Bundesarbeitsgericht: Sichtung und Auswertung von Dateien auf einem Dienstrechner ist datenschutzrechtlich auch ohne konkreten Verdacht zulässig

Das Bundesarbeitsgericht hat sich wieder einmal mit der Frage der datenschutzrechtlichen Zulässigkeit einer Auswertung von Dienstgeräten und dort gespeicherten Dateien im Rahmen einer Kündigungsschutzklage befasst. Mit Urteil vom 31.01.2019 (2 AZR 426/18) entschied das BAG, dass die Einsichtnahme in auf einem Dienstrechner des Arbeitnehmers gespeicherte und nicht als „privat” gekennzeichnete Dateien nicht zwingend einen durch Tatsachen begründeten Verdacht einer Pflichtverletzung voraussetzt und die in diesem Zuge erfolgte Datenverarbeitung zulässig war.

Relevant dürfte an dieser Entscheidung vor allem sein, dass das BAG weniger intensiv in das allgemeine Persönlichkeitsrecht des Arbeitnehmers eingreifende Datenverarbeitungen auch ohne Vorliegen eines durch Tatsachen begründeten Anfangsverdachts gegen den Arbeitnehmer nach § 32 BDSG aF als zulässig erachtet. Zudem stellt das BAG für diese Maßnahmen der Sichtung von Dateien und für die datenschutzrechtlich gebotene Verhältnismäßigkeitsprüfung konkrete Anforderungen auf.

Sachverhalt

Die beklagte Arbeitgeberin produziert Kraftfahrzeuge und der als schwerbehinderter Mensch anerkannte Kläger war seit 1996 bei ihr beschäftigt. Die Beklagte stellte ihm einen Pkw nebst Tankkarte auch zur privaten Nutzung zur Verfügung. Der Kraftstofftank des Wagens wies nach Angaben der Beklagten als Herstellerin ein Volumen von 93 Litern auf.

Im Jahr 2013 eröffneten Mitarbeiter der internen Revision dem Kläger, dass er verdächtigt werde, Inhalte eines Audit-Berichts unerlaubt an Dritte weitergegeben zu haben. Deshalb solle sein Dienst-Laptop untersucht werden. Der Kläger gab den Rechner heraus, nannte seine Passwörter und erklärte, kooperieren zu wollen. Kurze Zeit später wandte er sich noch einmal an die interne Revision und teilte mit, es befänden sich einige, von ihm näher bezeichnete private Daten auf dem PC.

Die Beklagte ließ eine Kopie der Festplatte des Rechners computerforensisch begutachten. In einem vom Kläger angelegten Ordner „DW“ befand sich die Datei „Tankbelege.xls“. Sie enthielt eine Aufstellung über die vom Kläger mit der Tankkarte durchgeführten Betankungen. Aus den dort erfassten Kraftstoffmengen, den Tankdaten und den von ihr anschließend recherchierten Betankungsorten ergab sich aus Sicht der Beklagten zumindest der dringende Verdacht, der Kläger habe auf ihre Kosten nicht nur sein Dienstfahrzeug betankt. Es erfolgten mehrere Formen von Kündigungen, die zum Teil für unwirksam erklärt wurden (u.a. mangels Zustimmung des Integrationsamts). Zuletzt stand jedoch eine Kündigung aus Dezember 2016 im Raum.

In dem hier entschiedenen Fall ging es am Ende noch um die Kündigungsschutzklage des Arbeitnehmers. Seiner Ansicht nach dürften die Ergebnisse der Untersuchung seines Dienstrechners nicht verwertet werden. Die Analyse sei „ins Blaue hinein“ erfolgt und er sei – insoweit unstreitig – nicht zu der Auswertung hinzugezogen worden. Die Beklagte habe den Betriebsrat nicht ordnungsgemäß angehört und die gesetzliche Kündigungsfrist von sieben Monaten zum Monatsende nicht gewahrt.

Entscheidung

Das BAG wies die Klage im Ergebnis als unbegründet ab.

Die datenschutzrechtliche Relevanz solcher Entscheidungen knüpft eigentlich immer an die Frage, ob Erkenntnisse aus einer Auswertung (=Datenverarbeitung) von Mitarbeiterdaten für die Kündigung genutzt werden durften.

Der Senat verweist hierzu auf die gefestigte Senatsrechtsprechung, wonach in einem Kündigungsrechtsstreit jedenfalls dann kein Verwertungsverbot zugunsten des Arbeitnehmers eingreift, wenn der Arbeitgeber die betreffende Erkenntnis oder das fragliche Beweismittel im Einklang mit den einschlägigen datenschutzrechtlichen Vorschriften erlangt und weiterverwandt hat

So liegt es im Streitfall. Die Einsichtnahme in die Datei „Tankbelege.xls“ sowie die weitere Verarbeitung und Nutzung der aus ihr gewonnenen Erkenntnisse durch die Beklagte waren nach § 32 Abs. 1 S. 1 BDSG in der bis zum 24. Mai 2018 geltenden Fassung (im Folgenden BDSG aF) zulässig.

