Interne Untersuchungen – Aufklärung und Beweissicherung: Teil 3: Rechtliche Rahmenbedingungen in Sonderfällen
Anknüpfend an den letzten Beitrag der Reihe zu internen Untersuchungen, befasst sich der dritte Teil mit den rechtlichen Besonderheiten einiger praxisrelevanter Sonderkonstellationen bei internen Untersuchungen: Home-Office, Umgang mit BYOD-Geräten, Personalakten, Auslandssachverhalten und freien Mitarbeiter.
I. Home Office
Vor-Ort-Besichtigungen betreffen normalerweise nur die Mitarbeiterbüros in den Gebäuden des Arbeitgebers, denn nur hier steht ihm das Hausrecht zu (siehe Teil 2 der Beitragsreihe). Seit der Corona-Pandemie ist die Arbeit aus dem Home Office allerdings fester Bestandteil der Arbeitswelt. Es stellt sich daher die Frage, ob auch im Home Office eine Vor-Ort-Besichtigung durch interne Ermittler zulässig ist. Das kann zum Beispiel erforderlich sein, wenn der Mitarbeiter zuhause Geschäftsunterlagen aufbewahrt oder sich die Ermittler einen Eindruck vom Umfeld verschaffen möchten (z.B. exklusiver Wohnstil, Gegenstände aus Firmenbeständen in der Privatwohnung). Denkbar ist insoweit zunächst eine Inaugenscheinnahme unter falscher oder verborgener Identität und mit Einverständnis des betroffenen Mitarbeiters. In diesem Fall scheidet zwar eine Strafbarkeit wegen Hausfriedensbruchs (§ 123 StGB) aus. Spiegeln die internen Ermittler dagegen vor, in amtlicher Eigenschaft (bspw. als Polizist, Staatsanwalt) die Wohnung des betroffenen Mitarbeiters zu betreten, kommt zum einen eine Strafbarkeit nach § 132a StGB in Betracht und zum anderen dürften die so gewonnenen Beweise vor Gericht nicht verwertbar sein. Eine Vor-Ort-Besichtigung im Home Office dürfte deshalb geringere praktische Relevanz haben (dies gilt freilich nicht für staatliche Ermittlungen mit den Möglichkeiten der Durchsuchung und Sicherstellung).
II. Bring-your-own-device (BYOD) und privat genutzte Dienstgeräte (COPE)
- Was sind BYOD-Geräte?
Immer mehr Arbeitnehmer nutzen für private und dienstliche Kommunikation nicht mehr zwei getrennte Geräte, sondern erledigen alles mittels eines einzigen Smartphones, Tablets oder Laptops (Überbegriff: „bring your own device“ oder kurz: BYOD). In der Praxis finden sich vor allem zwei Ausgestaltungen:
- „Personally-Owned-Company-Enabled”-Modell (POCE-Modell), d.h. der Arbeitnehmer ist Eigentümer des Geräts und der Arbeitgeber erhält hierauf Zugriff
- “Corporate-Owned-Personally-Enabled”-Modell (COPE-Modell), d.h. der Arbeitgeber ist Eigentümer des Geräts und dem Arbeitnehmer wird für die Dauer des Arbeitsvertrags die private Nutzung gestattet
Die Entscheidung über die Einführung dieser beiden Modelle von BYOD hängt von einer Vielzahl von Faktoren ab. Einsparpotenzial, Benutzerfreundlichkeit, Mitarbeiterzufriedenheit aber auch Aspekte der Datensicherheit und der Integrität in die Unternehmens-IT sowie Nachhaltigkeitserwägungen spielen eine Rolle. Die Nutzung von BYOD-Geräten muss vertraglich vereinbart werden, da die Nutzung privater Geräte nicht Gegenstand des Weisungsrechts des Arbeitgebers ist.
- Kann der Arbeitgeber die Herausgabe eines BYOD-Geräts verlangen?
Besondere Probleme wirft BYOD bei einer internen Untersuchung auf, wenn geklärt werden muss, ob und in welchem Umfang der Arbeitgeber auf das Gerät selbst und die darin gespeicherten Informationen zugreifen darf (sofern ein Zugriff auf die Daten nicht über den Unternehmensserver oder per Fernzugriff möglich ist). Herausgabeansprüche aufgrund der Eigentümerstellung stehen beim POCE-Modell nicht zur Verfügung. Herausgabeansprüche beim COPE- und beim POCE-Modell lassen sich aber auf eine ausdrückliche Vereinbarung im Arbeitsvertrag, auf gesetzliche Ansprüche aus einem Geschäftsbesorgungs- oder Mietvertrag (§ 535 Abs. 1, § 675 Abs. 1, § 667 BGB) und in sehr engen Ausnahmefällen auch auf die Erfüllung arbeitsvertraglicher Nebenpflichten gem. § 241 Abs. 2 BGB stützen. Wird eine arbeitsvertragliche Regelung vereinbart, müssen die Anforderungen an AGB nach §§ 305 ff. BGB gewahrt werden.
- Auf welcher rechtlichen Grundlage kann eine interne Untersuchung bei BYOD-Geräten durchgeführt werden?
