immerhin aus, dass der Arbeitgeber keine geschäftsmäßige Telekommunikationsdienstleistung erbringt oder an einer solchen mitwirkt. Weiter detailliert begründet wird diese Ansicht jedoch nicht.

§ 3 Nr. 10 TKG definiert die geschäftsmäßige Erbringung einer Telekommunikationsdienstleistung als ein nachhaltiges Angebot von Telekommunikation für Dritte mit oder ohne Gewinnerzielungsabsicht. Nach richtiger Auffassung sind Mitarbeiter bei erlaubter privater Internetnutzung als Dritte im Verhältnis Arbeitgeber und Arbeitnehmer anzusehen, da die private Nutzung gerade nicht mehr in die Sphäre des Arbeitgebers fällt.[8] Auch stellt § 3 Nr. 10 TKG klar, dass es auf eine etwaige Gewinnerzielungsabsicht gerade nicht ankommt, sondern ein dauerhaftes Angebot ausreicht.

Doch auch wenn man eine andere Meinung vertreten[9] sollte und das TKG daher keine Anwendung finden würde, wäre die individuelle Überwachung der E-Mail- und Internetnutzung bei erlaubter privater Nutzung größtenteils unzulässig. Denn sollte das TKG keine Anwendung finden, so wäre man an die Voraussetzungen des § 32 BDSG gebunden.[10] Entscheidend ist demzufolge, dass eine Abwägung der gegenseitigen Interessen vorgenommen wird. Bei einer erlaubten privaten Internetnutzung wird in den allermeisten Fällen das Interesse des Arbeitnehmers überwiegen, der die geschäftliche E-Mail-Adresse und den Internetzugang auf Basis einer Erlaubnis, im Vertrauen auf die Wahrung seiner Privatsphäre, privat genutzt hat. Das Interesse eines Arbeitgebers an der Kontrolle seiner Mitarbeiter muss innerhalb der Abwägung dann zurückstehen.

2. Duldung einer privaten Nutzung

Einigkeit besteht darüber, dass eine Nichtregelung der hier im Raum stehenden Nutzung nicht automatisch dazu führt, dass die Privatnutzung dadurch erlaubt wird. Im Gegenteil ist im Einklang mit der Rechtsprechung der Arbeitsgerichte davon auszugehen, dass eine Nichtregelung erst einmal zu einem Verbot führt.[11] Weitgehend ungeklärt ist jedoch immer noch die Frage, ob und an welchem Punkt eine geduldete Privatnutzung zur Folge hat, dass der Arbeitgeber als Diensteanbieter im Sinne des TKG anzusehen ist und somit § 88 TKG Anwendung findet.[12]

Entscheidend ist dabei, ob aus einer Duldung der Privatnutzung eine betriebliche Übung entstehen kann. Eine betriebliche Übung liegt nach ständiger Rechtsprechung des BAG bei einem gleichförmigen und wiederholten Verhalten des Arbeitgebers vor, das geeignet ist, vertragliche Ansprüche auf eine Leistung oder eine sonstige Vergünstigung zu begründen.[13] Insbesondere muss der Arbeitnehmer aus dem Verhalten des Arbeitgebers schließen dürfen, ihm werde die Leistung oder Vergünstigung auch künftig gewährt.[14] Maßgebend ist, ob man aus dem Verhalten des Arbeitgebers, unter Berücksichtigung von Treu und Glauben, auf eine Bindungswirkung des Arbeitgebers schließen durfte. Eine betriebliche Übung wird man demnach nicht annehmen können, wenn der Arbeitgeber keine Kenntnis von einer privaten E-Mail- und Internetnutzung hat.[15]

Offen bleibt daher die Frage, ob eine betriebliche Übung bei Kenntnis und Duldung des Arbeitgebers hinsichtlich der privaten E-Mail- und Internetnutzung entstehen kann. Dabei stellt sich die Frage, ob bei einer reinen Duldung und Nichtsanktionierung überhaupt eine Leistung oder eine Vergünstigung seitens des Arbeitgebers gewährt wird. Nach verbreiteter Ansicht entsteht bei einer reinen Duldung keine betriebliche Übung, da es sich bei der Duldung lediglich um Annehmlichkeiten handelt und gerade nicht um eine aktive Leistung oder Vergünstigung des Arbeitgebers.[16] Denn bei einer bloßen Duldung und Nicht-Sanktionierung könne der Arbeitnehmer schon keine Erwartung haben, die Leistung komme ihm auch künftig zugute. Das hätte zur Folge, dass bei einer Kenntnis und Duldung der privaten EMail- und Internetnutzung das TKG grundsätzlich keine Anwendung finden würde.

