Hinweise für IT-Administratoren

(von Ass. jur. Kai Welp u. RA Noogie Kaufmann)

I. Überblick

Der vorliegende Beitrag gibt einen Überblick über die rechtlich relevanten Aspekte im Bereich der IT-Administration. Zunächst wird die Bindung der IT-Administratoren an das Fernmeldegeheimnis im Rahmen ihrer Tätigkeit in den Rechenzentren dargelegt. Hieraus ergeben sich weitreichende Konsequenzen für den Umgang mit den bei Telekommunikationsvorgängen anfallenden Daten. Es bestehen spezialgesetzliche Löschungspflichten nach dem Telekommunikationsgesetz. Aber auch der Umgang mit sonstigen personenbezogenen Daten ist umfassend im Bundesdatenschutzgesetz geregelt. Bei Verstößen drohen Ordnungswidrigkeiten, unter Umständen steht auch die Verwirklichung von Straftatbeständen im Raum. Die Neuregelung des Computerstrafrechts ist für die Tätigkeit in den Rechtenzentren von besonderer Bedeutung. Die Forschungsstelle Recht hat hierzu eine Handlungsempfehlung herausgegeben, die in den Nutzungshinweisen übernommen wurde.
Daran anschließend wird dargelegt, inwieweit IT-Administratoren im Falle der Verursachung von Vermögensschäden gegenüber Dritten persönlich haften. Vereinfacht lässt sich sagen, dass außerhalb des fiskalischen Handelns die Universität haftet, eine Rückgriffsmöglichkeit jedoch in Fällen des vorsätzlichen oder grob fahrlässigen Handelns besteht.
Abschließend befasst sich der Beitrag mit den arbeitsrechtlichen Konsequenzen bei einem Missbrauch der IT durch Arbeitnehmer. Zu unterscheiden sind Fälle der Privatnutzung des Internets oder von Email-Diensten, aber auch die Installation von Anonymisierungssoftware, rechtswidrige Äußerungen im Internet, Passwortdiebstahl oder das unbefugte Mitlesen von Email-Kommunikation.

II. Verstöße gegen das Fernmeldegeheimnis

Nach § 88 Abs. 1 u. 2 Telekommunikationsgesetz (TKG) i.V.m. Art. 10 Grundgesetz (GG) sind Diensteanbieter, die ganz oder teilweise Telekommunikationsdienste erbringen, zur Wahrung des Fernmeldegeheimnisses verpflichtet. Aufgrund der Tatsache, dass Universitäten dauerhaft den Zugang zum Internet für Dritte zur Verfügung stellen, sind IT-Administratoren an dieses Grundrecht gebunden. Im Verhältnis zu den Mitarbeiten der Universität gilt dies allerdings dann nicht, wenn die private Nutzung des Internets ausdrücklich untersagt wurde. In diesem Fall sind die Mitarbeiter nicht als Dritte i.S.d. § 88 TKG zu qualifizieren, so dass keine Bindung an das Fernmeldegeheimnis besteht.
Geschützt sind neben dem Inhalt der Kommunikation auch ihre näheren Umstände. Das Fernmeldegeheimnis erstreckt sich somit auf die in den entsprechenden Log-Files gespeicherten Verkehrsdaten (= IP-Adresse + Log-Zeiten). Nach § 88 Abs. 3 TKG ist die Kenntnisnahme von Inhalten oder näheren Umständen der Telekommunikation nur insoweit zulässig, als sie zur Erbringung der Dienste erforderlich ist. Diese Schranke umfasst neben Betriebszwecken auch den Schutz der technischen Systeme. Die Grenzen sind im Einzelnen streitig. Nähere Regelungen zur Verarbeitung von Bestands- und Verkehrsdaten enthalten die §§ 91 ff. TKG.
Vereinfacht gilt, dass die Speicherung von Verkehrsdaten zulässig ist, soweit die Speicherung der Daten zu Abrechnungszwecken erforderlich ist. Zur Störungsbeseitigung gewährt die Rechtsprechung eine Speicherungsfrist von einer Woche.
Die Verletzung des Fernmeldegeheimnisses ist nach § 206 Strafgesetzbuch (StGB) strafbewehrt. Zudem liegt in der regelmäßig mitverwirklichten ungerechtfertigten Verarbeitung von Verkehrsdaten eine Ordnungswidrigkeit nach § 149 Nr. 16 TKG, welche mit einer Geldbuße bis zu € 300.000,- geahndet werden kann.

III. Verstöße gegen sonstige datenschutzrechtliche Bestimmungen

Das Bundesdatenschutzgesetz (BDSG) und die Landensdatenschutzgesetze regeln die rechtlichen Rahmenbedingungen für die Verarbeitung von personenbezogenen Daten. Grundsätzlich gilt, dass die Verarbeitung personenbezogener Daten nur dann zulässig ist, wenn ein gesetzlicher Erlaubnistatbestand dies vorsieht oder eine Einwilligung des Betroffenen vorliegt (Gesetzliches Verbot mit Erlaubnisvorbehalt). Im Falle von Verstößen gegen Landesdatenschutzrecht sehen die Landesdatenschutzgesetze explizit eine Verpflichtung zum Schadensersatz vor. Erleidet eine Person durch eine unzulässige oder unrichtige Verarbeitung personenbezogener Daten einen Schaden, haftet der Träger der verantwortlichen Stelle, also die Hochschule. Dies gilt im Falle der automatisierten Datenverarbeitung verschuldensunabhängig, in den übrigen Fällen nur bei vorsätzlichem oder fahrlässigem Handeln. In schweren Fällen kommen zudem Ersatzansprüche für immaterielle  Schäden in Betracht.
Auch die unbefugte Verarbeitung personenbezogener Daten, welche in Bereicherungs- oder Schädigungsabsicht erfolgt, ist strafbewehrt. Erfolgt die Tathandlung ohne die qualifizierte Absicht, liegt eine Ordnungswidrigkeit vor. Sie kann mit einer Geldbuße bis zu 50.000 € geahndet werden.
Nach § 72 Abs. 3 Nr. 1 des Landespersonalvertretungsgesetzes  (LPVG)  hat der Personalrat über die Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, mitzubestimmen. Computerprogramme, mit denen es möglich ist, das gesamte Verhalten des Arbeitnehmers am Computer heimlich zu beobachten und zu dokumentieren stellen technische Einrichtungen i.S.d. Vorschrift dar. Ihre Einführung und Anwendung ist daher mitbestimmungspflichtig.

