OGH 6ObA1/22y

Spruch:

Die Revisionen werdenzurückgewiesen.

Die klagenden Parteien sind jeweils zur Hälfte schuldig, der beklagten Partei die mit 460,40 EUR (darin enthalten 76,73 EUR an Umsatzsteuer) bestimmten Kosten der Revisionsbeantwortung binnen 14 Tagen zu ersetzen.

Begründung:

[1] Die Klägerinnen waren als Assistentinnen der Geschäftsführung bei der Beklagten beschäftigt: die Zweitklägerin vom 16. 10. 2017 bis zur am 18. 6. 2020 vereinbarten einvernehmlichen Auflösung zum 23. 7. 2020, die Erstklägerin vom 14. 5. 2018 bis zur Kündigung durch die Beklagte zum 31. 7. 2020.

[2] Die Beklagte verwendete in ihrem Betrieb Microsoft Office 365 als integrierte Lösung. Jede Mitarbeiterin hatte ein eigenes Konto mit eigenem Passwort und einer eigenen E‑Mail‑Adresse in Microsoft Outlook sowie Zugriff auf die MS Office‑Kalenderfunktion und MS Teams. Langte eine MS Teams Nachricht ein, wenn der Benutzer offline ist, wurde eine – einen Teil der Nachricht beinhaltende – Benachrichtigung an dessen E‑Mail‑Adresse übermittelt. Assistentinnen der Geschäftsführung wurde Zugriff auf die E‑Mail‑Konten ihrer Vorgängerinnen und der Geschäftsführer eingeräumt, was den Klägerinnen bekannt war. Diese hatten auch kein Problem damit, dass sie in die Korrespondenz der Vorgängerin Einsicht nahmen. Die Einsichtnahme war relevant, weil darin die Kommunikation mit Kunden, insbesondere hinsichtlich Angeboten und Verträgen sowie die Korrespondenz dazu enthalten war. Weder hinsichtlich einer Privatnutzung der dienstlichen Soft- und Hardware noch hinsichtlich der Einsichtnahme in E‑Mail‑Konten bestand eine schriftliche Vereinbarung oder Erklärung. Der Erstklägerin war die Privatnutzung von Betriebsmitteln jedoch durch den (damaligen zweiten) Geschäftsführer eingeräumt worden.

[3] Am Tag nach der einvernehmlichen Auflösung des Arbeitsverhältnisses der Zweitklägerin, welche bis dahin im Namen des Geschäftsführers mit Kunden kommunizierte, nahm der Geschäftsführer der Beklagten Einsicht in ihr E‑Mail‑Konto. Dabei erlangte er Kenntnis davon, dass die Erstklägerin der Zweitklägerin geschrieben hatte, die Beklagte sei „ein Idiotenhaufen“, es sei „zum Durchdrehen“, alle seien unfähig, sie werde „net viel machen“ und sie schreibe gerade Bewerbungen. Der Geschäftsführer der Beklagten teilte dies der Erstklägerin mit E‑Mail vom 19. 6. 2020 unter gleichzeitiger Beendigung des Arbeitsverhältnisses mit.

[4] Den Klägerinnen war es sehr peinlich, dass ihre Korrespondenz dem Geschäftsführer der Beklagten zur Kenntnis gelangte. Insbesondere wollten sie nicht, dass er die ihn betreffenden Äußerungen liest und sie bloßstelle. Die Äußerungen wurden vom Geschäftsführer der Beklagten in einem E‑Mail an die Erstklägerin, das er auch in Kopie („cc“) an seine bei der Beklagten mit Personalangelegenheiten befasste Frau sendete, thematisiert, nicht jedoch weiteren Personen übermittelt. Die Klägerinnen wurden auch nicht bloßgestellt.

