Arbeitgeber zwischen Knowhow-Schutz und Datenschutz: Die Grenzen der Über­wa­chung

Unternehmen müssen ihre Geschäftsgeheimnisse schützen, denn sie sind meist wichtige Unternehmenswerte. Dazu können die Firmen Schutzmaßnahmen im Bereich der technischen und fachlichen Organisation ergreifen, zudem sollten sie eine gute arbeitsrechtliche Aufstellung zur Kontrolle des Geheimnisschutzes implementieren. Allerdings müssen sie dabei die Grenzen beachten, die der zwingende gesetzliche Arbeitnehmerdatenschutz zur Überwachung im Arbeitsverhältnis setzt.

In jedem Unternehmen sollte es laufende bzw. regelmäßige Stichprobenkontrollen sowie anlassbezogene Kontrollen und die jeweiligen Ressourcen dazu geben. Es versteht sich heute weitgehend von selbst, dass die IT-Architektur und die digitalen Daten starken Schutz gegen Cyberangriffe oder auch nur Systemausfälle benötigen. Teil dieser IT-technischen Vorsorge sollten auch IT-gestützte Kontrollen sein, die z.B. Verstöße gegen IT-Sicherheitsvorgaben automatisiert erfassen und melden, soweit die Software unzulässiges Verhalten nicht bereits technisch unmöglich machen kann. 

Keylogger-Überwachung nicht ohne Anlass 

Zu den fortlaufenden IT-technischen Kontrolle von Arbeitnehmerverhalten ist datenschutzrechtlich die Rechtsprechung zu beachten, nach der sogenannte Keylogger-Software nicht fortlaufend und ohne Anlass zur Überwachung von Arbeitnehmern eingesetzt werden darf (BAG, Urt. v. 27.07.2017, Az.: 2 AZR 681/16 und EGMR, Urt. v. 05.09.2017, Az. 61496/08). 

Dabei ist aber eine Überwachung, ob etwa Zugriffsschranken verletzt, Datenvolumen transferiert, unzulässige Speichermedien eingesetzt oder Daten unzulässig  beispielsweise an private E-Mail-Adressen weitergeleitet wurden, richtigerweise nicht von derselben Intensität und Qualität wie eine Keylogger-Überwachung, die alle Tastatureingaben des Arbeitnehmers, somit auch die vollständigen Textinhalte, aufzeichnet. Eine technisch orientierte und allenfalls auf Verbindungsdaten bezogene Überwachung ist damit auch fortlaufend zulässig - anders als die durchgehende inhaltliche Kontrolle der Arbeit bzw. Arbeitsleistung selbst. 

Dazu ist nach Ziffer 6.5 Abs. (5) der Arbeitsstättenverordnung zu beachten, dass eine Kontrolle der Arbeit hinsichtlich der qualitativen oder quantitativen Ergebnisse ohne Wissen der Arbeitnehmer nicht durchgeführt werden darf. In der Praxis sollten die laufenden Kontrollmaßnahmen daher transparent gemacht werden, sofern diese nicht nur dazu dienen, externe Angriffe auf das IT-System abzuwehren.

"Bauchgefühl" reicht nicht

Stichprobenhalber oder anlassbezogen sind weitergehende Maßnahmen zulässig, etwa wenn Arbeitgeber das Privatnutzungsverbot bei E-Mails oder anderen IT-Systemen überwachen wollen, sofern entsprechende Grundlagen arbeitsrechtlich gelegt sind. Am weitesten reichen die Befugnisse eines Arbeitgebers, wenn anlassbezogen ein Verdacht auf konkrete (strafbare) Geheimnisverletzungen und Vertraulichkeitsbrüche besteht. Nach § 26 Abs. 1 Satz 2 BDSG muss dieser Verdacht allerdings auf objektiven Tatsachen beruhen, die auch zu dokumentieren sind, somit über ein bloßes "Bauchgefühl" hinausgehen. Aber die Anforderungen sind insoweit nicht allzu hoch zu setzen. 

Wichtig ist, dass im Rahmen der Ermittlung zu dem Verdacht verhältnismäßig und am Zweck der Untersuchung orientiert vorgegangen wird. So dürfen E-Mail-Accounts ggf. nur anhand bestimmter Suchstichworte inhaltlich kontrolliert werden, und evident irrelevante private E-Mails sind nicht näher zu prüfen. Geht es aber gerade um die Kontrolle eines umfassenden Privatnutzungsverbots, dürfen gezielt auch diese privaten E-Mails erfasst werden. 

Sind die Voraussetzungen für eine solche verdachtsbezogene Kontrolle gegeben, ist auch der Einsatz von (heimlicher) Videoüberwachung, von Keyloggern oder Browseraufzeichnung unter bestimmten Voraussetzungen zulässig (BAG, Urt. v. 27.07.2017, Az.: 2 AZR 681/16, BAG, Urt. v. 23.08.2018, Az.: 2 AZR 133/18 und Urt. v. 22.09.2016, Az.: 2 AZR 848/15, LAG Berlin-Brandenburg, Urt. v. 14.01.2016, Az.: 5 Sa 657/15). Im Ergebnis und im Sinne der Einheit der Rechtsordnung darf der Schutz wertvoller Geschäftsgeheimnisse durch den Datenschutz auch nicht unmöglich werden, jedenfalls bei sorgfältiger organisatorisch-rechtlicher Aufstellung des Unternehmens.

