Das Landesarbeitsgericht Baden-Württemberg hat wieder mal ein Urteil in einem Arbeitsgerichts-Prozess gefällt, das auch Datenschutz-Aspekte beinhaltet (LArbG Baden-Württemberg, Urteil vom 27.1.2023, 12 Sa 56/21).
Hinweis: Da ich kein Jurist bin, versuche ich hier nur, einige Kern-Aussagen darin für mich als "Laie" einzuordnen.
Wer es also besser weiß oder beurteilen kann, sollte mir einfach eine kurze Mail senden. Gerne nehme ich Korrekturen und Anmerkungen auf.
Hintergrund war ein Kündigungsschutz-Verfahren, bei dem es u.a. um die Auswertung von E-Mail und WhatsApp Nachrichten auf dem vom Mitarbeiter genutzten Gerät durch den Arbeitgeber ging.
Was nicht verboten ist, ist erlaubt (und noch viel mehr…)
Eigentlich sollte es Verantwortlichen schon lange klar sein, dass eine ausdrückliche Regelung (am besten Verbot?) zur privaten Nutzung dienstlicher Geräte und Accounts unbedingt notwendig ist.
Allein schon, um nicht „versehentlich“ als Telekommunikationsanbieter im Sinne des § 3 Nr. 6 TKG a.F. bzw. von Telemedien iSd. § 2 Nr. 1, § 11 TMG a.F., mit der Folge der Anwendbarkeit des Fernmeldegeheimnisses nach § 88 TKG a.F., § 206 StGB, zu gelten, so wie es das Gericht in Rand-Nummer 222 angibt:
„Hat der Arbeitgeber die private Nutzung ausdrücklich gestattet oder sie zumindest widerspruchlos geduldet, wird in der Literatur vielfach die Ansicht vertreten, dass der Arbeitgeber dann als Anbieter von Telekommunikationsdiensten … gilt mit der Folge der Anwendbarkeit des Fernmeldegeheimnisses ….
Befinden sich auf dem Endgerät eines Mitarbeiters sowohl dienstliche als auch private E-Mails, die unter den Schutz des Fernmeldegeheimnisses fallen, besteht nach dieser Ansicht bei erlaubter Privatnutzung ein umfassendes Verarbeitungsverbot für die privaten E-Mails, das auch auf die im Übrigen zulässige Verarbeitung der dienstlichen E-Mails „durchschlägt“.“
Bring your own device als Fallgrube?
In diesem Fall ebenfalls zu beachten ist, welches Gerät wie genutzt wurde. Wobei „own device“ hier nicht ganz korrekt ist. Der Mitarbeiter bekam von
der Firma ein iPhone gestellt, nutzte aber mit Einverständnis des Arbeitgebers seine eigene SIM-Karte und Mobil-Nummer. Ein Sonderfall also.
Das wurde dem Unternehmen aber zum Verhängnis:
„[…] Letztlich kann die Frage nach dem generellen Regel-, Ausnahmeverhältnis aber dahinstehen. Denn selbst wenn man im Grundsatz von einem Verbot der Privatnutzung ausgehen wollte, wäre aufgrund der besonderen Umstände des Einzelfalls hier etwas anderes anzunehmen.
Der Kläger nutzte sowohl für seine private als auch für seine dienstliche Kommunikation umfassend das ihm überlassene iPhone. Er hatte den Erhalt eines rein dienstlichen Smartphones abgelehnt, weil er insgesamt nur ein Gerät für alle privaten und dienstlichen Belange nutzen wollte.
Insoweit waren die Parteien sich einig, dass der Kläger seine bislang ausschließlich private SIM-Karte und Mobilfunknummer einbrachte und fortan auch dienstlich nutzte. Die private SIM-Karte sowie die mitgebrachte Mobiltelefonnummer waren für Telefonate, SMS und zur Nutzung des mit der Mobilfunknummer verbundenen Messenger-Dienstes WhatsApp zwingend erforderlich. Insoweit ist – wie das Arbeitsgericht bezüglich WhatsApp vollkommen zutreffend ausgeführt hat – eine einvernehmliche Mischnutzung für private und dienstliche Belange anzunehmen.
