In einer aktuellen Entscheidung (6 ObA 1/22y vom 28.06.2023) befasste sich der OGH mit den datenschutzrechtlichen Aspekten der Einsichtnahme eines Geschäftsführers in das betriebliche E-Mail-Konto einer (ehemaligen) Mitarbeiterin. In deren E-Mail-Korrespondenz mit einer anderen (aufrechten) Mitarbeiterin wurde der Arbeitgeber wüst beschimpft.
Sachverhalt
Die beiden Klägerinnen waren bei der Beklagten-GmbH als Assistentinnen der Geschäftsführung beschäftigt. Die Beklagten-GmbH verwendete MS Office 365 als integrierte Lösung, wobei Mitarbeiterinnen ein eigenes Konto mit eigener E-Mail-Adresse (MS-Outlook) sowie Zugriff auf den MS-Office-Kalender und MS-Teams hatten. Assistentinnen der Geschäftsführung konnten dabei auch auf die E-Mail-Konten ihrer Vorgängerinnen zugreifen, da die E-Mail-Korrespondenz Kommunikation mit Kunden enthielt. Eine schriftliche Vereinbarung oder Erklärung zur Privatnutzung der E-Mail-Konten oder Einsichtnahme-Möglichkeit gab es nicht.
Nachdem die Zweitklägerin (einvernehmlich) aus der Beklagten-GmbH ausschied, nahm der Geschäftsführer Einsicht in deren E-Mail-Konto. Dabei erlangte dieser (zufällig) Kenntnis davon, dass die Erstklägerin der Zweitklägerin geschrieben hatte, die Beklagten-GmbH sei „ein Idiotenhaufen“, es sei dort „zum Durchdrehen“, alle seien „unfähig“, sie werde nicht mehr „viel machen“ und schreibe „gerade Bewerbungen“. Daraufhin teilte der Geschäftsführer dies der Erstklägerin unter gleichzeitiger Beendigung des Dienstverhältnisses per E-Mail mit, wobei er seine Frau, die bei der Beklagten-GmbH mit Personalangelegenheiten befasst war, in „cc“ setzte.
In weiterer Folge begehrten die Klägerinnen jeweils EUR 1.000,00 an immateriellen Schadenersatz, da die Einsichtnahme in deren E-Mail-Korrespondenz ohne deren schriftliche Zustimmung erfolgt sei und darüber hinaus ein Verstoß gegen § 96 Abs 1 ArbVG iVm § 10 AVRAG und das Grundrecht auf Datenschutz vorläge.
Die (beklagte)-GmbH berief sich auf die betriebliche Erforderlichkeit der Einsichtnahme und darauf, dass den Klägerinnen kein Schaden entstanden sei.
Die beiden ersten Instanzen wiesen das Klagebegehren zur Gänze ab. Daraufhin brachten die Klägerinnen (ordentliche) Revisionen beim OGH ein.
geklärte Rechtsfragen
1. Kontrollmaßnahmen, die die Menschenwürde berühen, sind „kollektiv“ und nicht „individuell“.
Zunächst hielt der OGH fest, dass sich § 96 Abs 1 ArbVG iVm § 10 AVRAG auf die „betriebsbezogene Kollektiv-Kontrolle“ und nicht auf die „individuelle Kontrolle“ bezieht.
Die Revisionen der Klägerinnen hatten nur die einmalige Einsichtnahme des Geschäftsführers in das E-Mail-Konto der Zweitklägerin (und nicht die Verwendung von MS Office 365 per se) zum Gegenstand. In den Revisionen wurde zwar behauptet, dass zwingend eine Einwilligung der Klägerinnen (nach § 10 AVRAG) erforderlich wäre, die Beklagten-GmbH hatte sich im Verfahren allerdings auf keine Einwilligung gestützt.
2. Eine Einsichtnahme in betriebliche E-Mails von (ehemaligen) Mitarbeiter:innen kann im berechtigten Interesse des Unternehmens erfolgen.