Whistleblower darf auch Geschäftsgeheimnisse offenlegen

Für die Kontrolle und etwaige Reaktion auf Geheimnisverrat durch Arbeitnehmer ist nach § 5 GeschGehG nun eine neue ausdrückliche Ausnahmeregelung zu beachten. Danach darf ein Arbeitnehmer, der als Whistleblower vertrauliche Informationen an externe Dritte weitergibt, um Verstöße gegen zwingende (Compliance-)Gesetze durch das Unternehmen bzw. seine Vertreter zu melden und abzustellen, in diesem Zusammenhang auch Geschäftsgeheimisse offenlegen. 

Wörtlich heißt es im Gesetz:

"Die Erlangung, die Nutzung oder die Offenlegung eines Geschäftsgeheimnisses fällt nicht unter die Verbote des § 4, wenn dies zum Schutz eines berechtigten Interesses erfolgt, insbesondere 1. zur Ausübung des Rechts der freien Meinungsäußerung und der Informationsfreiheit, einschließlich der Achtung der Freiheit und der Pluralität der Medien; 2. zur Aufdeckung einer rechtswidrigen Handlung oder eines beruflichen oder sonstigen Fehlverhaltens, wenn die Erlangung, Nutzung oder Offenlegung geeignet ist, das allgemeine öffentliche Interesse zu schützen; 3. im Rahmen der Offenlegung durch Arbeitnehmer gegenüber der Arbeitnehmervertretung, wenn dies erforderlich ist, damit die Arbeitnehmervertretung ihre Aufgaben erfüllen kann."

Das zweite und dritte Regelbeispiel sollte in der Praxis keine besonderen neuen Probleme schaffen. Denn die Offenlegung von Compliance-Verstößen gegenüber externen Dritten steht nach zutreffender Ansicht auch nach § 5 GeschGehG unverändert unter dem Vorbehalt, dass der Arbeitnehmer grundsätzlich, vorbehaltlich von Gefahr im Verzug, zunächst eine interne Meldung und Abhilfe versuchen muss, ggf. auch unter Eskalation auf übergeordnete Führungsebenen oder bis hin zum Aufsichtsrat. 

Dazu stehen auch in vielen Unternehmen heutzutage entsprechende Meldesysteme zur Verfügung. Die Arbeitnehmervertreter sind ihrerseits wiederum an Vertraulichkeitspflichten gebunden und nicht ohne Weiteres zur externen Weitergabe von Geheimnissen berechtigt. 

Problematische Regelung zum "investigativen Journalismus"

Problematisch erscheint aber die weite Formulierung zur Offenlegung von Geheimnissen zum Schutz der Meinungsfreiheit, die bereits oft als Regelung zum "investigativen Journalismus" verstanden wird. Dieses Beispiel ist zutreffend so auszulegen, dass nicht jedes Geschäftsgeheimnis ohne Weiteres an Journalisten weitergegeben werden und der Knowhow-Schutz so ad absurdum geführt werden darf. 

Vielmehr kann es in dieser Fallgruppe nur darum gehen, die Offenlegung gravierender Rechtsverstöße oder Missstände im Unternehmen nicht unter der Etikettierung als "Unternehmensgeheimnis" zu verhindern. Auch diese Ausnahme muss daher unter dem Vorbehalt stehen, dass Arbeitnehmer zunächst versuchen müssen, die berechtigen Interessen durch eine interne Meldung und Abhilfe zu erreichen und sich nicht ohne Weiteres an externe Dritte und Medien wenden dürfen.

Daher können schließlich die Rechtfertigungen nach § 5 GeschGehG wohl nie greifen für die wertbildenden "echten" und existenziellen Geschäftsgeheimnisse im Sinne des sprichwörtlichen Coca-Cola-Rezeptes oder des Algorithmus zum Google-Page-Ranking. Denn insoweit ist eine praxisrelevante (dringliche) Whistleblower-Situation nicht vorstellbar. § 5 GeschGehG ist daher eher als eine Vorschrift zur staatlichen "Compliance-Ordnung" denn als Kernmaterie des Geschäftsgeheimnisrechts einzustufen.

Bei Pflichtverletzungen: schnell reagieren

Hat ein Unternehmen ein adäquates Schutzkonzept für Knowhow und Geschäftsgeheimnisse sowie ein angemessenes datenschutzrechtliches Kontrollsystem in Betrieb, sollte es nur selten und aufgrund der kriminellen Energie Einzelner zu Geheimnisverletzungen kommen. Wird aber eine Pflichtverletzung aufgedeckt, ist arbeitsrechtlich auf ein idealerweise bereits abstrakt vorbereitetes Reaktionsmanagement zu achten. Insoweit sind in der Praxis typischerweise knappe Fristen zu einer außerordentlichen fristlosen Kündigung zu beachten und auch wegen Verdunkelungsgefahr schnell zu reagieren. 

Zu allen Phasen ist arbeitsrechtlich stets auch eine gesetzlich erforderliche Mitbestimmung von Betriebsräten und anderen Arbeitnehmervertretern zu prüfen und vorzunehmen, insbesondere zur Implementierung und Überwachung durch Software nach § 87 Abs. (1) Nr. 6 BetrVG sowie zu Überwachungsmaßnahmen gemäß § 87 Abs. (1) Nr. 1 BetrVG.

Das GeschGehG fordert Unternehmen stärker als bisher auf, das bereits zuvor Sinnvolle zu tun und zum Schutz wertvollen Knowhows alle zuständigen Kompetenzen intern im Rahmen eines einheitlichen Konzeptes zur Prävention und Reaktion zusammenzuführen, gerade auch die operativen Einheiten im Business mit den Organisationseinheiten für IT- Infrastruktur und Personal/Human Resources. 

Die Autorin Prof. Dr. Anja Mengel ist Partnerin bei der auf Arbeitsrecht spezialisierten Kanzlei Schweibert Leßmann & Partner.