Telefoniert, administriert, ausspioniert?

CuA - Computer und Arbeit[Beitrag in „COMPUTER UND ARBEIT“ – Fachzeitschrift für Betriebs- und Personalräte zu EDV-Einsatz, Mitbestimmung und Datenschutz – Juni 2006]

Jan A. Strunk

(Datenschutz-)rechtliche Aspekte der Voice-over-IP – Kommunikation im Betrieb

Oft sind neue Technologien zunächst nur ein Spielzeug, ein belächeltes ›Gimmick‹ (etwas, mit dem man Aufmerksamkeit erregen möchte) für Technik-Freaks. Aber wenn die Technik den Kinderschuhen dann entwachsen ist und auch ihre Kinderkrankheiten überwunden hat, wird plötzlich ein akzeptiertes und allgemein genutztes Werkzeug daraus. So auch die Internet-Telefonie VoIP.

VoIP ist das Kürzel für ›Voice over Internet Protocol‹ und heißt frei übersetzt: ›Stimme über das Internet‹ (Internet-Protocol beschreibt den technischen Standard der Datenübertragung im Internet).

Diese Kommunikationstechnik wird inzwischen nicht nur von immer mehr Privatkunden genutzt, sondern auch für Firmen ist die VoIP-Technologie wegen ihrer vielfältigen zusätzlichen Nutzungsmöglichkeiten (neudeutsch: ›Mehrwertdienste‹) und insbesondere unter Kostengesichtspunkten attraktiv. Denn überall dort, wo ohnehin bereits ein Computernetzwerk betrieben wird, sind die technischen Voraussetzungen für eine verzögerungsfreie und qualitativ hochwertige Kommunikation via Datenleitung meist ohne weiteres gegeben.

Die Einführung einer VoIP-Kommunikation erfordert hier meist keinen großen Aufwand. Auch eine Erweiterung oder Beschränkung der angeschlossenen Kommunikationsgeräte ist recht simpel zu realisieren.

Kostenersparnis, Benutzungskomfort und vielseitige Nutzungsmöglichkeit werden allerdings durch einige Risiken ›erkauft‹: Da ist zum einen die erhöhte Gefährdung der Ausfallsicherheit des Unternehmensnetzwerks durch Hacker- und Virenangriffe und andererseits die unweigerlich mit der VoIP-Nutzung einhergehende Gefahr der Beeinträchtigung von Persönlichkeitsrechten der Nutzer – also vor allem der Arbeitnehmer (1).

Das Telefonat als Datensatz

Was einerseits den Vorteil der neuen Technik ausmacht, ist andererseits Problem und Gefährdungspotenzial: die Parallelnutzung der Datennetze in Unternehmen durch ›klassische‹ Datenübertragung und durch Sprachkommunikation. Dazu muss man sich klarmachen, dass Gespräche beim VoIP-Telefonat nicht über das öffentliche Telefonnetz – PSTN (2) – geführt werden, sondern zunächst über das Datennetzwerk der Firma und dann über das Internet.

Und damit unterliegen die bei jedem Telefonat übertragenen Sprachdaten naturgemäß den gleichen Sicherheitsgefahren, wie auch alle anderen über das Internet ausgetauschten Daten: So kann das Internet-Telefonat heimlich abgehört, abgefangen oder manipuliert werden – und das technisch weitaus einfacher (und damit auch für Laien zu bewerkstelligen) als beim herkömmlichen Telefonnetz.

In erster Linie gefährdet die betriebliche VoIP-Nutzung daher zwei verfassungsmäßig geschützte Grundrechte der betroffenen Arbeitnehmer: das allgemeine Persönlichkeitsrecht sowie das Recht auf informationelle Selbstbestimmung. Dabei sind in erster Linie nicht einmal die Gefahren gemeint, die von Außenstehenden (z.B. Hackern) drohen, sondern solche ›von innen‹ – aus dem Unternehmen selbst.

Die technischen Möglichkeiten der Überwachung und Auswertung des ›Telefonierverhaltens‹ sind bei einer kombinierten Nutzung von Telefon und Computer nun einmal in weitaus größerem Maße gegeben, als durch die Erfassung der Gesprächsdaten beim herkömmlichen Telefonieren. Und das gilt auch in Bezug auf die bereits recht weit reichenden Möglichkeiten zur Datenerfassung und Datenauswertung, die eine ja ebenfalls schon digital funktionierende ISDN-Anlage bietet.

