Auswertung betrieblicher EDV-Systeme bei Missbrauchsverdacht

Geschäftsprozesse, die gänzlich ohne EDV-System funktionieren, sind in Zeiten der Digitalisierung kaum noch denkbar. Damit verbunden sind die Zusammenführung einer Vielzahl von Unternehmensdaten an zentralen Stellen und die Möglichkeit des komfortablen Fernzugriffs hierauf. Die Kehrseite der Medaille ist die damit einhergehende explosionsartige Zunahme an Verlust- und Missbrauchsmöglichkeiten, u.a. auch durch böswillig agierende Mitarbeiter.

Sich im Vorfeld Gedanken zu machen, wie der Zugriff auf EDV-Anlagen, aber auch E-Mail- und Internetnutzung für Mitarbeiter ermöglicht, ggf. protokolliert und ein betrieblicher Zugriff hierauf erfolgen kann, lohnt sich für jeden Arbeitgeber und erlaubt in Notfällen ein zügiges, planvolles Handeln.

Grundsätze

Egal, ob und wie die EDV-Nutzung im Unternehmen für Mitarbeiter geregelt ist, bei Zugriffen des Arbeitgebers auf Daten der Mitarbeiter ist immer auch eine Interessenabwägung erforderlich. Zugriffsrechte bestehen dann, wenn die Interessen des Arbeitgebers im Einzelfall höher zu gewichten sind als das Persönlichkeitsrecht des jeweiligen Mitarbeiters.

Muss der Arbeitgeber z.B. befürchten, dass Mitarbeiter Betriebs- und Geschäftsgeheimnisse an Dritte weitergeben, können weitreichende Zugriffsrechte auf E-Mail-Postfächer, die Protokolle interner Dateizugriffe oder der Internet-Nutzung von essentieller Bedeutung sein, um erheblichen Schaden vom Unternehmen abwenden und die Täter zur Rechenschaft ziehen zu können. Eine Interessenabwägung fällt in einem solchen Fall oft zugunsten des Arbeitgebers aus, wenn konkrete Verdachtsmomente bestehen. Bei schwierig einzustufenden Interessenlagen hilft die Einholung von Rechtsrat.

Haftungsrisiken

Werden dagegen Kontrollen durchgeführt, obwohl sie rechtlich unzulässig sind, bestehen Haftungsrisiken für das Unternehmen:

Behördliche Bußgelder,
Schadensersatz- und Schmerzensgeldansprüche von Mitarbeitern,
Beweisverwertungsverbote in Kündigungsschutzprozessen und
Unterlassungsansprüche bei Verletzung der Mitbestimmungsrechte des Betriebsrats.

Handlungsmöglichkeiten

Eine Einwilligung der Mitarbeiter zur Kontrolle allein reicht hierfür nicht aus. Die dafür erforderliche Freiwilligkeit wird im Rahmen eines Arbeitsverhältnisses z.T. schon grundsätzlich bezweifelt. Zudem kann eine Einwilligung jederzeit widerrufen werden und ist damit bei Untersuchungen gegen den jeweiligen Mitarbeiter insgesamt ungeeignet.

Das Unternehmen sollte daher frühzeitig eindeutige und einheitliche Regeln zur EDV-Nutzung aufstellen, die möglichst Teil der Arbeitsverhältnisse werden. Dies kann z.B. in Form von Betriebsvereinbarungen oder verbindlichen Richtlinien erfolgen.

Unabhängig von einer Einwilligung hat der Arbeitgeber etwa zu dem Thema Internet- und E-Mail-Nutzung 3 Möglichkeiten des Umgangs: Er kann sie ausdrücklich erlauben, ausdrücklich verbieten oder stillschweigend dulden. Zu empfehlen ist in jedem Fall eine ausdrückliche Regelung, da die Kontrollrechte des Arbeitgebers stark variieren, und eine stillschweigende Duldung wie eine Erlaubnis behandelt wird.

Erlaubte Privatnutzung von E-Mail und Internet

Insbesondere von Datenschutzbehörden wird die Auffassung vertreten, dass Arbeitgeber bei erlaubter E-Mail-Privatnutzung zu Anbietern von Telekommunikationsdienstleistungen werden und den strengen Anforderungen des Fernmeldegeheimnisses und des Telekommunikationsgesetzes (TKG) unterliegen. Grundsätzlich darf der Arbeitgeber sich dann keine Kenntnis vom Inhalt der (gesamten) Kommunikation seiner Mitarbeiter verschaffen.

Kontrollmöglichkeiten bei verbotener Privatnutzung von Internet und E-Mail

Die private E-Mail- und Internetnutzung nicht zu gestatten bietet für den Arbeitgeber daher die beste Ausgangslage. In Zeiten privater Smartphones mit E-Mail- und Internet-Anbindung ist darin selbst für „always on(line)”-Mitarbeiter auch keine Beschränkung mehr erkennbar.

Im Fall des Verbots bestehen weitreichende Kontroll- und Überwachungsrechte, eine Interessenabwägung fällt in der Regel zugunsten des Arbeitgebers aus. Das Persönlichkeitsrecht des Mitarbeiters dürfte kaum betroffen sein, wenn die ohnehin ausschließlich betriebliche E-Mail- und Internetnutzung kontrolliert werden. Einer umfassenden (Dauer-)Überwachung würde allerdings das Persönlichkeitsrecht der Mitarbeiter entgegenstehen.

Fazit

Die Trennung zwischen Geschäfts- und Privatbereich erleichtert die Kontrollbefugnis des Arbeitgebers im geschäftlichen Bereich. Das Mitarbeiter-Bedürfnis, die Unternehmens-EDV zu privaten Zwecken zu nutzen, ist eher überholt. Dem Unternehmen ist daher anzuraten, die Privatnutzung der betrieblichen IT zu untersagen.

zuletzt aktualisiert am 02.12.2015