Das Thema
Einerseits setzen gerade jüngere Arbeitnehmer die private Nutzungsmöglichkeit der betrieblichen IT fast schon voraus und reagieren auf entsprechende Verbote mit Unverständnis. Andererseits drohen dem Arbeitgeber bei einer solchen Erlaubnis gewisse rechtliche Risiken im belasteten Arbeitsverhältnis/bei einem Trennungsszenario – die Aufklärung von Pflichtverstößen kann aufgrund der datenschutzrechtlichen Vorgaben erheblich erschwert sein.
Es ist eine Frage des Arbeitsklimas: Wer die private Nutzung der betrieblichen IT-Infrastruktur erlaubt, gilt als moderner und technologieaffiner Arbeitgeber. Dabei ist dieses Incentive aus Arbeitgebersicht grundsätzlich mit keinen zusätzlichen Kosten verbunden: Dafür sorgen die heute üblichen Flatrate-Tarife und hohen Übertragungsgeschwindigkeiten. Auch scheint sich die Befürchtung nicht bewahrheitet zu haben, dass eine solche Erlaubnis zum massenhaften Prokrastinieren und zur Verschwendung von Arbeitszeit für private Dinge führt: Im Gegenteil hat die Erlaubnis laut Studien einen positiven Einfluss auf die Arbeitsproduktivität und trägt dazu bei, Privat- und Berufsleben besser in Einklang zu bringen.
Die Erlaubnis kann der Arbeitgeber ausdrücklich erteilen oder durch sein Verhalten zu verstehen geben, dass er die Privatnutzung duldet. Was gilt, wenn eine klare Regelung fehlt, ist umstritten. Entgegen einer jüngst in der Rechtsprechung geäußerten Ansicht (LAG Baden-Württemberg, Urt: v: 27.01:2023 – 12 Sa 56/21) ist dann richtigerweise von einem Verbot auszugehen: Die Privatnutzung der IT hat der Arbeitgeber ebenso wie diejenige eines Dienstwagens als “Sonderleistung” ausdrücklich zu gestatten; darauf, dass sie heutzutage häufig gestattet wird, kommt es nicht an.
Egal, ob die Privatnutzung der IT erlaubt ist oder nicht: Der Arbeitgeber muss sich bei der Verarbeitung von Arbeitnehmerdaten stets an die Bestimmungen des Datenschutzrechts halten. Auch wenn nach der aktuellen Rechtsprechung des BAG nicht jeder Datenschutzverstoß zu einem Sachvortrags- und Beweisverwertungsverbot in einem späteren Gerichtsverfahren führt (Urt. v. 29.06.2023 – 2 AZR 296/22), sollten Arbeitgeber wegen der möglichen Sanktionen im Rahmen der DSGVO (Beschwerde, Bußgeld, Schadensersatz) tunlichst sicherstellen, dass die Datenverarbeitung rechtmäßig erfolgt. Maßgebliche Rechtsgrundlage für die Datenverarbeitung im Arbeitsverhältnis ist jenseits einer Einwilligung (dazu sogleich) nach der Entscheidung des EuGH vom März 2023 (Urt. v. 30.03.2023 – C-34/21) nicht mehr § 26 Abs. 1 BDSG, sondern Art. 6 Abs. 1 DSGVO, insbesondere Buchst. b) (Vertragserfüllung), c) (rechtliche Verpflichtung des Arbeitgebers) und f) (Wahrung berechtigter Interessen). Bei der Verhältnismäßigkeitsprüfung, die im Rahmen dieser Rechtsgrundlagen erforderlich ist, kommt es entscheidend darauf an, ob die Privatnutzung erlaubt ist oder nicht.