Diese Ansicht überzeugt jedoch nicht. Denn die – wenn auch stillschweigende – Gestattung der Privatnutzung der betrieblichen E-Mail und Internetanbindung bietet sehr wohl einen faktischen und sogar geldwerten Vorteil, da die Zugriffsvolumina im Rahmen der Smartphone-Tarife, die der Mitarbeiter alternativ nutzen müsste, immer noch begrenzt und Nachkäufe entsprechend kostspielig sind. Wenn der Mitarbeiter aber stattdessen die betriebliche Infrastruktur nutzen kann, werden diese Volumina nicht reduziert. Zu berücksichtigen ist zudem das Zeitbudget, welches dem Mitarbeiter durch die Duldung ggf. zugestanden wird. Daher kann im Fall einer stillschweigenden Gestattung der Privatnutzung durchaus eine betriebliche Übung folgen.[17] Diese kann aber nur dann vorliegen, wenn in der „Duldung“ der im Betrieb üblichen Privatnutzung durch den Arbeitgeber ein rechtsgeschäftlicher Erklärungswert liegt, der voraussetzt, dass der Arbeitgeber eindeutige Kenntnisse von der Privatnutzung hat.[18]

3. Verbot einer privaten Nutzung

Dem Arbeitgeber steht es frei, die private Nutzung von Internet und E-Mail am Arbeitsplatz ganz oder teilweise zu verbieten. Eine derartige Untersagung kann sowohl vertraglich als auch über eine Betriebsvereinbarung erfolgen. Sofern die private Nutzung ausdrücklich untersagt ist, richtet sich die Zulässigkeit einer solchen Überwachung entweder nach den Regelungen, die durch eine Einwilligung gemäß § 4 Abs. 1 BDSG getroffen wurden, oder, falls es an einer konkreten Einwilligung fehlt, nach den Vorgaben in § 32 BDSG.[19]

a) Einwilligung in die Überwachung

Lange Zeit war die Frage, ob es eine freiwillige datenschutzrechtliche Einwilligung im Rahmen eines Arbeitsverhältnisses geben kann, höchst umstritten.[20] Das Bundesarbeitsgericht hat jedoch inzwischen klargestellt, dass dies sehr wohl möglich ist.[21] Es steht dem Arbeitnehmer also grundsätzlich frei, in die E-Mail- und Internet-Überwachung und damit in die Erhebung, Verarbeitung und Nutzung personenbezogener Daten einzuwilligen.[22] Unzweifelhaft muss die Einwilligung bereits im Voraus, d.h. vor einer erstmaligen Nutzung des geschäftlichen E-Mail- und Internetzugangs, erfolgen. Insofern ist es sinnvoll, neue Mitarbeiter schon bei der Einstellung eine entsprechende Vereinbarung unterschreiben zu lassen, die auch die Überwachung regelt.

b) Betriebsvereinbarung

Ist ein Betriebsrat vorhanden, so ist in den meisten Fällen der Abschluss einer Betriebsvereinbarung[23] hinsichtlich der Art und des Umfangs der Überwachung der Internet- und E-Mail-Kommunikation das Mittel der Wahl. Eine Betriebsvereinbarung kann dann als besondere Rechtsvorschrift nach § 4 Abs. 1 BDSG angesehen werden, wenn die Datenerhebung, -verarbeitung und -nutzung hinreichend präzise innerhalb des Erlaubnisumfangs gesetzlicher Bestimmungen geregelt wird und sie das gesetzliche Schutzniveau von TKG/TMG und BDSG nicht unterschreitet.[24] Die Empfehlung zum Abschluss einer Betriebsvereinbarung gilt grundsätzlich unabhängig davon, ob die Privatnutzung erlaubt werden soll oder nicht: Im ersten Fall ist die Betriebsvereinbarung konstitutiv und bildet den Rahmen für die gesonderten Einwilligungserklärungen der nutzungswilligen Beschäftigten; im zweiten Fall ist sie deklaratorischer Natur und konkretisiert die datenschutzrechtlichen Bestimmungen des BDSG.[25] Inhaltlich sollten vor allem die Fragen des Zugriffs, der Protokollierung, Auswertung und verfahrensmäßigen Durchführung von Kontrollen sowie die möglicher Sanktionen bei Verstößen gegen die Vorgaben eindeutig geregelt werden.

c) Keine Einwilligung

Sofern keine Einwilligung der Betroffenen vorliegt, richtet sich die Zulässigkeit solcher Maßnahmen grundsätzlich nach § 32 BDSG.[26] Diese Vorschrift rechtfertigt die Erhebung, Verarbeitung und Nutzung personenbezogener Daten zum Zwecke eines Beschäftigungsverhältnisses. Zur Begründung eines Beschäftigungsverhältnisses fehlt es i.d.R. an der Notwendigkeit einer E-Mail- und Internetüberwachung. Für die Durchführung des Beschäftigungsverhältnisses kann eine E-Mail- und Internetüberwachung aber durchaus erforderlich sein, etwa, wenn, wie im vorliegenden Fall, eine Kontrolle der privaten Nutzung notwendig ist.

Es ist demzufolge eine Abwägung der gegenseitigen Interessen erforderlich. Man wird annehmen können, dass das Interesse des Arbeitgebers, zumindest bei ausgeschlossener privater Nutzung, regelmäßig überwiegen wird.[27] Arbeitgeber haben grundsätzlich ein Interesse daran, die Arbeit ihrer Mitarbeiter[28] und etwaige Verstöße gegen die Geheimhaltungspflicht von Geschäftsgeheimnissen zu überprüfen.

d) Tendenz der aktuellen Rechtsprechung

Der EGMR hat kürzlich entschieden, dass es dem Arbeitgeber gestattet ist, private Chatprotokolle seiner Arbeitnehmer zu überwachen, sofern die private Internetznutzung ausdrücklich ausgeschlossen wurde.[29] In dem vom EGMR zu entscheidenden Fall hatte der Arbeitnehmer einen Messenger auf Wunsch des Arbeitgebers installiert und genutzt, um mit Kunden zu kommunizieren. Die private Nutzung des Messengers wurde jedoch unstreitig verboten. Auch informierte der Arbeitgeber den Mitarbeiter darüber, dass die Nutzung des Messengers überwacht wird. Die Ausführungen zur privaten Nutzung von E-Mail und Internet am Arbeitsplatz sind daher grundsätzlich auch auf dienstlich benutzte Messenger übertragbar. Sofern solche Messenger ausnahmslos privat genutzt werden, ist eine Inhaltskontrolle grundsätzlich unzulässig, da sich anhand der Zeitstempel in den entsprechenden Protokollen schon auswerten lässt, wie viel Arbeitszeit der Mitarbeiter mit dem entsprechenden Messenger verbracht hat.