Der OGH erklärte auch, dass das Berufungsgericht Art 6 Abs 1 lit f DSGVO korrekt prüfte. Der OGH hielt fest, dass – von krassen Fehlbeurteilungen abgesehen – es sich bei der Beurteilung, ob eine Verarbeitung rechtmäßig iSd Art 6 Abs 1 lit f DSGVO ist, um keine erhebliche Rechtsfrage handelt.
Unter Heranziehung des „dreigliedrigen Prüfschemas“ für die nach Art 6 Abs 1 lit f DSGVO gebotene
Interessenabwägung kam der OGH zum Schluss,
- vom (wirtschaftlichen) Interesse und der Erforderlichkeit der Einsichtnahme zur Aufrechterhaltung des Unternehmensbetriebes auszugehen ist, da in der Korrespondenz auch Kunden-E-Mails enthalten waren. Ab Erkennbarkeit, dass es sich um private E-Mails handelt, müsste der Geschäftsführer die weitere Einsicht allerdings abbrechen.
Im Anlassfall handelte es sich um zwei miteinander kommunizierende Assistentinnen der Geschäftsführung. Der Geschäftsführer, der bei Einsicht des E-Mail-Kontos der Zweitklägerin zunächst nur die Absender-E-Mail-Adresse der Erstklägerin gesehen hatte, musste also nicht von einem privaten Charakter der Nachrichten, sondern viel mehr von einer dienstlichen Kommunikation ausgehen.
Da im Betrieb (und auch den Mitarbeiter:innen) bekannt war, dass Assistentinnen der Geschäftsführung auf die E-Mail-Konten ihrer Vorgängerinnen zugreifen können, hätten die (ehemaligen) Mitarbeiter:innen mit der Einsichtnahme zum Zwecke der Fortführung der betrieblichen Kommunikation rechnen müssen (soweit Nachrichten nicht erkennbar als privat gekennzeichnet sind).
Die Einsichtnahme in diese (betrieblichen) E-Mails der (ehemaligen) Mitarbeiter:innen ist auch erforderlich, um den Zweck (Aufrechterhaltung des Betriebes, Feststellung der betrieblichen Kommunikation) zu erreichen. Ohne eine Einsichtnahme in diese (betrieblichen) E-Mails kann der Zweck nicht erreicht werden.
Nach Ansicht des OGH kann von einem Überwiegen der Interessen des Unternehmens an der Einsichtnahme des E-Mail-Kontos gegenüber den Geheimhaltungsinteressen Mitarbeiter:innen ausgegangen werde.n
3. Schadenersatzanspruch iSd Art 82 DSGVO
Zum Schadenersatz hielt der OGH fest, dass der Anspruch auf (immateriellen) Schadenersatz nach Art 82 DSGVO und § 29 DSG zu beurteilen ist.
Ein Schadenersatz nach § 1328a ABGB stünde bei „erheblichen“ Verletzungen der Privatsphäre zu, etwa bei der Verwertung privater Umstände in einer Weise, die geeignet ist, die Betroffenen in der Öffentlichkeit bloßzustellen. Im Anlassfall träfe dies nicht zu, da der Geschäftsführer die E-Mails nur seiner (mit Personalangelegenheiten befassten) Frau zugänglich machte.
Auch nahm der OGH auf die Entscheidung EuGH C-300/21 („Österreichische Post“) Bezug und führte aus, dass der bloße Verstoß gegen die Bestimmungen der DSGVO nicht ausreicht um einen Schadenersatzanspruch zu begründen.
Betroffene müssten vielmehr einen Nachweis dafür erbringen, dass der Verstoß auch zu einem immateriellen Schaden (iSd Art 82 DSGVO) geführt hat.
Fazit:
Insgesamt zeigt die Entscheidung, dass Unternehmen klare „Spielregeln“ für die (Privat-)Nutzung und Einsichtnahme-Möglichkeit (betrieblicher) E-Mail-Konten festlegen sollten.
Da bei der Interessenabwägung nach Art 6 Abs 1 lit f DSGVO immer auf die Umstände des Einzelfalls abzustellen ist, ist auch weiterhin bei der (zufälligen) Einsichtnahme privater E-Mails Vorsicht geboten, aber es ist nun klargestellt, dass betriebliche Interessen zu berücksichtigen sind.
Kommentar schreiben