IV. Verstöße gegen das Computerstrafrecht

Am 11. August 2007 ist das 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität in Kraft getreten. Das Gesetz dient der Umsetzung des Übereinkommens des Europarats über Computerkriminalität sowie des Rahmenbeschlusses 2005/222/JI des Rates vom 24. Februar 2005 über Angriffe auf Informationssysteme. Wegen der Einzelheiten wird auf die Stellungnahme der Forschungsstelle Recht zum Regierungsentwurf vom 20. September 2006 und auf die Beiträge im DFN-Infobrief Recht [infobrief0207.pdf, infobrief 0607.pdf] verwiesen. Für die Mitglieder des DFN-Vereins sind folgende Änderungen relevant:

Ausspähen von Daten (§ 202a StGB)

Nach § 202a StGB macht sich strafbar, wer sich unbefugt Zugang zu besonders gesicherten Daten verschafft. Ein Verschaffen von Daten ist dafür nicht erforderlich. Somit ist die Strafbarkeitsschwelle bereits bei einem Zugangsverschaffen ohne Kenntnisnahme der Daten erreicht.

Die Tat ist als relatives Antragsdelikt ausgestaltet, wird also nur auf einen Strafantrag des Verletzten oder bei einer Bejahung des besonderen öffentlichen Interesses an der Strafverfol-gung durch die Staatsanwaltschaft verfolgt. Um Strafbarkeitsrisiken zu minimieren, sollten die nachfolgenden Grundsätze eingehalten werden:

Abfangen von Daten (§ 202b StGB)

Nach § 202b StGB macht sich strafbar, wer sich unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten aus einer nichtöffentlichen Datenübermittelung verschafft. Der Gesetzgeber möchte durch die Einführung der Vorschrift alternative Kommunikationsmittel wie E-Mail und Voice Over IP schützen. Im Gegensatz zu § 202a StGB betrifft die Vorschrift ausschließlich Daten während des Übertragungsvorgangs. Diese müssen nicht besonders gesichert sein, so dass die unverschlüsselte Kommunikation vom Tatbestand erfasst ist. Nach juristischen Kriterien ist die Datenübermittlung im Internet keine öffentliche Kommunikation, so dass die Vorschrift für Hochschulen im Bereich des Mitschneidens von Netztraffic relevant wird. Dies betrifft allerdings nicht die Speicherung der beim Access-Provider anfallenden Verkehrsdaten. Deren Zulässigkeit bestimmt sich nach den Vorschriften des Telekommunika-tionsgesetzes.
Die Tat ist als relatives Antragsdelikt ausgestaltet, wird also nur auf einen Strafantrag des Verletzten oder bei einer Bejahung des besonderen öffentlichen Interesses an der Strafverfolgung durch die Staatsanwaltschaft verfolgt.

Vorbereiten des Ausspähens und Abfangens von Daten (§ 202c StGB)

Der Straftatbestand des § 202c StGB ist umstritten. Hiernach macht sich strafbar, wer eine Straftat nach § 202a oder § 202b StGB vorbereitet, indem er Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft oder sonst zugänglich macht. Es handelt sich hierbei um eine Vorbereitungsstraftat, die Vorsatz bezüglich der Begehung von Straftaten nach § 202a oder § 202b StGB voraussetzt.
Welche Programme im Ergebnis unter den Tatbestand fallen, lässt sich derzeit nicht verbindlich feststellen. Es wird Aufgabe der Rechtsprechung sein, das Tatobjekt ausreichend zu konkretisieren. Sicher ist aber, dass solche Programme, die ausschließlich zur Begehung von Straftaten (Viren-Kitts, bestimmte Trojaner) verwendet werden können, von der Vorschrift erfasst werden.

Das Bundesverfassungsgericht kommt in einem Beschluss aus dem Jahre 2009 zu dem Ergebnis, dass vom Tatbestand der Norm nur solche Tools umfasst sind, die mit der Absicht entwickelt wurden, sie zur Begehung von Straftaten nach § 202a, 202b StGB zu verwenden. Eine bloße Eignung zur Begehung von Straftaten ist somit nicht ausreichend. Dual-Use Tools die zur Begehung von Straftaten sowie für legitime Zwecke benutzt werden können, sind somit von der Norm nicht erfasst. Im Einzelfall kann die Abgrenzung Dual-Use-Tool und reine Schadsoftware jedoch schwierig bleiben.

Die Verwirklichung des Tatbestands setzt zusätzlich zwingend den Vorsatz der späteren Begehung einer Straftat nach § 202a oder § 202b StGB voraus. Damit ist der alleinige „Besitz“ derartiger Programme auch nicht strafbar.

Allerdings ist nach der Vorschrift für den Vorsatz im Hinblick auf die Begehung einer späteren Straftat durch einen Dritten das bloße für möglich Halten ausreichend. Dies ist beim Bereithalten derartiger Programme zum Download problematisch, da die Begehung von Straftaten durch Dritte nie ganz ausgeschlossen werden kann. Die Forschungsstelle Recht vertritt hier den Standpunkt, dass ein derart unkonkretisierter Vorsatz ohne weitere Anhaltspunkte für ein strafbares Verhalten Dritter nicht ausreichend ist. Daher verbleibt es unter diesen Voraus-setzungen bei einer grundsätzlichen Straflosigkeit im Bereich des Verbreitens von Dual-Use-Tools. Diese Auffassung wird derzeit auch von der Staatsanwaltschaft Bonn geteilt, eine abschließende gerichtliche Klärung steht jedoch noch aus. Insgesamt gilt aber, dass die Verbreitung derartiger Tools umso unbedenklicher ist, je deutlicher der intendierte Zweck der Systemwartung zu Tage tritt.

