Das BAG hat mit einer Entscheidung vom 29. Juni 2017 (2 AZR 597/16) nochmals zur Bedeutung des § 32 BDSG bei Compliance-Maßnahmen im Arbeitsverhältnis Stellung genommen. Vordergründig korrigiert es lediglich eine fragwürdige Entscheidung des LAG Baden-Württemberg aus dem Jahr 2016. Tatsächlich hat das BAG jedoch die Eckpfeiler im Verhältnis von Datenschutz und Compliance-Maßnahmen weitgehend festgezurrt. Demnach steht nunmehr fest, dass bei einem konkreten Tatverdacht ein verdeckter Detektiveinsatz grundsätzlich möglich ist – auch wenn der Verdacht sich nicht auf eine Straftat bezieht.
Detektiveinsatz ausschließlich bei Verdacht einer Straftat?
Der maßgebliche Sachverhalt war simpel: Ein Arbeitnehmer war bereits seit längerer Zeit arbeitsunfähig krankgeschrieben; der Zeitraum der Entgeltfortzahlung war längst vorüber. Nach einiger Zeit ergaben sich für den Arbeitgeber jedoch Anhaltspunkte für eine Wettbewerbstätigkeit des Arbeitnehmers. Daher beauftragte er einen Detektiv mit einer verdeckten Überwachung. Der Detektiv stellte durch seine Ermittlungen fest, dass der Arbeitnehmer – trotz vermeintlicher Arbeitsunfähigkeit – tatsächlich für ein Konkurrenzunternehmen tätig war. Vor diesem Hintergrund sprach der Arbeitgeber sodann eine Kündigung aus.
Das LAG Baden-Württemberg vertrat die Auffassung, die Datenerhebung durch den Detektiv sei datenschutzrechtlich unzulässig; die hierdurch gewonnenen Informationen seien daher nicht verwertbar (wir berichteten: vgl. den Blog-Beitrag von Theres Kirschner vom 1. November 2016). Die datenschutzrechtliche Erlaubnisnorm des § 32 Abs. 1 Satz 1 BDSG gestatte nur allgemeine Datenerhebungen, die sich nicht gegen konkret verdächtige Arbeitnehmer richte. Bei einem solchen konkreten Verdacht sei vielmehr die Regelung des § 32 Abs. 1 Satz 2 BDSG die maßgebliche Erlaubnisnorm, welche die Anwendung der allgemeinen Erlaubnisnorm sperre. Dies bedeute: Es müsse der Verdacht einer im Beschäftigungsverhältnis begangenen Straftat bestehen. Dies war beim Verdacht einer Wettbewerbstätigkeit jedoch nicht der Fall. Der Verdacht eines strafbaren Entgeltbetruges kam mangels Entgeltzahlungen nicht in Betracht. Das LAG Baden-Württemberg gab der Kündigungsschutzklage daher überraschend statt.
So nicht! BAG korrigiert LAG Baden-Württemberg
Dieser Auslegung hat das BAG nunmehr eine klare Absage erteilt: Bei einem konkreten Verdacht einer schwerwiegenden Pflichtverletzung (auch ohne den Charakter einer Straftat) kann eine vom Arbeitgeber veranlasste verdeckte Überwachungsmaßnahme nach § 32 Abs. 1 Satz 1 BDSG zulässigerweise durchgeführt werden. Denn eine solche Maßnahme kann im Sinne dieser Norm zur Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich sein. Voraussetzung sei ein berechtigtes Interesse des Arbeitgebers an der Datenverarbeitung, das im Zusammenhang mit der Erfüllung von Pflichten des Arbeitnehmers oder des Arbeitgebers steht. Ein solcher Zusammenhang besteht nach Auffassung des BAG auch dann, wenn der Arbeitgeber dem konkreten Verdacht einer schwerwiegenden Pflichtverletzung eines Arbeitnehmers nachgeht.
