Arbeitgeber dürfen nicht nur konkret vermuteten Straftaten (z.B. Diebstahl, Unterschlagung, Entgeltfortzahlungs-/Arbeitszeit-/Spesenbetrug; § 17 UWG) i. S. d. § 32 Abs. 1 Satz 2 BDSG, sondern auch sonstigen schweren Pflichtverletzungen nachgehen, denn die 2009 geschaffene Regelung soll die bisherigen Rechtsprechungsgrundsätze nicht ändern, sondern lediglich zusammenfassen (BAG, Urt. v. 22.9.2016 – 2 AZR 848/15, NJW 2017, S. 843). Eine vom Arbeitgeber veranlasste verdeckte Überwachungsmaßnahme durch einen Detektiv zur Aufdeckung eines auf Tatsachen gegründeten konkreten Verdachts einer schwerwiegenden Pflichtverletzung des Arbeitnehmers – z.B. unerlaubte Konkurrenztätigkeit, Vortäuschen von Arbeitsunfähigkeit außerhalb der Entgeltfortzahlung, Kartellverstöße – kann nach § 32 Abs. 1 Satz 1 BDSG deshalb zulässig sein. § 32 Abs. 1 Satz 2 BDSG entfaltet insoweit keine „Sperrwirkung“ und verdrängt auch § 28 BDSG (zur Wahrung berechtigter Interessen) nicht (BAG v. 29.6.2017 – 2 AZR 597/16, AuA 12/17, S. 728; Gola/Schomerus, BDSG, 12. Aufl., § 32 Rdnr. 2, 45 f.).
Die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten zur Aufdeckung von Straftaten gem. § 32 Abs. 1 Satz 2 BDSG setzt lediglich einen „einfachen“ Verdacht im Sinne eines Anfangsverdachts voraus, der über vage Anhaltspunkte und bloße Mutmaßungen hinausreichen muss. Der Verdacht muss sich in Bezug auf eine konkrete strafbare Handlung oder andere schwere Verfehlung zu Lasten des Arbeitgebers gegen einen zumindest räumlich und funktional abgrenzbaren Kreis von Arbeitnehmern richten, bspw. Kassen- oder Lagerpersonal (BAG, Urt. v. 20.10.2016 – 2 AZR 395/15, AuA 11/17, S. 680; v. 29.6.2017, a. a. O.). Eine verdeckte Ermittlung „ins Blaue hinein“, ob ein Arbeitnehmer sich pflichtwidrig verhält, ist nach § 32 Abs. 1 Satz 1 BDSG jedoch unzulässig (BAG v. 29.6.2017, a. a. O.; v. 27.7.2017, a. a. O.). § 32 Abs. 1 Satz 2 BDSG ermöglicht eine Videoüberwachung auch dann, wenn nur ein Teil der (Inventur-)Differenzen ihre Ursache in Straftaten von Arbeitnehmern gegen das Vermögen des Arbeitgebers haben (BAG v. 20.10.2016, a. a. O.).
Bei der Observation durch einen Detektiv handelt es sich um eine Datenerhebung i. S. v. § 3 Abs. 1, 3 und 7, § 32 Abs. 2 BDSG. Darin liegt zugleich ein Eingriff in das allgemeine Persönlichkeitsrecht bzw. das informationelle Selbstbestimmungsrecht des Observierten nach Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG (BAG v. 29.6.2017, a. a. O.; Urt. v. 19.2.2015 – 8 AZR 1007/13, NJW 2015, S. 2749). Auch bei der in Abwesenheit und ohne Einwilligung des Arbeitnehmers durchgeführten Öffnung seines Spinds mit privaten Gegenständen ist nach § 32 BDSG beachtlich, denn die Vorschrift setzt keine automatisierte Datenerhebung voraus. Sie erfasst auch die Datenerhebung durch rein tatsächliche Handlungen (BAG, Urt. v. 20.6.2013 – 2 AZR 546/12, NJW 2014, S. 720; Gola/Schomerus BDSG, 11. Aufl., § 32 Rdnr. 7).
Eingriffe in das Recht der Mitarbeiter am eigenen Bild durch verdeckte Videoüberwachung sind dann zulässig, wenn der konkrete Verdacht einer strafbaren Handlung oder einer anderen schweren Verfehlung zulasten des Arbeitgebers besteht, weniger einschneidende Mittel zur Aufklärung des Verdachts ergebnislos ausgeschöpft sind (z.B. Befragung, Tor-/Taschenkontrollen zur Aufklärung von Inventurdifferenzen), die verdeckte Videoüberwachung damit das praktisch einzig verbleibende Mittel darstellt und sie insgesamt nicht unverhältnismäßig ist (BAG v. 22.9.2016, a. a. O.).