4. Zwischenergebnis

Nach der aktuellen Rechtslage hat der Arbeitgeber bei untersagter privater Nutzung oder bei Einwilligung des Betroffenen das Recht, die E-Mails und die Internetkommunikation seiner Arbeitnehmer zu überwachen. Gestattet der Arbeitgeber jedoch eine private Nutzung, so scheidet eine Überwachung der E-Mails und des Internetverkehrs regelmäßig aus, sofern diese nicht explizit mit den Mitarbeitern oder per Betriebsvereinbarung vereinbart wurde.

II. Änderungen nach Einführung der DS-GVO

Die DS-GVO enthält keine rechtsgestaltende Regelung zum Beschäftigtendatenschutz. Art. 88 der Verordnung enthält eine Öffnungsklausel, wonach Mitgliedsstaaten Rechtsvorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext erlassen dürfen. Insoweit ist davon auszugehen, dass § 32 BDSG, als bereits im BDSG enthaltene spezielle Regelung für den Bereich des Beschäftigtendatenschutzes, erhalten bleibt.[30] Größere Änderungen sind in den hier relevanten Bereichen nicht zu erwarten.[31]

III. Anforderungen und Gestaltung der betrieblichen Mitbestimmung

Datenschutzrechtliche Bestimmungen werden durch die Beteiligungsrechte des Betriebsrats ergänzt, die im BetrVG festgelegt sind und zu denen auch die Einhaltung des Datenschutzes im Unternehmen bezüglich der Mitarbeit zählt. Bei Einführung und Änderung von IT-Systemen hat der Betriebsrat allgemeine Informationsrechte nach § 80 BetrVG und Beteiligungsrechte u.a. nach §§ 90 ff BetrVG. Zu diesem Zweck muss der Arbeitgeber dem Betriebsrat rechtzeitig die erforderlichen Unterlagen vorlegen.[32] Dies gilt insbesondere dann, wenn es sich bei neu einzuführenden IT-Systemen oder -Prozessen um solche handelt, die eine „technische Kontrolleinrichtung“ nach § 87 Abs. 1 Nr. 6 BetrVG darstellen.

Nach Ansicht des LAG Hamm unterliegt das betriebliche Verbot der Privatnutzung der Internet- und E-Mailnutzung im Unternehmen nicht allein dem Mitbestimmungsrecht des Betriebsrats.[33] Dies ergibt sich bereits daraus, dass diese Maßnahme lediglich der Ordnung des Betriebs dient, da es um eine arbeitgeberseitige Anordnung zur Nutzung der Betriebsmittel durch die Mitarbeiter geht. Dies gilt aber nur für die eigentliche Entscheidung zum Verbot, nicht deren Durchführung.

Denn „Überwachung“ im Sinne des § 87 BetrVG ist ein Vorgang, durch den Informationen über das Verhalten oder die Leistung des Arbeitnehmers erhoben und aufgezeichnet werden, um sie auch späterer Wahrnehmung zugänglich zu machen.[34] Die Informationen müssen auf technische Weise ermittelt und dokumentiert werden, so dass sie zumindest für eine gewisse Dauer verfügbar bleiben und vom Arbeitgeber herangezogen werden können.[35] Die Einbindung in eine von dem einzelnen Mitarbeiter nicht beeinflussbare Überwachungstechnik kann zu erhöhter Abhängigkeit führen und damit die freie Entfaltung seiner Persönlichkeit hindern.[36] Aus diesen Gründen ist der Betriebs- bzw. Personalrat vorab über geplante Maßnahmen zu informieren, die der Überwachung der Mitarbeiter im Rahmen der Internet- oder E-Mail-Nutzung dienen. Die Einführung derartiger Maßnahmen ist mitbestimmungspflichtig nach § 87 Abs. 1 Nr. 6 BetrVG.[37] Auch bei der Ausführung der Überwachung sollte der Betriebsrat entsprechend berücksichtigt werden und ggf. zu einer Einsichtnahme in E-Mail- oder Web-Protokolle herangezogen werden.

IV. Technische Gestaltung der notwendigen Kontrollmaßnahmen

Um der sich aus einem möglichen Verbot der Internet- und E-Mail-Dienst-Nutzung ergebenden Kontrollpflichten wirksam nachkommen zu können, ist die Protokollierung der Internet- und E-Mail-Nutzung durch die Mitarbeiter ein essentieller Bestandteil. Zudem können aus dieser Quelle auch die Daten extrahiert werden, die für das Führen und Aktualisieren von Filterlisten (so genannten „Blacklists“) als zusätzliche, „proaktive“ Maßnahme im Rahmen eines (teilweisen) Verbots benötigt werden.

