Internal Investigations – Buchert Jacob Peter

Sachvortragsverwertungsverbot bei datenschutzwidriger Auswertung privater E-Mails

LAG Hessen, Urt. v. 21.9.2018 – 10 Sa 601/18

In seiner Entscheidung vom 21.09.2024 (Az. 10 Sa 601/18) hat das LAG Hessen die Maßstäbe für die Verwertung von datenschutzwidrig erlangten Informationen im Arbeitsrecht konkretisiert. In Bezug auf die Überprüfung privater E-Mails durch den Arbeitgeber sind demnach strenge Voraussetzungen zu erfüllen. Diese umfassen die Transparenz, Verhältnismäßigkeit und Rechtmäßigkeit des Vorgehens. Bei einer Missachtung der genannten Vorgaben ist eine Verwertung der gewonnenen Informationen im Kündigungsschutzprozess nicht zulässig. Das Urteil definiert somit die Grenzen für die Anwendung von Datenschutzrichtlinien im Kontext arbeitsrechtlicher Kontrollen durch den Arbeitgeber und unterstreicht die Bedeutung des allgemeinen Persönlichkeitsrechts sowie den Schutz der informationellen Selbstbestimmung von Arbeitnehmern.

Das Gericht hatte über die Wirksamkeit einer außerordentlichen Kündigung zu entscheiden, welche seitens des Arbeitgebers auf die Inhalte privater E-Mail-Korrespondenz des Arbeitnehmers gegründet war.  Ein Arbeitnehmer hatte über seinen dienstlichen E-Mail-Account private Nachrichten versandt, in denen er unter anderem den Geschäftsführer des Unternehmens rassistisch beleidigte. Nach der Eigenkündigung des Arbeitnehmers erfolgte ein Zugriff des Arbeitgebers auf die E-Mails, da ein vager Verdacht bestand, der Arbeitnehmer habe sich gegenüber Kunden geschäftsschädigend geäußert. Die relevanten Nachrichten wurden aus einem zentralen E-Mail-Archiv rekonstruiert, in dem sämtliche dienstlichen E-Mails gespeichert wurden. Der Zugriff auf das Archiv erfolgte ohne Internetverbindung direkt über den internen Server des Unternehmens. Die wiederhergestellten E-Mails dienten schließlich als Grundlage für die außerordentliche Kündigung.

Das Unternehmen stützte die implementierte Kontrollmaßnahme auf eine im Unternehmen gültige IT-Richtlinie, welche zwar die private Nutzung des E-Mail-Accounts für private Zwecke gestattete, jedoch eine Kennzeichnungspflicht für die privaten Nachrichten vorsah. Diese Vorgaben wurden seitens des Arbeitnehmers nicht eingehalten, wobei er jedenfalls vor seiner Freistellung die entsprechenden E-Mails gelöscht hatte.

Das LAG erklärte die außerordentliche Kündigung für unwirksam, da der Arbeitgeber die Kündigung auf datenschutzwidrig erlangte Informationen stützte. Die zielgerichtete Ermittlung und Auswertung privater E-Mails ohne konkreten Verdacht und ohne Beachtung des Verhältnismäßigkeitsgrundsatzes stellt einen ungerechtfertigten Eingriff in das allgemeine Persönlichkeitsrecht gemäß Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG sowie das Recht auf informationelle Selbstbestimmung dar und führt zur Unverwertbarkeit der E-Mails im Kündigungsschutzprozess.

