EGMR: Der Arbeitgeber darf die privaten E-Mails seiner Angestellten überwachen und lesen

Ausgangslage: Fall „Barbulescu gegen Rumänien“

Zwischen 2004 und 2007 arbeitete Herr M. Barbulescu als „engineer in charge of sales“ in einem privaten Unternehmen in Bukarest, der Hauptstadt Rumäniens. 2007 erteilte ihm sein damaliger Arbeitgeber die Aufgabe, einen Yahoo Messenger-Account einzurichten. Dabei wurde er ausdrücklich darauf hingewiesen, diesen ausschliesslich zur Pflege des Kundenkontakts zu tun. Ausserdem war die private Internetnutzung im Unternehmensreglement ausdrücklich – und schriftlich – verboten, was den Angestellten bekannt gemacht wurde. Das Verbot umfasste jede Form privater Nutzung von Unternehmensgeräten (Computer, Telefonen, Kopierer usw.).

Herr Barbulescus Arbeitgeber überwachte die Nutzung des Yahoo-Messengers während 8 Tagen und liess die dadurch gewonnenen Daten anschliessend analysieren. Der 45-seitige Bericht enthielt neben den beruflichen Chats auch sehr private Nachrichten (mit Angaben über Gesundheit und Sexleben des Beschwerdeführers), welche Herr Barbulescu mit seiner Verlobten sowie mit seinem Bruder ausgetauscht hatte.

Der Arbeitgeber kündigte das Arbeitsverhältnis mit der Begründung, dass Herr Barbulescu mit der privaten Nutzung des Yahoo-Accounts gegen die internen Regeln des Unternehmens verstossen habe.

Klage wegen Privatsphäreneingriff

Herr Barbulescu machte vor dem EGMR geltend, die Kündigung beruhe auf einem Eingriff in seine Privatsphäre. Folglich verstosse die Überwachung und anschliessende Analyse seiner Korrespondenz durch den Arbeitgeber gegen das Menschenrecht auf Achtung des Privat- und Familienlebens (Artikel 8 Absatz 1 der Europäischen Menschenrechtskonvention EMRK).

Mit dem Zugriff des Arbeitgebers auf den privaten Account seines Mitarbeiters liegt gemäss den EGMR-Richtern tatsächlich ein Eingriff in den Schutzbereich des Art. 8 Abs. 1 EMRK vor. Zusammenfassend haben die Richter allerdings entschieden, dass der Arbeitgeber im guten Glauben zugegriffen hatte, da der Account eigentlich nur kundenbezogene Kommunikation enthalten sollte. Darüber hinaus sei es nicht unangemessen, dass ein Arbeitgeber sich über das Wie und Wann der Erledigung beruflicher Aufgaben durch seine Angestellten informieren will.

Zentral war hier auch, dass der Arbeitgeber ein Verbot der privaten Nutzung von Firmencomputern, Telefonen, Kopierern und anderen Geräten in den internen Regeln des Unternehmens verankert hatte. Somit urteilte der EGMR, dass der Beschwerdeführer mit seinen privaten Chats im Yahoo-Account seine Arbeitspflicht verletzt hatte.

Verstoss gegen die Arbeitspflicht – Wie ist die Situation in der Schweiz?

In der Schweiz dürfen Überwachungssysteme, die lediglich der Überwachung des Verhaltens am Arbeitsplatz dienen, grundsätzlich nicht eingesetzt werden (siehe Art. 26 der Verordnung 3 zum Arbeitsgesetz). Hintergrund der Bestimmung ist der Schutz der Gesundheit der Arbeitnehmer. Das Verbot ist jedoch – zu Recht – nicht absolut. Generell verboten ist lediglich die permanente, personenbezogene Verhaltensüberwachung von Mitarbeitern. Andere Überwachungsmassnahmen sind dagegen zulässig, wenn sie verhältnismässig sind und die Arbeitnehmer im Voraus über die Überwachung informiert werden. Grundsätzlich erlaubt sind z.B. Überwachungsmassnahmen, bei denen die Auswertung der Ergebnisse auf anonymer oder pseudonymer Basis erfolgt. Solche Auswertungen werden von praktisch allen Unternehmen z.B. zu Zwecken der IT-Sicherheit durchgeführt. Individuelle personenbezogene nicht-anonymisierte oder pseudonymisierte Überwachungsmassnahmen sind dann erlaubt, wenn ein Missbrauchsverdacht besteht und der Verdacht durch die Überwachung bestätigt oder beseitigt werden soll. Es hat sich dabei um einen konkreten Verdacht zu handeln. Missbräuche liegen vor, wenn ein Arbeitnehmer gegen gesetzliche Bestimmungen oder interne Reglemente und Richtlinien verstösst.

Da die personenbezogene, individuelle Überwachung bei Missbrauchsverdacht zulässig ist und ein Missbrauch u.a. bei Verstoss gegen interne Reglemente vorliegt, sollten Unternehmen die erlaubte (private) Nutzung der geschäftlichen IT (Internet, E-Mail und Mobile Devices) in einem Reglement festhalten. In einem solchen Reglement ist festzulegen, in welchem Umfang die Mitarbeiter die geschäftliche IT-Infrastruktur für private Zwecke nutzen dürfen. Es ist den Unternehmen nach schweizerischem Recht hierbei erlaubt, eine private Nutzung der geschäftlichen Infrastruktur vollständig zu verbieten. Das Reglement ist rechtlich bindend und die Mitarbeiter müssen es beachten – die gesetzliche Grundlage hierfür bildet das Weisungsrecht nach Art. 321d OR. Der Verstoss gegen ein klares Privatnutzungsverbot (Total- oder Teilverbot) von Internet oder E-Mail würde dementsprechend auch in der Schweiz einer Arbeitspflichtverletzung gleichkommen.

