Das Landesarbeitsgericht (LAG) Baden-Württemberg hatte kürzlich im Rahmen einer arbeitsrechtlichen Streitigkeit, u. a. über die Beendigung des Arbeitsverhältnisses, zu entscheiden und umfassend zu den rechtlichen Risiken der Privatnutzung von betrieblichen Kommunikationsmitteln und deren datenschutzrechtlichen Implikationen Stellung genommen.

Hintergrund der Entscheidung

Nach einer fristgerechten Eigenkündigung kündigte der Arbeitgeber seinen Arbeitnehmer fristlos wegen Verstoßes gegen seine arbeitsvertraglichen Pflichten. Der Arbeitgeber stützte die Kündigung auf Daten, die er aus der Auswertung von durch anlasslose Einsichtnahmen ohne Wissen des Arbeitnehmers in E-Mail- und Messenger-Nachrichten des diesem zur Verfügung gestellten, auch privat genutzten Smartphones erhalten hatte. Regelungen über die private Nutzung betrieblicher E-Mail-Konten gab es im Unternehmen des Arbeitgebers nicht.

Der Arbeitgeber warf dem Arbeitnehmer unter anderem vor, private Kommunikation mit betrieblichen Kommunikationsmitteln geführt zu haben. Eine Vielzahl solch privater Nachrichten, darunter solche an Verwandte und Freunde des Arbeitnehmers, trug der Arbeitgeber zur Begründung der Kündigung vor.
Der Arbeitnehmer bestritt die Vorwürfe und erhob Kündigungsschutzklage vor dem Arbeitsgericht, da es kein ausdrückliches Verbot der Privatnutzung durch den Arbeitgeber gab. Der Arbeitnehmer argumentierte, dass die „Mischnutzung“ anderer Kommunikationsmittel (wie Smartphone) für private Zwecke erlaubt worden war und er daher annahm, dass dies auch für die gesamte IT gilt. Zudem macht der Arbeitnehmer einen Schadenersatzanspruch wegen Datenschutzverstoßes durch unzulässige Auswertung privater Daten geltend.

Entscheidung

Die LAG-Richter entschieden zugunsten des Arbeitnehmers und bestätigten die bereits erstinstanzlich bejahte Unwirksamkeit der Kündigung. Ein Grund zur fristlosen Kündigung war aufgrund umfassenden Beweisverwertungsverbots nicht gegeben.

Der Arbeitgeber hatte nicht die ihm obliegende Darlegungs- und Beweislast erfüllt, um die Vorwürfe der Pflichtverletzung des Arbeitnehmers und letztlich die Kündigung zu belegen. Die vom Arbeitgeber zur Begründung der Kündigung vorgelegten E-Mails und Messenger-Nachrichten sind prozessual nicht verwertbar. Das Verwertungsverbot ergibt sich aus der Unzulässigkeit der Datenverarbeitung. Die Bestimmungen des Bundesdatenschutzgesetztes (BDSG) über die Anforderungen an eine zulässige Datenverarbeitung konkretisieren und aktualisieren das Recht auf informationelle Selbstbestimmung betroffener Arbeitnehmer. Ist die fragliche Maßnahme nach den Bestimmungen des BDSG rechtswidrig, folgt hieraus regelmäßig ein Verwertungsverbot der unzulässig beschafften persönlichen Daten und Erkenntnisse.

Privatnutzung der IT erlaubt?

Dabei spielt die Frage der Zulässigkeit der privaten IT-Nutzung eine wichtige Rolle. Was gilt, wenn eine klare Regelung hinsichtlich der Privatnutzung eines dienstlichen E-Mail-Accounts fehlt, ist umstritten, wobei im juristischen Schrifttum überwiegend von einem Verbot der Privatnutzung bei Fehlen einer ausdrücklichen Erlaubnis ausgegangen wird. Nach Ansicht des diesen Fall entscheidenden LAG spricht jedoch gegen die Annahme eines pauschalen Verbots bei Nichtregelung der Privatnutzung durch den Arbeitgeber, dass die Privatnutzung eines dienstlichen E-Mail-Accounts im Arbeitsleben heutzutage kein Ausnahmefall mehr, sondern durchaus üblich ist. Parallelen zur sonstigen Unternehmenspost können da nur bedingt gezogen werden. Gerade in Bereichen wie dem Vertrieb, in dem es auf den Aufbau von persönlichen Kontakten zu Geschäftspartnern ankommt, werden neben geschäftlichen Informationen oftmals auch persönliche Informationen in E-Mails integriert, die im vordigitalen Zeitalter per Geschäftsbrief nicht gleichermaßen mit Geschäftspartnern schriftlich ausgetauscht worden wären. Gleiches gilt bei E-Mail-Verkehr zwischen Kollegen, in dem neben dienstlichen Inhalten regelmäßig auch private Dinge ausgetauscht werden, die zu Zeiten „traditioneller“ Kommunikation überhaupt nicht schriftlich kommuniziert worden wären. Es spricht demnach einiges dafür, dass ein Arbeitgeber, der mit der Privatnutzung des dienstlichen E-Mail-Account nicht einverstanden ist, dieses übliche Nutzungsverhalten auch ausdrücklich verbieten muss.

