Publikation —

3.3.2020

An der Schnittstelle zwischen Compliance und Datenschutz: Von der offenen Ermittlungsmaßnahme bis zur Verdachtskündigung (Teil 1)

Die Digitalisierung der Arbeitswelt ist weiter auf dem Vormarsch und wird in den Tageszeitungen in erster Linie unter dem Aspekt der Flexibilisierung diskutiert, bspw. in Form des mobilen Arbeitsplatzes (sog. Mobile Office) oder der agilen Transformation von Unternehmen.

Weniger tagesaktuell sind hingegen die sich Arbeitgebern eröffnenden Möglichkeiten, Arbeitsabläufe aber auch einzelne Mitarbeiter mittels des Einsatzes von IT-Systemen zu überwachen. Werden sogar gezielte Ermittlungshandlungen („Compliance-Maßnahmen“) durchgeführt und treten im Rahmen der Sachverhaltsaufklärung Straftaten zulasten des Unternehmens oder aber schwere Verletzungen arbeitsvertraglicher Pflichten ans Tageslicht, müssen in der unternehmerischen Praxis mehrere (rechtliche) Hürden gemeistert werden, ummögliche Sanktionen rechtssicher vorzubereiten. Über Ergebnissen interner Ermittlungen schwebt stets das Risiko der späteren prozessualen Unverwertbarkeit, wenn diese nicht datenschutzkonform erlangt wurden.

Anlässlich eines Urteils des Bundesarbeitsgerichts aus dem Jahr 2019 (BAG, Urteil vom 31.01.2019 – 2 AZR 426/18) beschäftigt sich dieser erste Teil unseres Beitrags mit der Fragestellung, wann im Rahmen von offenen Ermittlungsmaßnahmen gewonnene Informationen bzw. Daten im Arbeitsverhältnis vom Unternehmen zwecks Vorbereitung einer Kündigung – ggfs. in einem gerichtlichen Verfahren – verwendet werden dürfen. Im zweiten Teil werden wir uns mit dem in diesem Kontext regelmäßig auftretenden Problem befassen, wie eine Verdachtskündigung rechtsicher vorbereitet und ausgesprochen wird. Teil drei unseres Beitrags beschäftigt sich abschließend mit dem Themenbereich der „Internal Investigations“, insbesondere den Voraussetzungen verdeckter Überwachungsmaßnahmen.

I. Sachverhalt

Ausgangspunkt der Streitigkeiten zwischen dem Arbeitgeber und Arbeitnehmer war die Wirksamkeit einer gegenüber dem Arbeitnehmer ausgesprochenen ordentlichen Verdachtskündigung. Ein Arbeitnehmer wurde ursprünglich verdächtigt, Inhalte eines Audit-Berichts unerlaubt an Dritte weitergegeben zu haben. Im Rahmen einer internen Revision entdeckte der Arbeitgeber auf dem Dienst-Laptop nicht als „privat“ gekennzeichnete Daten, die den dringenden Verdacht eines Tankkartenbetrugs begründeten. Die vom Arbeitnehmer gegen die ordentliche Verdachtskündigung erhobene Kündigungsschutzklage blieb vor dem Bundesarbeitsgericht erfolglos.

II.  Zulässigkeit offener Ermittlungsmaßnahmen

Im Fokus steht die Frage, wann ein Arbeitgeber Ergebnisse einer offenen Compliance-Maßnahme prozessual verwerten darf. Klar ist in jedem Fall:

Allgemeine datenschutzrechtliche Voraussetzungen

Eine Mitarbeiterüberwachung sowie (interne) Ermittlungen stellen eine Verarbeitung personenbezogener Daten i. S. v. Art. 4 Nr. 1 DSGVO dar. Die Zulässigkeit von Überwachungs- sowie Ermittlungsmaßnahmen richtet sich nach § 26 Abs. 1 BDSG. Nach dieser Vorschrift, auf deren Voraussetzungen wir in unserm dritten Teil vertieft eingehen werden, beurteilt sich die datenschutzrechtliche Zulässigkeit nahezu sämtlicher Ermittlungsmaßnahmen, wie etwa von E-Mail-Screenings, computerforensische Auswertungen, Datenanalysen etc.