Im Nutzungsreglement oder in einem separaten Überwachungsreglement müssen die Unternehmen zudem aus datenschutzrechtlichen Gründen – die Bearbeitung von Personendaten muss erkennbar sein – die Mitarbeiter über die im Unternehmen durchgeführten Überwachungsmassnahmen informieren. Die Informationen zu den Überwachungsmassnahmen müssen nicht detailliert dargestellt werden. Wichtig ist jedoch, dass die Mitarbeiter über die Zulässigkeit von personenbezogenen Überwachungen bei Missbrauchsverdacht informiert werden.

Klarheit über die komplexe Frage des Gebrauchs von Internet und E-Mail am Arbeitsplatz für private Zwecke sollen bspw. die vom EDÖB erlassenen Leitfäden schaffen. Darin sind die erlaubten Formen der Überwachung von E-Mail- und Internetnutzung beschrieben und unter welche Voraussetzungen sie datenschutzrechtlich zulässig sind. Zudem enthält der Leitfaden ein Musterreglement für die Nutzung von Internet und E-Mail sowie deren Überwachung. Dieses Musterreglement kann Unternehmen bei der Ausarbeitung von eigenen Reglement als Hilfe dienen. Letztlich müssen jedoch ein Reglement die konkreten Verhältnisse im Unternehmen abbilden.

Konsequenzen des EGMR-Urteils für die Schweiz

Hierzulande existiert bislang noch keine höchstgerichtliche Rechtsprechung zum Thema Privatnutzung von Internet und E-Mail. Das Bundesgericht hatte jedoch im Entscheid BGE 130 II 425 zu prüfen, ob eine Verhaltensüberwachung mittels GPS-System bei Firmenfahrzeugen zulässig ist. Das Bundesgericht hat in jenem Entscheid die im vorangehenden Abschnitt skizzierten datenschutz- und arbeitsrechtlichen Anforderungen an die Überwachung von Mitarbeitern bestätigt.

Es gilt zudem zu beachten, dass Urteile des EGMR für alle Länder bindend sind, welche die EMRK unterschrieben haben – wozu auch die Schweiz zählt.

Schweizerische Gerichte werden daher wohl gleich entscheiden wie der EGMR.

Urteil des Landesarbeitsgerichts Berlin-Brandenburg vom 14. Januar 2016

Am 14. Januar hatte das Landesarbeitsgericht Berlin-Brandenburg über einen ähnlichen Fall wie der EGMR zu entscheiden (5 Sa 657/15).

In besagtem Fall war dem Arbeitnehmer eine private Nutzung des Dienstrechners nur in Ausnahmefällen gestattet. Nachdem Hinweise auf eine erhebliche private Nutzung vorlagen, wertete der Arbeitgeber ohne Zustimmung des Arbeitnehmers den Browserverlauf des Dienstrechners aus. Die festgestellte private Nutzung belief sich auf ca. 5 Tage in einem Zeitraum von 30 Tagen. Der Arbeitgeber kündigte darauf das Arbeitsverhältnis fristlos aus wichtigem Grund.

Das Landesarbeitsgericht hielt die ausserordentliche Kündigung für rechtswirksam. Nach Abwägung der beiderseitigen Interessen würde die erhebliche private Nutzung des Dienstrechners die sofortige Auflösung des Arbeitsverhältnisses rechtfertigen.

Das Landesarbeitsgericht kam zudem zum Schluss, dass betreffend die Auswertung des Browserverlaufs kein Beweisverwertungsverbot bestehen würde. Es würde sich zwar beim Browserverlauf um personenbezogene Daten handeln. Zudem habe der Arbeitnehmer in deren Bearbeitung nicht eingewilligt. Vorliegend sei jedoch die Bearbeitung bzw. Auswertung zulässig, weil das Bundesdatenschutzgesetz eine Missbrauchskontrolle auch ohne Einwilligung des Arbeitnehmers zulasse. Die Massnahme sei zudem vorliegend auch insofern verhältnismässig gewesen, als der Arbeitgeber keine Möglichkeit gehabt habe, die unerlaubte Internetnutzung auf eine andere Art nachzuweisen.

Die Argumente des Landesarbeitsgerichts decken sich mit dem Leitfaden des EDÖB sowie auch den vom Bundesgericht im Zusammenhang mit der Überwachung mit GPS-Systemen aufgestellten Anforderungen an die Überwachung von Mitarbeitern. Schweizerische Gerichte dürften damit zum selben Ergebnis gelangen wie das Landesarbeitsgericht.

Matchentscheidend war auch im vorliegenden Fall die unternehmensinterne Regelung der Internetnutzung. Die Auswertung des Browserverlaufs war nur deshalb als Missbrauchskontrolle zu qualifizieren, weil damit die Einhaltung der Nutzungsregelung bzw. eben deren Nichteinhaltung geprüft wurde.

Weitere Informationen:

• Case of BARBULESCU v. ROMANIA (Application no. 61496/08) (nur auf Engl.)
• Konvention zum Schutz der Menschenrechte und Grundfreiheiten
• Leitfaden über die Bearbeitung von Personendaten im Arbeitsbereich
• Leitfaden Internet- und E-Mailüberwachung am Arbeitsplatz (Privatwirtschaft)
• Leitfaden zu den technischen und organisatorischen Massnahmen des Datenschutzes
• Bundesgesetz betreffend die Ergänzung des Schweizerischen Zivilgesetzbuches (Fünfter Teil: Obligationenrecht)
• Verordnung 3 zum Arbeitsgesetz (ArGV 3) (Gesundheitsschutz)
• LAG Berlin-Brandenburg vom 14.01.2016

Ansprechpartner: Lukas Bühlmann