[5] Mit ihren (nahezu wortgleichen) Klagen begehrten die Klägerinnen jeweils die Zahlung von 1.000 EUR an immateriellem Schadenersatz und brachten vor, die Einsichtnahme in die Korrespondenz der Klägerinnen durch die Beklagte sei ohne schriftliche Zustimmung der Klägerinnen erfolgt und verstoße gegen das Verbot innerbetrieblicher Kontrollmaßnahmen gemäß § 96 Abs 1 ArbVG iVm § 10 AVRAG. Es sei damit außerdem auch in das Grundrecht der Klägerinnen auf Datenschutz eingegriffen und Art 6 DSGVO verletzt worden. Die Klägerinnen seien in ihrem Vertrauen auf einen rechtstreuen Arbeitgeber verletzt worden und wüssten nun, dass sämtliche private Korrespondenz durch die Beklagte gelesen worden sei.

[6] Die Beklagtewendete ein, eine Kontrollmaßnahme iSd § 96 Abs 1 ArbVG iVm § 10 AVRAG habe nicht vorgelegen. Die Einsichtnahme sei erforderlich gewesen, um betriebliche Informationen weiterhin zu erhalten und offene Aufgaben bearbeiten zu können. Die Beklagte habe nicht in die Rechte der Klägerinnen eingegriffen. Die Klägerinnen hätten auch keinen immateriellen Schaden erlitten.

[7] Das Erstgericht verband die beiden Verfahren und wies die Klagebegehren zur Gänze ab, weil es bereits an der für das Vorliegen eines immateriellen Schadens notwendigen Erheblichkeitsschwelle mangle.

[8] Das Berufungsgerichtbestätigte dieses Urteil. Eine Zustimmung der Klägerinnen sei nicht erforderlich gewesen. Die im Rahmen des hier relevanten Art 6 Abs 1 lit f DSGVO vorzunehmende Interessensabwägung ergebe, dass die Interessen der Beklagten an der Datenverarbeitung das Interesse der Klägerinnen überwogen habe. Eine Verletzung der Datenschutzbestimmungen liege nicht vor.

[9] Das Berufungsgericht sprach aus, dass die ordentliche Revision zulässig sei, weil höchstgerichtliche Rechtsprechung zur (punktuellen) Einsicht des Arbeitgebers in E‑Mail‑Konten von Arbeitnehmern nach Beendigung des Arbeitsverhältnisses bzw Dienstfreistellung fehle.

Rechtliche Beurteilung​

[10] Die dagegen gerichteten (im Wesentlichen gleichlautenden) Revisionen der Klägerinnensind entgegen dem – den Obersten Gerichtshof nicht bindenden (§ 508a Abs 1 ZPO) – Ausspruch des Berufungsgerichts nicht zulässig.

[11] 1.1. Gemäß § 96 Abs 1 Z 3 ArbVG bedarf die Einführung von Kontrollmaßnahmen und technischen Systemen zur Kontrolle der Arbeitnehmer durch den Betriebsinhaber, sofern diese Maßnahmen (Systeme) die Menschenwürde berühren, zu ihrer Rechtswirksamkeit der Zustimmung des Betriebsrats. Korrespondierend dazu normiert § 10 Abs 1 AVRAG, dass die Einführung und Verwendung von Kontrollmaßnahmen und technischen Systemen, welche die Menschenwürde berühren, unzulässig ist, es sei denn diese Maßnahmen werden durch eine Betriebsvereinbarung iSd § 96 Abs 1 Z 3 ArbVG geregelt oder erfolgen in Betrieben, in denen – wie im vorliegenden Fall – kein Betriebsrat eingerichtet ist, mit Zustimmung des Arbeitnehmers. Unter einer Kontrollmaßnahme im Sinne dieser Bestimmungen ist die systematische Überwachung von Eigenschaften, Handlungen oder des allgemeinen Verhaltens von Arbeitnehmern durch den Betriebsinhaber zu verstehen. Es geht dabei um von Seiten des Betriebsinhabers veranlasste Regelungen, die insbesondere vorschreiben, wann, unter welchen Umständen und auf welche Weise Arbeitnehmer während ihrer Arbeitsleistung oder überhaupt während ihres Aufenthalts im Betrieb zu irgendeinem Zweck überprüft werden (9 ObA 60/22x [ErwGr 1., 2.1.]; 9 ObA 120/19s [ErwGr 2.1., 2.3.]). Diese Bestimmungen kommen nur zur Anwendung, wenn es sich um eine betriebsbezogene Kollektiv-Kontrolle und nicht bloß um eine individuelle Kontrolle handelt (vgl 6 ObA 1/18t [ErwGr 6.1.]; 6 ObA 1/06z).

