Neue Orientierungshilfe der Datenschutzbehörden: Arbeitgeber sind TK-Anbieter – oder doch nicht!?!

Die Datenschutzaufsichtsbehörden des Bundes und der Länder haben kürzlich eine aktuelle „Orientierungshilfe zur datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz“ herausgegeben. Diese Orientierungshilfen sind nicht nur deswegen interessant, weil sie unter anderem oft auch Checklisten und Mustervereinbarungen, hier z.B. für Arbeitgeber, enthalten, sondern weil die Datenschutzbehörden über die Datenschutzkonferenz bzw. die Orientierungshilfen auch ihre Postion zu bestimmten datenschutzrechtlichen Themen erkennen lassen.

Vorliegend geht es um die private Internetnutzung am Arbeitsplatz. Und mit der Orientierungshilfe der oben genannten Datenschutzbehörden nebst Mustern ist nun die Ausgestaltung von entsprechenden Richtlinien und Betriebsvereinbarungen kein Problem mehr oder?

Was meinen die Datenschutzbehörden – und warum?

Leider ist nach wie vor nach dem Lesen der Orientierungshilfe nicht alles klar. Mantramäßig verwiesen die Datenschutzbehörden in den letzten Jahren darauf, dass ein Arbeitgeber zum Telekommunikationsanbieter würde, sobald er die private Nutzung von Internet- und IT-Infraktstruktur der Firma durch die Mitarbeiter zulassen würde.

Sollten der geneigte Leser nun stutzen: Ja, Sie lesen richtig. Erlaubt oder duldet ein Arbeitgeber die private Internetnutzung am Arbeitsplatz, so wird (bzw. wurde) er seitens der Datenschutzbehörde als eine Art „Mini-Telekom“ betrachtet. In der aktuellen Orientierungshilfe liest sich das zunächst so:

„Nach Auffassung der Aufsichtsbehörden ist der Arbeitgeber in diesem Fall Telekommunikationsdienste- bzw. Telemediendienste-Anbieter.“

Eine Begründung dafür wird jedoch – wie üblich – nicht mitgeliefert und lässt sich auch in der einschlägigen Kommentar-Literatur nur schwerlich finden. Die Datenschutzbehörden stützen sich hier auf den Wortlaut des Telekommunikationsgesetzes (TKG). Danach ist jeder Diensteanbieter, der ganz oder teilweise geschäftsmäßig Telekommunikationsdiesnte erbringt oder an der Erbringung solcher Dienste mitwirkt (§ 3 Nr. 6 TKG). Das geschäftsmäßige Erbringen von Telekommunikationsdiensten wird weiter als nachhaltiges Angebot von Telekommunikation für Dritte mit oder ohne Gewinnerzielungsabsicht definiert (§ 3 Nr. 10 TKG). Stellt der Arbeitgeber seinen Angestellten also bspw. das Betriebs-WLAN zur privaten Nutzung zur Verfügung, so ist das nach Ansicht der Datenschutzbehörden zumindest eine teilweise Erbringung von Telekommunikationsdiensten, die auch geschäftsmäßig erfolgt. Eine Begründung eben für die Annahme der „Geschäftsmäßigkeit“ fehlt. Scheinbar wird sich hier auf eine Entscheidung des OLG Karlsruhe aus dem Jahr 2005 gestützt, welche ebenfalls ohne weitere Begründung davon ausgeht, dass ein Arbeitgeber (hier: eine Hochschule), zack, zum TK-Anbieter wird, sobald er die private Nutzung erlaubt (Beschluss des OLG Karlsruhe vom 10.1.2005 – Az. 1 Ws 152/04).

Es gibt zwar keine Begründung, aber mantramäßig wurde diese Auffassung, wie gesagt, in den verschiedenen Datenschutzkommentaren wiedergegeben. Mit der Folge, dass Arbeitgeber auch in Schulungen wieder und wieder darauf hingewiesen wurden, dass eine Freigabe von Internet & Co für die private Nutzung unter gar keinen Umständen erteilt werden dürfte. Schließlich würden dann alle Geschäftsführer im Knast (!) landen.

Im Knast? Wie was? Oder: Warum ist es wichtig, ob nun Telekommunikationsanbieter oder nicht?