Dennoch scheint es für Betriebs- und Personalräte entschieden wichtigere Themen als die Internet-Telefonie zu geben. So sensibel Belegschaften mittlerweile mit dem Thema Nutzung und Kontrolle von E-Mails umzugehen scheinen – nicht umsonst inzwischen ›guter Standard‹ in einschlägigen Betriebs-/Dienstvereinbarungen –, so unbeeindruckt stehen die Arbeitnehmer dem viel ›gefährlicheren‹ Überwachungspotenzial der VoIP-Telefonnutzung gegenüber.

Möglicherweise genügt den meisten Beschäftigten die ›Gewissheit‹, dass auch dienstliche Telefongespräche vom Arbeitgeber grundsätzlich nicht abgehört werden dürfen.

Aber ganz so einfach liegen die Dinge bei der VoIP-Nutzung nicht: Ein Telefonat ist da nichts anderes als ein weiterer im Netzwerk fließender Datenstrom. Und Datenströme werden vom systemverantwortlichen Administrator mit diversen Hilfsmitteln (Software-Tools) verwaltet, überwacht und dokumentiert. Vielen Telefonnutzern dürfte nicht einmal ansatzweise klar sein, wie weit reichend etwa die Möglichkeiten sind, auch Monate nach einem von ihnen geführten VoIP-Telefonat noch festzustellen, wann, wie lange und vor allem auch was sie dort genau mit wem besprochen haben.

(Persönlichkeits-)Profilerstellungen und andere Auswertungen sind aufgrund der zentralen Verwaltung sämtlicher tätigkeitsbezogener Kommunikationsdaten (ob E-Mail, Internet/Intranet-Besuch oder eben VoIP-Telefonat) innerhalb eines gemeinsamen Datenbanksystem natürlich besonders umfassend und vielfältig möglich. Durch Einsatz entsprechender Software lässt sich der gesamte Netzwerkverkehr problemlos aufzeichnen und auswerten.

Da neben den so genannten Verbindungsdaten auch das gesprochene Wort selbst (etwa beim Einsatz eines entsprechend eingestellten ›Netzwerk-Sniffers‹ (3) in digitalisierter Form gespeichert vorliegt, ist es nicht nur jederzeit möglich, vom Inhalt einzelner Gespräche Kenntnis zu nehmen, sondern beispielsweise auch gezielt in einer Vielzahl von Gesprächen nach bestimmten Sprachmustern zu suchen (4).

Die Kommunikation des telefonierenden Mitarbeiters kann also regelrecht ›ausgelesen‹ und jederzeit reproduziert werden. Auch wäre es kein übermäßig großes Problem, Gespräche nachträglich durch Löschen, Vertauschen oder Einfügen von Wörtern oder Sätzen zu manipulieren. Natürlich passiert so etwas nicht ständig. Schon gar nicht in der zuletzt erwähnten Form. Aber es kann passieren. Und in abgeschwächter, gleichwohl unzulässiger Form geschieht dies durchaus.

Man muss sich hier vor Augen halten, dass Netzwerk-Administratoren, die sich bisher ›nur‹ mit dem ordnungsgemäßen Funktionieren der EDV-Anlage und des Netzwerks zu befassen hatten, bei der VoIP-Nutzung mit erheblicher zusätzlicher ›Macht‹ ausgestattet sind (5).

Dass ein Administrator in ›seinem‹ Netzwerk so ziemlich alles kann, ist natürlich nicht neu. Neu ist aber der Umstand, dass die Kontrolle des herkömmlichen Datenverkehrs und der Telekommunikation nun plötzlich in einer Hand liegt. Und dass hier ein nicht zu unterschätzendes Missbrauchspotenzial gegeben ist, belegt zum Beispiel der Fall einer unbefugten E-Mail-Kenntnisnahme durch einen – deswegen gekündigten – Systemadministrator, mit dem sich das Arbeitsgericht Aachen im letzten Jahr zu befassen hatte (6).

Wann darf ausgewertet werden?

Die gesetzlichen Rahmenbedingungen, nach denen sich die Überwachungsrechte des Arbeitgebers richten, sind bei Internet-Telefonaten zunächst nicht grundlegend andere als beim herkömmlichen Telefonieren.