Wird einem Arbeitnehmer ein mobiles Endgerät dienstlich als umfassendes Kommunikations- und Organisationsgerät überlassen und erfolgt im Hinblick auf bestimmte Kommunikationsformen (WhatsApp; SMS; Telefon) explizit eine einvernehmliche Mischnutzung, darf der Arbeitnehmer berechtigterweise annehmen, dass sich diese Erlaubnis auch auf andere Kommunikationsformen wie E-Mail bezieht und auch die gesamte übrige dienstliche IT für private Zwecke genutzt werden darf.

Beweisverwertungsverbot bei unrechtmäßiger Auswertung von E-Mails im Unternehmen

Das LAG hat sodann festgestellt, dass bei erlaubter Privatnutzung ein umfassendes Verarbeitungsverbot für private E-Mails besteht, das auch auf die zulässige Verarbeitung der dienstlichen E-Mails durchschlägt. Hat der Arbeitgeber die Privatnutzung dienstlicher Kommunikationsmittel wie im streitigen Fall erlaubt, muss bei deren Auswertung eine verschärfte Verhältnismäßigkeitskontrolle verpflichtend durchgeführt werden.

Im Fall einer erlaubten Privatnutzung darf eine verdachtsunabhängige Überprüfung des dienstlichen E-Mail-Accounts und Auswertung von Emails durch den Arbeitgeber nicht verdeckt, also heimlich, erfolgen. Vielmehr musste dem Arbeitnehmer unter Nennung der Gründe angekündigt werden, dass eine Verarbeitung von E-Mails stattfinden soll, und ihm so im Vorfeld Gelegenheit gegeben werden, private Nachrichten in einem gesonderten Ordner zu speichern, der einem Zugriff durch den Arbeitgeber entzogen ist.

Eine Einwilligung des Arbeitnehmers in die Datenauswertung lag im Urteilsfall nicht vor, auch nicht (mangels Erklärungswert) konkludent durch bloße Rückgabe des Smartphones an den Arbeitgeber anlässlich der Beendigung des Anstellungsverhältnisses.

Schmerzensgeld wegen Datenschutzverstoß

Auf Grund des Verstoßes gegen datenschutzrechtliche Vorschriften hat der Arbeitnehmer Anspruch auf eine Entschädigung nach § 82 Abs. 1 Datenschutzgrundverordnung (DSGVO). Für die Anerkennung eines solchen Anspruchs ist die bloße Verletzung der Norm als solche nicht ausreichend, wenn mit ihr kein entsprechender immaterieller Schaden einhergeht. Ein immaterieller Schaden ist im Urteilsfall aber gegeben, da sehr persönliche Daten des Arbeitnehmers vom Arbeitgeber über einen erheblichen Zeitraum ausgewertet und anschließend im Arbeitsgerichtsprozess eingebracht wurden. Bei der Bemessung der Höhe des Schadensersatzanspruches gemäß § 287 Abs. 1 ZPO spielt das Kriterium der Vergütungshöhe des Arbeitnehmers allerdings keine Rolle. Zudem muss die Relation zu Schmerzensgeldern bei Verletzung der körperlichen Integrität im Blick behalten werden. Der bloße „Ärger“ über den Kontrollverlust an Daten und das schiere „Unmutsgefühl“ wegen Nichtbeachtung des Rechts durch einen anderen reichen insoweit allein nicht aus. Etwaige Spannungslagen und Zielkonflikte sind dahingehend aufzulösen, dass (immaterielle) Schäden, die im Zuge von Datenschutzverletzungen entstehen, zwar vollständig kompensiert werden müssen, aber zugleich durch (zu) hohe, überkompensatorische Schadensersatzpflichten keine falschen Anreizwirkungen erzeugt werden dürfen. Vorliegend erachtete das LAG deshalb unter Abwägung aller Umstände einen Schmerzensgeld-Betrag in Höhe von 3.000 EUR als ausreichend und angemessen.