Spinnt man den Gedanken der Datenschutzbehörden, dass Arbeitgeber unmittelbar zu TK-Anbietern würden, weiter, so wäre die logische Konsequenz, dass dann für den Arbeitgeber vorrangig auch die Normen des TKG gelten. Diese beherbergen das sog. Fernmeldegeheimnis, welches dem Diensteanbieter (also nach Auffassung der DSB dem Arbeitgeber) untersagt, sich oder anderen über das für die geschäftsmäßige Erbringung der Telekommunikationsdienste einschließlich des Schutzes ihrer technischen Systeme erforderliche Maß hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen (§ 88 Abs. 3 TKG). Bei einem Verstoß drohen gegebenenfalls sogar strafrechtliche Konsequenzen (§ 206 StGB). Mit anderen Worten macht sich der Arbeitgeber nach dieser Auffassung bei einem Zugriff auf dienstliche oder private Inhalte der Mitarbeiter strafbar, wenn er die private Internetnutzung am Arbeitsplatz erlaubt oder geduldet hat und der Zweck des Zugriffs nicht von einer der o.g. Ausnahmen des § 88 Abs. 3 TKG gedeckt ist. Das gilt auch, wenn Mitarbeiter längerfristig (z.B. krankheitsbedingt) ausfallen oder aus dem Unternehmen ausscheiden. Um das zu vermeiden, wurde (und wird wie gesagt –  leider immer noch) den Arbeitgebern empfohlen, den Mitarbeitern die private Nutzung gänzlich zu untersagen. Dann wären sie keine Telekommunikationsdiensteanbieter und damit nicht den Regelungen des TKG unterworfen.

Ernsthaft? Der Arbeitgeber wird zu einem „Vodafone“ und kommt in den Knast, wenn er die private Nutzung gestattet?

Abgesehen davon, dass ein Verbot schon aus tatsächlichen und unternehmenspraktischen Gründen nicht des Rätsels Lösung sein kann, ist die Annahme, dass ein Arbeitgeber ad hoc zum TK-Anbieter wird, auch juristisch nur, sagen wir es einmal so, recht schwierig nachzuvollziehen.

In Folge dessen verwundert es nicht, dass es schon lange eine gegenteilige Auffassung zu diesem Themenkomplex gibt, die eine Einordnung des Arbeitgebers als TK-Anbieter ablehnt. Interessant ist dabei, dass nicht nur Juristen wie Prof. Dr  Thüsing die Auffassung der Datenschutzbehörden nicht teilen, sondern insbesondere auch die neuere Rechtsprechung dieser Auffassung klar entgegen tritt (vgl. ArbG Dsseldorf, 29. 10. 2007 – Ca 1455/07; LAG Niedersachsen, 31. 5. 2010 – 12 Sa 875/09; LAG Berlin-Brandenburg, 16. 2. 2011 – 4 Sa 2132/10;  LAG Hamm, 10. 7. 2012 – 14 Sa 1711/10 sowie VGH Baden-Württemberg, Urteil vom 30.07.2014 – Az. 1 S 1352/13).

Wen dies tiefer interessiert, der mag u.a. hier die ausführliche Fachanalyse in der in der Kommunikation & Recht, 2014, S. 1 nachlesen:

Social Media im Unternehmen Zur Zweckmäßigkeit des Verbots der (privaten) Nutzung unter besonderer Berücksichtigung von § 88 TKG“ 

Und nun? Wer hat Recht?

Höchstrichterlich wurde diese Frage leider noch nicht geklärt. An der oben genannten aktuellen Orientierungshilfe der Datenschutzbehörden ist jedoch gerade spannend, dass auch diese wohl langsam einsehen, dass ein generelles Nutzungsverbot heute nicht mehr angezeigt ist und dass die Auffassung, der Arbeitgeber werde zum TK-Anbieter auch gerade vor der genannten Rechtsprechung kaum mehr zu halten ist. Und so ist in der jüngsten Orientierungshilfe  – zwar dezent, aber immerhin – eine vorsichtige Anpassung der Ansicht der Datenschutzbehörden an die jüngere Rechtsprechung die jüngere Rechtsprechung zu erkennen (vgl. S. 5).

Zum einen wird die Rechtsprechung endlich einmal erwähnt (das war in den letzten Jahren nicht der Fall, obwohl die einschlägigen Entscheidungen aus den Jahren 2010 bis 2014 entstammen). Zum anderen halten die die Behörden nun ein „Muster einer Betriebsvereinbarung für die private Nutzung des Internets“ im Anhang der Orientierungshilfe vor. In dieser Vereinbarung wird u. a. geregelt, dass eine private Internetnutzung nur nach vorheriger Einwilligung des Arbeitnehmers erfolgen darf. In dieser als Anlage 1 veröffentlichten Muster-Einwilligung soll der Arbeitnehmer zustimmen, dass auch private – also nicht nur die betrieblichen – Internetzugriffe im Rahmen der Betriebsvereinbarung verarbeitet und unter bestimmten Voraussetzungen (Ziffern 8. und 9. der Betriebsvereinbarung) protokolliert sowie personenbezogen ausgewertet werden dürfen. Daran anknüpfend erfolgt eine Erklärung, dass auf den Schutz des Fernmeldegeheimnisses verzichtet wird.