Wenn aber hinsichtlich dieser Kommunikationsformen eine einvernehmliche Mischnutzung vorliegt, durfte der Kläger davon ausgehen, dass sich diese Erlaubnis auch auf den dienstlichen E-Mail-Account erstreckte, selbst wenn dieser nicht unmittelbar von SIM-Karte und Mobilfunknummer abhängig war. […]“
Warum man sich eine klare Anweisung zur privaten Nutzung nicht sparen sollte.
Zwar hatte der Arbeitgeber wohl behauptet, die private Nutzung sei ausdrücklich verboten gewesen, konnte dies aber offenbar nicht (z.B. über eine ausdrückliche interne Leitlinie oder Anweisung) belegen.
„Der Kläger, der seinen dienstlichen E-Mail-Account auch privat genutzt hat, durfte berechtigterweise eine Erlaubnis zur privaten Nutzung annehmen. Zwar hat die Beklagte pauschal behauptet, die Privatnutzung des dienstlichen E-Mail-Accounts sei ausdrücklich verboten gewesen. Diese Tatsachenbehauptung ist indes genauso unsubstantiiert geblieben wie die gegenteilige Behauptung des Klägers, eine Privatnutzung sei ausdrücklich gestattet gewesen.“
Und in Randnummer 238 geht das Gericht sogar noch weiter und nimmt angesichts widersprüchlicher Rechtsansichten an, dass die Privatnutzung dienstlicher E-Mail in der Arbeit "üblich" sei:
„Gegen die Annahme eines pauschalen Verbots bei Nichtregelung der Privatnutzung durch den Arbeitgeber könnte nach Ansicht der Kammer sprechen, dass mittlerweile wohl die meisten Unternehmen in Deutschland ihren Mitarbeitern gestatten, auch private E-Mails in bestimmtem Umfang über ihren geschäftlichen Zugang zu versenden oder zu empfangen … Die Privatnutzung eines dienstlichen E-Mail-Accounts ist im Arbeitsleben heutzutage kein Ausnahmefall, sondern durchaus üblich.“
Wo kommt nun der Datenschutz ins Spiel?
Das Gericht sieht bei der Betrachtung des sog. Sachvortragsverwertungsverbots das Bundesdatenschutzgesetz als einzigen Maßstab. Durfte der Arbeitgeber also "Tatsachen", die er unter Verstoß gegen datenschutzrechtliche Bestimmungen ermittelt hatte, vor Gericht vortragen.