Folgen der Erlaubnis
Bei erlaubter Privatnutzung findet eine verschärfte Verhältnismäßigkeitsprüfung statt: Der Arbeitgeber ist regelmäßig gehalten, sich dienstliche Mails durch den Arbeitnehmer weiterleiten zu lassen, anstatt selbst Zugriff auf den dienstlichen Mailaccount zu nehmen. Eine verdachtsunabhängige Überprüfung darf im Regelfall nicht verdeckt erfolgen. Wenn angemessene Maßnahmen zur Trennung von privaten und dienstlichen Daten getroffen werden (z.B. eigener Ordner “privat” im Mailfach o.Ä.), ist gleichwohl auch ein heimlicher Direktzugriff möglich, etwa zur Aufklärung von Straftaten oder schwerer Pflichtverletzungen. Dann muss ein entsprechender Verdacht aber aufgrund konkreter Anhaltspunkte vorliegen (vgl. § 26 Abs. 1 S. 2 BDSG, der auch nach der eingangs erwähnten EuGH-Entscheidung als spezifischere Vorschrift weiter anwendbar sein dürfte).
Nach wie vor eine der meistdiskutierten Fragen der erlaubten Privatnutzung von IT-Betriebsmitteln ist, ob in diesem Fall die Bestimmungen des TKG, des TMG und des TTDSG neben dem Datenschutzrecht anwendbar sind. Dann fände auch das Fernmeldegeheimnis (§ 3 TTDSG) Anwendung, dessen Verletzung strafbewehrt ist (§ 206 StGB). Eine Auswertung von Verbindungsdaten oder gar des Inhalts der Telekommunikation wäre danach bei Erlaubnis der Privatnutzung grundsätzlich unzulässig und nur auf Grundlage einer Einwilligung des Arbeitnehmers möglich (Art. 6 Abs. 1 Buchst. a), Art. 7 DSGVO); dies gälte auch für dienstliche Kommunikation, wenn diese nicht klar unterschieden werden kann. Die überwiegende Rechtsprechung (vgl. zuletzt LG Erfurt, Urt. v. 28.04.2021 – 1 HK O 43/20) ordnet Arbeitgeber aber nicht als “Anbieter von Telekommunikationsdiensten” i.S.d. § 3 Nr. 1 TKG, § 2 Nr. 1 TMG, § 2 Abs. 2 Nr. 1 TTDSG ein. Das überzeugt, auch wenn die Datenschutzaufsichtsbehörden sowie zahlreiche Stimmen in der Literatur dies anders sehen: Die Definition des Telekommunikationsdienstes nach § 2 Abs. 1 TTDSG, § 3 Nr. 61 TKG stellt auf “in der Regel gegen Entgelt über Telekommunikationsnetze erbrachte Dienste” ab. Die Entgeltlichkeit ist bei der Bereitstellung durch den Arbeitgeber richtigerweise zu verneinen (vgl. Rossow, Arbeitgeber und das Fernmeldegeheimnis nach dem TTDSG, Datenschutz und Datensicherheit (DuD) 2/2022, 93, 95). Prüfungsmaßstab ist aus Sicht der Praxis also bisher (nur) das Datenschutzrecht; möglicherweise sorgt hier die nach wie vor im Trilog-Verfahren “feststeckende” ePrivacy-Verordnung der EU künftig für noch mehr Rechtsklarheit.
Eine Haftungsprivilegierung des Arbeitnehmers bei Schäden im Zusammenhang mit der Privatnutzung der betrieblichen IT scheidet nach zutreffender Auffassung aus: Dem Arbeitnehmer bleibt es unbenommen, von der gestatteten Privatnutzung keinen Gebrauch zu machen und für private Zwecke seine eigene Hardware zu nutzen sowie Privates allgemein über den eigenen Internetanschluss und den eigenen E–Mail-Account abzuwickeln (Günther/Böglmüller, in: Arnold/Günther, Arbeitsrecht 4.0, 2. Aufl. 2022, § 4: Arbeits- und Gesundheitsschutz/Haftung im Arbeitsverhältnis Rn. 159).