Die Unverwertbarkeit der E-Mails resultierte dabei nicht bereits aus einer Verletzung des § 88 Abs. 3 TKG. Das Fernmeldegeheimnis findet Anwendung auf Kommunikationsvorgänge sowie Daten, welche auf externen Servern gespeichert sind. Folglich findet § 88 TKG Anwendung, solange der Sendevorgang von E-Mails noch nicht abgeschlossen ist. Nach Abschluss des Sendevorgangs ist das Fernmeldegeheimnis nur dann weiterhin von Relevanz, sofern die E-Mails auf einem externen Server gespeichert und lediglich über eine Internetverbindung abgerufen werden können. Hier erfolgte der Zugriff auf ein lokal gespeichertes Archiv ohne Internetverbindung, sodass § 88 Abs. 3 TKG nicht einschlägig war. In der Konsequenz unterlag die Auswertung des E-Mail-Verkehrs nicht länger dem Schutz des Fernmeldegeheimnisses, sondern vielmehr dem Schutz der Daten gemäß den allgemeinen Grundsätzen sowie dem Verhältnismäßigkeitsprinzip.

Die Unverwertbarkeit der E-Mails resultierte vielmehr aus einem Verstoß gegen das Recht auf informationelle Selbstbestimmung i.V.m. § 32 BDSG a. F.

Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten eines Beschäftigten ist gemäß § 32 Abs. 1 BDSG a. F. zulässig, sofern dies für die Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. Allerdings muss der mit einer Datenerhebung verbundene Eingriff in das allgemeine Persönlichkeitsrecht des Arbeitnehmers auch im Rahmen von § 32 BDSG einer Abwägung der beiderseitigen Interessen nach dem Grundsatz der Verhältnismäßigkeit standhalten.

Aus dem allgemeinen Persönlichkeitsrecht (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) sowie den Datenschutzgrundsätzen des BDSG und der DSGVO ergibt sich für Arbeitgeber die Verpflichtung, Eingriffe in die Privatsphäre der Arbeitnehmer so gering wie möglich zu halten und auf weniger eingriffsintensive Mittel zurückzugreifen. Demnach darf der Eingriff für den Arbeitnehmer keine übermäßige Belastung darstellen und muss der Bedeutung des Informationsinteresses des Arbeitgebers entsprechen.

Das Gericht stellte klar, dass § 32 BDSG keine Sperrwirkung entfaltet, welche eine anlassbezogene Datenerhebung durch den Arbeitgeber ausschließlich zur Aufdeckung von Straftaten zulässt. Auch bei weniger gravierenden Pflichtverletzungen kann eine Datenerhebung zulässig sein, sofern der Eingriff verhältnismäßig ist.

Ein bloßer Verdacht kann jedoch keine hinreichende Grundlage für derart weitreichende Kontrollmaßnahmen darstellen. Die Maßnahme des Arbeitgebers, den gesamten E-Mail-Verkehr eines Jahres zu durchsuchen, wurde als unverhältnismäßig bewertet. Denn die umfassende Kontrolle, die ohne konkreten Verdacht oder hinreichende Begründung erfolgte, war unangemessen und stand außer Verhältnis zur Schwere des behaupteten Verstoßes.

In diesem Kontext ist eine Abwägung zwischen den Interessen des Arbeitgebers an einer Kontrolle und dem Recht des Arbeitnehmers auf informationelle Selbstbestimmung erforderlich. Folglich genießen das allgemeine Persönlichkeitsrecht sowie die informationelle Selbstbestimmung Vorrang, sofern der Eingriff des Arbeitgebers als unverhältnismäßig oder ohne hinreichenden Verdacht eingestuft wird. Insofern darf der Arbeitnehmer darauf vertrauen, dass private Kommunikation nicht ohne Weiteres zur Kenntnis Dritter gelangt, insbesondere nicht an die Geschäftsleitung oder in den Kündigungsschutzprozess.

Die umfassende Prüfung wies folglich nicht die erforderliche Transparenz und Verhältnismäßigkeit im Sinne von § 32 BDSG a. F. auf, weshalb eine Verwertung der E-Mails nicht zulässig war.