Die Begründung stützt sich auf den inzwischen wackeligen § 26 Abs. 1 Satz 1 BDSG, den man aber vielleicht auch gleichwertig mit dem (zukünftig hier gültigen?) Art. 6 Abs. 1 lit b DSGVO sehen könnte, weil die Verhältnismäßigkeit und Erforderlichkeit einer Verarbeitung eigentlich immer gewahrt sein muss:
„[…] Soweit Beschäftigtendaten betroffen sind, beinhaltet einzig § 26 BDSG den anzulegenden Maßstab. Dies gilt jedenfalls im vorliegenden Fall, in dem nach dem Vortrag der Beklagten die Weitergabe der E-Mails von der Beklagten für Zwecke des Beschäftigungsverhältnisses iSv. § 26 Abs. 1 Satz 1 BDSG erfolgte, namentlich zur Vorbereitung einer Organisationsentscheidung betreffend den Arbeitsplatz des Klägers und einer möglichen Kündigung des Arbeitsverhältnisses. […]“
Also Sachverwertungsverbot, weil die Auswertung der E-Mails (zum Zwecke der Kündigungs-Vorbereitung) unverhältnismäßig war, so wie ich das verstehe:
„[…] Vorliegend geht die Kammer bereits hinsichtlich der umfangreichen Auswertung der E-Mails des Klägers von einem Sachvortragsverwertungsverbot aus. Die erfolgte Weitergabe aller E-Mails zur Auswertung durch Herrn K1 war unverhältnismäßig gemäß § 26 Abs. 1 Satz 1 BDSG. […]“
[…] Der Begriff der „Erforderlichkeit“ in § 26 Abs. 1 Satz 1 BDSG ist genauso zu verstehen wie bisher im Rahmen des § 32 Abs. 1 Satz 1 BDSG a.F., dh. im Sinne einer strikten Geltung des Grundsatzes der Verhältnismäßigkeit (…). Danach muss die vom Arbeitgeber gewählte Art und Weise einer Datenverarbeitung für die Verwirklichung der (zulässigerweise) verfolgten Zwecke überhaupt geeignet sein. […]
[…] Die Beklagte führt als Zweck für die Überlassung sämtlicher E-Mails des Klägers an Herrn K1 aus, dass dieser sich einen Überblick über den Umfang der Tätigkeit und die konkreten Aufgaben, die der Kläger bis dahin erledigt hatte, habe verschaffen wollen, um in der Gesellschafterbesprechung am 30. Juni 2020 eine Aussage zu der Frage treffen zu können, welche Organisationsentscheidung bei der Beklagten im Hinblick auf den Arbeitsplatz des Klägers aufgrund seines Abwanderungswillens zu treffen sei.
Wenn man diesen – vom Kläger bestrittenen – Zweck der Maßnahme als wahr unterstellt, war die konkrete Datenerhebung im erfolgten Umfang unverhältnismäßig, da sie weder geeignet noch erforderlich war. […]“
Und oben drauf noch Schadenersatz
Das Gericht sah durch die Auswertung der privaten WhatsApp Nachrichten des Mitarbeitenden durch den Arbeitgeber einen Datenschutzverstoß:
"Ein Verstoß gegen die Verordnung iSd. § 82 Abs. 1 DS-GVO ist gegeben. (...)
Wie oben dargelegt, hat die Beklagte durch die Auswertung der WhatsApp-Nachrichten des Klägers und ihrer Einführung im Kündigungsschutzprozess gegen § 26 BDSG verstoßen. Ein Verstoß iSd. Art. 82 Abs. 1 DS-GVO liegt mithin vor.“
Fazit:
Zum Thema der Benutzung von WhatsApp für private Kommunikation (oder gar überhaupt der Installation der App auf einem Firmengerät) will ich hier gar nichts sagen. Hierzu haben die Aufsichtsbehörden (zur recht, wie ich finde) eine eindeutige Position.
Viel wichtiger erscheint mir im Zusammenhang mit dem Urteil die angebliche, immer wieder gerne von Unternehmen vorgebrachte, „Regelungs-Wut“ im Datenschutz.
Auch wenn Datenschutzbeauftragte wegen ihres „Papierkrams“ immer wieder belächelt werden (also Leitlinien, Richtlinien, Anweisungen, etc.) – wo diese fehlen lauern für die Verantwortlichen offensichtlich einige Fallstricke, die mit eindeutigen Regelungen zumindest in den meisten Fällen vermeidbar wären.
Vielleicht nicht unbedingt in diesem speziellen Einzelfall, aber das dürften auch eher die Ausnahmen sein.
Und nochmal der Hinweis: Ich bin kein Jurist und versuche nur, solche für Nicht-Anwälte hoch-komplexen Texte für meine tägliche Arbeit zu komprimieren und einzuordnen. Wer wirklich rechtssichere Auslegungen und Analysen benötigt, muss sich unbedingt an Datenschutz-Fachanwälte oder ähnliche juristisch befähigte Experten wenden!
Foto: CanvaPro (www.canva.com)