Eine verdeckte Videoüberwachung zur Aufdeckung von Straftaten von Beschäftigten darf nicht nur dann erfolgen, wenn sichergestellt ist, dass von ihr ausschließlich Arbeitnehmer betroffen sind, hinsichtlich derer es bereits einen konkretisierten Verdacht gibt. Es ist nicht erforderlich, die Maßnahme so zu beschränken, dass von ihr ausschließlich Personen erfasst werden, bzgl. derer bereits ein konkretisierter Verdacht besteht (BAG v. 22.9.2016, a. a. O.).
Das BAG wendet konsequent den Verhältnismäßigkeitsgrundsatz an: Danach müssen alle das Persönlichkeitsrecht beeinträchtigenden Maßnahmen zur Aufklärung von Verdachtsmomenten geeignet und erforderlich (das mildeste aller gleich effektiven Mittel) sein sowie die Persönlichkeitsrechte der von der Ermittlung betroffenen Personen angemessen berücksichtigen.
Zu möglichen gleich wirksamen, aber milderen Mitteln vor einer verdeckten (Video-)Überwachung meint die Rechtsprechung:
– Gespräche mit den Mitarbeitern oder eine offene Videoüberwachung sind nicht in gleichem Maße zur Aufdeckung heimlicher Straftaten Erfolg versprechend.
– Eine effektive Überwachung durch Vorgesetzte oder Kollegen war nicht denkbar (Überwachung Kassen-/Lagerbereich nach Inventurverlusten).
– Eine Taschen- oder Kleidungskontrolle hätte die Videoaufzeichnung in der Intensität des Eingriffs in das Persönlichkeitsrecht (Intim-/Privatsphäre) noch übertroffen.
– Die Umsetzung einer Videoüberwachung muss „minimalinvasiv“ erfolgen (z.B. durch vorherige Anordnung eines Zutrittsverbots für den überwachten Bereich [Lager], Einsatz von Kameras mit festem Aufnahmewinkel, Begrenzung der Speicherungsdauer von Aufnahmen etc.).
– Zur Aufdeckung einer unerlaubten Konkurrenztätigkeit während der Arbeitsunfähigkeit ist die Einschaltung des medizinischen Dienstes nach § 275 Abs. 1a Satz 3 SGB V statt eines Detektivs kein geeignetes milderes Mittel (BAG v. 29.6.2017, a. a. O.). Eine in Anwesenheit des Arbeitnehmers durchgeführte Spind-Kontrolle ist gegenüber einer heimlichen Durchsuchung – auch im Beisein des Betriebsrats – das mildere, verhältnismäßige Mittel (BAG v. 20.6.2013, a. a. O.).
– Dem Arbeitgeber steht ein mit anderen Mitteln – als Auswertung des Internet-Browsers – zu führender konkreter Nachweis des Umfangs des Missbrauchs des dienstlichen PCs nicht zur Verfügung (LAG Berlin-Brandenburg, Urt. v. 14.1.2016 – 5 Sa 657/15, AuA 7/16, S. 443). Die Kontrolle der gespeicherten Verlaufsdaten sollte stichprobenartig und die Speicherung vorübergehend sein (BAG v. 27.7.2017, a. a. O.).
Der Begriff Compliance erfasst die Einhaltung von Recht, Gesetz und internen Richtlinien im Unternehmen. Dabei ist Compliance zuvorderst eine Aufgabe der Geschäftsleitung. Die Leitungsorgane haben die Pflicht, geeignete Maßnahmen und organisatorische Vorkehrungen zu treffen (§ 91 Abs. 2 AktG; §§ 30, 130, 9 OWiG).
Ist das Compliance-System mangelhaft oder nur unzureichend überwacht, liegen Pflichtverletzungen der Vorstandsmitglieder vor. Das hat das LG München entschieden und ein Vorstandsmitglied wegen Schmiergeldzahlungen bzw. „schwarzer Kassen“ zur Zahlung von Schadensersatz i. H. v. 15 Mio. Euro an das Unternehmen verurteilt (LG München, Urt. v. 10.12.2013 – 5 HKO 1387/10 [„Siemens ./. Neubürger“], NZG 2014, S. 345). Ein effektives, auf die Vermeidung von Rechtsverstößen ausgelegtes Compliance-Programm kann eine Geldbuße (hier wegen Steuerhinterziehung, übertragbar auf Kartellrechts-/Datenschutzbußen) mindern, auch wenn sich Mitarbeiter rechtswidrig verhalten haben. Um die volle Minderung zu erhalten, muss die Geschäftsleitung nach Aufdeckung der Rechtsverstöße zusätzlich konsequent die Schwachstellen beseitigen (BGH, Urt. v. 9.5.2017 – 1 StR 265/16, BB 2017, S. 1931).