1. Umsetzung der Protokollierung

Aus technischer Sicht ist dabei zunächst zu klären, wo, wie und in welchem Umfang Protokolldaten angelegt werden oder bereits vorhanden sind. Zur Ausgestaltung der entsprechenden Maßnahmen hat das Unabhängige Landeszen – trum für Datenschutz Schleswig-Holstein (kurz: ULD) im Jahre 2014 mit seiner Empfehlung einen ersten Grundstein gelegt.[38] Das dort in Abschnitt 5 erläuterte „Eskalierte Stufenmodell“ hat mittlerweile – in abgewandelter Form – auch Berücksichtigung in der „Orientierungshilfe der Datenschutzaufsichtsbehörden zur datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz“[39] bzw. in die darin verfügbaren Muster für entsprechende Betriebsvereinbarungen gefunden.[40] Die nachfolgende Darstellung orientiert sich an diesen Vorgaben, die im Wesentlichen folgendes Schema vorsehen:

a) Anonyme bzw. pseudonyme Protokollierung an zentraler Stelle

Jeglicher Überwachung muss zunächst zwingend nicht nur eine umfangreiche Bestandsaufnahme, sondern auch eine Einbeziehung der zuständigen Mitarbeiter vorausgehen. Nach Abstimmung der Maßnahmen und Vorgehensweisen mit den zu beteiligenden Stellen und einer angemessenen Aufklärung aller Mitarbeiter über das Vorgehen sieht diese erste Stufe zunächst eine Protokollierung an zentraler Stelle und ohne Personenbezug vor.

Für Unternehmen, die aufgrund ihres Tätigkeitsbereichs das Internet weniger intensiv nutzen, kann dabei schon eine Auswertung rein auf Basis der im Beobachtungszeitraum übertragenen Datenmengen zielführend und unter Umständen sogar ausreichend sein. In diesem Fall ist dann so bereits eine einfache Statistik – d.h. ohne konkrete Erfassung der genutzten Internet- bzw. E-Mail-Server – des Internetverkehrs ausreichend, um auf eine übermäßige Nutzung der Internets bzw. des E-Mail-Dienstes durch die Mitarbeiter schließen zu können. Der Vorteil dieser Lösung liegt vor allem im bestmöglichen Ausschluss eines Personenbezugs, wesentlicher Nachteil ist die fehlende Möglichkeit der Beurteilung einer möglichen privaten Nutzung anhand der Inhaltsdaten.

In der Regel wird man daher auch „inhaltliche Aspekte“ i.S. der genutzten Web- bzw. E-Mail-Server in der Analyse berücksichtigen müssen, um sinnvoll entscheiden zu können, ob es sich eher um eine dienstliche oder tatsächlich doch um eine private Nutzung handelt. In diesem Fall kommen aus technischer Sicht vor allem vorhandene Web- bzw. E-Mail-Proxy-Server als Stelle der Protokollierung in Frage. Diese haben aufgrund ihrer zentralen Funktion den Vorteil, entsprechend große Mengen an Daten aggregieren und somit einen Personenbezug bestmöglich ausschließen zu können. Sind entsprechende Proxies nicht vorhanden, können die Protokolldateien grundsätzlich auch auf den jeweils zuständigen Gateways erzeugt werden.

In allen Fällen ist allerdings darauf zu achten, dass die Protokollierung streng datenschutzfreundlich konfiguriert bzw. gestaltet werden kann.[41] Dies betrifft neben der Zweckbestimmung zum einen die Speicherdauer, zum anderen auch die Art und Weise, wie die Protokolldaten aggregiert bzw. gefiltert werden können. Zahlreichen auf dem Markt befindlichen Produkten fehlen entsprechende Konfigurationsmöglichkeiten, so dass hier ggf. selbst generierte Filter nachgeschaltet werden müssen, um die notwendige Anonymität bzw. Pseudonymität zu erreichen.

Im Falle des Internet-Zugriffs muss bspw. auch bedacht werden, dass insbesondere auch ein aufgerufener Uniform Resource Locator (kurz: URL) entsprechenden Personenbezug beinhalten kann, etwa durch das Vorhandensein des Namens des Mitarbeiters in dem aufgerufenen URL. Um einen Personenbezug in dieser Stufe bestmöglich ausschließen zu können, sollte die Protokollierung daher vorzugsweise nur anhand der Domain erfolgen.[42] Ist eine Anonymisierung der Protokolldaten nicht vollständig umsetzbar, so kann die Nutzung der Protokolldaten insbesondere im Falle der E-Mail-Kommunikation problematisch sein, da dann auch Dritte außerhalb des Unternehmens, die E-Mail-Kommunikationspartner, mit betroffen sind. Dies ist umso mehr für „gemischte Lösungen“ relevant, bei denen zum Beispiel die Privatnutzung zwar erlaubt, eine Überwachung jedoch gleichwohl vereinbart wurde. Denn sollte der Arbeitgeber als Diensteanbieter i.S. des TKG zu klassifizieren sein, sind § 88 TKG bzw. § 100 TKG maßgeblich, und eine Speicherung zu anderen als den dort genannten Zwecken ist nicht zulässig.[43]

Eine gern genutzte Möglichkeit, den Personenbezug – in diesem Fall den der Protokolldaten – auszuschließen, zumindest aber zu erschweren, ist die Bildung von Gruppen. Diese Möglichkeit, die auch in der Orientierungshilfe der Datenschutzkonferenz genannt wird, setzt im konkreten Anwendungsfall aber i.d.R. eine technische Unterstützung voraus. Denn im Falle der Protokollierung der Internetnutzung sind die IP-Adressen der anfragenden Mitarbeiter-PCs, im Falle der Nutzung des E-Mail-Dienstes die von Mitarbeitern verwendeten E-Mail-Adressen bzw. Zugangskennungen zum E-Mail-Server nun in entsprechende Gruppen einzuordnen. Dabei ist vor allem zu beachten, dass die Größe einer Gruppe so gewählt ist, dass eine spätere Identifizierung von einzelnen Mitarbeitern ausgeschlossen wird. Während dies gerade bei kleinen Organisationen ein Problem darstellen kann, da die Gruppen hier schnell zu klein werden, müssen bei größeren Organisationen passende Möglichkeiten gefunden werden, die Gruppen überhaupt sinnvoll organisieren zu können.

