Dr. Detlef Grimm, Dr. Stefan Freh
Rz. 406
Bei der dienstlichen Nutzung des Internet- und E-Mail-Zuganges richtet sich die Zulässigkeit der Überwachung nach der DS-GVO sowie dem BDSG unter Berücksichtigung des allgemeinen Persönlichkeitsrechts der Arbeitnehmer, speziell dem Recht auf informationelle Selbstbestimmung. Dienstliche Nutzung liegt immer dann vor, wenn ein tatsächlicher Bezug zu den dienstlichen Aufgaben besteht. Dabei ist nicht die Zweckmäßigkeit, sondern der Wille des Arbeitnehmers entscheidend.
Rz. 407
Unter Berücksichtigung des allgemeinen Persönlichkeitsrechts darf die Überwachung nur insoweit erfolgen, als ein berechtigtes Interesse des Arbeitgebers vorliegt und sich die Beschränkung des allgemeinen Persönlichkeitsrechts als so gering wie möglich darstellt. Dies ist der Fall, wenn der Eingriff des Arbeitgebers geeignet, erforderlich und angemessen ist und demnach dem Verhältnismäßigkeitsprinzip entspricht.
Rz. 408
Das BDSG als einfach gesetzliche Normierung des Rechts auf informationelle Selbstbestimmung enthält ein sogenanntes Verbot mit Erlaubnisvorbehalt. Nach § 26 BDSG dürfen personenbezogenen Daten nur verarbeitet werden, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat (§ 26 Abs. 1 BDSG). Ob die Regelung des § 26 BDSG weiterhin wirksam ist, ist nach dem Urteil des EuGH vom 30.3.2023 – C 34/21 unklar. (dazu näher Rdn 356). Personenbezogene Daten sind nach Art. 4 Nr. 1 DS-GVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Personenbezogene Daten sind damit die E-Mail-Adresse als solche, Zeitpunkt und Dauer der Versendung, die Inhalte einer E-Mail, die IP-Adresse des Rechners, Zeitpunkt und Dauer des Surfens, die besuchte Webseite etc. Unter den Begriff der Verarbeitung fällt jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung, Art. 4 Nr. 2 DS-GVO.
Rz. 409
Maßgebliche Vorschrift für die Überwachung einer dienstlichen Mail oder der dienstlichen Internetnutzung im Rahmen eines Arbeitsverhältnisses ist § 26 BDSG. Danach ist das Verarbeiten personenbezogener Daten eines Beschäftigten zulässig, (i) wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses, oder (ii) nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist (§ 26 Abs. 1 S. 1 BDSG).
Rz. 410
Nach § 26 Abs. 1 S. 2 BDSG dürfen zur Aufdeckung von Straftaten (repressive Kontrollen) personenbezogene Daten eines Beschäftigten nur dann erhoben werden, wenn (i) zu dokumentierende tatsächliche Anhaltspunkte den Verdacht einer Straftat im Beschäftigungsverhältnis begründen, (ii) eine Kontrolle zur Aufdeckung erforderlich ist und (iii) keine überwiegenden schutzwürdigen Interessen des Beschäftigten an dem Ausschluss der Kontrolle überwiegen, insbesondere der Verhältnismäßigkeitsgrundsatz gewahrt ist.
Rz. 411
Bezüglich der Aufdeckung von Vertragsverletzungen und hinsichtlich präventiver Kontrollen enthält § 26 BDSG keine ausdrückliche Regelung. Präventive Kontrollen zur Verhinderung von Straftaten oder sonstigen Rechtsverstößen – und damit auch Compliance-Kontrollen – sollen laut Gesetzesbegründung nach Satz 1 zu beurteilen sein. Es ist davon auszugehen, dass auch Kontrollmaßnahmen hinsichtlich der Aufdeckung etwaiger Vertragsverletzungen unter den Tatbestand des § 26 Abs. 1 S. 1 BDSG fallen, da diese zur Durchführung bzw. Beendigung des Arbeitsverhältnisses erforderlich sein können. Auch bei diesen ist natürlich eine Interessenabwägung im Sinne des Verhältnismäßigkeitsgrundsatzes durchzuführen. Denn rechtsdogmatisch kaum zu vertreten wäre die Ansicht, dass präventive Kontrollen und Maßnahmen zur Aufdeckung von Vertragsverletzungen unter erleichterten Voraussetzungen als Kontrollmaßnahmen zur Aufdeckung von Straftaten zulässig sind. Zudem kann auch für die Aufdeckung von Vertragsverletzungen auf Art. 6 Abs. 1 S. 1 lit. f) DSGVO zurückgegriffen werden. Auch nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO ist eine Interessenabwägung erforderlich.
Rz. 412
Hinweis
Zur Schaffung einer auf die betrieblichen Erfordernisse angepassten Erlaubnisgrundlage ist dem Arbeitgeber anzuraten, eine Betriebsvereinbarung zu diesem Themenkomplex abzuschließen. § 26 Abs. 1 BDSG nennt die Kollektivvereinbarung explizit als taugliche Erlaubnisgrundlage. Mit ihr kann unter Beachtung der Persönlichkeitsrechte der Arbeitnehmer auch zu ihren Ungunsten vom allgemeinen Datenschutzniveau abgewichen werden.
Rz. 413
Im Übrigen erstreckt sich der Schutzbereich des § 26 BD...