Untersuchung mit oder ohne Lupe?
PSP Case Study zur DSGVO: Praxisfall 31

DSGVO: Praktischer Fall

Die Huber AG hat von Herrn Rolf Maier und seinem Sohn sämtliche Geschäftsanteile an der Maier GmbH erworben. Der Kaufpreis beruhte auf einer Unternehmensplanung der beiden Verkäufer, die einen bestimmten Umsatz und ein bestimmtes Ergebnis der Maier GmbH prognostiziert. Nach dem Erwerb bleibt Herr Rolf Maier zunächst weiter Geschäftsführer der Maier GmbH, während sich die Umsätze und das Ergebnis nicht im Ansatz planungsgemäß entwickeln, obwohl keine einschneidenden wirtschaftlichen Entwicklungen vorliegen. Der Sohn von Herrn Rolf Maier, vormals im Rechnungswesen des Unternehmens beschäftigt, ist nach dem Verkauf als Privatier tätig. Der Vorstand der Huber AG vermutet, von den Verkäufern „betrogen worden zu sein“, da diese eine völlig unrealistische Planung aufgestellt haben. Daher ordnet der Vorstand eine Untersuchung des E-Mail-Verkehrs der Verkäufer sowie weiterer Mitarbeiter der Maier GmbH an, um Indizien für eine gezielte Täuschung der Huber AG zu suchen. Zu diesem Zweck werden die E-Mails der vergangenen Jahre von verschiedenen Personen, soweit noch in den dienstlichen E-Mail-Accounts vorhanden, „abgezogen“ und durch eine beauftragte Wirtschaftsprüfungsgesellschaft mithilfe von Stichwortsuchen durchgesehen.

Die sich bei einer Durchsuchung von E-Mail-Accounts im Rahmen forensischer Untersuchungen stellenden datenschutzrechtlichen Problemstellungen sind vielschichtig. Das Bundesdatenschutzgesetz enthält den vielsagenden Satz:

Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

Nun ist schon unklar, ob diese spezielle Regelung aus dem Beschäftigtendatenschutz für Geschäftsführer – also für Herrn Rolf Maier – gilt. Aus der oben zitierten Regelung ergibt sich daneben, dass nur personenbezogene Daten von „Beschuldigten“ eingesehen werden können. Geht es um „Zeugen“, ist die Einsichtnahme nicht auf Basis der Regelung rechtfertigbar. Weiter ist im Ausgangsfall unklar, ob der Verdacht einer Straftat vorliegt – notwendig sind entsprechende „tatsächliche Anhaltspunkte“. Über Prognosen zukünftiger Unternehmensentwicklung kann im Grunde nicht getäuscht werden, nur über die Prognosegrundlagen. Der Huber AG geht es unabhängig davon aber auch in erster Linie darum, festzustellen, ob sich Ansprüche gegen Herr Rolf Maier und seinen Sohn im Zusammenhang mit dem Anteilskauf ergeben könnten. Es geht also – aus der Perspektive der Maier GmbH als Arbeitgeber – um Ansprüche „zwischen Dritten“. Der „Verdacht“, von dem in der oben zitierten Regelung gesprochen wird, muss sich aber gerade auf eine im Beschäftigungsverhältnis begangene Straftat richten, d. h. es reicht nicht aus, wenn die beiden Protagonisten lediglich den „Verkäufer-Hut“ auf hatten. Ob man aus dem Sachverhalt herauslesen kann, dass Herr Rolf Maier durch die „Fehlplanung“ auch noch „parallel“ seine Geschäftsführerpflichten im Verhältnis zur Maier GmbH verletzt hat, ist mehr als fraglich.

Schon unter dem alten Bundesdatenschutzgesetz war man der Meinung, dass die oben wiedergegebene Regelung – die es vor dem Inkrafttreten der DSGVO bereits gab – andere Legitimationsgrundlagen nicht hemmt. Man fragt sich aber schon, wozu die Regelung dann überhaupt nutzen soll, denn im Grunde konkretisiert sie ja nur die „Eckdaten“ einer typischen Interessenabwägung. Ohne diese spezielle Regelung würde also das Ergebnis einer Interessenabwägung wohl kaum anders ausfallen. Bedeutet aber nun der Umstand, dass die Regelung nicht abschließend sein soll, dass man beliebige andere Interessenabwägungen anstellen darf? In denen es nicht um Straftaten und nicht um Beschuldigte geht?

