Aktuelles Urteil des Bundesarbeitsgerichts hat erhebliche Folgen für Compliance-Kontrollen und interne Ermittlungen

Der vorliegende Überblick beschreibt eine wichtige aktuelle Entscheidung des Bundesarbeitsgerichts (BAG). Das Grundsatzurteil hat für Maßnahmen zur Aufklärung möglicher Pflichtverletzungen von Beschäftigten erhebliche Auswirkungen. Das BAG schafft zudem Klarheit zur Datenverarbeitung bei Compliance-Verstößen und zur Auslegung von § 32 BDSG. Unser Blog-Beitrag zeigt zudem, mit welchen konkreten Maßnahmen Sie die neuen Vorgaben des BAG in die Praxis umsetzen können.

Bisherige Rechtsprechung erschwert Compliance-Kontrollen und interne Ermittlungen durch Unternehmen

§ 32 BDSG regelt den Datenschutz am Arbeitsplatz. Diese Vorschrift wurde wegen ihres unklaren Wortlauts bereits oft kritisiert. Eine Ansicht in der Fachliteratur vertritt zu § 32 BDSG die Auffassung, sie erlaube keine Maßnahmen zur Aufklärung konkreter Verdachtsmomente in Bezug auf schwerwiegende Pflichtverletzungen, sofern diese nicht auch Straftaten darstellen. § 32 Abs.1 Satz 2 BDSG, der die Aufklärung von Straftaten im Arbeitsverhältnis regelt, entfalte hier eine Sperrwirkung in Bezug auf Verstöße unterhalb der Schwelle von Strafaten. Diese Ansicht hatte auch LAG Baden-Württemberg in einer umstrittenen Entscheidung vertreten (Az. 4 Sa 61/15). Eine umfassende Bewertung dieser Entscheidung des LAG Baden-Württemberg finden Sie hier.

Nach dieser Auffassung wären Compliance-Kontrollen und interne Ermittlungen deutlich erschwert. Unternehmen dürften nach dieser Auffassung nicht einmal konkrete Verdachtsmomente für Kartellverstöße aufklären oder anderen schweren Pflichtverletzungen unterhalb der Schwelle von Strafaten nachgehen. Mit anderen Worten: Konkreten Verdachtsmomenten, die zwar auf schwere, aber nicht strafbare Pflichtverletzungen hindeuten, sollten Arbeitgeber nicht nachgehen können. Diese fragwürdige Entscheidung der Stuttgarter Richter hat Compliance-Abteilungen oder Innenrevisionen bis heute vor erhebliche Hürden gestellt, da sie eine erhebliche Rechtsunsicherheit zur Folge hatte. Das in unserem Beitrag geschilderte Grundsatzurteil des BAG schafft Klarheit und zeigt Unternehmen, welche Vorgaben sie bei Aufklärungsmaßnahmen beachten müssen.

Die Entscheidung des BAG

Das BAG hat die genannte Entscheidung des LAG Baden-Württemberg nun aufgehoben. Sogar eine verdeckte Überwachungsmaßnahme kann nach Ansicht des obersten deutschen Arbeitsgerichts zur Aufklärung eines auf Tatsachen gegründeten konkreten Verdachts einer schwerwiegenden Pflichtverletzung des Arbeitnehmers zulässig sein. Das Bundesarbeitsgericht (BAG) beendet mit seiner Entscheidung eine jahrlange Diskussion und sorgt für Rechtssicherheit. Einen Überblick aus der aktuellen F.A.Z. PLUS zu dem BAG-Urteil finden Sie hier.

Das BAG stellt klar, dass auch Nachforschungen zur Aufdeckung schwerwiegender Pflichtverletzungen zulässig sein können. Der Arbeitgeber hatte einen Privatdetektiv beauftragt, einen erkrankten Arbeitnehmer zu observieren. Die Arbeitgeberin vermutete, dass der betreffende Arbeitnehmer seine Erkrankung nur vortäuschte und tatsächlich einer wettbewerbswidrigen Konkurrenztätigkeit nachging. Die Vorinstanz hatte die Observation als datenschutzwidrig bewertet und deren Ergebnisse nicht im Verfahren verwertet. Ein Arbeitgeber könne dem Verdacht einer schwerwiegenden Pflichtverletzung nur dann nachgehen, wenn es sich hierbei zugleich um eine Straftat handele. Das BAG erteilt dieser Ansicht aber nunmehr eine klare Absage.

