Von: Niklas Keller, Robert Niedermeier
Mit "Content Scanning" versuchen Arbeitgeber sicherzustellen, dass ihre Mitarbeiter die neuen Kommunikations- und Informationsmöglichkeiten tatsächlich nur betrieblich nutzen und diese nicht für private Zwecke missbrauchen. Unter "Content Scanning" versteht man die automatische Überwachung sämtlicher Informations- und Datenflüsse innerhalb eines Unternehmens.
Funktionsweise von Content-Scanning-Programmen
Ein typisches Content-Scanning-Programm funktioniert nach folgendem Prinzip: Zunächst werden alle relevanten Datenpakete wie E-Mails, Internet-Zugriffsdaten et cetera aufgehalten, bevor sie das Unternehmen verlassen. Daraufhin wird der Inhalt gelesen. Der Unternehmer erhält dabei Einblick in möglicherweise personenbezogene Daten. Die abgefangenen Nachrichten werden auf ihre Zieladressen hin überprüft und der gesamte Inhalt nach Stichwörtern durchsucht, die beispielsweise auf private Kommunikation hindeuten. Schließlich werden die Daten entweder an den bestimmungsgemäßen Empfänger weitergeleitet oder zurückgehalten.
Content Scanning wirft rechtliche Schwierigkeiten auf
Content Scanning ist aus rechtlicher Sicht problematisch, vor allem im Bereich der privaten E-Mail-Kommunikation der Mitarbeiter. Aufgrund strafrechtlicher und datenschutzrechtlicher Bestimmungen unterliegt eine solche Kontrolle strengen Beschränkungen. So ist Content Scanning nur dann zulässig, wenn die private Nutzung des Internets oder E-Mail-Systems entweder generell untersagt ist oder der Betroffene in die Kontrolle eingewilligt hat.
Liegen diese Voraussetzungen vor, hat der Arbeitgeber grundsätzlich das Recht, die E-Mail-Nutzung seiner Arbeitnehmer daraufhin zu kontrollieren, ob sie tatsächlich rein betrieblichen Erfordernissen dient und nicht für andere Zwecke missbraucht wird, die dem Unternehmen oder seinem Ruf schaden könnten. Der Arbeitgeber kann - nach der einschlägigen Rechtsprechung zur vergleichbaren Problematik der Arbeitnehmer-Telefonüberwachung - Verbindungsdaten einschließlich der Empfänger- und Adressdaten der Mitarbeiter-
E-Mails aufzeichnen und auswerten. Dieses Recht ist nicht beschränkt auf das Innenverhältnis zwischen Arbeitgeber und Arbeitnehmer - auch dritte Personen wie Access- und Service-Provider, die bei der E-Mail-Nutzung notwendigerweise eine Rolle spielen, können betroffen sein.
Arbeitgeber haben Kontrollrechte
Der Arbeitgeber schafft in seinem Unternehmen eine arbeitsteilige Organisation, die nicht nur Existenzgrundlage für ihn selbst, sondern auch für seine Mitarbeiter ist. In diesem Rahmen hat er das Recht, zur Erfüllung der Zwecke des vertraglich geregelten Arbeitsverhältnisses notwendige Maßnahmen zu ergreifen.
Hieraus und aus einer darauf aufbauenden Interessenabwägung lässt sich ein Katalog an Mindeststandards für Kontrollbefugnisse entwickeln. Listet man sie auf, scheint die Einrichtung von Kontrollinstanzen im Unternehmen auf den ersten Blick einfach zu sein:
- Der Arbeitnehmer hat sich zur Erfüllung der Zwecke des Arbeitsverhältnisses ausschließlich um seine beruflichen Belange zu kümmern. Der Arbeitgeber hat wie bei privaten Telefongesprächen das Recht, den privaten E-Mail-Gebrauch und privates Surfen im Internet weitgehend zu unterbinden und die Einhaltung des Verbots zu kontrollieren. Dieses Verbot ist jedoch auch Voraussetzung einer Kontrolle.
- Zum Schutz von Geschäftsgeheimnissen sowie des eigenen Datenbestands (Virenschutz) sind Sicherheitskontrollen zulässig.
