Ein Gastbeitrag von Pierre Schmitt
Viele Diensthandys dürfen auch privat genutzt werden. Das wirft eine Reihe rechtlicher Fragen auf: Wann muss das Handy eigentlich eingeschaltet sein? Wie steht es um die IT-Sicherheit, wenn das Smartphone sich beim privaten Surfen mit Malware infiziert? Darf der Arbeitgeber nachschauen, welche Gespräche der Arbeitnehmer geführt hat? Oder sogar die E-Mails des Arbeitnehmers checken?
Eine wichtige Frage für viele Arbeitnehmer und Arbeitgeber: Muss ein Diensthandy immer eingeschaltet sein, also muss der Arbeitnehmer es immer in Reichweite behalten? Die Antwort: Nein – die Grenzen setzt ggf. das Arbeitszeitgesetz (§ 3 ArbZG). Demnach beträgt die Arbeitszeit Montag bis Samstag jeweils maximal acht Stunden. In Einzelsituationen kann die Arbeitszeit durch den Arbeitgeber verlängert werden, aber auch dabei darf der werktägliche Durchschnittswert von acht Stunden nicht überschritten werden.
Will der Arbeitgeber den Arbeitnehmer zu einer bestimmten Zeit unbedingt erreichen können, bleiben ihm rechtlich gesehen nur zwei Möglichkeiten: Er muss entweder Bereitschaftsdienst oder Rufbereitschaft vereinbaren. Der „Bereitschaftsdienst” zählt dabei zur Arbeitszeit und richtet sich daher nach den genannten Bestimmungen. Die Rufbereitschaft zählt demgegenüber nach ständiger Rechtsprechung nicht zur Arbeitszeit, sondern zur „Ruhezeit”. Sie ist aber zumindest dann als Arbeitszeit anzusehen, wenn der Abruf tatsächlich geschehen ist. Nach vielen Tarifverträgen gelten außerdem für die Rufbereitschaft besondere Regelungen. Zu berücksichtigen ist zudem stets das Mitspracherecht eines eventuell vorhandenen Betriebsrats bei Regelungen der Arbeitszeit (§ 87 I Nrn. 2, 3 BetrVG).
Wird das Handy vom Arbeitgeber gestellt, so stellt sich die Frage, in welchem Maße er den Arbeitnehmer mittels des Handys kontrollieren darf. Ein Interesse des Arbeitgebers kann beispielsweise darin bestehen, das „Leaken” von Betriebs- und Geschäftsgeheimnisses zu verhindern. Einige Arbeitgeber möchten auch verhindern, dass das Handy für verbotene Zwecke eingesetzt wird oder über das Handy überwachen, wo ihre Mitarbeiter sich gerade aufhalten.
Wie weit darf ein Arbeitgeber bei der Überwachung von Arbeitnehmern gehen? Hier heißt es wie so oft: „Es kommt darauf an.” Die wichtigste gesetzliche Einschränkung: Wenn ein Arbeitgeber seinen Arbeitnehmern die Nutzung des Diensthandys auch für private Zwecke gestattet, dann stellt er ihm dadurch (nach nicht ganz unumstrittener Ansicht) Telekommunikationsdienste zur Verfügung – und wird so zum Diensteanbieter im Sinne des TKG. Er hat deshalb das Telekommunikationsgesetz zu beachten – vor allem das Fernmeldegeheimnis nach § 88 TKG. Ein Mitlesen der privaten E-Mails ist deshalb nicht gestattet, und auch die Einsichtnahme in dienstliche Mails ist umstritten.
Wenn ein Arbeitgeber überhaupt Einsicht in die E-Mails nehmen darf, dann jedenfalls nur in die beruflichen – und das geht nur, wenn es möglich ist, private und geschäftliche Mails zu trennen. Dies kann beispielsweise durch verschiedene Accounts oder eine Kennzeichnung durch den Arbeitnehmer erfolgen.
