In ihrer jüngsten Entscheidung im Fall von Bărbulescu gegen Rumänien hat die Große Kammer des Europäischen Gerichtshofs für Menschenrechte (EGMR) entschieden, dass Rumänien gegen Artikel 8 der Europäischen Menschenrechtskonvention verstoßen hat, da es nicht gelungen sei, ein Gleichgewicht herzustellen zwischen dem Recht des Arbeitnehmers auf Privatsphäre und dem Recht des Arbeitgebers, sein Geschäft zu sichern.

Fakten des Falles

Bogdan Bărbulescu arbeitete in einer Vertriebsgesellschaft in Bukarest. Eine seiner Aufgaben war es, ein Yahoo Messenger-Konto für den Kundendienst einzurichten und zu verwalten - Facebook war noch nicht sehr weit verbreitet.

Er war derjenige, der das Konto benutzte und er dachte, er sei der einzige, der das Passwort kannte. Nach Informationen, die im Urteil der Großen Kammer zitiert wurden, erfuhr Bărbulescu erst im Jahr 2007, dass das Unternehmen die Korrespondenz seiner Mitarbeiter überwacht hat, als eine weibliche Angestellte öffentlich bloßgestellt und entlassen wurde, weil sie das Telefon und den Drucker des Unternehmens für persönliche Zwecke benutzt hatte.

Einige Zeit später wurde Bărbulescu von seinen Vorgesetzten angerufen und beschimpft, weil er das Internet mehr als seine Kollegen missbraucht hätte. Er antwortete, er habe dies nur für Arbeitszwecke getan.

Als Antwort zeigten ihm seine Vorgesetzten 40 Seiten mit Transkripten von Gesprächen aus seinem privaten Yahoo-Konto, in denen er mit seiner Verlobten und seinem Bruder kommunizierte. Bărbulescu beschuldigte die Firma, sein Recht auf Privatsphäre zu verletzen. Er wurde dann gefeuert.

Inländisches Verfahren

Bogdan Bărbulescu suchte Hilfe bei rumänischen Gerichten und klagte gegen die Verletzung seiner Rechte. Aber das rumänische Justizsystem stellte fest, dass seine Entlassung rechtmäßig gewesen sei und dass sein Arbeitgeber dem Arbeitsrecht sowie allen anderen bestehenden Gesetzen entsprochen habe, als er ihm mitteilte, er sei überwacht worden. Der Arbeitgeber hätte das Recht, dies bei der Arbeit zu tun, weil der Mitarbeiter Computer und Internetanschluss des Unternehmens benutzt hätte. Nach Ansicht des Gerichts gehörte diese Überwachung zu den Instrumente des Unternehmens zum Schutz vor Cyberangriffen oder potenziellen Betrugsfällen.

Im Jahr 2008, nachdem er alle gesetzlichen Möglichkeiten in Rumänien ausgeschöpft hatte, sandte Bărbulescu seine Beschwerde an den EGMR, der in der ersten Entscheidung von 2016 in gewissem Umfang die Entscheidungen der rumänischen Gerichte bestätigte. Allerdings wurde die Verhandlung in die Große Kammer verlegt, die am 5. September 2017 urteilte, dass Unternehmen, um Anspruch auf solche Handlungen zu haben, bestimmte Voraussetzungen erfüllen müssen. Gleichzeitig müssen die Staaten gewisse Maßnahmen ergreifen, um sicherzustellen, dass die Rechte der Arbeitnehmer auch in diesen Situationen geschützt bleiben.

In einem von hotnews.com veröffentlichten Artikel listen Emeric Domokos-Hancu und Ovidiu Juverdeanu, die Anwälte, die Bărbulescu vor dem EGMR vertreten, die Punkte auf, die Arbeitgeber bei der Überwachung ihrer Mitarbeiter beachten müssen:

• Es genügt nicht, eine allgemeine Firmenpolitik (wie eine interne Richtlinie) zu beschließen, die den Mitarbeitern ein allgemeines Verbot der Verwendung der Ressourcen des Unternehmens auferlegt und die Arbeitnehmer in allgemeiner Weise über die Überwachung ihrer E-Mail-Korrespondenz und / oder anderer Mitteilungen informiert.
• Die Information für die Mitarbeiter über die Unternehmenspolitik zu diesem Thema sollte angepasst sein und die Art der Überwachung deutlich benennen und sie sollte so detailliert sein, dass mindestens die folgenden Punkte genannt werden:

• Ob sie nur das Stattfinden von Korrespondenz oder auch deren Inhalt überwacht wird;
• Ob alle Arten von Kommunikation oder nur ein Teil davon überwacht werden;
• Ob die Überwachung zeitlich begrenzt ist und wer die Personen sind, die Zugang zu den gewonnenen Informationen haben;
• Die Konsequenzen der Überwachung für die betroffenen Mitarbeiter;
• Die Verwendung von Überwachungsdaten durch den Arbeitgeber.