Im Hinblick auf die Entscheidung des LAG Baden-Württemberg findet das BAG deutliche Worte: Die vom LAG angenommene „Sperrwirkung“ des § 32 Abs. 1 Satz 2 BDSG lasse sich mit keiner herkömmlichen Auslegungsmethode herleiten. Diese Auslegung verstoße zudem gegen die europäische Datenschutz-Richtlinie (RL 95/46/EG). Die in der Richtlinie vorgesehenen Grundsätze der Datenverarbeitung seien für die Mitgliedstaaten unveränderlich. Die Annahme des LAG, dass eine anlassbezogene Datenverarbeitung zur Aufdeckung einer schwerwiegenden Pflichtverletzung unterhalb der Schwelle der Straftat generell unzulässig sei, widerspreche den in der Richtlinie niedergelegten Grundsätzen. Dieser Hinweis ist auch mit Blick auf die künftig maßgebliche Datenschutzgrundverordnung (DS-GVO) von Bedeutung. Der Grundsatz der Harmonierung der datenschutzrechtlichen Vorgaben wird unter Geltung der DS-GVO verstärkt Bedeutung gewinnen.
Datenschutzrechtliche Erlaubnisnormen im Arbeitsverhältnis
Das BAG hat mit seiner Entscheidung die Eckpfeiler des Datenschutzrechts im Arbeitsverhältnis nochmals bekräftigt: Die Regelung des § 32 Abs. 1 Satz 1 BDSG ist die zentrale Grundnorm, nach der sich im Wesentlichen alle Datenverarbeitungsvorgänge im Zusammenhang mit der Begründung, Durchführung und Beendigung des Arbeitsverhältnisses richten. Die Regelung des § 32 Abs. 1 Satz 2 BDSG bildet demgegenüber nur eine Sonderkonstellation ab, wenn die Datenerhebung zu Zwecken der Aufdeckung von Straftaten durchgeführt wird. Soweit eine Datenverarbeitung weder für Zwecke des Arbeitsverhältnisses noch zur Aufklärung einer Straftat erfolgt, kann sie im Übrigen ausnahmsweise nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG erlaubt sein. Auch diese datenschutzrechtliche Erlaubnisnorm ist im Arbeitsverhältnis nicht gänzlich gesperrt.
Verdeckte Überwachung als letztes Mittel bei konkretem Verdacht
Trotzdem ist bei der verdeckten Überwachung von Arbeitnehmern Vorsicht geboten: Der mit der Datenerhebung verbundene Eingriff in das Persönlichkeitsrecht des Arbeitnehmers führt dazu, dass der Arbeitgeber den Grundsatz der Verhältnismäßigkeit zu beachten hat, der auch in § 32 Abs. 1 Satz 2 BDSG seine Ausprägung gefunden hat. Der Eingriff muss geeignet, erforderlich und angemessen sein, um den angestrebten Zweck zu erreichen. Daraus folgt zugleich, dass die Datenverarbeitung unzulässig ist, sofern gleich wirksame und weniger intensive Maßnahmen bestehen, um das Ziel zu erreichen. Dies ist – nicht nur beim Einsatz einer Privatdetektives – stets zu beachten.
Anlass für die verdeckte Überwachung muss der Verdacht einer schwerwiegenden Pflichtverletzung sein. Dieser Verdacht muss sich aus konkreten Tatsachen ergeben. Weitere Anforderungen an den Verdacht bestehen hingegen nicht. Insbesondere muss der Verdacht nicht besonders dringend sein. Ein „einfacher Verdacht“ ist bereits ausreichend. Nur eine verdeckte Ermittlung „ins Blaue“ hinein, ob sich ein Arbeitnehmer möglicherweise pflichtwidrig verhält, ist auch nach § 32 Abs. 1 Satz 1 BDSG unzulässig. Dies schießt jedoch allgemeine Compliance-Ermittlungen ohne direkten Personenbezug nicht aus.