Sodann befasst sich der Senat mit den Tatbestandsmerkmalen des § 32 Abs. 1 S. 1 BDSG aF. Wie auch im neuen § 26 Abs. 1 BDSG dürfen Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses u.a. dann verarbeitet werden, wenn dies für dessen Durchführung oder Beendigung erforderlich ist.

Hierzu der Senat:

Zur Durchführung gehört die Kontrolle, ob der Arbeitnehmer seinen Pflichten nachkommt, zur Beendigung iSd. Kündigungsvorbereitung die Aufdeckung einer Pflichtverletzung, die die Kündigung des Arbeitsverhältnisses rechtfertigen kann.

Sofern nach dieser Vorgabe zulässig erhobene Daten den Verdacht einer solchen Pflichtverletzung begründen, dürfen sie für die Zwecke und unter den Voraussetzungen des § 32 Abs. 1 S. 1 BDSG aF auch verarbeitet und genutzt werden.

Der Begriff der Beendigung umfasst dabei die Abwicklung eines Beschäftigungsverhältnisses. Der Arbeitgeber darf deshalb alle Daten speichern und verwenden, die er benötigt, um die ihm obliegende Darlegungs- und Beweislast in einem potenziellen Kündigungsschutzprozess zu erfüllen.

Zwar stützt das BAG seine Entscheidung natürlich noch auf § 32 BDSG aF. Jedoch weist der Senat auch darauf hin, dass seiner Auffassung nach ein anderes Ergebnis auch nicht bei Anwendung der Vorgaben des jetzt geltenden § 26 BDSG zu erwarten wäre.

Die Verwertung der von der Beklagten in zulässiger Weise ermittelten Inhalte der Datei „Tankbelege.xls“ im vorliegenden Rechtsstreit ist nach Maßgabe der DS-GVO und des BDSG in der seit dem 25. Mai 2018 geltenden Fassung ebenfalls rechtmäßig.

Nachdem der Senat allgemein die Vorgaben für die Erhebung und danach folgende Verwertung der Daten abgesteckt hat, macht er sich an die eigene inhaltliche Prüfung. Entscheidendes Merkmal ist hierbei die „Erforderlichkeit“ der Datenverarbeitung. Nach ständiger Rechtsprechung des BAG bedeutet „Erforderlichkeit“ im Kontext des § 32 BDSG aF (und damit auch im Rahmen des § 26 BDSG) „Verhältnismüßigkeit“.

Es hat eine „volle“ Verhältnismäßigkeitsprüfung zu erfolgen. Die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten müssen geeignet, erforderlich und unter Berücksichtigung der gewährleisteten Freiheitsrechte angemessen sein, um den erstrebten Zweck zu erreichen.

Die Verhältnismäßigkeit im engeren Sinne (Angemessenheit) ist gewahrt, wenn die Schwere des Eingriffs bei einer Gesamtabwägung nicht außer Verhältnis zu dem Gewicht der ihn rechtfertigenden Gründe steht.

Interessant ist hierbei, dass das BAG im Rahmen der erforderlichen Interessenabwägung ausdrücklich darauf Bezug nimmt, dass eine „berechtigte Privatheitserwartung“ des Betroffenen einen beachtlichen Faktor darstellt. Hierzu verweist der Senat auch auf Erwägungsgrund 47 DSGVO („vernünftige Erwartungen“).

Nach Ansicht des BAG kann diese Privatheitserwartung des Arbeitnehmers selbst dann zugunsten seines Nichtverarbeitungsinteresses den Ausschlag geben, wenn das Verarbeitungsinteresse des Arbeitgebers hoch ist.

So dürfen Arbeitnehmer grundsätzlich erwarten, dass besonders eingriffsintensive Maßnahmen nicht ohne einen durch Tatsachen begründeten Verdacht einer Straftat oder schweren Pflichtverletzung ergriffen werden und insbesondere nicht „ins Blaue hinein“ oder wegen des Verdachts bloß geringfügiger Verstöße eine heimliche Überwachung und ggf. „Verdinglichung“ von ihnen gezeigter Verhaltensweisen erfolgt.

Meines Erachtens sind diese Feststellungen des Senats vor allem mit Blick auf die zukünftige Anwendung des § 26 BDSG von besonderer Relevanz. Denn der Senat äußert sich ganz bewusst zu dem Merkmal der Privatheitserwartung der Arbeitnehmer, welches mit der DSGVO auch im Rahmen des Erlaubnistatbestandes nach Art 6 Abs. 1 f) DSGVO (Interessenabwägung) eine entscheidende Rolle spielt.