Auch die Tatsache, dass Ordner nicht als „privat“ gekennzeichnet wurden, führt zu keiner anderen Beurteilung. Die IT-Richtlinie des Arbeitgebers beinhaltete die Anweisung, private E-Mails als „privat“ zu kennzeichnen oder nach Kenntnisnahme zu löschen. Das Gericht befand jedoch, dass diese Regelung unzureichend war, da sie keine klare Anweisung darstellte, sondern lediglich als Empfehlung formuliert war. Der Arbeitgeber hat damit versucht, das Risiko eines datenschutzwidrigen Verhaltens auf den Arbeitnehmer abzuwälzen, indem er diesen mit der Entscheidung über den privaten Charakter einer E-Mail sowie deren Archivierung betraut. In der Konsequenz besteht ein erhebliches Fehlerrisiko, welches auf die Arbeitnehmer übertragen wird. Die bestehende Unklarheit der Regelung führt schließlich dazu, dass Arbeitnehmer faktisch damit rechnen mussten, dass auch private E-Mails jederzeit verdachtsunabhängig kontrolliert werden könnten, was als zu weitgehend zu bewerten ist. Sofern die private Nutzung von E-Mails gestattet ist, unterliegt letztlich der gesamte E-Mail-Verkehr dem Schutz des Rechts auf informationelle Selbstbestimmung, da eine Trennung zwischen beruflichem und privatem Bereich nicht möglich ist.

Aus prozessrechtlicher Perspektive resultiert die datenschutzwidrige Auswertung nicht lediglich in einem Beweisverwertungsverbot, sondern vielmehr in einem Sachvortragsverwertungsverbot. Dies ist erforderlich, um den Grundrechtsschutz der Beschäftigten zu gewährleisten und sicherzustellen, dass ihre Interessen nicht durch eine unrechtmäßige Auswertung ihrer Daten beeinträchtigt werden. Gemäß Art. 103 Abs. 1 GG ist die Verwertung rechtswidrig erlangter Beweise unzulässig.

In Konsequenz dessen war das Gericht nicht nur daran gehindert, die vorgelegten E-Mails als Beweise für streitigen Tatsachenvortrag des Arbeitgebers zu verwerten, sondern auch daran, den unstreitigen Tatsachenvortrag zu Lasten des Arbeitnehmers zu berücksichtigen, insofern dadurch ein Verstoß gegen das allgemeine Persönlichkeitsrecht des Klägers verstärkt würde.

Das Urteil des LAG Hessen verdeutlicht, dass arbeitsrechtliche Kontrollmaßnahmen hohen rechtlichen Anforderungen unterliegen und nur auf Grundlage klarer, transparenter und verhältnismäßiger Regelungen zulässig sind. Ein Eingriff in die private Kommunikation des Arbeitnehmers ist ohne konkrete Verdachtsmomente und ohne den Einsatz milderer Mittel nicht zu rechtfertigen. Unklare IT-Richtlinien und pauschale Kontrollbefugnisse oder Maßnahmen „ins Blaue hinein“ genügen diesen Anforderungen gerade nicht. Selbst schwerwiegende Pflichtverletzungen können demnach nur dann eine Kündigung rechtfertigen, wenn die Beweise für die behauptete Pflichtverletzung auf rechtmäßige Weise erhoben wurden.

Für die Praxis lässt sich hieraus ableiten, dass Arbeitgeber bei der Ausgestaltung von IT-Richtlinien klare Grenzen und Voraussetzungen für Einsichtnahmen definieren und diese eng an den Grundsatz der Verhältnismäßigkeit anpassen müssen.


In folgenden Fällen beraten wir Sie als unsere Auftraggeber:

  • Auditierung und Monitoring
  • Internal Investigations – Interne Ermittlungen
  • Vorträge und (Inhouse-)Schulungen

 
Unsere Köpfe

Dies bedeutet unter anderem folgende Zusatzqualifikationen und Erfahrungen:

  • Fachanwalt / Fachanwältin für Strafrecht
  • Polizeipräsident a.D.
  • Zertifizierte Datenschutzbeauftragte
  • Mitverfasser des Handbuches „Internal Investigations: Ermittlungen im Unternehmen“ 
  • Ombudspersonen für über 60 Unternehmen