[12] 1.2. Gegen die Verwendung des Microsoft Office‑365‑Systems im Betrieb der Beklagten wenden sich die Revisionen nicht. Die erkennbare Auffassung des Berufungsgerichts, die Anwendbarkeit des § 10 Abs 1 AVRAG auf die hier zu beurteilende (einmalige) Einsichtnahme in das E-Mail-Konto der Zweitklägerin durch den Geschäftsführer der Beklagten scheitere bereits am Vorliegen einer Kontrollmaßnahme im Sinne dieser Bestimmung, findet jedoch Deckung in der erörterten Rechtsprechung.

[13] 1.3. Auch Erwägungen zum Anwendungsbereich der Öffnungsklausel des Art 88 DSGVO (vgl 6 Ob 1/18t [ErwGr 6.1.]) im Hinblick auf § 10 Abs 1 AVRAG, die die Revisionen ohnehin nicht enthalten, können daher dahinstehen.

[14] 2.1. Die in E‑Mails enthaltenen Informationen sind in der Regel als personenbezogene Daten iSd Art 4 Z 1 DSGVO anzusehen (6 Ob 1/18t [ErwGr 3.1.]). Die Beurteilung des Berufungsgerichts, da es im vorliegenden Fall keine Anhaltspunkte dafür gebe, dass sensible Daten iSd Art 9 DSGVO in den E‑Mails enthalten wären, sei die Rechtmäßigkeit der Verarbeitung der Daten nach Art 6 DSGVO zu beurteilen, ist nicht korrekturbedürftig (6 Ob 1/18t [ErwGr 3.3.]).

[15] 2.2. Art 6 DSGVO regelt jene Tatbestände, die eine Verarbeitung von Daten rechtfertigen. Nach Art 6 Abs 1 UAbs 1 DSGVO können auch mehrere Erlaubnisnormen nebeneinander bestehen. Daraus ergibt sich, dass grundsätzlich alle Tatbestände gleichwertig sind und nicht etwa die Einwilligung zwingend neben einem weiteren Tatbestand erfüllt sein muss (RS0133706).

[16] 2.3. Auf eine – nach Ansicht der Revisionen gemäß § 10 AVRAG zwingend erforderliche (siehe dazu aber oben Punkt 1.2.) – Einwilligung der Klägerinnen iSd Art 6 Abs 1 lit a DSGVO in die hier strittige Datenverarbeitung hat sich die Beklagte im vorliegenden Fall nicht gestützt. Die Revisionsausführungen zu einem „Rückgriffsverbot“ (unter Hinweis auf Kastelitz/Hötzendorfer/Tschohl in Knyrim, DatKomm Art 6 DSGVO Rz 15, 17) auf einen anderen Erlaubnistatbestand des Art 6 Abs 1 DSGVO gehen daher ins Leere. Eine aufzugreifende Fehlbeurteilung des Berufungsgerichts, das den Sachverhalt nach Art 6 Abs 1 lit f DSGVO beurteilt hat, wird damit nicht aufgezeigt.

[17] 2.4. Die Verarbeitung personenbezogener Daten ist nach Art 6 Abs 1 lit f DSGVO unter drei kumulativen Voraussetzungen zulässig. Erstens muss von dem für die Verarbeitung Verantwortlichen oder von einem Dritten ein berechtigtes Interesse wahrgenommen werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein und drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, nicht überwiegen (RS0133919). Ein Indiz für das Überwiegen der Interessen, Grundrechte und Grundfreiheiten des Betroffenen gegenüber dem Verarbeitungsinteresse des Verantwortlichen kann insbesondere darin zu erkennen sein, dass die Datenverarbeitung in einem Kontext erfolgt, in dem ein Betroffener vernünftigerweise nicht mit einer Verarbeitung rechnen muss (6 Ob 87/21v [ErwGr 4.3.]).