Zudem sind E-Mails nicht der einzige Telekommunikationsvorgang, der über Diensthandys abgewickelt wird: Wie verhält es sich bei der auf dem Handy gespeicherten Anrufliste? Und kann der Arbeitgeber bei seinem Mobilfunkprovider einen Einzelverbindungsnachweis beantragen, aus dem sich die Telefonanrufe des Arbeitnehmers ergeben? Bei Anrufen ist es nicht möglich, den Unterscheid zwischen privaten und dienstlichen Anrufen kenntlich zu machen, und private Anrufe unterfallen dem Fernmeldegeheimnis. Daraus ergibt sich, dass eine Kontrolle durch den Arbeitgeber grundsätzlich zu unterblieben hat. Lediglich eine Kontrolle zu organisatorischen Zwecken, etwa der Kostenabrechnung oder Systemwartung ist zulässig. Dann muss der Arbeitgeber aber auf Grund von § 99 I 4 TKG den Arbeitnehmer informieren:
„Bei Anschlüssen in Betrieben und Behörden ist die Mitteilung nur zulässig, wenn der Teilnehmer in Textform erklärt hat, dass die Mitarbeiter informiert worden sind und künftige Mitarbeiter unverzüglich informiert werden und dass der Betriebsrat oder die Personalvertretung entsprechend den gesetzlichen Vorschriften beteiligt worden ist oder eine solche Beteiligung nicht erforderlich ist.”
In jedem Fall muss der Arbeitgeber zur Erreichung seines jeweiligen Ziels die Methode wählen, die die Privatsphäre des Arbeitnehmers am wenigsten beeinträchtigt. Genügt etwa zur Kostenerfassung die Aufzeichnung der Dauer des Gesprächs, so ist eine Erfassung der vollständigen Zielrufnummer nicht angebracht. Unzulässig ist auf jeden Fall die lückenlose Überwachung aller Anrufe, Mails und des Browserverlaufs des Arbeitnehmers.
Weniger streng ist die Rechtslage, wenn dem Arbeitnehmer nur der dienstliche Gebrauch gestattet wird. Dann sind die Regelungen des TKG nicht anzuwenden, sondern nur das BDSG, insbesondere § 32 BDSG. In diesem Fall ist es dem Arbeitgeber zum Beispiel erlaubt, Nachforschungen anzustellen, ob das Handy widerrechtlich zu privaten Zwecken eingesetzt wurde. Ein Tabu ist aber weiterhin das heimliche Mithören von Telefonaten (§ 201 StGB). Ausnahmen gelten nur in ganz wenigen Fällen, etwa beim begründeten Verdacht einer Straftat mit Auswirkung auf das Arbeitsverhältnis.
Bei einem vollständigen Verbot der privaten Nutzung des Handys besteht kein Mitspracherecht des Betriebsrats. Wird die private Nutzung aber zumindest unter inhaltlichen oder zeitlichen Einschränkungen gestattet oder werden Programme zur Kontrolle der Nutzung eingesetzt, dann hat der Betriebsrat ein Mitspracherecht (§ 87 I Nrn. 1, 6 BetrVG).
Das Diensthandy enthält in der Regel eine Reihe sensibler Daten, häufig auch von Geschäftspartnern des Arbeitgebers. Es ist deshalb erforderlich, diese Daten bestmöglich zu schützen, um sich vor Schadensersatzansprüchen der Auftraggeber zu bewahren.
Zwar ist die Sicherheit der IT grundsätzlich Sache der Geschäftsleitung, doch auch der Arbeitnehmer hat als Nebenpflicht des Arbeitsvertrags daran mitzuwirken. Verstößt er gegen diese, kann das auch Schäden verursachen – so etwa, wenn der Mitarbeiter sein Gerät fahrlässig mit Spyware infiziert und dem Unternehmen Betriebs- und Geschäftsgeheimnisse verloren gehen. In einem solchen Fall gelten die Grundsätze des innerbetrieblichen Schadensausgleichs. Dies ist eine spezielle Regelung aus der arbeitsgerichtlichen Rechtsprechung, die den Haftungsumfang des Arbeitnehmers vom Grad des Verschuldens abhängig macht.
Für den Arbeitgeber empfiehlt sich hier als Vorsorgemaßnahme der Abschluss einer IT-Nutzungsvereinbarung mit einem eventuell vorhandenen Betriebsrat, sofern diesem ein Mitspracherecht nach den oben genannten Grundsätzen zusteht. Auf diese Weise können der Nutzungsumfang (ausschließlich geschäftlich oder auch privat, dürfen Apps installiert werden, und wenn ja, welche?) und durchzuführende Sicherheitsmaßnahmen festgelegt werden (wie etwa regelmäßige Backups oder Virenscans). Auch kann geregelt werden, welche Daten nur über verschlüsselte Verbindungen gesendet werden dürfen.
Pierre Schmitt ist Student der Rechtswissenschaften an der Universität Bayreuth. Der Beitrag entstand im Rahmen eines Praktikums von Pierre Schmitt bei Bird&Bird. Wer bei Bird&Bird ein Praktikum machen möchte, findet hier weitere Informationen.