Bei der Tat handelt es sich um ein Offizialdelikt, d.h. eine Verfolgung ist auch ohne Strafantrag von Amts wegen möglich. Im Rahmen der üblichen Verwendung der Tools in Hochschulen dürfte das Risiko einer Strafverfolgung von Amts wegen jedoch als gering einzustufen sein.
Um Strafbarkeitsrisiken insgesamt zu minimieren, sollten folgende Grundsätze eingehalten werden:

V. Haftung der IT-Administratoren für Vermögensschäden

In haftungsrechtlicher Hinsicht ist maßgeblich, dass Aufgaben, die von IT-Administratoren wahrgenommen werden, in der Regel dem hoheitlichen Bereich zuzuordnen sind. Es handelt sich insofern um schlicht hoheitliches Handeln.
Gegenüber Außenstehenden Dritten haften IT-Administratoren auf Ersatz von Vermögensschäden nicht, sofern sie im Zusammenhang mit den ihnen übertragenen Aufgaben stehen. Eine nach außen bestehende Schadensersatzpflicht wird durch die Vorschriften der Amtshaftung nach Art. 34 GG, § 839 BGB verdrängt. Es haftet die Hochschule als Körperschaft des öffentlichen Rechts. Nimmt allerdings der Verletzte die Hochschule auf Ersatz in Anspruch, kann diese im Falle von vorsätzlichen oder grob fahrlässigen Verhalten Rückgriff nehmen. Bei leicht fahrlässigen Verhalten verbleibt es bei der Haftung der Hochschule. Diese Grundsätze gelten jedoch nicht bei rein fiskalischem Handeln. Ein solches liegt vor, wenn sich die Verwaltung der Rechtsformen des Privatrechts zur Aufgabenerfüllung bedient. Insbesondere im Bereich der Bedarfsdeckung schließt die Verwaltung in der Regel privatrechtliche Verträge, um entsprechende Anschaffungen zu tätigen. Aber auch bei der Teilnahme am Wirtschaftsleben in den Rechtsformen des Privatrechts (z. B. GmbH, AG) liegt fiskalisches Handeln vor. Tritt die Verwaltung fiskalisch auf, besteht für ggf. eingetretene Schäden grundsätzlich eine persönliche Haftung des Hochschulmitarbeiters. Unter Umständen kann aber von der Hochschule Freistellung von Ansprüchen Dritter verlangt werden. Bei vorsätzlichem oder grob fahrlässigem Verhalten verbleibt es bei der Haftung des Mitarbeiters. Grobe Fahrlässig-keit liegt vor, wenn die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße ver-letzt worden ist. Beispiele aus der Rechtsprechung sind etwa das Ablegen von Schlüsseln an leicht auffindbaren Orten, der Verstoß gegen Unfallverhütungsvorschriften, DIN-Normen oder sonstige technische Vorschriften, sofern es sich um elementare Regelungen handelt oder die Wahrnehmung von Aufgaben ohne die erforderliche berufliche Qualifikation.
Handelt hingegen der Hochschulmitarbeiter nur leicht fahrlässig, besteht ein umfassender Freistellungsanspruch. Von der leichten Fahrlässigkeit werden sonstige Sorgfaltsverstöße erfasst, die nicht das für grobe Fahrlässigkeit erforderliche qualifizierte Maß erreichen. Beispielhaft sind Verstöße gegen sonstige – nicht elementare – DIN-Normen oder technische Vorschriften. Bei mittlerer Fahrlässigkeit wird eine Quotelung des Freistellungsanspruchs vorgenommen.

VI. Arbeits- und dienstrechtliche Konsequenzen bei Missbrauch der IT

Im Folgenden werden Urteile dargestellt, die Hinweis darauf geben sollen,  unter welchen Umständen eine Kündigung wegen des Missbrauchs von IT rechtmäßig ist und unter welchen Umständen nicht.
Dabei spielt es regelmäßig keine Rolle, ob es sich beim Arbeitnehmer/Bediensteten/Beamten um einen Administrator handelt. Im Einzelfall kann allerdings eine Kündigung eher möglich sein, wenn es sich um einen Administrator handelt, da diesem aufgrund seines Aufgabenbereiches verständlicher sein muss, dass bestimmte Handlungen verboten sind und vom Arbeitgeber/Dienstherrn nicht geduldet werden.

1. Kündigung wegen Privatnutzung des Internet

a. Erlaubte oder untersagte Nutzung zu Privatzwecken
Maßgeblich für die Beurteilung einer ausgesprochenen Kündigung wegen Privatnutzung des Internetanschlusses ist bei einer ordentlichen als auch bei einer außerordentlichen Kündigung der Umstand, ob die Privatnutzung zulässig war oder untersagt wurde. Die Gestattung zur Privatnutzung kann entweder bereits ausdrücklich  im Arbeitsvertrag festgeschrieben sein, auf einer nachträglichen Gestattung beruhen oder sich auf Betriebsvereinbarungen stützen.
Die letzte Variante stellt sich aus zwei Gründen als die sinnvollste dar: Zum einen schafft sie gleiche Voraussetzungen für alle Mitarbeiter und zum anderen sorgt sie für Rechtssicherheit sowohl auf Seiten der Arbeitnehmer als auch auf Seiten des Arbeitgebers. Neben den genannten drei Möglichkeiten kann die Zulässigkeit der Privatnutzung zudem aus einem Duldungstatbestand folgen, wenn der Arbeitgeber in Kenntnis über den außerdienstlichen Gebrauch ist, und diesen über einen nicht nur unerheblichen Zeitraum duldet und nicht verbietet. „Bei einer fehlenden ausdrücklichen Gestattung oder Duldung des Arbeitgebers ist eine private Nutzung des Internet grundsätzlich nicht erlaubt“ –  so explizit das BAG. Allerdings muss der Arbeitgeber bei ausgesprochenen Verboten darauf achten, dass die Formulierungen eindeutig sind. Zu beachten sind für die  erlaubte Privatnutzung ferner die konkreten Vereinbarungen. Ist beispielsweise die Privatnutzung auf die Pausen und den Feierabend beschränkt, ist die Nutzung während der Arbeitszeit unzulässig.