Als Grundlage für eine Gruppierung können auch die einzelnen Organisationseinheiten wie Abteilungen innerhalb des Unternehmens genutzt werden, allerdings wird dies bei kleinen Organisationen regelmäßig allein an einer zu kleinen daraus resultierenden Gruppengröße scheitern. Eine weitere Möglichkeit besteht in einer möglichst gleichförmigen Gruppierung der von der Organisation verwendeten IPAdressen (bspw. durch simples Aufteilen der/des genutzten Netzsegmente/s) bzw. E-Mail-Konten. Sinnvoll wäre beispielsweise ein simples, ggf. alphabetisches Aufteilen in gleich große Gruppen.

Vorgaben zu einer aufgrund einer möglichst ausgeschlossenen Re-Identifizierung notwendigen Mindestgröße sollten neben der reinen Anzahl der Gruppenmitglieder[44] aber auch berücksichtigen, wie stark die einzelnen IP-Adressen bzw. E-Mail-Konten an der Kommunikation teilnehmen. Besteht bspw. eine Gruppe aus mehreren IP-Adressen von Mitarbeiter-PCs, und alle bis auf einen der betroffenen Mitarbeiter sind für zwei Wochen im Urlaub, so wird deutlich, dass sich die Protokolldaten nunmehr allein auf den verbliebenen Mitarbeiter beziehen. Um mögliche negative Konsequenzen – bspw. im Rahmen einer nicht-Verwertbarkeit von Protokolldaten – idealerweise auszuschließen, ist das Vorgehen bei der Gruppierung daher bereits im Vorfeld sorgfältig zu planen.

Aufgrund der in den vorstehenden Abschnitten beschriebenen Probleme erscheint auf den ersten Blick eine Protokollierung und Analyse auf Basis der reinen „Datenmengen“ die bestmögliche Variante. Allerdings wird dies in der Vielzahl der Fälle und insbesondere für den Anwendungsfall der Pflege der Blacklists nicht ausreichend sein, so dass auch Inhaltsdaten mit in die Protokollierung einbezogen werden müssen. Bereits im Vorfeld ist dann aber zu prüfen, ob die Anonymität bzw. Pseudonymität überhaupt angemessen sichergestellt werden kann. Im Zweifel ist der Kontrollpflicht des Arbeitgebers Vorrang einzuräumen, dann sind allerdings entsprechend kompensierende Maßnahmen zu treffen, bspw. indem der Zugriff auf die Protokolldaten strikt reglementiert wird.

b) Personenbezogene Protokollierung an zentraler Stelle

Sofern die erste Stufe keine gravierenden Verstöße gegen die Vorgaben zeigt, kann die weitere Überwachung unterbleiben. Steht dagegen auf Basis der Analyse der in der vorangehenden Stufe gewonnenen Daten fest, dass die Mitarbeiter sich nicht an die Vorgaben halten, steht nach entsprechender Benachrichtigung der Mitarbeiter als nächste Stufe eine personenbezogene Protokollierung an zentraler Stelle an.

Dabei ist allerdings wesentliche Voraussetzung, dass eben nicht eine Protokollierung der Internet- bzw. E-Mail-Nutzung von allen Mitarbeitern erfolgt. Eine entsprechende Vorauswahl ist bspw. durch die bereits erläuterte Gruppenbildung bei der anonymen bzw. pseudonymen Protokollierung an zentraler Stelle zu realisieren. Ist eine entsprechende Gruppierung nicht sinnvoll durchführbar – bspw. weil der dafür notwendige administrative Aufwand als für zu hoch erachtet wird – so scheidet eine personenbezogene Protokollierung regelmäßig aus.[45] Alternativ kommt hier dann eine stichprobenartige Kontrolle aller Mitarbeiter in Betracht.

Im Zuge der in dieser Stufe durchgeführten Protokollierung ist zudem ebenfalls zu beachten, dass im Rahmen der Protokollierung des E-Mail-Dienstes aus den oben dargelegten Gründen keine Erhebung von E-Mail- und IP-Adressen der E-Mail-Kommunikationspartner stattfindet. Einfacher gestaltet sich die Protokollierung der Internetnutzung: Sinn und Zweck dieser Stufe der Protokollierung ist es ja gerade, einen Personenbezug zu dem/den entsprechenden Mitarbeiter/n herzustellen. Daher müssen die aufgerufenen URL in diesem Fall nicht weiter anonymisiert werden.

c) Personenbezogene Kontrolle auf den Mitarbeiter-PCs

Als letzte Stufe der Kontrolle sieht die Orientierungshilfe der Datenschutzkonferenz unangekündigte Überprüfungen der Protokolldaten auf den PCs der über die personenbezogene Protokollierung als “Verursacher“ identifizierten Mitarbeiter vor. Diese Stufe wird insbesondere zur Beweissicherung im arbeitsrechtlichen Umfeld und/oder zur Aufdeckung von Straftaten genutzt werden und ist nicht zwingend erforderlich. Während die Mitarbeiter bei einer Protokollierung der Internet- und E-Mail-Nutzung an zentraler Stelle im Vorhinein über die Maßnahmen zu informieren sind, setzt die Orientierungshilfe dies bei der Protokollierung auf den PCs der Mitarbeiter nicht voraus.