In einem Urteil vom Januar 2019 hat das Bundesarbeitsgericht außerhalb der Spezialregelung zur Aufdeckung von Straftaten auf den allgemeinen Grundsatz der Erforderlichkeit für die Durchführung und Beendigung des Beschäftigungsverhältnisses verwiesen. Diese allgemeine Regelung in § 26 BDSG ist ihrerseits nur eine Ausprägung des Grundverständnisses der DSGVO, dass eine Verarbeitung rechtmäßig ist, die zur Erfüllung eines Vertrages erforderlich ist. Hierzu führt das Bundesarbeitsgericht aus:

Zur Durchführung gehört die Kontrolle, ob der Arbeitnehmer seinen Pflichten nachkommt, zur Beendigung im Sinne der Kündigungsvorbereitung die Aufdeckung einer Pflichtverletzung, die die Kündigung des Arbeitsverhältnisses rechtfertigen kann. [...] Der Begriff der Beendigung umfasst dabei die Abwicklung eines Beschäftigungsverhältnisses. Der Arbeitgeber darf deshalb alle Daten speichern und verwenden, die er benötigt, um die ihm obliegende Darlegungs- und Beweislast in einem potenziellen Kündigungsschutzprozess zu erfüllen.

Auch außerhalb eines Verdachts strafbarer Handlungen darf also die Information, die für den Ausspruch einer Kündigung und zur Beweisführung in einem späteren Prozess gegen den Mitarbeiter erforderlich ist, im Rahmen einer unternehmensinternen Untersuchung erhoben und verwertet werden. In diesem Rahmen liest nun das Bundesarbeitsgericht den Begriff „erforderlich“ als „verhältnismäßig“ im Sinne der klassischen verfassungsmäßigen Verhältnismäßigkeitsprüfung:

Die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten müssen geeignet, erforderlich und unter Berücksichtigung der gewährleisteten Freiheitsrechte angemessen sein, um den erstrebten Zweck zu erreichen.

Die hier im Rahmen der „Erforderlichkeit“ vorzunehmende Interessenabwägung ist datenschutzrechtlich zwar eher der Legitimationsgrundlage der Interessenabwägung als der Vertragserfüllung zuzuschlagen, aber das Bundesarbeitsgericht ist ja nicht gezwungen, dies genauer voneinander abzuschichten. Jedenfalls ist im Rahmen dieser Interessenabwägung nach dem Bundesarbeitsgericht aufseiten des Arbeitnehmers dessen „Privatheitserwartung“ in die Abwägung einzustellen. Dieses Interesse hindert den Arbeitgeber aber nur daran, „ins Blaue hinein“ oder beim Verdacht „bloß geringfügiger Verstöße“ eine heimliche Überwachung (und in diesem Rahmen Beweissicherung) durchzuführen. Daraus ergibt sich zweierlei: Erstens können offen kommunizierte Maßnahmen und Überwachungsmaßnahmen, die alle Arbeitnehmer gleichermaßen betreffen, auch ohne irgendeinen Anfangsverdacht erlaubt sein, wenn das „Privatheitsinteresse“ nicht verletzt wird (z. B. keine privaten Dateien auf einem Rechner durchsucht werden). Durch die offene Kommunikation gegenüber dem Arbeitnehmer kann dieser sich auf die Untersuchung „vorbereiten“ und private Daten in einen als privat gekennzeichneten Bereich verschieben. Und zweitens können bei einem durch Tatsachen begründeten Anfangsverdacht einer Pflichtverletzung im Rahmen des Beschäftigungsverhältnisses weitergehende Prüfungen durchgeführt werden, wenn diese noch verhältnismäßig sind.