b. Beteiligung des Betriebsrates
Nicht selten stellt sich der Betriebsrat auf den Standpunkt, dass ihm ein Mitbestimmungsrecht für die Frage zusteht, ob die Benutzung des Internetanschlusses zu Privatzwecken erlaubt wird oder nicht. Zu Recht hat unter anderem das LAG Hamm ein Mitbestimmungsrecht des Betriebsrates abgelehnt und darauf abgestellt, dass allein der Arbeitgeber aufgrund seines Direktionsrechts eine Privatnutzung verbieten kann. In der Literatur wird dies ebenfalls nicht bestritten. Die Privatnutzung als solche stellt auch keinen Fall von § 87 Abs. 1 Nr. 6 BetrVG dar, wonach für den Betriebsrat bei der „Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer“ zu überwachen, ein Mitbestimmungsrecht besteht. Abermals mit dem LAG Hamm verbleibt es auch dann beim Direktionsrecht des Arbeitgebers, wenn er eine Privatnutzung außerhalb der Arbeitszeit erlaubt hat, die Gestattung später aber widerruft und die Privatnutzung gänzlich untersagt.

c. Voraussetzungen einer außerordentlichen Kündigung
Die außerordentliche Kündigung gem. § 626 BGB verlangt vor allem das Vorliegen eines „wichtigen“ Grundes. Ein derartiger wichtiger Grund ist nach ständiger Rechtsprechung des BAG dann gegeben, „wenn Tatsachen vorliegen, auf Grund derer dem Kündigenden unter Berücksichtigung aller Umstände des Einzelfalls und unter Abwägung der Interessen beider Vertragsteile die Fortsetzung des Arbeitsverhältnisses bis zum Ablauf der Kündigungsfrist nicht zugemutet werden kann“. Dahinter verbirgt sich eine zweistufige Prüfung. In einem ersten Schritt muss ermittelt werden, ob ein wichtiger Grund „an sich“ vorliegt. Im zweiten Schritt hat eine umfassende Abwägung unter Berücksichtigung des Verhältnismäßigkeitsgrundsatzes zu erfolgen. Innerhalb des Verhältnismäßigkeitsgrundsatzes ist insbesondere das Kriterium der vorherigen Abmahnung zu beachten. Auch wenn eine Abmahnung nicht explizit im Gesetz aufgeführt ist, wird sie grundsätzlich vom BAG immer dann verlangt, wenn ein steuerbares Verhalten des Arbeitnehmers vorliegt und eine Wiederherstellung des Vertrauensverhältnisses erwartet werden kann. Hintergrund für die Abmahnung ist, dass dem Arbeitnehmer klar vor Augen geführt wird, dass sein Arbeitgeber ein bestimmtes Verhalten nicht toleriert und dass er bei erneutem Zuwiderhandeln mit arbeitsrechtlichen Konsequenzen zu rechnen hat. Nur in absoluten Ausnahmefällen bedarf es keiner vorherigen Abmahnung. So beispielsweise, wenn mit einer Verhaltensänderung in der Zukunft nicht gerechnet werden kann oder wenn „es sich um eine schwere Pflichtverletzung handelt, deren Rechtswidrigkeit dem Arbeitnehmer ohne Weiteres erkennbar ist und die Hinnahme des Verhaltens durch den Arbeitgeber offensichtlich ausgeschlossen ist“.

d. Grundsatzentscheidung des BAG zur Kündigung wegen der Privatnutzung des Internetanschlusses am Arbeitsplatz
Das Urteil des BAG vom 7. Juli 2005 wird zu Recht als Grundsatzentscheidung bezeichnet. Schließlich bietet es für die Prüfung derartiger Sachverhalte zahlreiche Kriterien zur Ermittlung, ob ein wichtiger Kündigungsgrund „an sich“ vorliegt, an. Die Kriterien können gleichfalls für die Frage herangezogen werden, ob eine vorherige Abmahnung entbehrlich ist oder nicht.

In seiner Grundsatzentscheidung widmet sich das BAG ferner dem interessanten und umstrittenen Punkt der „Sozialadäquanz“ der Privatnutzung des Internet am Arbeitsplatz. Vor der BAG-Entscheidung kamen unter anderem das LAG Mainz, das LAG Nürnberg und das LAG Köln zu dem Ergebnis, dass eine außerordentliche Kündigung in bestimmten Fällen unzulässig sein kann, weil die Privatnutzung mittlerweile sozialadäquat sei. Dem ist das BAG aber nur äußerst bedingt bis gar nicht gefolgt. Es stellte zuerst einmal die berechtigte Frage, „wor-aus sich eine solche „Sozialadäquanz“ ergeben soll“. Das BAG kommt dann allerdings zu dem Schluss, dass „allenfalls eine kurzfristige private Nutzung des Internet während der Ar-beitszeit allgemein noch gerade als hinnehmbar angesehen werden kann, wenn keine aus-drücklichen Verbote zur privaten Nutzung existieren“. Aus den Ausführungen des BAG lässt sich folglich ableiten, dass bei tatsächlich bestehenden Verboten die Privatnutzung erst einmal einen wichtigen Kündigungsgrund „an sich“ iSv § 626 BGB darstellt.
Die zuvor aufgezeigten Grundsätze für einen Kündigungsgrund hat das BAG in einem weiteren Urteil am 12. September 2006 bestätigt. Inhaltlich neues enthält die Entscheidung in Bezug auf andere Mitarbeiter. So folge allein aus der Möglichkeit, dass andere Mitarbeiter beim Anblick zuvor aufgerufener Homepages mit erotischen oder pornografischen Inhalt „peinlich berührt“ sein könnten, nicht zwangsläufig ein Kündigungsgrund. Solange es sich bei den Darstellungen nicht um Straftaten handle, stellen derartige Darstellungen „nicht zwingend eine Verletzung der arbeitsrechtlichen Rücksichtnahmepflicht per se dar“.