Exkurs: dass es in der Literatur Streit darüber gibt, ob Mitarbeiterdaten auf der Grundlage von Art. 6 Abs. 1 lit. f) DSGVO verarbeitet werden können, ist mir bekannt. Die Auffassung, die einen Rückgriff neben § 26 BDSG ablehnt, ist meines Erachtens aber europarechtlich nicht haltbar. Sieht auch das BAG so, vgl. z. B. Urt. v. 23.8.2018 – 2 AZR 133/18)

Besonders relevant sind danach die Aussagen des Senats zur Einordnung der Privatheitsinteressen des Arbeitnehmers im konkreten Fall. Danach können weniger intensiv in das allgemeine Persönlichkeitsrecht des Arbeitnehmers eingreifende Datenverarbeitungen ohne Vorliegen eines durch Tatsachen begründeten Anfangsverdachts – zumal einer Straftat oder anderen schweren Pflichtverletzung – erlaubt sein. Das gilt vor allem für nach abstrakten Kriterien durchgeführte, keinen Arbeitnehmer besonders unter Verdacht stellende offene Überwachungsmaßnahmen, die der Verhinderung von Pflichtverletzungen dienen.

Diese Voraussetzungen können nach Ansicht des Senats auch erfüllt sein,

wenn der Arbeitgeber aus einem nicht willkürlichen Anlass prüfen möchte, ob der Arbeitnehmer seine vertraglichen Pflichten vorsätzlich verletzt hat, und er – der Arbeitgeber – dazu auf einem Dienstrechner gespeicherte Dateien einsieht, die nicht ausdrücklich als „privat“ gekennzeichnet oder doch offenkundig „privater“ Natur sind.

Voraussetzung ist jedoch Transparenz gegenüber dem Abreitnehmer. Die Maßnahme muss offen erfolgen und der Arbeitnehmer muss im Vorfeld darauf hingewiesen worden sein, welche legitimen Gründe eine Einsichtnahme in – vermeintlich -dienstliche Ordner und Dateien erfordern können, und dass er Ordner und Dateien durch eine Kennzeichnung als „privat“ von einer Einsichtnahme ohne „qualifizierten“ Anlass ausschließen kann.

Der Arbeitnehmer muss dann billigerweise mit einem jederzeitigen Zugriff auf die vermeintlich rein dienstlichen Daten rechnen. Zugleich kann er „private“ Daten in einen gesicherten Bereich verbringen.

Vorliegend geht der Senat davon aus, dass die Beklagte aus einem nicht willkürlichen Anlass ein legitimes Ziel verfolgt. Sie wollte letztlich prüfen, ob der Kläger vorsätzlich seine arbeitsvertraglichen Pflichten verletzt hat. Interessant ist auch die Ansicht zur Frage, ob nicht ein milderes Mittel vorhanden war. Hier könnte man etwa daran denken, eine Einsichtnahme in die Datei unter Heranziehung eines Mitglieds des Betriebsrats oder des Datenschutzbeauftragten als milderes Mittel zu bevorzugen. Dies lehnt der Senat jedoch ab.

Dadurch hätte nicht die Möglichkeit bestanden, die Datenerhebung ganz abzuwenden oder doch auf die Art und Weise ihrer Durchführung „abschwächenden“ Einfluss zu nehmen.

Zuletzt ist natürlich noch relevant, dass die Sichtung des Dienstrechners eigentlich ohne konkreten Anfangsverdacht erfolgte. Zudem wurde auch nicht festgestellt, ob die Arbeitgeberin im Vorfeld des Verlangens, den Dienstrechner herauszugeben, gegenüber dem Kläger die Gründe (allgemein) bezeichnet hatte, die eine Einsichtnahme in dienstliche Ordner und Dateien erfordern können und ob sie ihn auf die Möglichkeit aufmerksam gemacht hat, Ordner und Dateien durch eine Kennzeichnung als „privat“ von einer Einsichtnahme ohne „qualifizierten“ Anlass auszuschließen.

Dennoch geht der Senat von der datenschutzrechtlichen Zulässigkeit der Verwendung der Daten aus der Excelliste aus.

stellte sich die von der Beklagten durchgeführte Maßnahme, was die hier allein interessierende Einsichtnahme in nicht ausdrücklich als „privat“ gekennzeichnete oder doch offenkundig als „privat“ zu erkennende Dateien anbelangt, nicht als so eingriffsintensiv dar, dass sich das Nichtverarbeitungsinteresse des Klägers in einer Abwägung gegen das Verarbeitungsinteresse der Beklagten durchsetzen könnte. Die Untersuchung wurde offen durchgeführt. Ihre mögliche Reichweite war klar. Der Kläger wusste, dass die gesamte Festplatte seines Dienst-Laptops einer computerforensischen Analyse unterzogen werden sollte.

Der Senat verdeutlich mit dem Urteil, dass interne Maßnahmen zur Kontrolle der Pflichteneinhaltung im Arbeitsverhältnis datenschutzrechtlich nicht unmöglich, ja vielmehr praktikabel umsetzbar sind. Wichtig ist stets, die Verhältnismäßigkeit der Maßnahme zu beachten. Ein ganz entscheidender Faktor hierbei ist, wie stest im Datenschutzrecht, die Transparenz gegenüber den Betroffenen.