Grundsätzlich ist eine Vereinbarung, in der die private Internetnutzung am Arbeitsplatz (bspw. Nutzungs- und Kontrollumfang) geregelt wird, richtig und aus Compliance-Gründen nicht nur empfehlenswert, sondern regelrecht zwingend (vgl. dazu u.a. die Beiträge hier, hier und hier).

Das Fernmeldegeheimnis (§ 88 TKG) zielt aber gerade darauf ab, den Nutzer vor Zugriffen auf die Kommunikationsinhalte durch Diensteanbieter zu schützen, weil dieser in der Regel nicht die technischen Möglichkeiten hat, sich ausreichend selbst davor zu schützen. Ein Verzicht auf diesen Schutz würde dann jedoch den vom Gesetzgeber beabsichtigten Zweck aushöhlen. Vor diesem Hintergrund erscheint es also widersinnig, was die Datenschutzbehörden hier vorhaben:

Einerseits wird der Diensteanbieter strafrechtlichen Konsequenzen ausgesetzt, um dadurch den Nutzer zu schützen. Andererseits soll dieser Schutz qua Einwilligung des Betroffenen aber einfach aufgehoben werden, um die Inanspruchnahme des „Telekommunikationsdienstes“ überhaupt erst zu ermöglichen. Das hatte der Gesetzgeber so bestimmt nicht im Sinn, zumal das Geheimnis auch schon kein Geheimnis mehr wäre, wenn man als Verbraucher derartiges mit der Telekom vereinbaren würde/müsste.

Also, dann gilt das TKG ja eben doch für den Arbeitnehmer?!

Nein. Denn die Annahme, dass das TKG überhaupt auf Arbeitgeber – und damit auch auf Arbeitnehmer – Anwendung findet, geht eben fehl. Das TKG trennt nicht zwischen dem Schutz von Verbrauchern und Arbeitnehmern. Ganz im Gegenteil das TKG kennt diesen Unterschied nicht, weil es primär den Zweck verfolgt, den Wettbewerb im Bereich der Telekommunikation zu fördern (§ 1 TKG). Sinn und Zweck des Gesetzes ist es nicht, die unternehmens- oder behördeninternen Rechtsbeziehungen -etwa zwischen Arbeitgeber und Arbeitnehmer zu regeln. Inwieweit nun die Erlaubnis der privaten Internetnutzung also in den Wettbewerb greift, mag schon dahinstehen, inwieweit aber eben ein Arbeitgeber eben aus dieser Perspektive betrachtet gleich zu einem TK-Anbieter wie die Telekom & Co nur aufgrund dieser Erlaubnis werden soll, entzieht sich jedem Verständnis (wie gesagt, ausführliche Argumentation dagegen findet sich in dem o.g. Fachartikel).

Wird die TK-Anbietereigenschaft des Arbeitgebers konsqenterweise verneint ist dann auch endlich das „Horroszenario“, dass die Organe eines Unternehmens sich wegen der Verletzung des Post- oder Fernmeldegeheimnisses (§ 206 StGB) strafbar machen können, wenn dieser bspw. aus betrieblichen Gründen auf den privat und dienstlich genutzten Mailaccount zugreift, etwa weil der Arbeitnehmer längerfristig krank ist, vom Tisch. (Mal etwas süffisant gefragt: Kennen Sie einen Geschäftsführer oder einen Vorstand, der seinen Mitarbeitern die private Internetnutzung erlaubte und wegen § 206 StGB verurteilt wurde?)

Den Kritikern, die nun den Ausverkauf der Rechte der Arbeitnehmer befürchten, sei an dieser Stelle noch einmal eindringlich gesagt: Der Arbeitnehmer bleibt eben gerade nicht rechtsschutzlos, das Persönlichkeitsrecht steht nach wie vor mit breiter Brust vor dem Arbeitnehmer (vgl. zu diesem Satz die oben zitierte Rechtssprechung sowie die nachfolgenden Erläuterungen zu u.a. § 32 BDSG).

Lange Rede, kurzer Sinn: Die Arbeitgeber werden nicht zu TK-Anbietern, nur weil sie eine private Internetnutzung gestatten oder dulden. Und: Die Datenschutzbehörden, auf die gerne noch zur Untermauerung der These gegriffen wurde, schließen sich zaghaft dieser wohl herrschenden Meinung an.