Die Privatnutzung sollte schließlich durch klare Nutzungsvereinbarungen flankiert werden: Neben dem zeitlichen und inhaltlichen Umfang sollte auch festgelegt werden, dass private Daten entsprechend markiert oder gesondert gespeichert werden. Schließlich ist die Einwilligung des Arbeitnehmers zur Verarbeitung der bei der Privatnutzung anfallenden Daten einzuholen – für diese besteht anderenfalls keine Rechtsgrundlage. Nach dem Grundsatz der informierten Einwilligung sind die Zwecke, Art und Umfang der Kontrollmaßnahmen dabei konkret anzugeben. Die Einwilligung kann zur Bedingung der Erlaubnis der Privatnutzung erhoben werden. Eine solche Verknüpfung unterstreicht auch den freiwilligen Charakter der Einwilligungserteilung durch den Arbeitnehmer – denn schließlich erhält er für seine Einwilligung eine Gegenleistung (gestattete Privatnutzung der betrieblichen IT). Die weiteren formalen Anforderungen nach Art. 7 Abs. 2 u. 3 DSGVO, § 26 Abs. 2 BDSG sind bei der Einholung der Einwilligung ebenfalls zu beachten.
Folgen des Verbots
Bei einem Verbot der Privatnutzung gehen die Kontroll- und Einsichtsmöglichkeiten des Arbeitgebers erheblich weiter: Unstreitig gelten die Sonderregelungen des TKG, TMG und TTDSG hier nicht, auch ist die im Rahmen des Art. 6 Abs. 1 DSGVO vorzunehmende Verhältnismäßigkeitsprüfung erheblich zurückgenommen. Denn der Arbeitgeber muss im Ausgangspunkt nicht vom Vorhandensein privater Daten ausgehen, der Arbeitnehmer hat keine berechtigte Privatheitserwartung und muss seinerseits mit Kontrollen der – rein dienstlichen – Nutzung rechnen. Wenn die Nutzung zu dienstlichen Zwecken nicht angeordnet oder erlaubt ist, dürfen Arbeitnehmer auch nicht Anwendungen wie ChatGPT am Arbeitsplatz nutzen, um sich die Arbeit zu erleichtern.
Verstöße gegen das Verbot der Privatnutzung kann der Arbeitgeber ohne Weiteres nach den allgemeinen Grundsätzen sanktionieren: Jedenfalls bei erheblicher Privatnutzung kann dann im Einzelfall auch eine außerordentliche Kündigung ohne vorherige Abmahnung zulässig sein.
Fazit
Wenn Arbeitgeber die Privatnutzung der Betriebs-IT gestatten, muss diese klar geregelt werden: Im Rahmen einer Betriebsvereinbarung oder einer IT-Richtlinie sollte Transparenz über die Zwecke, Art und Umfang der Einsichtnahme in die – auch privat – genutzte IT hergestellt werden. Ebenso ist durch technisch-organisatorische Maßnahmen die strikte Trennung von dienstlichen und privaten Daten sicherzustellen; mindestens sollten die Arbeitnehmer angewiesen werden, private Inhalte in einem gesonderten Ordner “privat” abzuspeichern, der vom Arbeitgeberzugriff dann ausgenommen ist. Bei einem Zugriff ist dann auf ein verhältnismäßiges Vorgehen zu achten: Häufig genügt schon die Prüfung von Verkehrsdaten oder der Betreffzeilen von E-Mails, um eine versehentliche Kenntnisnahme privater Inhalte zu vermeiden. Ebenso kann durch eine Stichwortsuche der Kreis der zu verarbeitenden Daten schon im Voraus erheblich reduziert werden, was gleichfalls auf die Verhältnismäßigkeit der Maßnahme einzahlt.
Trotz der vorgeschilderten Möglichkeiten, die Risiken einer erlaubten Privatnutzung der betrieblichen IT zu reduzieren, gilt aus Arbeitgebersicht nach wie vor: Völlige Klarheit über den einzuhaltenden Rechtsrahmen (Stichwort: Arbeitgeber als Anbieter von Telekommunikationsdiensten?) bringt nur ein vollständiges Privatnutzungsverbot.