Was erlaubt ist

Mitarbeiter legal bespitzeln

27.05.2009 von Christoph Rittweger
Unternehmen dürfen ihre Angestellten nur überwachen, wenn der rechtliche Rahmen stimmt. Auch die IT-Policy kann ihnen dazu umfassende Befugnisse einräumen.

"Überwachungsskandale" und "Rasterfahndungen" gegen Mitarbeiter durch Unternehmen sorgten in den vergangenen Wochen für Schlagzeilen. Die Öffentlichkeit übersieht dabei oft, dass Unternehmen dazu berechtigt und mitunter sogar verpflichtet sind, interne Ermittlungen anzustellen. Welche rechtlichen Beschränkungen Arbeitgeber bei der Mitarbeiterüberwachung beachten müssen und welche Möglichkeiten die derzeitige Rechtslage hergibt, soll dieser Beitrag anhand von Beispielen beleuchten.

Vorweg: Überwachungsmaßnahmen betreffen nahezu immer die Persönlichkeitsrechte der Mitarbeiter. Eine vollständige Kontrolle ist zwar stets unzulässig. Andererseits verfolgt der Arbeitgeber oftmals legitime Ziele. Im Einzelfall und durch die geschickte Setzung des rechtlichen Rahmens (beispielsweise durch Einführung einer guten IT-Policy) stehen ihm umfassende Befugnisse zur Überwachung und Kontrolle zu.

Mitlesen von E-Mails

Das erste Beispiel beschäftigt sich mit dem Verrat von Geschäftsgeheimnissen. Sie können heute schnell und unkompliziert per E-Mail aus dem Unternehmen "geschmuggelt" werden. Das betroffene Unternehmen lässt daher Wortfilter über sämtliche E-Mails der Mitarbeiter laufen und liest verdächtigen Datenverkehr mit.

Das ist in dieser Form illegal. Prinzipiell ist der Kampf gegen Betriebsspionage legitim, allerdings sind hier auch die Rechte des Arbeitnehmers berührt: Ist die private Nutzung des E-Mail-Systems gestattet oder geduldet, so unterliegen private E-Mails dem Fernmeldegeheimnis. Liest der Unternehmer den E-Mail-Verkehr dennoch mit, verstößt er nicht nur gegen das Datenschutzrecht, sondern macht sich auch strafrechtlich angreifbar. Selbst wenn die private Nutzung des E-Mail-Systems verboten ist, lässt sich eine Totalüberwachung per Wortfilter dem Gesetz nach nicht rechtfertigen. Hier ist zumindest das Recht auf informationelle Selbstbestimmung der Mitarbeiter betroffen, das eine lückenlose Totalüberwachung verbietet. Der Arbeitgeber darf lediglich stichprobenartig E-Mails kontrollieren, um sicherzustellen, dass keine Unternehmensgeheimnisse per E-Mail an Dritte gelangen.

Da eine zulässige Stichprobenkontrolle keinen wirksamen Schutz gegen Missbrauch bietet, empfiehlt es sich, eine IT-Policy im Unternehmen einzuführen. Sie ist in der Regel mitbestimmungspflichtig und sollte die private Nutzung des E-Mail-Systems entweder verbieten oder von der Zustimmung zu Kontrollen abhängig machen. Wichtig: Alle betroffenen Mitarbeiter müssen detailliert über die Kontrollen Bescheid wissen.

Pro und kontra Rasterfahndung

Der Unternehmer im zweiten Beispiel will Korruption und Untreue in seinem Unternehmen bekämpfen. Dazu vergleicht er automatisch die Kontonummern von Zulieferern mit denen seiner Mitarbeiter. Sollte eine Kontonummer in beiden Datenbeständen auftauchen, liegt der Verdacht nahe, dass der Mitarbeiter Unternehmensgelder abzweigt.

Ob solche unternehmensinternen "Rasterfahndungen" zulässig sind, ist umstritten. Einerseits laufen die Daten durch ein ausschließlich elektronisches Raster; sie werden weder geändert noch (außer im Trefferfall) zusätzlich gespeichert. Bei den Treffern, so wird argumentiert, überwiege das Interesse des Arbeitgebers, denn offensichtlich sei hier etwas nicht in Ordnung. Auf der anderen Seite hat der "rechtschaffene" Mitarbeiter ein Interesse daran, nicht unter Generalverdacht gestellt zu werden. Eine anlasslose Überprüfung einer großen Zahl von Mitarbeitern ist daher unzulässig. Die anlassbezogene Überprüfung von Mitarbeitern der Einkaufsabteilung, die als Verdächtige in Frage kommen, da sie Überweisungen an Zulieferer veranlassen, ist hingegen meist erlaubt.