Die kleine Kammer des EGMR hatte zunächst die fristlose Kündigung eines rumänischen Ingenieurs, der entgegen eines strikten Verbots die dienstliche IT – hier Yahoo Messenger – intensiv für private Zwecke nutzte (u.a. Kommunikation mit Verlobter, Bruder), für zulässig erachtet und ein 45-seitiges Chat-Protokoll aus einer Woche für verwertbar und dies vereinbar mit Art. 8 EMRK sowie der EU-Datenschutzrichtlinie 95/46/EG erachtet, wenn jedenfalls die Identität der Kommunikationspartner oder Gesprächsinhalte nicht öffentlich gemacht werden (EGMR, Urt. v. 12.1.2016 – 61496/08 [Barbulescu], AuA 9/16, S. 562). Da noch Unsicherheit besteht, ob die Erlaubnis der Privatnutzung dazu führt, dass der „normale“ Arbeitgeber dem TKG und damit dem strafbewehrten Fernmeldegeheimnis (§ 88 TKG, § 206 StGB) unterliegt (dagegen: LAG Berlin-Brandenburg, Urt. v. 16.2.2011 – 4 Sa 2132/10, AuA 12/11, S. 733; dafür: BT-Drs. 17/4230, S. 43), verbieten viele Arbeitgeber die Privatnutzung insgesamt. Dem Betriebsrat stehen insoweit keine Mitbestimmungsrechte zu, denn hierbei handelt es sich um konkrete Arbeitsanweisungen, die die Mitarbeiter im Umgang mit dienstlichen Geräten des Arbeitgebers bei der Ausübung ihrer vertraglich geschuldeten Tätigkeit zu beachten haben (LAG Hamm, Beschl. v. 7.4.2006 – 10 TaBV 1/06, NZA-RR 2007, S. 20).
Die große Kammer des EGMR stellte hingegen eine Verletzung des Rechts auf Achtung des Privatlebens und der Korrespondenz gem. Art. 8 EMRK fest (EGMR v. 5.9.2017, a. a. O.). Danach ist der Arbeitgeber zwar grundsätzlich dazu berechtigt, den dienstlichen Internetanschluss zu überwachen, um Verstöße gegen Betriebsverordnungen festzustellen. Eine solche Überwachung muss jedoch nach Ansicht des EGMR stets verhältnismäßig sein. Die innerstaatlichen Gerichte versäumten es laut EGMR insbesondere, zu ermitteln, ob dem Beschwerdeführer von seinem Arbeitgeber zuvor mitgeteilt wurde, dass seine elektronische Korrespondenz überwacht werden kann. Zudem haben sie nicht berücksichtigt, dass er weder über die Art und den Umfang der Überwachung noch über das Ausmaß des Eingriffs in sein Privatleben und seine Korrespondenz informiert wurde. Schließlich haben die nationalen Gerichte auch nicht die genauen Gründe zur Rechtfertigung der Überwachungsmaßnahmen geprüft, ob der Arbeitgeber Maßnahmen hätte anwenden können, die einen geringeren Eingriff in das Privatleben und die Korrespondenz des Beschwerdeführers bedeutet hätten und ob in die Korrespondenz des Beschwerdeführers ohne dessen Wissen Einsicht genommen werden konnte.
Praxistipp: Arbeitgeber sollten bei einem Verbot der Nutzung der dienstlichen ITK zu privaten Zwecken ausdrücklich darauf hinweisen (in Arbeitsvertrag, ITK-Richtlinie oder Betriebsvereinbarung), dass die Einhaltung dieses Verbots stichprobenartig und/oder bei Verdacht eines konkreten Missbrauchs auf Straftaten oder erhebliche Vertragsverletzungen kontrolliert wird.
In der zeitintensiven und verbotenen privaten Nutzung des Internets oder von Mail-Programmen während der Arbeitszeit sieht die Rechtsprechung einen schweren Pflichtverstoß, der grundsätzlich mit einer Kündigung sanktioniert werden kann (BAG, Urt. v. 31.5.2007 – 2 AZR 200/06, AuA 12/07, S. 755; v. 7.7.2005 – 2 AZR 581/04, NJW 2006, S. 540). Es besteht jedenfalls dann kein Beweisverwertungsverbot, wenn dem Arbeitgeber ein mit anderen Mitteln zu führender konkreter Nachweis des Umfangs des Missbrauchs des dienstlichen Internets nicht zur Verfügung steht (LAG Berlin-Brandenburg v. 14.1.2016, a. a. O.: an 30 Tagen insgesamt 40 Stunden und Aufruf von 16.369 Internetseiten u. a. „petgirls.de“, „poppen.de“).