Aus technischer Sicht sind für die Protokollierung in dieser Stufe insbesondere die Zugriffsprotokolle des auf dem Mitarbeiter-PC befindlichen Internet-Browsers bzw. E-MailClients relevant. Ein interessanter Aspekt – insbesondere im Falle der Gestattung einer privaten Nutzung in angemessenem Umfang – ist die Frage, wie eine solche Protokollierung dann überhaupt eingerichtet wird und welchen Zugriff ein Administrator dabei potentiell auf private Daten eines Mitarbeiters nehmen kann. Da die Mitarbeiter i.d.R. nicht in den Prozess der Aktivierung einer entsprechenden Protokollierung eingebunden sein werden, ist für die Einrichtung derselben technisch sicherzustellen, dass der Administrator über die dazu notwendigen Kennwörter verfügt, bspw. um eine pre-Boot Authentification und/oder eine verschlüsselte Systemplatte frei schalten zu können.

Um bei der Einrichtung einen Zugriff – insbesondere den versehentlichen – auf private Daten eines Mitarbeiters bestmöglich zu vermeiden, scheint es zudem ratsam, im Vorfeld entsprechende Regelungen festzulegen, wo die Mitarbeiter ihre privaten Dokumente abspeichern sollen. Zudem sollte die Einrichtung – auch zur Vermeidung von späteren Missverständnissen – generell nur mit mindestens vier Augen und unter Beteiligung des Betriebs- bzw. Personalrats und dem/der betrieblichen Datenschutzbeauftragten durchgeführt werden.

2. Berücksichtigung spezieller Personen bzw. Personengruppen

Insbesondere für die Personen bzw. Personengruppen, die aufgrund ihrer Tätigkeit einer besonderen Vertraulichkeit unterliegen, bspw. die Mitglieder des Betriebs- bzw. Personalrats, den Suchtbeauftragten, Betriebsarzt oder den/die betrieblichen Datenschutzbeauftragte, darf eine Protokollierung, wie bisher beschrieben, nicht durchgeführt werden.[46] Selbiges gilt auch für die schutzwürdigen Belange derjenigen, die als Kommunikationspartner mit diesen Stellen Kontakt aufnehmen, bspw. Mitarbeiter, die den Betriebs- bzw. Personalrat wegen einer Personalangelegenheit anrufen oder auch externe Personen, die den/die BDSB im Rahmen eines Auskunftsersuchens kontaktieren.

Aus praktischer Sicht erscheint es dazu dringend geboten, diesen Sachverhalt bereits angemessen bei der Konzeption und Implementierung der IT zu berücksichtigen. So lässt sich sicherstellen, dass für die betreffenden Personen bzw. Personengruppen eigene, fest zugeordnete IP-Adressbereiche bzw. entsprechende Funktionspostfächer definiert werden, die dann vollständig von der Protokollierung ausgenommen werden. Ein Ausschluss vor der eigentlichen Protokollierung ist – wenngleich wünschenswert – aufgrund der verwendeten IT nicht immer realisierbar, kann aber durch ein Ausfiltern der entsprechenden Daten vor einer Auswertung kompensiert werden.

V. Fazit

Da bislang noch keine höchstrichterliche Rechtsprechung zu dieser Thematik existiert, ist es für Arbeitgeber, die die E-Mail-Kommunikation und Internetnutzung ihrer Arbeitnehmer überwachen möchten, grundsätzlich ratsam, die private Internet- und E-Mail-Nutzung zu untersagen. Gerade wenn Mitarbeiter aufgrund einer Erkrankung längerfristig nicht tätig sind, hat der Arbeitgeber ein besonderes Interesse daran, sich über den aktuellen Sachstand etwaiger Bearbeitungen der E-Mails zu informieren. Zu berücksichtigen ist dabei, dass eine angemessene und dokumentierte Kontrolle und Sanktionierung bei Verstößen notwendig ist, um eine betriebliche Übung und damit i.d.R. unkontrollierbare private Nutzung durch die Mitarbeiter zu vermeiden.

Um eine möglicherweise für beide Seiten zufriedenstellende Lösung zu schaffen, könnte der Arbeitgeber seinen Mitarbeitern aber dadurch entgegenzukommen, die Internetkommunikation für private Zwecke zu gestatten, damit Arbeitnehmer so auf ihre private E-Mail-Adresse zugreifen können, so dass diese erst gar nicht darauf angewiesen sind, die geschäftlich E-Mail-Adresse für private Zwecke zu nutzen. So hat Arbeitgeber insbesondere die Möglichkeit, auf die E-Mails seiner Mitarbeiter zuzugreifen, falls diese längerfristig abwesend sein oder dauerhaft ausscheiden sollten.