Praxishinweis

Das Urteil ist äußerst aufschlussreich und unterstreicht die Bedeutung des Datenschutzes am Arbeitsplatz. Die Entscheidung verdeutlicht die Notwendigkeit, klare Regeln für die Privatnutzung von betrieblichen Kommunikationsmitteln zu etablieren, diese den Mitarbeitern klar zu kommunizieren und regelmäßig zu schulen. Nur so können Arbeitgeber vermeiden, dass (ungewollt) von einer erlaubten Mischnutzung sämtlicher IT ausgegangen wird, obwohl der Arbeitgeber diese nur für ein Kommunikationsmittel (z. B. Smartphone) zulassen wollte.

Exkurs

Die Frage der Erlaubnis zur privaten Nutzung von IT-Betriebsmitteln ist für Arbeitgeber stets eine Gratwanderung. Erfahrungsgemäß scheuen sich in der Praxis viele Arbeitgeber, konkrete einschränkende Regelungen zur Privatnutzung der betrieblichen IT aufzustellen oder die Privatnutzung generell qua Direktionsrecht zu untersagen. Offene Flanken bestehen insbesondere bei der Privatnutzung von betrieblich ausgegebenen Smartphones. Vielfach wird unter falschen Prämissen angenommen, die Belegschaft hätte diesbezüglich ein Mitspracherecht.

Hintergrund

Einerseits setzen gerade jüngere Arbeitnehmer die private Nutzungsmöglichkeit der betrieblichen IT fast schon voraus und reagieren auf entsprechende Verbote mit Unverständnis. Wer die private Nutzung der betrieblichen IT-Infrastruktur erlaubt, gilt als moderner und technologieaffiner Arbeitgeber. Dieses Incentive ist auch grundsätzlich mit keinen zusätzlichen Kosten beim Arbeitgeber verbunden angesichts heute üblicher Flatrate-Tarife und hoher Übertragungsgeschwindigkeiten. Studien belegen zudem, dass eine solche Erlaubnis nicht zu massenhafter Prokrastination und Verschwendung von Arbeitszeit für private Dinge führt, sondern vielmehr den positiven Einfluss auf die Arbeitsproduktivität und eine höhere Work-Life-Balance. Andererseits birgt die Erlaubnis für den Arbeitgeber gewisse rechtliche Risiken im belasteten Arbeitsverhältnis bzw. bei Auflösung eines solchen: die Aufklärung etwaiger Pflichtverstöße kann aufgrund datenschutzrechtlicher Vorgaben erheblich erschwert sein.

Eine Erlaubnis zur Privatnutzung kann ausdrücklich erteilt werden oder auch konkludent durch ein arbeitgeberseitiges, die Privatnutzung duldendes Verhalten. Was gilt, wenn eine klare Regelung zur Privatnutzung betrieblicher IT im Unternehmen fehlt, ist umstritten.

Jedoch unabhängig davon, ob eine Privatnutzung erlaubt ist oder nicht, muss sich der Arbeitgeber bei der Verarbeitung von Arbeitnehmerdaten stets an die Bestimmungen des Datenschutzrechts halten. Auch wenn nach der aktuellen Rechtsprechung des Bundesarbeitsgerichts (BAG) nicht jeder Datenschutzverstoß zu einem Verwertungsverbot in einem späteren Gerichtsverfahren führt, sollten Arbeitgeber wegen möglicher Sanktionen der DSGVO (Beschwerde, Bußgeld, Schadensersatz) sicherstellen, dass die Datenverarbeitung rechtmäßig erfolgt. Für den Maßstab der Verhältnismäßigkeitsprüfung ist dann aber entscheidend, ob die Privatnutzung erlaubt ist oder nicht.

Folgen der Erlaubnis

Bei erlaubter Privatnutzung findet eine verschärfte Verhältnismäßigkeitsprüfung statt: Der Arbeitgeber ist regelmäßig gehalten, sich dienstliche Mails durch den Arbeitnehmer weiterleiten zu lassen, anstatt selbst Zugriff auf den dienstlichen Mailaccount zu nehmen. Eine verdachtsunabhängige Überprüfung darf im Regelfall nicht verdeckt erfolgen. Wenn angemessene Maßnahmen zur Trennung von privaten und dienstlichen Daten getroffen werden (z. B. eigener Ordner “privat” im Mailfach o.Ä.), ist ein heimlicher Direktzugriff nur aufgrund eines konkreten Verdachts zur Aufklärung von Straftaten oder schweren Pflichtverletzungen möglich.

