Datenschutz: Wie viel Überwachung ist erlaubt?

Der Bundesgerichtshof hat kürzlich neu über die Strafbarkeit bei schweren Übertretungen des Bundesdatenschutzgesetzes entschieden. Was bedeutet das für Arbeitgeber? Wie viel Überwachung ist erlaubt? Diese Fragen beantwortet Arbeitsrechtexperte Tim Wybitul.

Die Vorinstanz, das Landgericht (LG) Mannheim (Urteil v. 18.10.2012, Az. 4 KLs 408 Js 27973/08), hatte den Betreiber einer Detektei und einen seiner Mitarbeiter wegen Datenschutzverstößen zu Freiheitsstrafen verurteilt. Die Beiden hatten verdeckt Überwachungsaufträge ausgeführt. Sie brachten Global Positioning Systeme (GPS) an den Autos der Betroffenen an und erstellten damit Bewegungsprofile.

Der Bundesgerichtshof (BGH) bestätigte die Verurteilungen weitgehend und stellte fest, dass unrechtmäßige Kontrollmaßnahmen wie die heimliche Überwachung mittels GPS-Empfängern grundsätzlich strafbar sind. § 44 des Bundesdatenschutzgesetzes (BDSG) (i.V. m. § 43 Abs. 2 Nr. 1 BDSG) stellt schwere Datenschutzverstöße unter Strafe. Doch auch leichte oder mittlere Übertretungen der Vorschriften des BDSG können empfindliche Bußgelder nach sich ziehen. Dies gilt gegebenenfalls auch für Unternehmen, die solche Systeme zur Überwachung ihrer Mitarbeiter einsetzen. Für Unternehmen ist das Bekanntwerden von Datenschutzverstößen zudem oft mit erheblichen Rufschäden verbunden.

Strafbarkeit und Ordnungswidrigkeit von Datenschutzverstößen

Nach § 43 Abs. 2 Nr. 1 BDSG handelt ordnungswidrig, wer vorsätzlich oder fahrlässig unbefugt nicht allgemein zugängliche personenbezogene Daten erhebt oder verarbeitet. Solche Verstöße werden mit Geldbußen bis zu 300.000 Euro pro Fall geahndet. Gerade bei Fällen wie dem vorliegenden kommen in der Praxis noch höhere Geldbußen in Betracht. Reicht der Bußgeldrahmen bis zu  300.000 Euro zur Abschöpfung von durch Verstöße erzielten Gewinnen nicht aus, können die Aufsichtsbehörden für den Datenschutz noch höhere Geldbußen verhängen.

Kommen noch weitere Tatbestandsmerkmale zu einem ordnungswidrigen Verhalten, kann dieses nach § 44 BDSG sogar strafbar sein. Entscheidend  ist vor allem, ob Daten „unbefugt” erhoben oder verarbeitet werden. Da § 4 Abs. 1 BDSG den Umgang mit personenbezogenen Daten grundsätzlich verbietet, ist dieser „unbefugt”, falls nicht ein datenschutzrechtlicher Erlaubnistatbestand vorliegt.

Unbefugte Datenerhebung

Für die Beurteilung möglicher Strafbarkeitsrisiken ist damit die Frage nach einer anwendbaren datenschutzrechtlichen Erlaubnisnorm entscheidend. Für die Zulässigkeit solcher Maßnahmen ist in der Regel maßgeblich, ob ein gesetzlicher Erlaubnistatbestand vorliegt. Bei Compliance-Kontrollen kommen vor allem § 32 Abs. 1 BDSG und § 28 Abs. 1 S. 1 Nr. 2 BDSG in Betracht.

Liegen die Voraussetzungen eines gesetzlichen Erlaubnistatbestands nicht vor, ist die Überwachung eine unbefugte Datenerhebung im Sinne von § 43 Abs. 2 Nr. 1 BDSG. Auf die Frage, ob die an der Kontrollmaßnahme Beteiligten wussten, dass ihr Verhalten verboten war, kommt es dabei in der Regel nicht an. Handelt der Täter einer Ordnungswidrigkeit nach § 43 Abs. 2 BDSG vorsätzlich und gegen Entgelt oder in Schädigungs- oder Bereicherungsabsicht, drohen sogar Freiheitsstrafen bis zu zwei Jahren oder Geldstrafe. Der BGH prüfte zwar, ob im vorliegenden Fall gesetzliche Erlaubnisnormen abwendbar waren. Im Ergebnis lehnte das Gericht dies jedoch ab, weil die in solchen Fällen stets erforderliche Interessenabwägung gegen eine solche Datenerhebung sprach. Eine solche sei bei GPS-Überwachungen nur in extremen Ausnahmesituationen denkbar.

Folgen für Unternehmen 

Der BGH hat unmissverständlich klargestellt, dass unzulässige Überwachungsmaßnahmen strafbar sein können. Die Entscheidung betrifft jede Form unbefugter Kontrollmaßnahmen. Etwa bei internen Ermittlungen oder Compliance-Kontrollen sollte man künftig noch genauer auf den Datenschutz achten.

Unternehmen sollten künftig noch genauer prüfen, ob der Umgang mit personenbezogenen Daten durch einen datenschutzrechtlichen Erlaubnistatbestand gedeckt ist. Gerade wenn es um die Überwachung von Beschäftigten geht, stellt § 32 Abs. 1 BDSG hohe Anforderungen.

Ahndung unzulässiger Kontrollmaßnahmen

Datenschutzbehörden, Staatsanwaltschaften und Strafgerichte dürften sich an den Vorgaben des BGH orientieren und nach dem Urteil des BGH unzulässige Kontrollmaßnahmen strenger als bisher ahnden. Aber auch Arbeitsrichter werden bei verhaltensbedingten Kündigungen künftig wohl etwas genauer hinsehen und möglicherweise hinterfragen, aus welchen Quellen im Kündigungsschutzprozess vorgelegte Beweise stammen. Erst kürzlich hat das BAG eine Kündigung wegen einer unzulässigen Datenerhebung durch den Arbeitgeber nach § 138 BGB als unwirksam beurteilt.

Hinzu kommt, dass auch viele Betriebsräte mehr auf Fragen des Datenschutzes achten. Betriebsräte sind nach § 75 Abs. 2 BetrVG verpflichtet, die Persönlichkeitsrechte der Arbeitnehmer zu schützen. Zudem haben sie bei vielen Kontrollmaßnahmen nach § 87 Abs. 1 Nr. 6 BetrVG ein zwingendes Mitbestimmungsrecht.