Kündigt der Arbeitgeber ein Arbeitsverhältnis aufgrund bekannt gewordener Tatsachen durch verdeckte Einsicht in E-Mail- und WhatsApp-Verläufe, kann dies zu Schadensersatzansprüchen der Mitarbeiter führen, wenn die private Nutzung geschäftlicher IT nicht geregelt ist. Denn das Landesarbeitsgericht (LAG) Baden-Württemberg geht in seinem Urteil vom 27. Januar 2023 (Az.: 12 Sa 56/21) davon aus, dass eine Privatnutzung üblich ist, wenn es keine Regelungen im Betrieb gibt.
Eine verdeckte Überwachung des dann möglicherweise auch privaten E-Mail-Verkehrs der Mitarbeiter ist rechtswidrig. Und rechtswidrig erlangte Erkenntnisse unterliegen einem Sachvortrags- oder Beweisverwertungsverbot. Dabei gäbe es effektive Methoden, sich als Arbeitgeber zu schützen.
Hintergrund der Entscheidung
Hintergrund der Entscheidung war eine arbeitsrechtliche Streitigkeit zwischen einem Arbeitnehmer und seinem Arbeitgeber. Letzterer kündigte seinen Arbeitnehmer wegen Verstoßes gegen seine arbeitsvertraglichen Pflichten fristlos. Der Arbeitgeber warf dem Arbeitnehmer unter anderem vor, vertrauliche Informationen an ein Konkurrenzunternehmen weitergegeben, dienstliche E-Mails gelöscht und private Kommunikation mit betrieblichen Kommunikationsmitteln geführt zu haben.
Dies erfuhr der Arbeitgeber durch anlasslose Einsichtnahmen in die dienstliche Kommunikation seines Angestellten. Eine vorherige Information darüber fand nicht statt.
Regelungen über die private Nutzung betrieblicher E-Mail-Konten gab es keine. Vielmehr war hinsichtlich des dem Arbeitnehmer bereitgestellten dienstlichen Endgeräts eine einvernehmliche Mischnutzung gestattet.
Der Arbeitnehmer bestritt die Vorwürfe und erhob Klage vor dem Arbeitsgericht. Streitgegenstand war zudem ein Schadenersatzanspruch infolge des Datenschutzverstoßes nach Art. 82 DSGVO. Das Arbeitsgericht wies die Klage ab, woraufhin der Arbeitnehmer Berufung beim Landesarbeitsgericht Baden-Württemberg einlegte.
Aktuelle Urteile zur DSGVO
In unseren regelmäßigen Besprechungen von Urteilen zum Datenschutzrecht erklären wir Ihnen die Konsequenzen für den Unternehmensalltag.
Das Urteil
Das LAG urteilte, dass der Arbeitgeber nicht die ihm obliegende Darlegungs- und Beweislast erfüllt hatte, um die Vorwürfe der Pflichtverletzung des Arbeitnehmers und letztlich die Kündigung zu belegen. Die Bestimmungen des Bundesdatenschutzgesetztes (BDSG) über die Anforderungen an eine zulässige Datenverarbeitung konkretisieren und aktualisieren das Recht auf informationelle Selbstbestimmung betroffener Arbeitnehmer. Wird einem Arbeitnehmer ein mobiles Endgerät als umfassendes Kommunikations- und Organisationsgerät auch zur einvernehmlichen Mischnutzung überlassen, dürfe der Arbeitnehmer berechtigterweise annehmen, dass sich diese Erlaubnis auch auf andere Kommunikationsformen wie E-Mail bezieht.
Bei einer in der Konsequenz einzustufenden erlaubten Privatnutzung eines dienstlichen E-Mail-Accounts durch den Beschäftigten müsse eine verdachtsunabhängige Überprüfung durch den Arbeitgeber in aller Regel unter Nennung der Gründe angekündigt werden. Im Vorfeld müsse dem Beschäftigen die Gelegenheit gegeben werden, private Nachrichten in einem gesonderten Ordner zu speichern, der einem Zugriff durch den Arbeitgeber entzogen sei.
Hat der Arbeitgeber die Privatnutzung dienstlicher Kommunikationsmittel wie im streitigen Fall erlaubt, müsse im Rahmen von § 26 Abs. 1 Satz 1 BDSG bei deren Auswertung eine verschärfte Verhältnismäßigkeitskontrolle verpflichtend durchgeführt werden. Da die fragliche Einsichtnahme im konkreten Fall nach den Bestimmungen des BDSG nicht erlaubt gewesen sei, folge hieraus regelmäßig ein gerichtliches Verbot der Verwertung der unzulässig beschafften Daten und Erkenntnisse.