Praxistipp: Bei einer Sichtung/Auswertung der Protokolle sollte der Überwachte neben dem Datenschutzbeauftragten und dem Betriebsrat beteiligt werden.
Führt der Arbeitgeber Überwachungsmaßnahmen oder Kontrollen zur Prävention oder Aufklärung von Compliance-Verstößen durch, muss er darauf achten, dass er sich dabei nicht selbst incompliant verhält, was bei einem schweren Verstoß ggf. ein Beweisverwertungsverbot zur Folge haben könnte, wenn durch die Verwertung im Prozess erneut Persönlichkeitsrechte verletzt würden (BAG, Urt. v. 13.12.2007 – 2 AZR 537/06, NZA 2008, S. 1008). Hierzu und zum Beschäftigtendatenschutz hat das BAG in jüngster Zeit wichtige Grundsätze aufgestellt und Präzisierungen vorgenommen, die die Geschäfts-/Personalleitung kennen und beachten sollte. Dies insbesondere vor dem Hintergrund der am 25.5.2018 in Kraft tretenden Änderungen im Datenschutz durch Art. 88 DSGVO bzw. des § 26 BDSG n. F. (= § 32 BDSG a. F.) sowie deutlich verschärften Sanktionen, insbesondere deutlich erhöhten Bußgeldern (Art. 83 DSGVO).
Der Einsatz eines Software-Keyloggers, mit dem alle Tastatureingaben und regelmäßige Screenshots an einem dienstlichen Computer für eine verdeckte Überwachung und Kontrolle des Arbeitnehmers aufgezeichnet werden, ist nach § 32 Abs. 1 BDSG unzulässig, wenn kein auf den Arbeitnehmer bezogener, durch konkrete Tatsachen begründeter Verdacht einer Straftat (z. B. Arbeitszeitbetrug) oder einer anderen schwerwiegenden Pflichtverletzung besteht. Die durch den Keylogger gewonnenen Erkenntnisse über die Privattätigkeiten des Klägers sind im gerichtlichen Verfahren unverwertbar. In der Tatsache, dass ein Mitarbeiter einer ihm per E-Mail mitgeteilten Maßnahme nicht entgegentritt, liegt keine Einverständniserklärung gem. § 4a BDSG in die Informationserhebung (BAG, Urt. v. 27.7.2017 – 2 AZR 681/16, NZA 2017, S. 1327). Eine lückenlose technische Überwachung ist am Arbeitsplatz i. d. R. rechtswidrig wegen des hohen Überwachungsdrucks und der erheblichen Persönlichkeitsrechtsbeeinträchtigung (BAG, Urt. v. 27.3.2003 – 2 AZR 51/02, AuA 6/04, S. 47).
Grundsätzlich sind Gerichte verpflichtet, den vorgetragenen Sachverhalt und die angebotenen Beweise zu berücksichtigen. Ein Beweisverwertungsverbot kommt nur in Betracht, wenn mit der Verwertung ein Eingriff in das allgemeine Persönlichkeitsrecht der anderen Prozesspartei einhergeht und das Gericht eine begangene Grundrechtsverletzung perpetuiert und vertieft (BAG v. 20.10.2016, a. a. O.). Bei einem Verstoß gegen „materielle“ Schutzvorschriften (vgl. §§ 28, 32, 6b BDSG) scheidet i. d. R. auch eine prozessuale Verwertbarkeit der erhobenen Daten aus.
Ist jedoch die Datenverarbeitung gegenüber dem betroffenen Arbeitnehmer nach den Vorschriften des BDSG (insbes. § 32 Abs. 1 Satz 2 oder § 28 Abs. 1 BDSG) zulässig, liegt insoweit keine Verletzung des Rechts auf informationelle Selbstbestimmung und am eigenen Bild vor und es dürfen die zulässig erhobenen Daten auch verarbeitet und genutzt werden. Der Arbeitgeber darf deshalb alle nach BDSG zulässig erhobenen Daten speichern und verwenden, die er benötigt, um die ihm obliegende Darlegungs- und Beweislast in einem potenziellen Kündigungsschutzprozess zu erfüllen. Zu Recht hat das BAG klargestellt, dass § 32 Abs. 1 Satz 2 BDSG (Aufdeckung von Straftaten) keine Sperrwirkung entfaltet. Dies bedeutet, dass wenn keine Straftat aufgedeckt werden soll, eine Zulässigkeit der Maßnahme auf der Basis von § 32 Abs. 1 Satz 1 BDSG oder nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG in Betracht kommt (BAG v. 29.6.2017, a. a. O.; v. 27.7.2017, a. a. O.).