• Der Arbeitgeber sollte einen legitimen Grund für die Überwachung der Daten angeben und erklären. Aufgrund der sensiblen Beschaffenheit der Korrespondenz hat der Gerichtshof darauf hingewiesen, dass die Überwachung des Inhaltes der Korrespondenz eine detaillierte Argumentation des Arbeitgebers erfordert.

• Ein theoretischer Grund / Interesse, wie die allgemeine Notwendigkeit, schädliche IT-Systeme zu vermeiden oder die mögliche Haftung des Unternehmens für illegitime Handlungen, kann nach Auffassung des Gerichts kein wirklicher / tatsächlicher Grund sein.
• Arbeitgeber sollten sich bewusst sein, dass eine allgemeine Ankündigung der Überwachung, auch als Teil der internen Regulierung, nicht zwangsläufig die Voraussetzung erfüllt, um als besonderer Grund / besonderes Interesse zu gelten. So können Arbeitgeber verpflichtet sein, den wirklichen Grund / das tatsächliche Interesse zu erläutern und die Voraussetzungen für eine gültige Vorankündigung zu erfüllen, bevor die Überwachung der Mitarbeiterkommunikation eingeleitet wird.

• Der Arbeitgeber muss unter Berücksichtigung der Besonderheiten eines jeden Falles beurteilen, ob das verfolgte Ziel erreicht werden kann, ohne tatsächlich auf den gesamten Inhalt der Kommunikation der Mitarbeitenden zuzugreifen.

Bogdan Manolea, ein auf Informationstechnologie und digitale Rechte spezialisierter Anwalt, kommentierte auf seinem persönlichen Blog die Entscheidung der Großen Kammer und betonte die Rolle des Staates in diesem Fall:

1. Erstens haben Staaten (einschließlich Rumänien) die Verpflichtung, sicherzustellen, dass ein Arbeitgeber seine Arbeitnehmer nicht überwacht, nur weil er dies tun will und ohne das er angemessene Schutzmaßnahmen gegen Missbrauch schafft. Gleichzeitig gibt es einen großen Ermessensspielraum für die Staaten, um zu klären, wie diese Verpflichtungen erfüllt werden können - hervorgehend aus einem bestimmten normativen Rahmen oder einer angemessenen Rechtsprechung der Gerichte (einschließlich derjenigen im Bereich des Arbeitsrechts - siehe Ziffern 113-120 des Urteils für Details)
2. Zweitens sieht die EMRK in Paragraph 121 sechs Kriterien vor, die einen Mindestkern als Grundlage festlegen, der bei der Festlegung der Verhältnismäßigkeit und der Garantien bei der Überwachung der Arbeitnehmer berücksichtigt werden muss:

1. Vorherige Benachrichtigung des Arbeitnehmers,auch über die Art der Überwachung und den Zeitpunkt der Durchführung der Maßnahmen;
2. Ausmaß der Überwachung und des Eindringens in die Privatsphäre des Mitarbeiters, einschließlich Angaben über den Datenverkehr, die Inhalte oder die Standortkoordinaten;
3. Wenn der Zugang zu den Inhalten der Kommunikation erforderlich ist, müssen die legitimen Gründe identifiziert werden, warum eine solche Maßnahme notwendig ist;
4. Die Möglichkeit, ein weniger aufdringliches Überwachungssystem zu implementieren;
5. Konsequenzen der Überwachung und ob die Ergebnisse für keinen anderen Zweck verwendet wurden;
6. Ausreichende Schutzmaßnahmen für den Arbeitnehmer, insbesondere im Hinblick auf den Zugang zum Inhalt der Mitteilungen.

Bogdan Manolea sagt, dass es für die Gerichte entscheidend sein wird, das Urteil ordnungsgemäß anzuwenden: "Angesichts der Tatsache, dass der Markt voller Möglichkeiten der elektronischen Überwachung (nicht nur der Arbeitnehmer) ist, wo die meisten Beteiligten (Produzenten oder Verkäufer oder Berater)" vergessen "dass diese Möglichkeiten nur unter bestimmten rechtlichen Bedingungen genutzt werden dürfen, wird es für die Gerichte und die zuständigen Behörden entscheidend sein, die Entscheidung des EGMR ordnungsgemäß anzuwenden, um ihrer Rolle bei der Anwendung des EU-Datenschutzgesetzes - (GDPR) gerecht zu werden, damit dieses Rechtssystem wirklich funktioniert und nicht nur auf dem Papier existiert."