Es gelten – neben den Persönlichkeitsschutzrechten der Beschäftigten – die wesentlichen gesetzlichen Vorgaben des Bundesdatenschutzgesetzes (BDSG). Und das heißt vor allem: Eine Verarbeitung personenbezogener Daten ist nur dann zulässig, wenn sie entweder durch eine gesetzliche Bestimmung erlaubt ist oder wenn jeder einzelne Betroffene ihr ausdrücklich zugestimmt hat (§ 4 Abs. 1 BDSG). Hinzu kommt der allgemeine Grundsatz der Datensparsamkeit (§ 3a BDSG).

Eine mögliche gesetzliche Erlaubnis enthält insbesondere § 28 Abs. 1 Satz 1 BDSG, der unter anderem das Erheben und Speichern personenbezogener Daten oder ihre Nutzung durch den Arbeitgeber ›zu eigenen Geschäftszwecken‹ zulässt – sofern es zur Wahrung seiner berechtigten Interessen erforderlich ist und kein Grund zu der Annahme besteht, dass schutzwürdige Interessen des Arbeitnehmers die Arbeitgeberinteressen überwiegen könnten. Mit anderen Worten: Die Interessen des Arbeitgebers (z.B. an einem sicheren und wirtschaftlichen Betrieb) müssen gegen die Interessen der Arbeitnehmer (an einem möglichst weit reichenden Persönlichkeitsschutz) abgewogen werden.

So ist der Arbeitgeber zwar grundsätzlich berechtigt zu kontrollieren, ob und in welcher Weise ein Arbeitnehmer seine Arbeitsleistung erbringt (7). Er darf daher auch – in Grenzen – die ordnungsgemäße Nutzung der von ihm zur Verfügung gestellten Kommunikationseinrichtungen kontrollieren. Dafür gesteht ihm die Rechtsprechung beispielsweise die automatisierte Erfassung der äußeren Umstände eines Telefonats (Zeitpunkt, Dauer, Zielnummer) zu, um auf diese Weise dienstlich verursachte Kosten kontrollieren zu können (8).

Aus dieser Befugnis zur Kontrolle folgt allerdings nicht auch das Recht des Arbeitgebers, den Inhalt der Kommunikation ohne Wissen oder gegen den Willen der Beschäftigten zur Kenntnis zu nehmen!

Für den Bereich der ›klassischen‹ Telefonanlagen hat das Bundesverfassungsgericht bereits vor geraumer Zeit klargestellt, dass nicht nur private, sondern auch dienstliche Gespräche des Arbeitnehmers dem Schutz des allgemeinen Persönlichkeitsrechts unterliegen (9). Ebenso hat das Bundesarbeitsgericht in einer Grundsatzentscheidung 1997 festgestellt, dass das Recht am gesprochenen Wort als Teil des allgemeinen Persönlichkeitsrechts auch am Arbeitsplatz zu gewährleisten ist (10).

So viel ist damit klar: Eine ohne konkreten Anlass vorgenommene, ›flächendeckende‹ oder auch gezielte Überwachung der betrieblichen Telekommunikation durch Aufzeichnung der Gesprächsinhalte stellt ohne die ausdrückliche Einwilligung des Telefonierenden stets einen unverhältnismäßigen Eingriff in den Schutzbereich seines Persönlichkeitsrechts dar und ist daher rechtswidrig. Entsprechendes gilt für das Mithören ohne Einwilligung des Betroffenen.

Auf eine Einwilligung des Betroffenen kann nur dann und ausnahmsweise verzichtet werden, wenn Telefongespräche eines Arbeitnehmers zu Ausbildungszwecken in deren Beisein (!) mitgehört werden (11). Für offenes Aufzeichnen dürfte bei identischer Zweckbeschränkung und Interessenlage das Gleiche gelten.

Eine weitere Ausnahme soll dort gelten, wo das Mithören und Aufzeichnen zu einem speziellen Arbeitsplatz gleichsam ›dazugehört‹ – so etwa in Call-Centern.