Auch in diesem Beispiel ist das Unternehmen daher zu weit gegangen. Es hätte seine Mitarbeiter vorher zumindest informieren müssen. Einzige Ausnahme wäre die ernste Gefahr, dass relevante Beweise beseitigt werden, sobald die Mitarbeiter Kenntnis von den Plänen erlangen. Nur in diesem Fall muss das Unternehmen die Angestellten nicht zwingend im Vorfeld unterrichten, sondern erst, sobald das Risiko nicht mehr besteht. Vor der Überwachungsmaßnahme hätte das Unternehmen zudem den Betriebsrat informieren und seinem Datenschutzbeauftragten die Möglichkeit geben müssen, die Maßnahme auf Vereinbarkeit mit dem Datenschutzrecht hin zu überprüfen (die sogenannte "Vorabkontrolle").

Was tun bei konkretem Verdacht?

Etwas anders liegt der Fall im dritten und letzten Beispiel, in dem bereits ein konkreter Verdacht besteht: Ein Konkurrent ist offensichtlich in den Besitz von vertraulichen Unterlagen gelangt, auf die nur ein Mitarbeiter Zugriff hatte. Um den Verdacht zu erhärten, möchte der Unternehmer die E-Mails des Mitarbeiters kontrollieren. Das darf er tun, solange die E-Mail-Kommunikation im Unternehmen nicht generell überwacht, geblockt oder umgeleitet wird. Die Protokolle von Mail-Servern und ähnliche Aufzeichnungen, die bei der Übertragung der E-Mails entstehen, dürfen darüber hinaus nicht durchleuchtet werden. In beiden Fällen drohen Konflikte mit dem Fernmeldegeheimnis, die auch strafrechtliche Konsequenzen für die handelnden Personen und für die Unternehmensleitung haben können.

Wann die Mail-Durchsicht erlaubt ist

Soweit E-Mails im Postfach des Empfängers angekommen sind, schützt das Fernmeldegeheimnis den Inhalt der E-Mail nicht mehr - unabhängig davon, ob die E-Mail bereits geöffnet wurde oder nicht. Mail-Archive dürfen bei konkretem Verdacht also untersucht werden. Die Kontrolle muss sich dann allerdings auf die relevante geschäftliche Kommunikation beschränken. E-Mails, die beispielsweise in der Betreffzeile als privat gekennzeichnet sind, sollten nicht geöffnet oder sofort wieder geschlossen werden, wenn bei der Durchsicht klar wird, dass sie privater Natur sind. Das Gleiche gilt für E-Mails, die mit dem konkreten Verdacht nichts zu tun haben. Die Suche muss sich von vornherein auf relevante Stichwörter und einen relevanten Zeitraum, in dem der Geheimnisverrat stattgefunden haben könnte, beschränken. Sollte sich der Anfangsverdacht nicht erhärten oder sind bestimmte Aufzeichnungen aus der Kontrolle für die Rechtsverfolgung nicht mehr vonnöten, müssen sie unverzüglich vernichtet werden. Unternehmen, die Dienstleister (IT-Dienstleister oder Anwälte) in die Untersuchung einschalten, müssen zusätzlich einen schriftlichen Auftragsdatenverarbeitungsvertrag abschließen und dem Dritten klare Vorgaben geben, wie die Untersuchung vonstatten zu gehen hat. Auch in diesem Fall muss das Unternehmen den betroffenen Mitarbeiter sowie den Betriebsrat und den Datenschutzbeauftragten von der Überprüfung informieren.

Auf den folgenden drei Seiten finden Sie Checklisten zu den Bereichen Datenschutz, Arbeitsrecht und Strafrecht, anhand derer Sie die Situation in Ihrem Unternehmen besser einschätzen können.

Checklisten für interne Untersuchungen

Die folgenden Checklisten sind Leitfäden für die vielen Fragen, die man sich stellen muss, bevor man mit einer Untersuchung beginnen kann. Klare Ja/nein-Antworten auf die einzelnen Fragen gibt es nicht - sie wären auch gefährlich. Die Situationen sind, was das Arbeitsrecht anbelangt, zum Großteil noch nie gerichtlich geklärt worden. Was den Datenschutzteil anbelangt, hängen die Antworten zumeist vom Einzelfall ab. Kurzum: Ein IT-Leiter sollte im konkreten Fall mit dieser Liste zu seiner Rechtsabteilung gehen, um die verschiedenen Punkte durchzusprechen.

Checkliste Datenschutz

  1. Ist es möglich, die Untersuchung auf eine Einwilligung der zu Untersuchenden zu stützen (Achtung: Teilweise wird die Ansicht vertreten, dass Mitarbeitereinwilligungen nicht freiwillig seien, dies gilt aber grundsätzlich nicht für die Geschäftsführung und leitende Angestellte)? Wenn nein, gibt es einen Rechtfertigungstatbestand für die Untersuchungsmaßnahmen (typischerweise: § 28 Abs. 1 Nr. 2 BDSG)?

  2. Sind die Betroffenen von der Untersuchung und insbesondere über die verantwortliche Stelle, die zu verarbeitenden Daten und mögliche Empfänger der Daten informiert worden?