Datenschutzrechtliche Grundlage für den Zugriff und die Auswertung der Daten auf BYOD-Geräten kann eine freiwillige (!) Einwilligung des Arbeitnehmers oder § 26 Abs. 1 S. 2 und Abs. 2 BDSG sowie Art. 6 Abs. 1 S. 1 lit. c) und f) DSGVO unter den dort genannten Voraussetzungen sein. Zwingend zu beachten ist, dass die Auswertung erforderlich und verhältnismäßig sein muss. Da bei BYOD-Geräten der Natur der Sache nach sowohl private als auch dienstliche Dateien und Kommunikation gespeichert sind, ist die Eingriffsintensität einer Aufklärungsmaßnahme hoch und es ist besondere Sorgfalt geboten. Unverhältnismäßig sind regelmäßig pauschale Sichtungen aller Bilddateien oder Chatverläufe (mit Bezug zur Privat- und Intimsphäre des Betroffenen). Der Arbeitgeber muss das allgemeine Persönlichkeitsrecht des Arbeitnehmers beachten. Vorteile bieten hier deshalb technische Lösungen, die eine strikte Trennung von privater und geschäftlicher Sphäre auf dem BYOD-Gerät ermöglichen. Verstöße gegen datenschutzrechtliche Vorgaben können zu zivilrechtlicher Schadensersatzpflicht, Bußgeldern nach der DSGVO oder zur Strafbarkeit nach §§ 202a, 202c StGB (bei heimlichem Auslesen) oder § 206 StGB führen. Letzteres erfordert, dass der Arbeitgeber dem Fernmeldegeheimnis unterliegt. Ob das TKG und die weitergehenden Schutzvorschriften des TTDSG und der StPO eingreifen, hängt von der konkreten Ausgestaltung der BYOD-Vereinbarung ab. Selbstverständlich kommen auch hier bei Verstößen Verwertungsverbote in Betracht.
III. Personalakte
Grundsätzlich darf der Arbeitgeber eigene Geschäftsunterlagen einsehen und auswerten. Die Personalakte stellt dabei jedoch einen Sonderfall dar, da sie viele hoch sensible Daten über den Mitarbeiter enthält. In einer Personalakte sind z.B. das Stammdatenblatt, Führungszeugnisse, Beurteilungen, ggf. Abmahnungen, vertraulicher Schriftverkehr zwischen Arbeitgeber und Arbeitnehmer, der Lebenslauf oder die Krankengeschichte des Mitarbeiters vermerkt. Die Sensibilität dieser Informationen führt zu verschärften datenschutzrechtlichen und arbeitsrechtlichen Vorgaben. Aus dem Bereich des Datenschutzrechts stellen Art. 9 DSGVO und § 26 Abs. 3 BDSG strenge Anforderungen an die Verarbeitung von Daten aus Personalakten. Da die meisten Informationen aus der Personalakte für die interne Untersuchung ohnehin nicht relevant sind, empfiehlt es sich, die irrelevanten sensiblen Daten vor der Einsicht durch die internen Ermittler durch einen Mitarbeiter aus der Personalabteilung aussortieren oder unkenntlich machen zu lassen.
In arbeitsrechtlicher Hinsicht ist das Allgemeine Persönlichkeitsrecht des Arbeitnehmers zu beachten. Liegen überwiegende Prüfinteressen vor, d.h. kommt es für die berechtigten Zwecke der Untersuchung auf die Informationen aus der Personalakte an, kann die Einsichtnahme durch interne Ermittler gerechtfertigt sein. Weniger problematisch ist dabei insbesondere die Einsicht durch interne Ermittler, die als Rechtsanwälte oder Wirtschaftsprüfer o.ä. schweigepflichtige Berufsträger sind.
IV. Auslandssachverhalte
Speziell in internationalen Unternehmen kann es vorkommen, dass interne Untersuchungen auch über Ländergrenzen hinweg erfolgen. Ein klassisches Beispiel ist, wenn Compliance-Prozesse am Hauptstandort zentralisiert werden. Besonderheiten ergeben sich hier vor allem im Datenschutzrecht. Werden die gesicherten Daten in gemeinsamer Verantwortung verarbeitet, müssen besondere datenschutzrechtliche Regelungen getroffen werden. Auch die grenzüberschreitende Übermittlung besonders sensibler Daten gestaltet sich schwieriger, lässt sich im Einzelfall aber mit § 26 Abs. 3 BDSG bzw. Art. 9 Abs. 2 lit. f) DSGVO in Verbindung mit gesetzlichen Rechten und Pflichten des Arbeitgebers rechtfertigen. Zu beachten sind aber höhere Anforderungen an die Prüfung der Zulässigkeit der Datenverarbeitung, der Begründung für die Datenverarbeitung und an die Dokumentation. Werden Daten in „unsichere“ Drittstaaten übermittelt, sind nach der DSGVO entsprechende Garantien vertraglich zu vereinbaren, um Datenschutzverstöße im Drittstaat zu vermeiden.
V. Freie Mitarbeiter
Zusätzliche Besonderheiten ergeben sich bei freien Mitarbeitern daraus, dass bei diesen keine direkte arbeitsvertragliche Beziehung zum Arbeitgeber und damit dem Verantwortlichen für die interne Untersuchung besteht. Ergeben sich zulässige Aufklärungsmaßnahmen, Herausgabepflichten oder Mitwirkungshandlungen unmittelbar aus dem Arbeitsvertrag oder werden aus diesem abgeleitet, können diese nicht direkt auf freie Mitarbeiter übertragen werden. Auswirkungen hat dies vor allem bei Mitarbeiterinterviews. Insoweit hat der BGH in einer älteren Entscheidung eine Mitteilungspflicht eines freien Mitarbeiters über das Fehlverhalten Dritter abgelehnt (BGH Urt. v. 23.02.1989 – IX ZR 236/86, NJW-RR 1989, 614, 614 ff.). Aber auch Betriebsvereinbarungen gelten für freie Mitarbeiter nicht, sodass Maßnahmen nicht unmittelbar auf die dort einschlägigen Regelungen gestützt werden können. Es ist deshalb empfehlenswert, die Einwilligung des freien Mitarbeiters zu internen Richtlinien und Vorgaben einzuholen und so eine vergleichbare Rechtsgrundlage für interne Untersuchungen zu schaffen.