Wer sich den Browserverlauf von dienstlich genutzten PCs ansieht, wird nicht selten feststellen, dass auch Websites aufgerufen wurden, die in keinem dienstlichen Kontext stehen: Nachrichtenseiten, Social Media-Dienste, Mode- oder Musik-Blogs, privat genutzte E-Mail-Dienste, etc. Eine übermäßige private Nutzung während der Arbeitszeit kann zur Kündigung führen. Aber darf ein Arbeitgeber den PC des Mitarbeiters kontrollieren? Oder verstoßen technische Kontrollen gegen das Datenschutzrecht?
Der Schutz personenbezogener Daten endet für Arbeitnehmer nicht mit dem Betreten des Betriebs. Arbeitgeber sind verpflichtet, den Persönlichkeitsrechtsschutz ihrer Mitarbeiter zu achten. Sie dürfen aber prüfen, ob ihre Mitarbeiter auch tatsächlich ihrer Arbeit nachgehen. Schließlich werden sie dafür bezahlt. Die Kontrolle des Dienst-PCs unterliegt aber besonderen Anforderungen.
Grundsätze
Wenn die Kontrolle dazu dient, zu überprüfen, dass keine private Nutzung erfolgt, sollte vorher innerbetrieblich festgelegt worden sein, dass eine private Nutzung unzulässig ist. Dies sollte den Arbeitnehmern klar kommuniziert werden. Ferner sollte der Arbeitgeber über die möglichen Kontrollmaßnahmen vorab belehren, und zwar über
- die Möglichkeiten der Kontrolle sowie der zur Verfügung stehenden Kontrollmaßnahmen sowie
- das Ausmaß der Kontrolle und die Eingriffsintensität, beispielsweise ob nur eine Kontrolle des Internet-Traffics oder auch der kommunizierten Inhalte erfolgt, der zeitliche Umfang der Kontrolle, die Anzahl der Personen, die Zugang zu diesen Informationen haben, etc.
Es empfiehlt sich, eine Belehrung zu dokumentieren, beispielsweise indem die Mitarbeiter unterschreiben, dass ihnen diese Regelungen bekannt sind. Eine gute Dokumentation kann für einen gerichtlichen Prozess wertvoll sein.
Eine dauerhafte Überwachung der Mitarbeiter ist jedoch nicht zulässig. Vielmehr darf die Kontrolle eines bestimmten Mitarbeiters nur anlassbezogen und zeitlich begrenzt erfolgen. Auch stichprobenartige Kontrollen können zulässig sein. Bei der Auswahl der Kontrollmaßnahme sollten unter anderem folgende Aspekte berücksichtigt werden:
- Grund der Kontrolle,
- Prüfung milderer Maßnahmen,
- Folgen der Kontrolle für den Arbeitnehmer.
Heimliche Kontrollmaßnahmen sind in den wenigsten Fällen zulässig, da diese nur zur Wahrung besonders schwerwiegender Interessen des Arbeitgebers zulässig sind und es keine andere offene Kontrollmaßnahme geben darf, mit der das verfolgte Ziel erreicht werden kann. Bei der Kontrollmaßnahme sollte vermieden werden, den Inhalt einer Kommunikation des Mitarbeiters mit Dritten zu erfassen, da dies einen schwerwiegenden Eingriff darstellt.
Die Zulässigkeit von Kontrollmaßnahmen des Dienst-PCs ist vor diesem Hintergrund immer vom Einzelfall abhängig. Kontrollmaßnahmen sollten deshalb sorgfältig abgewogen werden. Um die Grundsätze zu veranschaulichen, stellen wir ihnen einige Beispiele aus der Rechtsprechung vor.
Auslesen des Browser-Verlaufs
Das Auslesen des Browser-Verlaufs durch den Arbeitgeber kann nach Auffassung des Landesarbeitsgerichts Berlin-Brandenburgzulässig sein. Zur effektiven Missbrauchskontrolle sei es zulässig, aufgerufene Websites inklusive des Zugriffszeitpunkts durch den Browser automatisch speichern zu lassen. In dem entschiedenen Fall hatte der Arbeitgeber die Festplatte des Dienst-PCs eines Mitarbeiters ausgebaut und am eigenen PC ausgelesen. Die ausgelesenen Daten durften in dem gerichtlichen Verfahren als Beweismittel genutzt werden.
Keylogger
Das Bundesarbeitsgericht hat den Einsatz eines Keyloggers durch den Arbeitgeber für unzulässig erachtet. Dieses Programm zeichnet alle Tastatureingaben auf und macht regelmäßig Screenshots vom Bildschirm. Das Gericht machte deutlich, dass dies einen schwerwiegenden Eingriff darstellt. Der Einsatz war in diesem Fall unzulässig, weil es zuvor keinen konkreten Verdacht gegen den Mitarbeiter gegeben hatte, sondern der Arbeitgeber den Keylogger ohne Anlass einsetzte. Ferner hätte der Arbeitgeber mildere Maßnahmen wie die Untersuchung des Dienst-PCs im Beisein des Mitarbeiters vornehmen können.
Mitlesen von Chat-Verläufen
Der Europäische Gerichtshof für Menschenrechte (EGMR) hatte einen Fall zu entscheiden, bei dem ein rumänischer Arbeitgeber die Kommunikation eines Mitarbeiters über ein Chat-Programm aufgezeichnet hatte. Er konnte alle Nachrichten des Arbeitnehmers mit seinem Bruder und seiner Verlobten mitlesen, die zum Teil intimer Natur waren. Die Überwachung des Chat-Programms war nach Auffassung der Richter unzulässig, da der Mitarbeiter zuvor nicht ausreichend über eine solche Kontrollmaßnahme informiert worden war und weil an eine Kontrolle des Inhalts der Kommunikation erhöhte Anforderungen zu stellen sind, die in diesem Fall nicht erfüllt waren.
Gelten diese Anforderungen auch ab Geltung der DSGVO?
Davon ist zunächst auszugehen. Die ab dem 25. Mai 2018 geltende EU-Datenschutz-Grundverordnung (DSGVO) überlasst es weitgehend den Mitgliedstaaten, eigene Regelungen zum Beschäftigtendatenschutz zu treffen. Im deutschen Recht wurde der Wortlaut der bisherigen Regelung im BDSG weitgehend übernommen, was gegen eine veränderte Rechtslage spricht. Die Rechtsprechung in diesem Bereich muss aber weiterhin aufmerksam verfolgt werden. Wir werden Sie regelmäßig in unserem Blog auf dem Laufenden halten.
Dr. Malte Kröger