In dem Sachverhalt, der der Entscheidung des Bundesarbeitsgerichts zugrunde lag, ging es um eine mögliche Pflichtverletzung des Arbeitnehmers, die möglicherweise zu einer Kündigung aus wichtigem Grund hätten führen können. Unklar bleibt, was nun für Personen gilt, die von vornherein nur als „Zeugen“ in Betracht kommen, d. h. denen von vornherein keine Pflichtverletzung vorgeworfen werden soll, die aber dennoch zielgerichtet – und nicht als Teil einer gegenüber allen Arbeitnehmern ausgeführten und vorher kommunizierten Überwachungsmaßnahme – untersucht werden sollen. Hier würde man wohl in der Praxis versuchen, sich eine Einwilligung einzuholen. Das führt jedoch zu drei Problemen. Erstens ist schon sehr zweifelhaft, ob eine solche Einwilligung freiwillig ist, also überhaupt rechtliche Wirkung entfaltet. Zweitens wird die geplante Untersuchung durch die Frage nach der Bereitschaft der Betroffenen, eine Einwilligung zu erteilen, in gewissem Umfang „publik“, d. h. die „Verdunkelungsgefahr“ (insbesondere durch „Tipps“ an die Betroffenen) steigt. Und drittens würde die Einwilligung sich ohnehin immer nur auf diejenigen Arbeitnehmer beziehen können, die einwilligen, und nicht auf die Dritten, mit denen sie per E-Mail kommuniziert haben. Dort ist also dann in jedem Fall eine Interessenabwägung vonnöten, und zwar von Interessen der Betroffenen, die man gar nicht kennen kann, weil man die E-Mail-Verkehre noch gar nicht untersucht hat. Hier beißt sich also die sprichwörtliche Katze in den Schwanz.

Daneben ist noch ein völlig anderer Aspekt zu berücksichtigen: Erlaubt der Arbeitgeber (die Maier GmbH) seinen Arbeitnehmern de facto – auch im Rahmen einer betrieblichen Übung entgegen entsprechender Verbotsklauseln im Arbeitsvertrag –, die dienstlichen E-Mail-Accounts auch für private Zwecke zu nutzen, kann vorrangig zum Datenschutzrecht das Telekommunikationsrecht Anwendung finden. Dies ist seit langem umstritten und der Gesetzgeber schaut zu. Das Bundesarbeitsgericht hatte diese Frage in dem oben genannten Fall nicht auf seinem „kritischen Pfad“ durch den Sachverhalt, denn es ging um die Untersuchung der Dateien auf einem Laptop, nicht um ein E-Mail-Postfach. Wäre die Maier GmbH in diesem Fall tatsächlich mit der Telekom oder anderen Telekommunikationsunternehmen zu vergleichen, weil sie ihren Arbeitnehmern gegenüber als Telekommunikationsanbieter auftritt, könnten die E-Mails vom Fernmeldegeheimnis umfasst werden. Denn dieses besteht (nach der Rechtsprechung des Bundesverfassungsgerichts) so lange, bis der Adressat der E-Mail alleine über den Zugriff entscheiden kann. Ist es also möglich, „von außen in den Account hineinzusehen“, etwa durch entsprechende Administratorenrechte, so könnte man argumentieren, dass das Fernmeldegeheimnis noch entsprechend weiter andauert. Ausnahmen vom Fernmeldegeheimnis bestehen aber nur in sehr engen Grenzen, etwa beim Verdacht des Erschleichens von Telekommunikationsdienstleistungen – ähnlich einer „Schwarzfahrt“ mit öffentlichen Verkehrsmitteln. Interessenabwägungen oder die Nutzung von Erlaubnisregelungen wie die oben zitierte aus dem Bundesdatenschutzgesetz sind dann (eigentlich) nicht möglich. Es bleibt dann nur, die Einwilligung des Betroffenen – und möglicherweise auch die des Kommunikationspartners – einzuholen und damit die Untersuchungstätigkeit gegenüber dem „Beschuldigten“ oder gegenüber „Zeugen“ transparent zu machen.

Diese News könnten Sie auch interessieren
Alle News
Mehr laden
Diese Vorträge & Veröffentlichungen könnten Sie interessieren
Alle Vorträge & Veröffentlichungen
Mehr laden