Ausnahmen kann es ebenfalls geben bei Vorliegen eines konkreten Anlasses und strikt auf den Einzelfall bezogen – und zwar

  • wenn es um die Verhinderung oder Aufdeckung von Straftaten oder um besonders schwere Arbeitspflichtverletzungen geht und
  • wenn ein konkreter Tatverdacht gegen eine bestimmte Person oder einen bestimmten Personenkreis besteht und
  • wenn keine andere Möglichkeit zur Aufklärung besteht (12)

Bei der rechtlichen Beurteilung der Zulässigkeit von Überwachungsmaßnahmen speziell bei der VoIP-Kommunikation im Arbeitsverhältnis erlangt aber u.U. noch eine weitere gesetzliche Regelung große praktische Bedeutung:

Das Teledienstegesetz (TDG) regelt für „geschäftsmäßige“ Anbieter von Telekommunikation die Anforderungen an deren rechtliche und organisatorische Rahmenbedingungen – und damit auch, wie weitreichend die Befugnisse des Arbeitgebers im Zusammenhang mit etwaigen Protokollierungen oder Kontrollmaßnahmen sind.

Anwendbar ist das TDG aber immer nur dann, wenn sich das Angebot an „Dritte“, also Außenstehende richtet. Daran wird es beim betrieblichen Einsatz oft fehlen, denn der Arbeitnehmer ist bei betrieblicher Nutzung der Internet-Telefonie zu dienstlichen Zwecken regelmäßig kein solcher „Dritter“ i.S.d. Gesetzes.

Das TDG gilt jedoch dann, wenn (auch) die private Kommunikation via VoIP durch den Arbeitgeber zugelassen wurde. Sei es ausdrücklich, konkludent oder – wie vermutlich in den meisten Fällen – kraft betrieblicher Übung (besser wohl: Duldung).

Und in diesem Fall ist das dem Arbeitgeber zur Verfügung stehende „Überwachungsinstrumentarium“ rechtlich deutlich eingeschränkt:Er unterliegt dann zum einen speziellen Bestimmungen, die Regelungen zu den zulässigen Datenerhebungen enthalten (namentlich die §§ 91 ff. TKG).

Der Arbeitgeber, der seinen Mitarbeitern die private Nutzung betrieblicher Telekommunikationseinrichtungen ermöglicht und erlaubt, ist zum anderen aber auch explizit zur Wahrung des Fernmeldegeheimnisses verpflichtet:

Dem Fernmeldegeheimnis unterliegen gem. § 88 Abs. 1 TKG„…der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Das Fernmeldegeheimnis erstreckt sich auch auf die näheren Umstände erfolgloser Verbindungsversuche.“

Und § 88 Abs. 2 TKG verbietet dem Arbeitgeber, sich über das für die Erbringung der Telekommunikationsdienste notwendige Maß hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen und Kenntnisse über Tatsachen, die dem Fernmeldegeheimnis unterliegen, für andere Zwecke zu verwenden.

Es besteht hier somit ein generelles Kontrollverbot für den Arbeitgeber: Er darf grundsätzlich weder über die Inhalte der Telekommunikation noch über die äußeren Daten der Nutzung Auswertungen anfertigen. Lediglich für den Fall, dass die private Nutzung durch den Arbeitnehmer bezahlt werden muss, hat der Arbeitgeber die Möglichkeit, die für eine Abrechnung benötigten ›Verkehrsdaten‹ zu speichern.

Zwar hat das Bundesarbeitsgericht 1987 entschieden (13), dass sich das arbeitsvertragliche Kontrollrecht des Arbeitsgebers auch auf die ordnungsgemäße Nutzung einer Telefonanlage für Privatgespräche erstrecken soll. Seit das Telekommunikationsgesetz den Anbietern von Telekommunikationsdiensten (und dazu gehört – wie oben gezeigt – auch der Arbeitgeber, der die private Nutzung seiner Telekommunikationsanlagen gestattet) in dieser Hinsicht zwingende Beschränkungen auferlegt, kann das heute so aber nicht mehr gelten.

Im Anwendungsbereich des BDSG verbleiben dann noch die unerlaubt privat geführten Telefonate. Denn die Erfassung zwecks Aufdeckung unerlaubter Privatnutzung wäre wegen des berechtigten Interesses des Arbeitgebers grundsätzlich von der Zweckbestimmung des Arbeitsverhältnisses gedeckt.

Auch hier gilt aber stets das Verhältnismäßigkeitsprinzip: Es dürfen immer nur solche Überwachungen stattfinden, die für den angestrebten Zweck jeweils das ›mildeste‹ geeignete Mittel darstellen.