- Rechtsverstöße durch den Arbeitnehmer im Betrieb sind durch den Arbeitgeber zu verhindern und durch entsprechende Kontrollen zu unterbinden.
- Zulässig sind auch Kontrollen zur Leistungserfassung sowie Kontrollen des Arbeitsverhältnisses mit dem Ziel, Kosten zu sparen.
Praktisch allerdings werden diese Rechte massiv eingeschränkt, und zwar durch das Grundgesetz und andere Gesetze.
Überwachung von Telefonaten ist unzulässig
Das Bundesverfassungsgericht und das Bundesarbeitsgericht haben in zahlreichen Entscheidungen den Grundsatz aufgestellt, dass eine Überwachung von Telefongesprächen eines Arbeitnehmers unzulässig ist.
Es besteht ein Spannungsfeld zwischen dem im Grundgesetz verankerten Schutz des allgemeinen Persönlichkeitsrechts (Art. 2 Abs. - in Verbindung mit Art. - Abs. - GG) des Arbeitnehmers am Arbeitsplatz und dessen Einschränkung durch die Anforderungen des Arbeitsverhältnisses mit Blick auf die Erfüllung des Arbeitsvertragszwecks und die gegenseitige Treuepflicht von Arbeitgeber und Arbeitnehmer.
Diese Rechtsprechung basiert auf den Entscheidungen zur Überwachung von Telefongesprächen. Die dort entwickelten Grundsätze sind aufgrund der vergleichbaren Interessenlage übertragbar. Somit können folgende Grundsätze aufgestellt werden:
- Die Mitarbeiter sind über die Durchführung von Kontrollmaßnahmen vorher zu unterrichten - insbesondere über Zweck, Art und Ausmaß von Datenerhebungen.
- Die aus der Überwachung anfallenden Daten dürfen zu keinem anderen Zweck verwendet werden, sofern dieser nicht zuvor dem Arbeitnehmer mitgeteilt wurde und dieser sein Einverständnis gegeben hat.
- Aus der Zweckbeschränkung der Kontrolle auf das Arbeitsverhältnis folgt, dass die Kontrollen den Anforderungen des Grundsatzes der Verhältnismäßigkeit genügen müssen. Die Maßnahmen dürfen somit nicht einschneidender sein, als dies ihr Kontrollzweck erfordert.
- Zur Kontrolle, ob E-Mails nur für betriebliche Zwecke verwendet werden, ist die Überprüfung der Empfänger- beziehungsweise Absenderdaten des jeweiligen Mitarbeiters ausreichend.
- Eine Inhaltskontrolle zur Prüfung der ausschließlich rechtskonformen Nutzung der E-Mails ist bei begründetem Verdacht - etwa auf Verrat von Geschäftsgeheimnissen oder auf strafbare Inhalte - zulässig, einschließlich der Entschlüsselung bei Verwendung von Codierungstechniken.
- Im Zweifelsfall muss das Kontrollinteresse des Arbeitgebers überwiegen, weil es für den Arbeitnehmer zumutbar ist, die Ausübung seines Persönlichkeitsrechts in Einklang mit den Zwecken des Vertragsverhältnisses zu bringen.
- Aus dem Verhältnismäßigkeitsgrundsatz folgt ferner, dass bei der Überwachung anfallende Daten zu löschen sind, sobald diese nicht mehr gebraucht werden.
Das Recht auf informationelle Selbstbestimmung
Nach § 1 Abs.1 des Bundesdatenschutzgesetzes (BDSG) ist Zweck des Gesetzes, den Einzelnen davor zu schützen, dass er durch den Umgang mit personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Das allgemeine Persönlichkeitsrecht (Art. 2 Abs.-1in Verbindung mit Art. 1 Abs.1 GG) umfasst nach der Rechtsprechung das Recht des Bürgers auf informationelle Selbstbestimmung. Der Einzelne muss selbst entscheiden können, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden.
Daten, die aus der Überwachung des E-Mail-Verkehrs gewonnen werden, sind dabei in jedem Fall personenbezogen im Sinne des BDSG, so dass der Anwendungsbereich des BDSG eröffnet ist und die einschlägigen Bestimmungen bezüglich der Zulässigkeit bei der Überwachung zu beachten sind.