  3. Gibt es eine IT-/E-Mail-Richtlinie, die bei der Untersuchung zu befolgen ist?

  4. Wurde diese Richtlinie in der Vergangenheit durchgesetzt? (Nichtdurchsetzung des Verbots der privaten Nutzung kann zu einer betrieblichen Übung führen, so dass die private Nutzung erlaubt wäre, wobei dann das Fernmeldegeheimnis auf private E-Mails und die Umstände der Kommunikation Anwendung finden könnte, siehe unten)

  5. Wird die Überprüfung durch

    - einen externen Dienstleister durchgeführt und hat der Dienstleister einen Auftragsdatenverarbeitungsvertrag unterzeichnet, § 11 BDSG?

    - einen Mitarbeiter durchgeführt und hat der Mitarbeiter eine Verpflichtung auf das Datengeheimnis unterzeichnet, § 5 BDSG?

  6. Sind für eine elektronische Durchsuchung relevante Stichwörter, die helfen sollen, dass lediglich relevante und keine privaten E-Mails herausgefiltert werden, identifiziert worden?

  7. Sind dem Dienstleister oder Mitarbeiter schriftliche Anweisungen gegeben worden, wie er die Untersuchung vornehmen soll (Stichworte, Zeitraum etc.) und wie er private oder nicht relevante E-Mails behandeln soll (zum Beispiel "sofort schließen" "nicht lesen”, "nicht kopieren”, "nicht weiterleiten", "nicht drucken")?

  8. Werden die Ergebnisse der Untersuchung (zum Beispiel die Ergebnisse der E-Mail-Durchsuchung oder Interviewmitschriften bei Mitarbeiterbefragungen)

    - an Dritte übermittelt (an andere Unternehmen der Gruppe, die möglicherweise außerhalb der EU sitzen) und - sofern die Antwort "ja" ist -,

    - ist die Zulässigkeit der Übermittlung überprüft worden (typischerweise: § 28 Abs. 1 No. 2 BDSG), und

    - ist beim Empfänger ein angemessenes Datenschutzniveau sichergestellt (zum Beispiel durch EG-Standardvertragsklauseln, Safe-Harbor-Zertifizierung oder verbindliche Unternehmensrichtlinien)?

  9. Werden die Ergebnisse der E-Mail-Durchsuchung oder Interviewmitschriften bei Mitarbeiterbefragungen vor Weiterleitung anonymisiert oder pseudonymisiert?

  10. Sind die Aufbewahrungs- und Löschungsfristen für Untersuchungsergebnisse klar, und wird die Löschung von Untersuchungsergebnissen eingehalten und kontrolliert?

  11. Ist dem Datenschutzbeauftragten das Recht zur Vorabkontrolle eingeräumt worden, § 4 d Abs. 5 und 6 BDSG?

Checkliste Arbeitsrecht

  1. Besteht ein Betriebsrat?

  2. Bestehen Betriebsvereinbarungen zu Kontrollmaßnahmen bei Mitarbeitern beziehungsweise zur Kontrolle der IT/E-Mail-Systeme?

  3. Sind Benachrichtigungspflichten gegenüber dem Betriebsrat und/oder Mitbestimmungsrechte des Betriebsrats eingehalten worden?

  4. Müssen Mitarbeiter zu Interviewterminen erscheinen und auf Fragen antworten?

  5. Ist Mitarbeitern bei Interviews ein Anwalt (auf Kosten des Arbeitgebers) beizustellen?

  6. Sind Mitarbeiter darauf hinzuweisen, dass sie sich nicht selbst belasten müssen? Wenn ja, in welcher Form?

  7. Sind Vertreter des Betriebsrats berechtigt, an den Interviews oder sonstigen Untersuchungsmaßnahmen teilzunehmen?

  8. Hat der Betriebsrat ein Recht, die Untersuchungsergebnisse zu erhalten oder einzusehen?

  9. Haben die Mitarbeiter ein Recht, die Untersuchungsergebnisse zu erhalten oder einzusehen?

  10. Müssen die Untersuchungsergebnisse in die Personalakte?

  11. Hat sich das Unternehmen Gedanken gemacht, dass rechtswidrig erhobene Beweise in einem späteren gerichtlichen Verfahren möglicherweise einem Beweisverwertungsverbot unterliegen und deshalb nicht nutzbar gemacht werden können?

Checkliste Strafrecht

  1. Beziehen sich Untersuchungsmaßnahmen auf E-Mails während des Übermittlungsvorgangs (in diesem Fall wäre das Fernmeldegeheimnis berührt)?

  2. Erstrecken sich Untersuchungsmaßnahmen auch auf E-Mail-Log-Files (in diesem Fall kann das Fernmeldegeheimnis berührt sein)?

  3. Werden im Rahmen von Untersuchungsmaßnahmen private Daten verändert oder gelöscht?

  4. Beziehen sich die Untersuchungsmaßnahmen auf Passwort-geschützte oder verschlüsselte private Daten?

  5. Bestehen bei den untersuchten Vergehen mögliche Anzeigepflichten gegenüber staatlichen Strafverfolgungsbehörden?

  6. Hat sich das Unternehmen Gedanken darüber gemacht, dass rechtswidrig erhobene Beweise in einem späteren gerichtlichen Verfahren möglicherweise einem Beweisverwertungsverbot unterliegen und deshalb nicht nutzbar gemacht werden können? (sh)