§ 32 Abs. 1 S. 2 Bundesdatenschutzgesetz (BDSG) entfaltet demnach keine Sperrwirkung dahingehend, dass heimliche Überwachungen nur zur Aufklärung von Straftaten zulässig seien. Die Annahme einer umfassenden Sperrwirkung von § 32 Abs. 1 S. 2 BDSG sei weder mit der Gesetzessystematik noch mit dem Unionsrecht vereinbar. Pauschale Verarbeitungsverbote verstießen zudem gegen zwingende Vorgaben der Datenschutz-Richtlinie (RL 95/46/EG). Die Rechtsprechung des Bundesarbeitsgerichts hat damit auch Folgen für sonstige pauschale Verarbeitungsverbote wie beispielsweise nach § 88 Telekommunikationsgesetz (TKG). Nach Auffassung einiger Datenschutzbehörden soll diese Vorschrift im Arbeitsverhältnis gelten, wenn der Arbeitgeber die private Nutzung geschäftlicher Email-Zugänge erlaube oder dulde. Dadurch werde er zum Anbieter von Telekommunikationsdiensten und dürfe auf die betriebliche Email-Kommunikation nicht mehr zugreifen. Nach dieser Ansicht solle nach § 88 TKG ein pauschales Verarbeitungsverbot gelten. Diese Auffassung lässt sich gerade nach der Klarstellung durch das BAG richtigerweise nicht mehr halten. Vielmehr sind Zugriffe auf die innerbetriebliche Email-Kommunikation an dem vom BAG als maßgeblich beurteilten Verhältnismäßigkeitsgrundsatz zu messen.

Das Bundesarbeitsgericht stellt dabei aber auch klar, dass an Nachforschungen zur Aufklärung von schwerwiegenden Pflichtverletzungen ähnlich strenge Voraussetzungen zu stellen sind wie beim Verdacht einer Straftat. Das BAG macht damit deutlich, dass an Überwachungsmaßnahmen zur Aufdeckung schwerwiegender Pflichtverletzungen ebenfalls hohe Anforderungen zu stellen sind. Eine zulässige Aufklärungsmaßnahme setzt konkrete Tatsachen voraus, die den Schluss auf eine schwerwiegende Pflichtverletzung zulassen. Ermittlungen “ins Blaue hinein” wären mit dieser Vorgabe nicht vereinbar. Es dürfen auch keine milderen, gleich effektiven Maßnahmen in Betracht kommen, um den Verdacht aufzuklären. Zudem muss der Arbeitgeber auch die Interessen des betroffenen Arbeitnehmers hinreichend berücksichtigen. Dies erfordert eine umfassende Interessenabwägung im Einzelfall.

Folgen für Unternehmen

Unternehmen sollten ihre internen Compliance-Systeme zeitnah an die Vorgaben des BAG anpassen. Um Beweisverwertungsverbote, Bußgelder oder Schadensersatzansprüche zu vermeiden, müssen sie sicherstellen, dass sie den von den Richtern als maßgeblich bewerteten Verhältnismäßigkeitsgrundsatz einhalten. Danach müssen Maßnahmen zur Aufklärung von Verdachtsmoment geeignet sein, das mildeste aller gleich effektiven Mittel darstellen und die Persönlichkeitsrechte der von der Ermittlung betroffenen Personen angemessen berücksichtigen.

Was können Unternehmen konkret tun, um die Anforderungen des BAG zu erfüllen?

Vor allem müssen Arbeitgeber die Maßstäbe gut kennen, die Arbeitsgerichte in Bezug auf Kontrollmaßnahmen anlegen. Hierfür kann es hilfreich sein, frühzeitig den betrieblichen Datenschutzbeauftragten und gegebenenfalls auch die Rechtsabteilung bezeihungsweise den Bereich Personal mit einzubinden. Daneben sollten die Unternehmen interne Trainingskonzepte etablieren, um die an Ermittlungen beteiligten Mitarbeiter umfassend über die neuen Vorgaben zu schulen. Hier helfen auch konkrete Ablaufpläne und Checklisten. Ein gutes Beispiel hierfür sind etwa Auswertungen von geschäftlichen Emails. Hier kann es sehr hilfreich sein, eine Liste von relevanten Fragen vorzuhalten, die vor einem Zugriff auf unternehmensinterne Kommunikation zu beantworten sind. Für die eigentliche Durchführung solcher Email-Auswertungen sind Checklisten mit konkret zu erfüllenden datenschutz- und arbeitsrechtlichen Vorgaben zweckmäßig. Zudem müssen Unternehmen ihr Vorgehen umfassend dokumentieren, um später im Einzelfall die Einhaltung der neuen Vorgaben nachweisen zu können.

Rechtsprechung des BAG lässt sich auch auf die neue Rechtslage nach der EU-Datenschutz-Grundverordnung übertragen

Die vom BAG aufgestellten Grundsätze bleiben auch über den 25. Mai 2018 hinaus anwendbar. Dann gelten die EU-Datenschutz-Grundverordnung (DSGVO) und das kürzlich verarbschiedete neue Bundesdatenschutzgesetz. Der Beschäftigtendatenschutz ist dort in Art. 88 DSGVO und § 26 BDSG geregelt. Die für die vorliegende Entscheidung maßgeblichen Regelungen sind auch in dem neuen § 26 BDSG enthalten. Und die Entscheidung des BAG steht auch mit den sonstigen Vorgaben der DSGVO durchaus in Einklang. Einen Überblick zu den Anforderungen des neuen § 26 BDSG finden Sie hier.

Fazit

Unternehmen sind gut beraten, die vorstehend beschriebenen Maßnahmen zeitnah umzusetzen und gegebenenfalls in ihre Projektplanung zur Umsetzung der DSGVO aufzunehmen.