Damit würden zwar noch nicht die sich aus einer privaten Internetnutzung ergebenden Probleme verschwinden (z.B. Überwachung oder Zugriff auf dienstlichen Messengeraccount, wenn dieser auch privat genutzt wird). Diese können aber auf Grundlage des BDSG in Verbindung mit entsprechenden Richtlinien und Betriebsvereinbarungen gelöst werden. Schließlich enthält das BDSG mit der Regelung des § 32 auch explizit eine Norm zum Umgang mit personenbezogenen Daten in Beschäftigungsverhältnissen. Danach dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Das heißt, hier werden die Interessen des Arbeitgebers mit den Interessen des Arbeitnehmers (insb. dem Persönlichkeitsrecht) über die Verhältnismäßigkeitsprüfung in Einklang gebracht. Wann eine Erforderlichkeit besteht, hängt vom Einzelfall ab. Und eben aufgrund dessen sollte eine klare und ausdrückliche ausdrückliche Vereinbarungen zwischen Arbeitgebern und Arbeitnehmern hinsichtlich der privaten IT-, Internet oder Social-Media-Nutzung getroffen werden. Dies auch und gerade vor dem Hintergrund der bestehenden Aufbewahrungs- und Dokumentationspflichten nach der AO und dem HGB, welche im Zweifel – ohne Regelungen – mit den Persönlichkeitsrechten der Mitarbeiter kollidieren. Anders ausgedrückt: Aus Compliance-Gründen sind derartige Regelungen zwingend erforderlich.

Fazit

Die Datenschutzbehörden räumen indirekt ein, dass ein privates Internetnutzungsverbot weder aus Unternehmens- noch aus Arbeitnehmersicht sinnvoll ist. Das ist erfreulich. Weniger erfreulich ist, dass sie trotz und unter Hinweis auf gegenteilige(r) Rechtsprechung der vergangenen Jahre immer noch der Meinung sind, jeder Arbeitgeber, der die private Internetnutzung am Arbeitsplatz erlaubt oder duldet, sei ein Telekommunikationsanbieter. Nachvollziehbar ist diese Haltung aus dem einfachen Grund deshalb nicht, weil sie nirgendwo hinreichend begründet wird. Im Übrigen sprechen durchaus gewichtige Gründe gegen die Qualifizierung der Arbeitgeber als Diensteanbieter – allen voran die Rechtsprechung.

Festzuhalten bleibt daneben, dass auch ein generelles Verbot der privaten Nutzung rechtliche Unsicherheiten mit sich bringt und damit keine Lösung darstell. Dies hat auch der EGMR in einem jüngst erschienenen Urteil aufgezeigt (dazu hier im Blog).

So oder so ist also aus den vorstehenden Gründen eine – wie von den Datenschutzbehörden dem Grunde nach angedachte – Regelung der Befugnisse hinsichtlich des Umgangs mit Betriebsmitteln am Arbeitsplatz in jedem Fall dringend zu anzuraten.

Die Orientierungshilfe muss aber im Ergebnis mit einem lachenden und einem weinenden Auge betrachtet werden, weil sie  – wie aufgezeigt – unnötigerweise (weitere) Verwirrung stiftet.

In diesem Sinne,

auf moderne Richtlinien im Unternehmen!

Das könnte Sie in diesem Zusammenhang auch noch interessieren:

Einsatz von „Keyloggern“ zur Mitarbeiterüberwachung grundsätzlich unzulässig (BAG, Az. 2 AZR 681/16)

Active Sourcing und Talent Relationship Management (TRM) unter der Datenschutzgrundverordnung

Einsatz von Skype und zeitversetzten Video-Interviews in Personalauswahlverfahren unzulässig?

Kündigung wegen Beleidigung von Vorgesetzten mittels Emoticons (LAG BaWü, Az. 4 Sa 5/16)

Was tun bei geschäftsschädigenden Äußerungen von Mitarbeitern in Social Media?

Kündigung wegen Äußerungen in Social Media – Teil 2 (ArbG Herne, Az. 5 Ca 2806/15)

Kündigung wegen Äußerungen in Social Media – Teil 1 (ArbG Mannheim, Az. 6 Ca 190/15)

Fristlose Kündigung und Schadensersatz wegen privater Internetnutzung am Arbeitsplatz (LAG Rheinland-Pfalz, Az. 5 Sa 10/15)

Erlaubt der EGMR das Lesen privater Nachrichten von Arbeitnehmern durch Arbeitgeber?