e. Instanzrechtsprechung

Auch wenn das BAG mit seiner Grundsatzentscheidung zahlreiche Kriterien aufgestellt hat, bleibt naturgemäß so mancher Einzelfall davon unberührt. Deshalb soll der Blick auf wichtige Urteile der Instanzgerichte gerichtet werden.

aa. Aufruf pornografischer Internetangebote und das Erfordernis einer vorherigen Abmahnung
Für den wichtigen Grund iSv § 626 BGB „an sich“ als Voraussetzung für eine außerordentliche Kündigung hat das BAG in seiner Grundsatzentscheidung festgehalten, dass der Aufruf von pornografischen Internetangeboten vom Computer des Arbeitgebers für diesen eine Rufschädigung darstellen kann und eine außerordentliche Kündigung rechtfertigen könne. Weitere Ausführungen machte das BAG angesichts der von der Berufungsinstanz nicht getroffenen Feststellungen nicht. Die Instanzgerichte hatten sich hingegen mit derartigen Konstellationen zu befassen. So entschied das LAG Hannover, dass eine außerordentliche Kündigung ohne vorherige Abmahnung dann zulässig sei, wenn ein eindeutiges Betriebsverbot für die private Nutzung besteht, der Arbeitnehmer trotzdem wiederholt während der Arbeitszeit Internetseiten mit Sexangeboten ansteuert und darüber hinaus die dort enthaltenen Inhalte in seine eigene private Homepage einstellt. Ähnlich sieht es auch das ArbG Düsseldorf und erachtet die außerordentliche Kündigung ebenfalls ohne Abmahnung für wirksam, wenn sich der Arbeitnehmer trotz bestehenden Verbotes rund zehn Stunden im Monat Dateien mit pornografischen Inhalten ansieht und Videofilme mit entsprechenden Inhalten herunter lädt. Im entschiedenen Fall des ArbG Düsseldorf wurde im Nutzungsverbot explizit darauf hingewiesen, dass insbesondere keine Seiten mit pornografischen Inhalten aufgerufen werden dürfen. Eine derartige Festschreibung fehlte hingegen im Sachverhalt, den das LAG Mainz zu beurteilen hatte. Im dortigen Fall enthielt die Betriebsvereinbarung nur den Passus, dass die Privatnutzung des Internet zu Privatzwecken gestattet sei, wenn dadurch nicht die Arbeit beeinträchtigt werde. Über unzulässige Inhalte der privat aufgerufenen Homepages enthielt die Vereinbarung hingegen keine Aussagen. Da der Mitarbeiter, ein angestellter Pädagoge eines eingetragenen Vereins zur Förderung von lernschwachen Jugendlichen, während seiner Arbeitszeit „erotische“ Internetseiten aufgerufen hatte, kündigte ihm sein Arbeitgeber außerordentlich. Die fehlende Abmahnung nahm das LAG Mainz in diesem Fall zum Anlass, die Kündigung für unwirksam zu erklären, da mit der Wiederherstellung der Vertrauensbasis hätte gerechnet werden können.

bb. Verhalten außerhalb des Arbeitsverhältnisses als Kündigungsgrund
Grundsätzlich rechtfertigt das Verhalten eines Mitarbeiters außerhalb seiner Arbeitszeit keine außerordentliche Kündigung. In schwerwiegenden Fällen, soweit das Verhalten gravierende Auswirkungen auf das Arbeitsverhältnis oder das Ansehen des Arbeitgebers hat, kann aber dennoch eine außerordentliche Kündigung ausgesprochen werden. In Bezug auf die Nutzung des Internet kam das ArbG Braunschweig zu dem Ergebnis, dass die außerordentliche Kündigung ohne vorherige Abmahnung gegenüber einem in einem Kindergarten angestellten Pädagogen dann gerechtfertig sei, wenn im Zuge einer polizeilichen Durchsuchung in dessen Privatwohnung farbige Ausdrucke mit kinderpornografischem Inhalt gefunden werden. Auch wenn dabei kein Bezug zum Internetanschluss des Arbeitgebers vorliege, wiege ein derartiges Verhalten derart schwer, dass eine außerordentliche Kündigung auch wegen eines Verhaltens außerhalb des Arbeitsverhältnisses zulässig sei. Die Entscheidung des ArbG Braunschweig ähnelt dem zuvor dargestellten Urteil des LAG Mainz. Im Gegensatz zur dortigen Entscheidung entfaltete das polizeiliche Vorgehen aber eine für Dritte wahrnehmbare Außenwirkung zu Lasten des Arbeitgebers.

f. Beweisverwertungsverbot für aufgezeichnete Protokolle?
Anders als bei der Video- und Telefonüberwachung existiert keine Rechtsprechung des BAG zu der Frage, ob die die Privatnutzung des Interanschlusses während der Arbeitszeit beweisenden Protokolle einem Beweisverwertungsverbot unterliegen oder nicht. Bis dato hat sich dazu nur das OVG Greifswald geäußert. Nach dortiger Auffassung verstößt die Auswertung so genannter Internetverlaufsprotokolle nicht gegen das Recht auf informationelle Selbstbestimmung und es trete kein Beweisverwertungsverbot ein. Das unabhängige Landeszentrum für den Datenschutz Schleswig-Holstein äußert sich zu der Problematik dahingehend, dass Betriebsvereinbarungen, die eine Überprüfung bei konkreten Hinweisen auf Missbrauch erlauben, nicht zu beanstanden seien.