In jedem Fall gebietet sich eine detaillierte Regelung der Rechte der Arbeitnehmer und der Kontrollbefugnisse des Arbeitgebers, je nach Fallkonstellation entweder durch Individualvereinbarungen und/oder eine Betriebsvereinbarung. Insbesondere die technische Ausgestaltung der Kontrollmaßnahmen sollte im Vorfeld klar definiert und entsprechend dokumentiert sein. Zudem sollten die bereits bestehenden Geschäftsprozesse und die dazu notwendige IT in der Organisation bereits bei der Entscheidung für oder gegen eine (teilweise) private Nutzung von E-Mail und Internet am Arbeitsplatz berücksichtigt werden, um unliebsame Überraschungen bei der technischen Ausgestaltung der ggf. notwendigen Kontrollmaßnahmen zu vermeiden.

Joerg Heidrich ist seit 2001 als Justiziar und Datenschutzbeauftragter der Heise Medien GmbH & Co. KG sowie als Rechtsanwalt in Hannover tätig. Er ist Fachanwalt für ITRecht, zertifizierter Datenschutzbeauftragter (TÜV) und Sachverständiger für IT-Produkte (ULD SH/rechtlich).

Dr. Christoph Wegener (CISA, CISM, CRISC) ist von der GDD und dem TÜV Nord zertifizierter Datenschutzbeauftragter und seit 1999 als freier Berater mit der wecon.itconsulting in den Themen Informationssicherheit und Datenschutz tätig

Brian Scheuch ist Rechtsreferendar beim Oberlandesgericht Celle und juristischer Mitarbeiter bei Heise Medien. Er studierte Rechtswissenschaften an der Universität Leipzig und Universität Hannover. An der Universität Hannover belegte er den Schwerpunkt IT Recht & Geistiges Eigentum.

[1] Stamer/Kuhnke, in: Plath, BDSG, § 32, Rn. 79; Seifert, in: Simitis, BDSG, § 32 Rn. 90.

[2] Vgl. etwa: Datenschutzkonferenz, Orientierungshilfe zur datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz, Stand: Januar 2016.

[3] De Wolf, NZA 2010, 1206; Vietmeyer/Byers, MMR 2010, 807, 808; Fischer, ZD 2012, 265, 266; Frings/Wahlers, BB 2011, 3126, 3130; Eckhardt, in: Spindler/Schuster, Recht der elektronischen Medien, TKG, § 88 Rn. 18; Seifert, in: Simitis, BDSG, § 32, Rn. 92; Zoll, in: Taeger/ Gabel BDSG, § 32, Rn. 43; Forst, in: Auernhammer, BDSG, § 32, Rn. 67; Nägele/Meyer, BB 2004, 312, 314; Mengel, BB 2004; Lindemann/ Simon, BB 2001, 1950, 1953; Wedde, in: DKWW, BDSG § 32, Rn. 115ff.; Däubler, Gläserne Belegschaft, Rn. 366 ff.; Gola/Wronka, Handbuch, Rn. 1188 ff. Andere Auffassung: Stamer/Kuhnke in: Plath, BDSG, § 32, Rn. 113; Diercks, K&R, 2014, 5; Thüsing, Arbeitnehmerdatenschutz und Compliance, Rn. 220 ff.; Schimmelpfennig/Wenning, DB 2006, 2290, 2292 ff.; Haußmann/Krets, NZA 2005, 259, 260; wohl auch Grobys, BB 2003, 682, 683.

[4] Seifert, in: Simitis, BDSG, § 32, Rn. 92; Mengel, BB 2004, 1445 (1450); Hanau/Hoeren, S. 41 f.; De Wolf, NZA 2010, 1206; Vietmeyer/Byers, MMR 2010, 807, 808.

[5] In einigen Leitfäden zur privaten Nutzung von Internet und E-Mail am Arbeitsplatz wird eine mögliche Anwendbarkeit des TMG nicht differenziert genug betrachtet. Völlig gegenteiliger Ansicht sind bspw. Polenz/Probst, „Private und dienstliche Internet- und E-Mail-Nutzung“, ULD Schleswig-Holstein, 2014, online unter https://www.datenschutzzentrum.de/internet/private-und-dienstliche-internetnutzung.pdf verfügbar (Stand: 12. September 2016).

[6] Für (auf Proxy-Servern) temporär zwischengespeicherte Inhalte kommt unter Umständen auch eine Anwendung des TMG in Betracht, da hier je nach Konfiguration des Proxy neben der Übertragungsleistung die Speicherung der Daten in den Vordergrund tritt.

[7] LAG Berlin-Brandenburg, Urteil vom 16.02.2011 – 4 SA 2132/10; LAG Niedersachsen Urteil vom 31.05.2010 – 12 Sa 875/09.

[8] Fetzer, in: Arndt/Fetzer/Scherer/Graulich, TKG, 2. Aufl. 2015, § 3, Rn. 27, m.w.N.

[9] So etwa: Stamer/Kuhnke in: Plath, BDSG, § 32, Rn. 113; Diercks, K&R, 2014, 5; Thüsing, Arbeitnehmerdatenschutz und Compliance, Rn. 220 ff.; Schimmelpfennig/Wenning, DB 2006, 2290 (2292 ff.); Haußmann/Krets, NZA 2005, 259 (260); wohl auch Grobys, BB 2003, 682, 683.

[10] So auch: Zöll, in: Taeger/Gabel, BDSG, § 32, Rn. 43.

[11] Stamer/Kuhnke, in: Plath, BDSG, 32 BDSG Rn. 89., m.w.N.

[12] Zöll, in: Taeger/Gabel, BDSG, § 32, Rn. 43 m.w.N.