Auch wenn dem Arbeitgeber damit drei gesetzliche Erlaubnisnormen zur Verfügung stehen, sind die Prüfungsmaßstäbe gleich hoch. Es muss stets
1. ein durch Tatsachen begründeter konkreter einfacher Anfangsverdacht betreffend einer Straftat oder erheblichen Pflichtverletzung bestehen, der dokumentiert werden sollte und
2. die zu ergreifende Überwachungsmaßnahme verhältnismäßig sein, d.h. geeignet, erforderlich und angemessen. Es dürfen keine anderen, zur Zielerreichung gleich wirksamen und das Persönlichkeitsrecht der Arbeitnehmer weniger einschränkenden Mittel zur Verfügung stehen.
Es besteht ein Beweisverwertungsverbot wegen schwerer Persönlichkeitsrechtsverletzung in Kündigungsprozessen wegen Diebstahls-/Untreuevorwurf bei einer heimlich, in Abwesenheit und ohne Erlaubnis des Mitarbeiters aber im Beisein des Betriebsrats durchgeführten Kontrolle des persönlichen Spindes (BAG v. 20.6.2013, a. a. O.).
Die Verwertung eines „Zufallsfundes“ aus einer gem. § 32 Abs. 1 Satz 2 BDSG gerechtfertigten verdeckten Videoüberwachung kann nach § 32 Abs. 1 Satz 1 BDSG zulässig sein, z.B. wenn bei einer heimlichen Videoüberwachung des Kassenbereichs wegen Verdachts von Zigarettendiebstählen gegen zwei andere Beschäftigte die stellvertretende Filialleiterin bei einer Pfandunterschlagung zufällig „erwischt“ wird (BAG v. 22.9.2016, a. a. O.). Ist die Verwertung von Ergebnissen einer verdeckten Videoüberwachung bereits nach den allgemeinen Grundsätzen (§ 32 Abs. 1 BDSG; Art. 1, 2 Abs. 1 GG) zulässig, so folgt kein Verwertungsverbot aus der Missachtung von Mitbestimmungsrechten des Betriebsrats nach § 87 Abs. 1 Nr. 6, § 77 BetrVG. Die Schutzzwecke von § 87 Abs. 1 Nr. 6 BetrVG und die zivilprozessualen Grundsätze über ein mögliches (Beweis-)Verwertungsverbot sind nämlich identisch (BAG v. 22.9.2016, a. a. O.; v. 20.10.2016, a. a. O.). Zu beachten ist jedoch, dass eine Verletzung von Mitbestimmungsrechten durch einseitige Installation einer technischen Überwachungseinrichtung einen Unterlassungs- und Beseitigungsanspruch des Betriebsrats gegen den Arbeitgeber rechtfertigt (Fitting, § 87 BetrVG Rdnr. 596, m. w. N.).
Unternehmen müssen die Maßstäbe gut kennen, die Gerichte in Bezug auf Kontrollmaßnahmen anlegen, um sonst drohende Beweisverwertungsverbote, Bußgelder oder Schadensersatzansprüche wegen Persönlichkeitsrechts-/BDSG-Verstößen (vgl. LAG Rheinland-Pfalz, Urt. v. 27.4.2017 – 5 Sa 449/16: 10.000 Euro für durch Detektive intensiv überwachten BR-Vorsitzenden ohne konkreten Anlass; LAG Hessen, Urt. v. 25.10.2010 – 7 Sa 1586/09: 7.000 Euro für unzulässige offene vollzeitige Videoüberwachung über drei Monate) zu vermeiden.
Sorgfalt und Kenntnis der aktuellen Rechtsprechung ist geboten, damit nicht aus dem „Jäger“ selbst der „Gejagte“ wird. Unrechtes, exzessives Verhalten in Einzelfällen könnte zudem sonst dauerhaftes, flächendeckendes neues, schärferes Recht für alle generieren: „Bad cases make bad law“ – was es zu vermeiden gilt. Zudem werden durch Art. 83 DSGVO ab 25.5.2018 die Bußgelder für Datenschutzverstöße erheblich erhöht.
Mit freundlicher Genehmigung der HUSS-MEDIEN GMBH aus AuA 1/18, S. 24ff.