Offene Compliance-Maßnahmen aufgrund eines Anfangsverdachts

Hinsichtlich offener Ermittlungsmaßnahmen zur Aufdeckung von Straftaten bzw. Verletzung arbeitsvertraglicher Pflichten unterscheidet das BAG nunmehr zwischen mehreren Ermittlungsformen, die jeweils in der Intensität ihres Eingriffs in das Persönlichkeitsrecht des betroffenen Arbeitnehmers zunehmen (Stufenverhältnis).

1. Stufe: Überprüfung nach abstrakten Kriterien

Hierunter fallen Überwachungsmaßnahmen, die zur Verhinderung von Pflichtverletzungen nach abstrakten Kriterien vorgenommen werden. Zulässig ist ein solches Vorgehen auch ohne einen gegen einen konkreten Arbeitnehmer gerichteten Verdacht und darüberhinaus nicht auf private Daten zugegriffen wird. Ein Anfangsverdacht ist wegen des wenig intensiven Eingriffs in das Persönlichkeitsrecht des Arbeitnehmers auf Grundlage des § 26 Abs. 1 Satz 1 BDSG nicht erforderlich.

Zu denken ist an die stichprobenartige Überwachung des Internet-Browsers eines dienstlichen Internetzugangs, wie z. B. die vorübergehende Speicherung von Verlaufsdaten des Internetbrowsers (Adresse, Titel, Zeitpunkt).

2. Stufe: Anlassbezogene, konkrete Kontrolle und Zufallsfunde

Möchte der Arbeitgeber gezielte Ermittlungsmaßnahmen gegen konkrete Arbeitnehmer ergreifen, müssen weitere Voraussetzungen beachtet werden, damit die gewonnen Erkenntnisse vor Gericht verwertet werden können:

Die Maßnahme darf nicht willkürlich sein, d. h. es muss ein legitimer Grund für die Compliance-Maßnahme bestehen. Hierunter fällt bspw. der Verdacht, ein Mitarbeiter habe gegen arbeitsvertragliche Pflichten verstoßen oder eine Straftat zulasten des Unternehmens begangen. Ein weiterer, durch konkrete Tatsachen begründeter sowie dokumentierter Anfangsverdacht i. S. v. § 26 Abs. 1 BDSG ist - anders als bei den verdeckten Ermittlungsmaßnahmen - hingegen nicht mehr erforderlich. Einen legitimen Grund nimmt das BAG schon an, wenn der Arbeitgeber prüfen möchte, ob der Arbeitnehmer seine arbeitsvertraglichen Pflichten vorsätzlich verletzt hat.

Zudem muss dem Arbeitnehmer der konkrete Vorwurf eröffnet und ihm die Möglichkeit gegeben werden, bestimmte Daten als „privat“ zu kennzeichnen und somit von einer Einsichtnahme auszuschließen.

Werden im Rahmen der Ermittlungen Erkenntnisse gewonnen, die vom ursprünglichen Zweck der Ermittlung nicht gedeckt waren (sog. Zufallsfunde), sind diese dann verwertbar, wenn das eigentliche Ziel der Überwachung rechtmäßig war, i. E. also ein legitimer Grund vorlag.  

3. Stufe: Kontrolle privater Daten

Firmen-E-Mails kann der Arbeitgeber einsehen, sie sind vergleichbar mit der Briefpost. Eine Ausnahme bilden selbstredend der E-Mail-Verkehr des Betriebsrates oder die Korrespondenz mit dem Betriebsarzt. Um auch auf private Daten des Arbeitnehmers zugreifen zu können, bedarf es eines „qualifizierten Anlasses“. Hier gilt zu beachten:

Solange keine „drohende Gefahr oder besondere Umstände“ vorliegen, darf der Arbeitgeber private Dateien auf einem Computer nicht öffnen, die als persönlich gekennzeichnet sind. Hier überwiegt regelmäßig die „berechtigte Privatheitserwartung“ des Arbeitnehmers die Interessen des Arbeitgebers an einer Sachverhaltsaufklärung. Wann diese Voraussetzungen vorliegen, ließ das BAG jedoch offen.