Mitbestimmungsrechte des Betriebsrats

Immer wenn die Nutzung von Telekommunikationseinrichtungen durch die Erfassung und Auswertung der Nutzungsdaten überwacht werden soll oder kann, geht es inhaltlich um die Einführung einer technischen Verhaltenskontrolle, der Betriebsrat hat also nach § 87 Abs. 1 Nr. 6 BetrVG ein Mitbestimmungsrecht.

Dies gilt auch dann, wenn die Überwachungsmöglichkeit nur Nebeneffekt einer technischen Neuerung ist, die vorrangig anderen Zwecken dient, wie das etwa auch bei der kompletten oder teilweisen Umstellung von herkömmlicher Telefontechnik auf VoIP der Fall ist.

Außerdem trifft in jedem Fall das Unterrichtungs- und Beratungsrecht aus § 90 BetrVG zu, denn bei einer VoIP-Einführung handelt es sich immer auch um die Planung technischer Anlagen mit Konsequenzen für Arbeitsverfahren und Arbeitsabläufe. Und je nachdem wie gravierend die durch die VoIP-Einführung verursachten Änderungen bei Arbeitsplätzen oder Arbeitsabläufen ausfallen, kommt auch das korrigierende Mitbestimmungsrecht nach § 91 BetrVG in Betracht.

Auf dieser rechtlichen Grundlage sollten die wesentlichen Rahmenbedingungen bereits im Vorfeld einer Umstellung auf VoIP-Telefonie in einer Betriebsvereinbarung festgehalten sein.

Diese sollte auf jeden Fall Aussagen zu folgenden Punkten enthalten:

  • Zweckbestimmung und -beschränkung
  • Modalitäten der Datenerfassung und zulässige Auswertungen
  • Adressat der Auswertungen, Zugriffsrechte (Benutzer, Umfang und Art des Zugriffs)
  • Löschfristen für gespeicherte Daten
  • Regelung zu Privatgesprächen
  • Beweisverwertungsverbot bei Verletzung der Betriebsvereinbarung
  • Sicherheitsmaßnahmen gegen Missbrauch
  • Einweisung und Schulung der Mitarbeiter
  • Rechte des Betriebsrats (insbesondere Einsichtnahme in System- und Konfigurationsunterlagen, Zugang zu den Systemgeräten)

Fußnoten:
1… Hierzu in cf: J. Konrad-Klein: VoIP – ich telefoniere, wer hört mit? in cf 12/2005 und K. Hüneke: Voice over IP – eine Technik wird hoffähig in cf 02/2004.
2… PSTN: Public Switched Telephone Network.
3… eine ›offiziell‹ der Fehleranalyse und Beseitigung von Schwachstellen im Netzwerk dienende Software, die aber auch in der Lage ist, alle gesendeten und empfangenen ›Datenpakete‹ zu speichern, zu analysieren und auch wieder in Sprache umzuwandeln.
4… Das können einzelne Wörter, zusammenhängende Begriffe, aber auch Formen emotionalen Sprechens sein, wie z.B. Ärger, Freude, Zorn usw.
5… Sie sind anderseits allerdings im Hinblick auf etwa von ihnen vorgenommene Kommunikationsauswertungen auch einem gesteigerten persönlichen Haftungsrisiko ausgesetzt.
6… Soweit ersichtlich, die erste (noch nicht rechtskräftige) Entscheidung zu dieser Thematik (ArbG Aachen, Urteil vom 16. 8. 2005 – 7 Ca 5514/04). Siehe auch: M. Pröpper in cf 3/06 ab Seite 32.
7… BAG, Beschluß v. 27.05.1986 – 1 ABR 48/84.
8… BAG, Fn. 7; soweit es die weitergehende Befugnis betrifft, auch die Zielnummer vollständig zu erfassen oder zu speichern, gehen die Auffassungen dagegen bereits auseinander.
9… BVerfG, Beschluß v. 19.12.1991 – 1 BvR 382/85.
10… BAG, Urteil vom 29. 10. 1997 – 5 AZR 508/96.
11… BAG, Beschluss vom 30. 8. 1995 – 1 ABR 4/95.
12… Vgl. hierzu: BGH, Urteil v. 25.04.1995 – VI ZR 272/94.
13… BAG, Urteil vom 13. 1. 1987, AP Nr. 3 zu § 23 BDSG.