2. Kündigung wegen Privatnutzung des E-Mail-Dienstes

Die Grundsatzentscheidung des BAG zur privaten Nutzung des Internetanschlusses während der Arbeitszeit enthält keinerlei Ausführungen zu der Benutzung des E-Mail-Anschlusses. Allerdings können die dort getroffenen Grundsätze in weiten Teilen auch auf die private Nutzung des E-Mail-Dienstes angewendet werden. Dies gilt insbesondere für die Kriterien, ab wann ein „wichtiger Grund“ für eine außerordentliche Kündigung iSv § 626 BGB vorliegt. Gleichfalls wie bei der Privatnutzung des Internet sind auch bei der Nutzung des E-Mail-Dienstes die Vorgaben aus dem Arbeitsvertrag beziehungsweise die nachträglichen Anordnungen des Arbeitgebers zu beachten. Ist die private Benutzung ausdrücklich untersagt, stellt dies einen wichtigen Grund zur außerordentlichen Kündigung „an sich“ dar. Unklare Regelungen im Umgang mit der privaten E-Mail-Nutzung gehen aber zu Lasten des Arbeitgebers und rechtfertigen keine Kündigung ohne vorherige Abmahnung.
Da sich die Nutzung des Internet in vielfacher Hinsicht von der außerdienstlichen Nutzung der E-Mail-Kommunikation unterscheidet, sollen nachfolgend die wichtigsten Entscheidungen der Instanzgerichte kurz skizziert werden.

a. Kündigung bei bestehendem Verbot und fehlender Regelung
Ebenso wie die Privatnutzung des Internet am Arbeitsplatz ist auch bei einem ausdrücklichen Verbot der privaten E-Mail-Nutzung der Verhältnismäßigkeitsgrundsatz und das in ihm enthaltene Erfordernis einer vorherigen Abmahnung zu beachten. Demnach bedarf es trotz der Untersagung regelmäßig einer Abmahnung. Eine ohne Abmahnung ausgesprochene außerordentliche Kündigung ist unwirksam. Aufgrund dessen hat das LAG Hessen zu Recht eine außerordentliche Kündigung einer Sekretärin, die trotz expliziten Verbots in der Betriebsvereinbarung einmalig eine empfangene E-Mail mit privatem Inhalt gelesen und weitergeleitet hatte, für unwirksam erklärt. Eng mit dem Verhältnismäßigkeitsgrundsatz verbunden ist auch die Hauptleistungspflicht des Arbeitnehmers zur Erbringung der im Arbeitsvertrag festgelegten Leistung. Soweit die Hauptleistungspflicht in hohem Maße verletzt wird, rechtfertigt dies zumindest eine ordentliche Kündigung. Soweit der Arbeitnehmer trotz bestehenden Verbotes in einem Zeitraum von sieben Monaten 261 private E-Mails von beträchtlicher Länge schreibt und verschickt, verletzt er in hohem Maße seine Hauptleistungspflicht, da er während dieser Zeit gerade nicht seine geschuldete Leistung erbringt. Neben der Verletzung einer Hauptleistungspflicht ist eine außerordentliche Kündigung ohne vorherige Abmahnung auch dann gerechtfertigt, wenn eine schwerwiegende Verletzung einer Nebenpflicht vorliegt. Zu den vertraglichen Nebenpflichten zählt gleichfalls, alles zu unterlassen, was dem Ruf des Arbeitgebers in nachhaltiger Form schaden kann. Dazu gehört unter anderem auch, dass der Arbeitnehmer keine E-Mail-Korrespondenz mit Prostituierten über seine geschäftliche E-Mail-Adresse führt.
Soweit keinerlei Regelungen über die Privatnutzung bestehen, geht dies zu Lasten des Arbeitgebers. Schließlich obliegt ihm die Festlegung des konkreten Arbeitsablaufes. Eine ausgesprochene Kündigung ohne vorherige Abmahnung wegen des Verfassens privater E-Mails während der Arbeitszeit ist demnach unwirksam.

b. Wirksame Kündigung trotz privater Gestattung
Auch wenn der Arbeitgeber konkludent oder ausdrücklich die private Nutzung des dienstlichen E-Mail-Anschlusses gestattet, bedeutet dies nicht, dass der Anschluss für jede erdenkliche Handlung benutzt werden darf. Schließlich müssen auch im Falle der Gestattung die vertraglichen Nebenpflichten eingehalten werden. Dazu gehört – wie oben erwähnt - unter anderem die Pflicht des Arbeitnehmers, alles zu unterlassen, was dem Ruf des Arbeitgebers nachhaltig schaden kann. Für die unberechtigte Internetnutzung hat das BAG in seiner Grundsatzentscheidung geurteilt, dass eine Schädigung des Arbeitgebers durch den Download von pornografischen Dateien über den dienstlichen Internetanschluss einen „an sich“ wichtigen Kündigungsgrund iSv § 626 BGB darstellen kann. Überträgt man diese Grundsätze, so ist eine außerordentliche Kündigung trotz genehmigter Privatnutzung und ohne vorherige Abmahnung dann gerechtfertigt, wenn ein Arbeitnehmer unaufgefordert Dateien mit pornografischen Inhalten an Kollegen sendet.

VII. Weitere Kündigungsgründe mit Bezug zur Informationstechnologie

Die Arbeitsgerichte mussten in der Vergangenheit nicht nur Sachverhalte der verbotenen oder gestatteten Privatnutzung von Internet und E-Mail beurteilen, sondern auch andere Kündigungsgründe prüfen, die im Zusammenhang mit der vom Arbeitgeber bereitgestellten Informationstechnologie standen. Auch dabei stand verstärkt der Datenschutz in Gestalt des allgemeinen Persönlichkeitsrechts im Vordergrund, allerdings nicht das des Arbeitnehmers, sondern das allgemeine Persönlichkeitsrecht von Arbeitgebern, Vorgesetzten und Kollegen. Zu vermuten ist, dass so mancher Arbeitnehmer vergisst, dass auch Arbeitgebern als Person das Recht auf informationelle Selbstbestimmung als Teil des Allgemeinen Persönlichkeitsrechts zusteht, wonach auch sie grundsätzlich darüber entscheiden dürfen, wem wann und zu welchem Zweck personenbezogene Daten offenbart werden.
Für die Zulässigkeit einer außerordentlichen Kündigung muss auch bei den hier zu behandelnden Kündigungsgründen mit Bezug zur Informationstechnologie des Arbeitgebers ein wichtiger Grund iSv § 626 BGB vorliegen. Nach der Formel des BAG bedeutet dies, dass Tatsachen vorliegen müssen, „auf Grund derer dem Kündigenden unter Berücksichtigung aller Umstände des Einzelfalls und unter Abwägung der Interessen beider Vertragsteile die Fortsetzung des Arbeitsverhältnisses bis zum Ablauf der Kündigungsfrist nicht zugemutet werden kann“. Wie auch in anderen Fällen hat gleichfalls eine zweistufige Prüfung zu erfolgen. So muss in einem ersten Schritt ermittelt werden, ob ein wichtiger Grund „an sich“ vorliegt. Im zweiten Schritt hat sodann eine umfassende Abwägung unter Berücksichtigung des Verhältnismäßigkeitsgrundsatzes zu erfolgen. Innerhalb des Verhältnismäßigkeitsgrundsatzes ist insbesondere das Kriterium der vorherigen Abmahnung zu beachten.