§ 4 BDSG statuiert die allgemeinen Anforderungen an die Zulässigkeit der Datenverarbeitung und Nutzung und enthält ein generelles Verbot mit Erlaubnisvorbehalt. Demnach ist eine Verarbeitung personenbezogener Daten ausnahmsweise zulässig, wenn dies durch das BDSG oder ein anderes Gesetz ausdrücklich erlaubt ist oder der Betroffene eingewilligt hat.
Diese Einwilligung muss gemäß § 4 Abs. 2 BDSG in schriftlicher Form vorliegen und außerdem eine Aufklärung über den Umfang und die Reichweite der Einwilligung enthalten. Dem Arbeitgeber muss somit bei der Erhebung und Auswertung personenbezogener E-Mail-Daten einer der oben genannten Tatbestände zur Seite stehen, aus denen sich eine Erlaubnis ableiten lässt.
Abgesehen von der Einwilligung des Betroffenen kommen im innerbetrieblichen Bereich die Bestimmungen des § 28 Abs. 1 Nr. 1 und Nr. 2 BDSG in Betracht. § 28 Abs. 1 Nr. 1 BDSG zufolge ist das Speichern, Verändern oder Übermitteln personenbezogener Daten oder die Nutzung zu eigenen Geschäftszwecken dann zulässig, wenn dies im Rahmen der Zweckbestimmung eines Vertragsverhältnisses oder eines vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen erfolgt.
§ 28 Abs.1 Nr. 1 BDSG regelt die Zulässigkeit für den Fall, dass die Datenverarbeitung zur Wahrung berechtigter Interessen der speichernden Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an einem Ausschluss der Verarbeitung oder Nutzung überwiegt.
Das Fernmeldegeheimnis gilt
Der Schutz des Fernmeldegeheimnisses aus dem Telekommunikationsgesetz (TKG) und dem Strafgesetzbuch (StGB) verbietet jegliches Scannen von ausgehenden E-Mails, wenn nicht die individuelle Zustimmung aller Arbeitnehmer zum Scannen ihrer privaten E-Mails vorliegt. Es gibt jedoch einen Weg, um den Einsatz von Content-Scanning-Programmen in Unternehmen praktikabel und rechtlich zulässig zu machen. Dieser liegt im generellen Verbot der privaten Nutzung von E-Mails im Unternehmen. Dies ist aus arbeitsrechtlicher Sicht ohne Probleme möglich.
Aufgrund des Verbotes kann der Unternehmer davon ausgehen, dass alle ausgehenden E-Mails geschäftlichen Inhalts sind, eine Verletzung der Persönlichkeitsrechte der Arbeitnehmer scheidet in diesem Fall aus.
Ein solches Verbot privater Nutzung von E-Mails kann zum Beispiel beim Abschluss des Arbeitsvertrages ausgesprochen werden, außerdem durch eine Anweisung des Arbeitgebers an den Arbeitnehmer oder im Rahmen der Bekanntgabe von Passwörtern zur Nutzung von E-Mail-Programmen.
Fazit: Einwilligungslösung ist vorteilhaft
Das Content Scanning unterliegt im Bereich der E-Mail-Kommunikation am Arbeitsplatz engen gesetzlichen Grenzen. Ein Scannen von privaten E-Mails ist gesetzlich nur zulässig bei Vorliegen einer individuellen Einwilligung des Betroffenen oder wenn die private Nutzung generell verboten ist. Welchen Weg ein Unternehmen beschreiten möchte, ist auch eine Frage des Betriebsklimas. Für eine Einwilligungslösung spricht, dass es die weniger einschneidende Maßnahme ist. Ein generelles Verbot wird wohl nicht auf viel Gegenliebe stoßen, ist auf der anderen Seite aber der sicherste Weg, um straf- und datenschutzrechtliche Komplikationen zu vermeiden. (jo)
Zur Person
Robert Niedermeier
ist Rechtsanwalt und Vorstand für den Bereich Recht beim European Institute for Computer Antivirus Research (EICAR).
Niklas Keller
ist Rechtsreferendar. Die Autoren sind Mitglieder der IT-Gruppe der Kanzlei Pricewaterhouse Coopers Veltins in München.