Die Privatnutzung sollte schließlich durch klare Nutzungsvereinbarungen flankiert werden, die sowohl die dienstliche als auch die private Nutzung abdecken sollten: Neben dem zeitlichen und inhaltlichen Umfang sollte Transparenz über die Zwecke, Art und Umfang der Einsichtnahme in die – auch privat – genutzte IT hergestellt werden. Ebenso ist durch technisch-organisatorische Maßnahmen die strikte Trennung von dienstlichen und privaten Daten sicherzustellen, z. B. durch die Einrichtung separater Konten oder gesonderter “Privat”-Ordner, die vom Arbeitgeberzugriff dann ausgenommen ist. Bei einem Zugriff ist dann auf ein verhältnismäßiges Vorgehen zu achten: Häufig genügt schon die Prüfung von Verkehrsdaten oder der Betreffzeilen von E-Mails, um eine versehentliche Kenntnisnahme privater Inhalte zu vermeiden. Ebenso kann durch eine Stichwortsuche der Kreis der zu verarbeitenden Daten schon im Voraus erheblich reduziert werden, was gleichfalls auf die Verhältnismäßigkeit der Maßnahme einzahlt.

Schließlich ist die Einwilligung des Arbeitnehmers zur Verarbeitung der bei der Privatnutzung anfallenden Daten einzuholen – für diese besteht anderenfalls keine Rechtsgrundlage. Nach dem Grundsatz der informierten Einwilligung sind die Zwecke, Art und Umfang der Kontrollmaßnahmen dabei konkret anzugeben. Die Einwilligung kann zur Bedingung der Erlaubnis der Privatnutzung gemacht werden, was auch den freiwilligen Charakter der Einwilligungserteilung durch den Arbeitnehmer unterstreicht, da er für seine Einwilligung eine Gegenleistung erhält (gestattete Privatnutzung der betrieblichen IT).

Folgen des Verbots

Bei einem Verbot der Privatnutzung gehen die Kontroll- und Einsichtsmöglichkeiten des Arbeitgebers erheblich weiter, die im Rahmen des Art. 6 Abs. 1 DSGVO vorzunehmende Verhältnismäßigkeitsprüfung ist erheblich zurückgenommen. Denn der Arbeitgeber muss im Ausgangspunkt nicht vom Vorhandensein privater Daten ausgehen, der Arbeitnehmer hat keine berechtigte Privatheitserwartung und muss seinerseits mit Kontrollen der – rein dienstlichen – Nutzung rechnen. Daraus folgt dann auch ein Verbot für die Nutzung von Anwendungen wie Chat-GPT am Arbeitsplatz zur Arbeitserleichterung, wenn deren Nutzung zu dienstlichen Zwecken nicht angeordnet oder erlaubt ist.

Verstöße gegen das Verbot der Privatnutzung kann der Arbeitgeber ohne Weiteres nach den allgemeinen Grundsätzen sanktionieren. Jedenfalls bei erheblicher Privatnutzung kann dann im Einzelfall auch eine außerordentliche Kündigung ohne vorherige Abmahnung zulässig sein.

Fazit

Das Urteil zeigt unzweifelhaft auf, dass sich Arbeitgeber und Verantwortliche dieser Frage zwingend stellen müssen. Oft wird den technischen Möglichkeiten, die eine liberalere Handhabung durchaus ermöglichen können, zu wenig Beachtung geschenkt. Eine organisatorische Lösung setzt dagegen stets restriktive Einschränkungen der Nutzung voraus.

Trotz der vorgeschilderten Möglichkeiten, die Risiken einer erlaubten Privatnutzung der betrieblichen IT zu reduzieren, gilt aus Arbeitgebersicht nach wie vor: Völlige Klarheit über den einzuhaltenden Rechtsrahmen bringt nur ein vollständiges Privatnutzungsverbot (was mitbestimmungsfrei möglich ist).

Arbeitgeber sind gut beraten, diese Entscheidung ernst zu nehmen und ihre Praktiken entsprechend anzupassen. Unternehmen sollten sich hierzu unbedingt kompetent beraten lassen und bei Bedarf zügig Maßnahmen ergreifen.