1. Installation von Anonymisierungssoftware

Soweit in größeren Unternehmen der Einsatz von Computern unerlässlich ist und der Rechner das Hauptarbeitsmittel darstellt, kümmern sich Systemadministratoren um die Installation entsprechender Software. Der Hintergrund dafür ist, dass der Arbeitnehmer in der Regel nicht über die notwendige Kompetenz verfügt und auch seine Arbeitszeit dafür nicht verwenden soll. Ein anderer wichtiger Aspekt ist der Systemschutz. Der Systemadministrator sorgt aufgrund seines technischen Sachverstandes dafür, dass Viren, Würmer und Trojaner nicht in das Firmensystem eindringen und Schäden anrichten können. In jüngster Zeit ist ein weiterer ökonomischer Faktor bezüglich der Systemsicherheit hinzugekommen: Die Kreditvergabe. Aufgrund des so genannten Abkommens „Basel II“ stellt die Sicherheit der Informationstechnologie in einem Unternehmen einen elementaren Eckpunkt für die Vergabe von Krediten dar. Je schlechter die Sicherheit eingestuft wird, desto höher fallen die Zinsen aus. Aus den genannten Gründen wundert es nicht, dass viele Unternehmen in Betriebsvereinbarungen dazu übergehen, die Installation fremder Software oder die Veränderung aufgespielter Software durch Arbeitnehmer zu verbieten, soweit diesen keine entsprechende Befugnis eingeräumt wurde. Verstöße gegen derartige Betriebsvereinbarungen rechtfertigen nach der jüngsten Rechtsprechung des BAG jedenfalls eine ordentliche Kündigung, ohne dass es einer vorherigen Abmahnung bedarf. Im entschiedenen Fall bestand in einem bayerischen Amt eine ausdrückliche Dienstanweisung, wonach es den Angestellten verboten war, ohne Genehmigung Softwareinstallationen vorzunehmen. Trotz der Kenntnis der Dienstanweisung installierte ein Angestellter ein Anonymisierungs-Tool, welches die Nachverfolgung aufgerufener Internetseiten verhinderte. Zur Begründung der wirksamen ordentlichen Kündigung führte das BAG zu Recht an, dass bereits der Verstoß gegen die Dienstanweisung eine erhebliche Pflichtverletzung beinhaltet. Darüber hinaus stellt die nicht genehmigte Veränderung von technischen Arbeitsmitteln des Arbeitgebers eine erhebliche Verletzung der aus § 241 Abs. 2 BGB fol-genden Pflicht zur Rücksichtnahme dar. Nimmt man letzteres Kriterium der Verletzung einer Nebenpflicht zum Maßstab, kann eine ordentliche Kündigung bei Veränderung bestehender Software oder Aufspielen fremder Software auch ohne entsprechende Betriebsvereinbarung durchaus zulässig sein. In Bezug auf Anonymisierungssoftware könnte gegen eine ordentliche Kündigung der Datenschutz sprechen, da der Arbeitnehmer mit der Installation die Preisgabe der Seiten, welche er angesteuert hatte, verhindern wollte. Dem kann aber nicht gefolgt werden, da hier der Datenschutz zurückzustehen hat, weil dem berechtigten Interesse des Arbeitgebers an der Systemsicherheit eindeutig der Vorrang einzuräumen ist.

2. Äußerungen im firmeneigenen Intranet

Die vertragliche Nebenpflicht der Rücksichtnahme aus § 241 Abs. 2 BGB kommt auch bei Äußerungen eines Arbeitnehmers gegenüber dem Verhalten seines Arbeitgebers zum Tragen. Zu beachten ist bei den Äußerungen allerdings stets die gem. Art. 5 Abs. 1 GG geschützte Meinungsäußerungsfreiheit. Sie gilt auch im Arbeitsrecht. Daraus folgt, dass Arbeitnehmer auch unternehmensöffentlich Kritik an ihrem Arbeitgeber und den betrieblichen Verhältnissen äußern dürfen, wobei die Darstellung auch überspitzt oder polemisch sein darf. Aber wie viele Grundrechte, wird auch die Meinungsäußerungsfreiheit nicht schrankenlos gewährt. Sie findet dort ihre Grenzen, wo es zu groben Beleidigungen gegenüber dem Arbeitgeber, einer seiner Repräsentanten oder anderen Arbeitskollegen kommt. Soweit darin eine erhebliche Ehrverletzung liegt, kann dies eine außerordentliche Kündigung ohne vorherige Abmahnung rechtfertigen. Dies folgt aus dem Umstand, dass die Meinungsfreiheit mit dem Recht aus Art. 12 GG kollidiert, das die wirtschaftliche Betätigungsfreiheit des Arbeitgebers, die insbesondere durch eine Störung des Arbeitsablaufs und des Betriebsfriedens berührt werden kann, schützt. Da die Meinungsfreiheit aber für eine freiheitlich-demokratische Staatsordnung schlechthin konstituierend ist, spricht bei Äußerungen, die im Rahmen einer öffentlichen Auseinandersetzung über ein kontroverses Thema gemacht werden, grundsätzlich eine Vermutung für den Vorrang der Meinungsfreiheit. Demgemäß hat das BAG geurteilt, dass kritische und polemische Äußerungen im firmeneigenen Intranet von der Meinungsfreiheit dann gedeckt sind, wenn sie weder einen Angriff auf die Ehre des Arbeitgebers oder einer seiner Repräsentanten noch einen Angriff auf die Menschenwürde darstellen.
Doch nicht nur die textliche Darstellung als Ausdruck der Kritik am Verhalten des Arbeitgebers unterfällt der Meinungsfreiheit, sondern auch Computeranimationen. Voraussetzung ist aber auch hier, dass die Schwelle zur reinen Schmähung oder Beleidigung nicht überschritten wird.