III. Zugriffsrecht bei (teilweise) erlaubter Privatnutzung

Der Zugriff auf Daten ist für den Arbeitgeber schwieriger, wenn der Arbeitnehmer ein dienstliches Mobiltelefon oder etwa einen Laptop besitzt und der Arbeitgeber die Privatnutzung (teilweise) gestattet, zumindest aber nicht ausdrücklich ausschloss.

Ein Teil der arbeitsrechtlichen Literatur sowie die Datenschutzbeauftragten des Bundes und der Länder gehen davon aus, dass das Unternehmen zum Telekommunikationsdienste- bzw. Telemediendienste-Anbieter wird. Er unterliegt dann den Spezialvorschriften des TKG und TMG und kann sich bei einer Verletzung des Fernmeldegeheimnisses gem. § 206 StGB strafbar machen (Hinweis: Eine abschließende Klärung durch das BAG, ob das TKG bzw. TMG im Arbeitsverhältnis Anwendung findet, steht nach wie voraus).

Bei einem bestehenden, konkreten Verdacht gegen den Arbeitnehmer sehen wir keine datenschutzrechtlichen und persönlichkeitsrechtlichen Bedenken.

Wir empfehlen, bei auch erlaubter privater Nutzung eine Regelung zu Dauer, Inhalt und Kontrolle zu etablieren, ebenso die Einwilligung des Arbeitnehmers, Art. 7 DSGVO, § 26 BDSG, einzuholen, neben einer abzuschließenden Betriebsvereinbarung (bzgl. der Ausgestaltung der Privatnutzungserlaubnis besteht ein Mitbestimmungsrecht, nicht aber bzgl. der Entscheidung, ob die private Nutzung gestattet wird und für welchen Personenkreis). Sollte der Arbeitnehmer die Einwilligung nicht erteilen, ist eben die Privatnutzung auch nicht erlaubt. Es sollten außerdem getrennte Postfächer für die berufliche und die private elektronische Post eingerichtet werden.

IV. Fazit

Besteht der Verdacht, ein Mitarbeiter habe gegen seine arbeitsvertraglichen Pflichten verstoßen, darf i. R. e. computerforensischen Auswertung z. B. des Dienst-Laptops auf Daten zugegriffen werden, um den Sachverhalt aufzuklären. U. E. ist im Fall der offenen Ermittlungsmaßnahme dem Arbeitnehmer zuvor der Anlass der Untersuchung mitzuteilen und ihm die Möglichkeit zu geben, Daten als „privat“ zu kennzeichnen. Unterlässt er dies, sind auch private Daten des Arbeitnehmers prozessual verwertbar. In diesem Fall muss der Arbeitnehmer billigerweise mit dem jederzeitigen Zugriff auf die vermeintlich rein dienstlichen Daten rechnen.

Lässt sich der Verdacht gegen den einzelnen Arbeitnehmer konkretisieren und bereits anhand von Indizien belegen, empfehlen wir – gerade um eine Vertuschung durch den Arbeitnehmer zu vermeiden – eine verdeckte Ermittlung. Deren Voraussetzungen werden wir im dritten Teil vertieft darstellen.

Folge der Ermittlungen können – je nach Ergebnis und Schwere des Verstoßes – auch eine Abmahnung oder gar Kündigung sein. Dies wird besonders relevant beim Herunterladen erheblicher Datenmengen auf betriebliche Systeme, der Verursachung nennenswerter Kosten für den Arbeitgeber, Vorgängen der Rufschädigung des Unternehmens durch den Arbeitnehmer, der Beleidigung oder bei social-media-Einträgen, wenn der Inhalt einen dienstlichen Bezug hat, z.B. bei rassistischen Äußerungen.

Teil II unseres Beitrags zu diesem Thema finden Sie hier.

Jetzt zum Online-Seminar anmelden

BETEILIGTE ANWÄLTE