BAG zur Kontrolle des dienstlichen PCs durch den Arbeitgeber

Ich bin gerade in Berlin angekommen und darf morgen wieder einmal zum Thema Beschäftigtendatenschutz referieren. In der Praxis und auch anhand der Fragen in den Schulungen wird für mich immer deutlicher erkennbar, dass die DS-GVO nicht nur im Online-Bereich und beim Kundendatenschutz, sondern auch bei den Personalern zu einer Sensibilisierung für den Datenschutz geführt hat. Auch die Aufmerksamkeit, die neuere arbeitsrechtliche Entscheidungen zu Datenschutzfragen erfahren, wie die Entscheidung des LAG Baden-Württemberg zum Kopieanspruch im Arbeitsverhältnis, zeigt die gestiegene Bedeutung.

Demgegenüber ist eine neuere Entscheidung des BAG vom 31.01.2019 (Az. 2 AZR 426/18) weitgehend unbeachtet geblieben. Die Entscheidung ist deshalb interessant, weil sie die Leitlinien für eine – rechtmäßige – Kontrolle des Dienstrechners eines Arbeitnehmers weiterentwickelt. Zwar erging das Urteil des BAG noch zum alten § 32 BDSG. Im Ergebnis wird sich an den Leitlinien aber auch nach dem neuen § 26 BDSG nichts ändern.

Im Fall der der BAG-Entscheidung zu Grunde lag, bestand gegen einen Arbeitnehmer der Verdacht, einen Auditbericht unerlaubt an Dritte weitergegeben zu haben. Der Arbeitnehmer gab den Rechner daraufhin freiwillig für eine Kontrolle seitens des Arbeitgebers an diesen samt seiner Passwörter heraus. Erst danach wies er auf private Daten auf dem Rechner hin und führte diese im Einzelnen auf.

Bei der Durchsuchung des Rechners fand der Arbeitgeber eine Datei „Tankbelege.xls“ aus der sich – verkürzt – erhebliche Anhaltspunkte für einen Tankkartenbetrug durch den Arbeitnehmer ergaben.

Das BAG hielt die durchgeführte Kontrolle des Dienstrechners datenschutzrechtlich für zulässig. Es stellt zunächst fest, dass der Arbeitgeber nach § 32 Abs. 1 S. 1 a.F. alle Daten verarbeiten und nutzen darf, die er benötigt, um die ihm obliegende Darlegungs- und Beweislast in einem potentiellen Kündigungsschutzprozess erfüllen zu können. Hierin wird man in der Tat auch im Sinne des neuen § 26 Abs. 1 BDSG einen legitimen Zweck für Verarbeitung von personenbezogenen Daten im Rahmen einer Kontrolle des Dienstrechners sehen können.

Alleine das Bestehen eines legitimen Zwecks reicht allerdings nicht aus, um die Datenverarbeitung legitimieren zu können. Die Datenverarbeitung muss zudem verhältnismäßig sein.

Bei der Interessenabwägung misst das BAG der Privatheitserwartung des Arbeitnehmers eine wesentliche Bedeutung zu. Diese könne selbst dann zugunsten des Nichtverarbeitungsinteresses des Arbeitnehmers den Ausschlag geben, wenn das Verarbeitungsinteresse des Arbeitgebers hoch ist. Eingriffsintensive Maßnahmen dürften nach Auffassung des BAG regelmäßig nicht ohne einen konkreten Verdacht einer Straftat oder einer schweren Pflichtverletzung in Betracht kommen. Weniger eingriffsintensive Datenerhebungen können dagegen auch bereits ohne das Vorliegen eines durch Tatsachen begründeten Anfangsverdacht einer Straftat oder einer schweren Pflichtverletzung gerechtfertigt sein.

Nach diesem Maßstab kann nach Auffassung des BAG eine rechtmäßige Datenverarbeitung vorliegen, wenn der Arbeitgeber aus einem nicht willkürlichen Anlass prüfen möchte, ob der Arbeitnehmer seine vertraglichen Pflichten vorsätzlich verletzt hat und der Arbeitgeber dazu auf einem Dienstrechner gespeicherte Daten einsieht, die der Arbeitnehmer nicht ausdrücklich als privat gekennzeichnet hat oder die offenkundig privater Natur sind. Diese Unterscheidung zwischen als “privat” gekennzeichnet oder nicht, spielte bereits in der Libert-Entscheidung des EGMR (Urt. v. 22.02.2018 – 588/13) eine Rolle, was aber wohl eher der französischen Rechtslage geschuldet war.

Hieran knüpft das BAG an, schränkt aber zugleich ein, dass dies jedenfalls dann gelte, wenn die Maßnahme offen erfolgt und der Arbeitnehmer im Vorfeld darauf hingewiesen worden ist, welche legitimen Gründe eine Einsichtnahme in – vermeintlich – dienstliche Ordner und Dateien erfordern können und dass er Ordner und Dateien durch eine Kennzeichnung als “privat” von einer Einsichtnahme ausschließen kann. In einem solchen Fall müsse der Arbeitnehmer billigerweise mit einem Zugriff auf die personenbezogenen Daten auf dem Dienstrechner rechnen.

Ob danach auch eine verdeckte Kontrolle des Dienstrechners zulässig gewesen wäre, lässt das BAG offen. Daran dürften aber nicht erst seit der Keylogger-Entscheidung des BAG (Urt. v. 27.07.2017 – 2 AZR 681/16) Zweifel bestehen.

Interessant ist, dass das BAG im Gegensatz zu älteren Entscheidungen, u.a. auch der vorgenannten Keylogger-Entscheidung, hier nicht davon ausgeht, dass der Arbeitgeber die Kontrolle im Beisein des betroffenen Mitarbeiters habe durchführen müssen. Da der Mitarbeiter im Vorfeld auf die privaten Daten hingewiesen habe, durfte der Arbeitgeber nach Auffassung des Arbeitgebers vom Einverständnis des Arbeitnehmers mit der Kontrolle ausgehen dürfen und dieser keine Einwände bei persönlicher Anwesenheit vorgebracht hätte.

Auch musste die Einsichtnahme nach Auffassung des BAG nicht im Beisein des Datenschutzbeauftragten oder des Betriebsrats erfolgen. Dadurch hätte, so das BAG, nicht die Möglichkeit bestanden, die Datenerhebung ganz abzuwenden oder jedenfalls die Art und Weise ihrer Durchführung abschwächenden Einfluss zu nehmen.

Praxishinweis: Mit der Entscheidung zeigt das BAG für Unternehmen einen Weg auf, die Privatnutzung von Dienstgeräten zumindest eingeschränkt zu erlauben, ohne sich Kontrollrechte aus datenschutzrechtlichen Gründen abzuschneiden. Wichtig ist der vorherige Hinweis darauf, dass und zu welchen legitimen Zwecken eine Kontrolle der personenbezogenen Daten auf dem Gerät erfolgen kann. Außerdem muss dem Arbeitnehmer die Möglichkeit eröffnet werden, einzelne Dateien oder Ordner als privat zu kennzeichnen und damit einer Kontrolle ohne konkreten Verdacht einer Straftat oder schweren Pflichtverletzung zu entziehen. Auch hierauf muss ein entsprechender Hinweis erfolgen.