3. Äußerungen auf privaten Homepages und Homepages des Betriebsrats

Die soeben aufgezeigten Grenzen der Meinungsfreiheit müssen Arbeitnehmer auch bei Äußerungen beachten, die außerhalb der Arbeitszeit und außerhalb der Unternehmenssphäre getätigt werden. Auch in derartigen Konstellationen ist die Berufung auf die Meinungsäußerungsfreiheit unzulässig, wenn Beleidigungen gegenüber dem Arbeitgeber ausgesprochen werden. Schließlich kann sich auch der Arbeitgeber auf sein allgemeines Persönlichkeitsrecht berufen. Dabei ist auch der Umstand zu beachten, wie groß der Personenkreis ist, der die Äußerungen, die nicht von der Meinungsäußerungsfreiheit gedeckt sind, wahrnehmen kann. Dies gilt insbesondere bei Beleidigungen des Vorgesetzten oder des Arbeitgebers auf der Privathomepage des Arbeitnehmers. Auch wenn die private Internetpräsenz in keinem Kontext mit dem Arbeitsverhältnis steht, kommt auch hier die Pflicht zur gegenseitigen Rücksichtnahme aus § 241 Abs. 2 BGB zum Tragen. Die Pflicht zur Rücksichtnahme erfordert hier noch größere Zurückhaltung, da die Äußerungen nicht nur von Arbeitskollegen, sondern von jedermann weltweit zur Kenntnis genommen werden können. Demgemäß hat unter anderem das LAG Schleswig-Holstein eine ordentliche Kündigung nach zuvor ausgesprochener Abmahnung für rechtmäßig erklärt, weil der Arbeitnehmer auf seiner privaten Homepage in Form von Verbal-injurien Beleidigungen über seinen Arbeitgeber verbreitet hatte. Zu Recht hat das LAG dabei angenommen, dass derartige Äußerungen den Betriebsfrieden in nicht hinnehmbarer Art beeinträchtigen.
Doch nicht nur Äußerungen auf der privaten Homepage können gerade wegen der Möglichkeit der weltweiten Abrufbarkeit unzulässig sein, sondern auch Veröffentlichungen auf der öffentlich zugänglichen Internetseite des Betriebsrats. Maßgeblich ist hier nicht das Gebot der Pflicht zur Rücksichtnahme, sondern der in § 2 Abs. 1 BetrVG verankerte Grundsatz der vertrauensvollen Zusammenarbeit zwischen Betriebsrat und Arbeitgeber. Demnach ist es dem Betriebsrat verwehrt, firmeninterne Vorgänge auf seiner Homepage zu veröffentlichen.

4. Kündigung wegen „Passwortdiebstahls“

Die Passwortverschlüsselung von Computern am Arbeitsplatz ist weit verbreitet und wird insbesondere auch vom Arbeitgeber beziehungsweise vom Vorgesetzten genutzt. Damit wird vorrangig der Schutz von Betriebsgeheimnissen verfolgt, aber auch der persönliche Datenschutz des Passwortinhabers. Schließlich enthalten auch die Computer von Arbeitgebern beziehungsweise Vorgesetzten oftmals private Informationen. Diese unterliegen gleichfalls dem Datenschutz, weil grundsätzlich der Betroffene darüber entscheiden darf, wer zu welchem Zweck und zu welchem Zeitpunkt Einblick in die Daten haben soll. In der Rechtsprechung besteht weitgehend Einigkeit darüber, dass der Missbrauch von Daten regelmäßig zu einer außerordentlichen Kündigung ohne vorherige Abmahnung berechtigt. Dies gilt auch dann, wenn der Arbeitnehmer heimlich das Passwort seines Arbeitgebers oder Vorgesetzten ausspioniert und sich dadurch Zugang zu den Daten verschafft, die er nicht einsehen soll. Ein derartig zielgerichtetes Handeln, dessen Rechtswidrigkeit sich jedem Arbeitnehmer aufdrängen muss, stellt einen derartig gravierenden Verstoß gegen die arbeitsrechtlichen Pflichten dar, dass mit einer Wiederherstellung des Vertrauensverhältnisses keinesfalls gerechnet werden kann.

5. Kündigung wegen Mitlesens von E-Mail-Kommunikation

Die Veröffentlichung von Inhalten privater E-Mails ohne die Einwilligung des Absenders im Internet stellt zweifelsfrei eine Verletzung des allgemeinen Persönlichkeitsrechts dar und rechtfertigt sowohl einen Löschungsanspruch als auch einen Anspruch auf Schadensersatz. Auch im Arbeitsrecht ist das allgemeine Persönlichkeitsrecht aller Beteiligten zu beachten. Soweit ein Arbeitnehmer E-Mails von Kollegen oder vom Arbeitgeber beziehungsweise eines Vorgesetzten durch ein vorsätzliches und rechtswidriges Sichverschaffen liest, dürfte zumindest eine ordentliche Kündigung auch ohne vorherige Abmahnung zulässig sein. Noch schwerer wiegt die Pflichtverletzung, wenn der Arbeitnehmer als Systemadministrator angestellt ist und entgegen eines bestehenden Verbots E-Mails seines Arbeitgebers oder sonstiger Vorgesetzten öffnet und liest. In derartigen Fällen geht unter anderem das ArbG Aachen zu Recht von der Zulässigkeit einer außerordentlichen Kündigung ohne vorherige Abmahnung aus. Schließlich missbraucht der Systemadministrator in diesem Fall seine ihm übertragene Vertrauensstellung. Hinzutritt, dass jedem Systemadministrator bewusst sein muss, dass ein unbefugtes Mitlesen strafbar ist.

Verantwortlich: A. Rülke
erstellt am:  12.11.2008      aktualisiert am:  07.11.2010