Unter Abwägung der streitgegenständlichen Umstände erschien der Kammer ein Schadensersatz in Höhe von 3.000 Euro als billig. Der Betrag sei fühlbar und habe nicht nur symbolischen Charakter. In Hinblick auf den durch die Verordnung verfolgten Präventionszwecks in Art. 82 Abs. 1 DSGVO sei ein Schadenersatzanspruch in dieser Höhe im vorliegenden Fall ausreichend.
Datenschutzrechtliche Einschätzung
Das LAG stützt seine Begründung mitunter auf die Erforderlichkeitsprüfung, welche § 26 Abs. 1 S.1 BDSG zur Verarbeitung von Beschäftigtendaten voraussetzt. In der Sache ändert sich auch durch das jüngere EuGH-Urteil nichts, wonach diese nationale Generalklausel für die Verarbeitung von Beschäftigtendaten hinter die DSGVO zurücktreten müsse und somit nicht mehr anzuwenden sei.
Entsprechende Verhältnismäßigkeitsprüfungen werden nunmehr ebenfalls über die Rechtsgrundlagen aus der DSGVO, namentlich Art. 6 Abs. 1 lit. b und f. DSGVO, verpflichtend durchzuführen sein.
Die Begründung des LAG ist weitestgehend nachvollziehbar. Einzig die Aussage, dass man üblicherweise von einer erlaubten Privatnutzung ausgehen könne, sollte keine gegenteilige Regelung getroffen sein, überzeugt nur im konkreten, streitgegenständlichen Fall. Wäre in diesem und ähnlich gelagerten Fällen keine erlaubte Mischnutzung der betrieblichen Smartphones gestattet gewesen, wäre eine andere Auffassung sicherlich ebenfalls vertretbar gewesen.
Der Arbeitgeber setzt hierdurch nämlich bewusst einen Vertrauenstatbestand, wonach Mitarbeitern nicht mehr abverlangt werden kann, zwischen den verschiedenen Kommunikationskanälen zu unterscheiden.
Ob die rechtswidrige Einsichtnahme in die geschäftliche Kommunikation ebenfalls einen Verstoß gegen das Fernmeldegeheimnis impliziert, wurde durch das Gericht nicht entschieden. Trotz umfangreicher Leitsätze griff das Gericht eine Entscheidung zur umstrittenen Frage der Einordnung des Arbeitgebers als Telekommunikationsanbieters bei erlaubter Privatnutzung nicht weiter auf. Vielmehr stellten die Richter in den Raum, dass auch ein Verstoß gegen das inzwischen in Kraft getretene TTDSG und darin in § 3 geregelte Fernmeldegeheimnis vorliegen kann.
Hinsichtlich der Höhe des Schadenersatzes für den immateriell erlittenen Schaden ist der durch das Gericht gezogene Vergleich mit bereits ausgeurteilten Schmerzensgeldern bei Verletzungen der körperlichen Integrität ein interessanter Wink, welchen Weg Gerichte künftig einschlagen könnten. Schadensersatz wird trotz des Präventionszwecks der europäischen Schadensersatznorm hierzulande nicht über Schmerzenzgelder hinausgehen. Ob dies Gerichte anderer Mitgliedstaaten ähnlich beurteilen, bleibt höchst spannend. Über kurz oder lang wird der Vergleich mit bereits ausgeurteilten datenschutzverstoßbedingten Entschädigungen erfolgen können.
Fazit
Erfahrungsgemäß scheuen sich in der Praxis viele Arbeitgeber, konkrete einschränkende Regelungen zur Privatnutzung der betrieblichen IT aufzustellen oder die Privatnutzung generell qua Direktionsrecht zu untersagen. Offene Flanken bestehen insbesondere bei der Privatnutzung von betrieblich ausgegebenen Smartphones. Vielfach wird unter falschen Prämissen angenommen, die Belegschaft hätte diesbezüglich ein Mitspracherecht.
Urteile wie diese zeigen unzweifelhaft auf, dass sich Arbeitgeber und Verantwortliche dieser Frage zwingend stellen müssen. Gibt es keine besonderen Situationen in der betrieblichen Landschaft, spricht nahezu nichts dafür, eine private Nutzung zu erlauben oder vorbehaltlich bestimmter Pflichten eingeschränkt zu erlauben.
Sämtliche Folgeprobleme, von der Übergabe betrieblicher Hardware bei Ausscheiden, strafbewehrter Offenbarung von privater Kommunikation gegenüber IT-Sicherheitsdienstleistern, Verstöße gegen das Fernmeldegeheimnis, bis zur temporären Einsicht bei Abwesenheit, müssen sich nicht stellen.
Oft wird den technischen Möglichkeiten zu wenig Beachtung geschenkt, die eine liberalere Handhabung durchaus ermöglichen können. Eine organisatorische Lösung setzt dagegen stets restriktive Einschränkungen der Nutzung voraus. Unternehmen sollten sich hierzu unbedingt kompetent beraten lassen und bei Bedarf zügig Maßnahmen ergreifen.