[13] BAG, Urteil vom 11.11.2014, Az.: 3 AZR 849/11, Rn. 54

[14] BAG, Urteil vom 19.05.2016 – 3 AZR 131/15 – Rn. 45.

[15] So im Ergebnis auch: LAG Berlin-Brandenburg, Urteil v. 14.01.2016, Az. 5 Sa 657/15, online abrufbar unter http://tlmd.in/u/1681

[16] Waltermann, NZA 2007, 529; Stamer/Kuhnke, in: Plath, BDSG, § 32, Rn. 92; Zöll, in: Taeger/Gabel, BDSG, § 32, Rn. 43; BAG, NZA 1998, 423 (424). Andere Auffassung: Barton, NZA 2006, 460 (461); Fleischmann, NZA 2008, 1397 (1397 f.); Küttner/Kreitner, Internet-, Telefonnutzung Rn. 4.

[17] So auch: Landesbeauftragte für Datenschutz Baden-Württemberg, Dienstliche und private E-Mail- und Internet-Nutzung am Arbeitsplatz, Stand: Juni 2012

[18] LAG Berlin-Brandenburg, Urteil v. 14.01.2016, Az. 5 Sa 657/15, online abrufbar unter http://tlmd.in/u/1681

[19] Diercks, K&R 2014,1; Hoppe/Braun, MMR 2010, 80.

[20] Stamer/Kuhnke, in: Plath, BDSG, 32 BDSG Rn. 87.

[21] BAG, Urteil vom 11.12.2014 – 8 AZR 1010/13

[22] Kilian/Heussen, Computerrecht, 32. Ergänzungslieferung 2013, Rn. 14.

[23] Die Ausführungen in diesem Beitrag gelten im Falle der Anwendbarkeit des entsprechenden Landespersonalvertretungsgesetzes (LPersVG) bzw. des Bundespersonalvertretungsgesetzes (BPersVG) analog für etwaige zu treffenden Dienstvereinbarungen unter Beteiligung des zuständigen Personalrats.

[24] Schrader/Mahler, NZA-RR 2016, 57; Brink, ZD 2015, 295

[25] Brink, ZD 2015, 295

[26] Stamer/Kuhnke, in: Plath, BDSG, 32 BDSG Rn. 81; De Wolf, NZA 2010, 1206 (1208); Hoppe/Braun, MMR 2010, 80.

[27] Hoppe/Braun, MMR 2010, 81; Härting, in: Härting, Internetrecht, 5. Aufl. 2014, B. Datenschutzrecht Rn. 349.

[28] Gräfin v. Brühl/Sepperer, DSRITB 2014, 513.

[29] Europäischer Gerichtshof für Menschenrechte, Urteil vom 12.01.2016, Az. 61496/08.

[30] Brink/Düwel, NZA 2016, 665.

[31] Dazu: Marquardt/Sörup, ArbRAktuell 2016, 103; Brink/Düwel, NZA 2016, 665.

[32] Conrad, in: Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, Rn. 299.

[33] LAG Hamm, MMR 2006, S. 700.

[34] LAG Düsseldorf, NZA-RR 2015, 355.

[35] BAG, NZA 2014, 439; BAGE NJW 2004, 1756

[36] BAG, NZA 2014, 439.

[37] Für E-Mail: BAG, NZA 2009, 1218; Dann/Castell, NJW 2008, 2945; Ernst, NZA 2002, 585; Fülbier/Splitgerber, NJW 2012, 1995; Kömpf/ Kunz, NZA 2007, 1341; Raffler/Hellich, NZA 1997, 862. Für Internet: Helfrich, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Rn. 26 ff.; Kömpf/Kunz, NZA 2007, 1341.

[38] Polenz/Probst, „Private und dienstliche Internet- und E-Mail-Nutzung“, ULD Schleswig-Holstein, 2014, online unter https://www.datenschutzzentrum.de/internet/private-und-dienstliche-internetnutzung.pdf verfügbar (Stand: 12. September 2016).

[39] Online bspw. unter http://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2016/02/OH_E-Mail_Internet_Arbeitsplatz.pdf verfügbar (Stand: 12. September 2016).

[40] Einen weiteren, wenngleich weniger detaillierten und zudem deutlich älteren Leitfaden hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (kurz: BfDI) bereits im Jahre 2008 veröffentlicht; er ist unter https://www.bfdi.bund.de/SharedDocs/Publikationen/Arbeitshilfen/LeitfadenInternetAmArbeitsplatzneu.html online verfügbar (Stand: 12.09.2016).

[41] Heidrich/Wegener, MMR 2015, 487

[42] Auch in diesem Fall ist ein möglicher Personenbezug natürlich nicht vollständig auszuschließen, bspw. wenn ein Mitarbeiter eine eigene Domain mit seinem Namen als Bestandteil der Domain (also i.S.v. www.mitarbeitername.example.com) registriert hat.

[43] Vgl. dazu auch Heidrich/Wegener, MMR 2015, 487.

[44] Im Beispiel ist dies die Anzahl an IP-Adressen bzw. E-Mail-Konten pro Gruppe.

[45] So auch die Orientierungshilfe der Datenschutzkonferenz, die – allerdings fehlerhaft – § 32 Abs. 1 Satz 2 als Begründung anführt.

[46] Seifert, in: Simitis, BDSG, § 32, Rn. 91. Auch im Falle der Anwendbarkeit des Geheimschutzhandbuches wäre zu prüfen, ob und ggf. wie hier eine Protokollierung und etwaige Kontrollen durchzuführen sind