[18] Bei der Beurteilung der Rechtmäßigkeit der Verarbeitung von Daten iSd Art 6 Abs 1 lit f DSGVO handelt es sich um eine Frage, die – von krassen Fehlbeurteilungen abgesehen – in der Regel keine erhebliche Rechtsfrage darstellt. Vielmehr hängt die Entscheidung ausschließlich vom Ausgang der Abwägung der jeweiligen einander gegenüberstehenden Interessen im konkreten Einzelfall ab (6 Ob 87/21v [ErwGr 4.4.]).

[19] 2.5. Das Berufungsgericht sah das berechtigte (wirtschaftliche) Interesse und die Erforderlichkeit der Einsichtnahme in das E‑Mail‑Konto der Zweitklägerin darin, dass diese zur Aufrechterhaltung des Unternehmensbetriebs der Beklagten nach dem Ausscheiden der Zweitklägerin notwendig war, weil darin Kunden‑ und Vertragspartnerkommunikation enthalten war. Das diese Auffassung unvertretbar wäre, ist nicht erkennbar. Auch die Revisionen enthalten dazu keine Ausführungen.

[20] 2.6. Bei der Interessensabwägung ist das Berufungsgericht ohnehin im Sinne der Revisionsausführungen davon ausgegangen, dass die Beklagte ab Erkennbarkeit, dass es sich um private Korrespondenz handle, die weitere Einsicht abbrechen habe müssen. Es erwog jedoch, dass aus der – zunächst als Indiz heranzuziehenden – Absender-E‑Mail‑Adresse bzw der Person der Absenderin, hier der Erstklägerin, im Falle zweier miteinander kommunizierender Assistentinnen der Geschäftsführung nicht auf den privaten Charakter der Nachrichten zu schließen, sondern im Gegenteil von einer dienstlichen Kommunikation auszugehen gewesen sei. Weder aus dem Vorbringen noch aus den Feststellungen ergebe sich, dass der Geschäftsführer der Beklagten vor Kenntnisnahme des Inhalts der streitgegenständlichen Kommunikation von deren privaten Charakter ausgehen hätte müssen. Gegenteiliges legen auch die Revisionen nicht dar. Soweit deren Argumentation darauf aufbaut, der Geschäftsführer der Beklagten habe in sämtliche private Korrespondenz der Klägerinnen oder in einen von der Zweitklägerin als „privat“ gekennzeichneten E‑Mail‑Ordner Einsicht genommen, entfernen sie sich von den Feststellungen.

[21] Ausgehend davon, dass im Betrieb der Beklagten Assistentinnen der Geschäftsführung Zugriff auf die E‑Mail‑Konten ihrer Vorgängerinnen bekamen, weil darin Kommunikation mit Kunden enthalten war und dies auch den Klägerinnen bekannt war, leitete das Berufungsgericht ab, dass diese vernünftigerweise mit einer Einsichtnahme in das E‑Mail‑Konto der Zweitklägerin zum Zwecke der Fortführung der betrieblichen Kommunikation rechnen hätten müssen, soweit Nachrichten nicht als privat erkennbar gewesen seien.

[22] Im Hinblick auf diese Umstände erkannte das Berufungsgericht im vorliegenden Fall ein Überwiegen der Interessen der Beklagten an der Einsichtnahme gegenüber jenen der Klägerinnen auf Schutz ihrer personenbezogenen Daten und ihrer Privatsphäre.

[23] Mit dem bloßen Hinweis, das berechtigte Interesse der Beklagten überwiege nicht jenen der Klägerinnen, deren Grundrechte und Grundfreiheiten betroffen seien, insbesondere nicht über jenen Zeitpunkt hinaus, ab dem der Beklagten der private Charakter der Nachricht erstmals bekannt werde, sodass diese in die private Korrespondenz nicht zur Gänze Einsicht nehmen habe dürfen, legen die Revisionen keine vom Obersten Gerichtshof im Einzelfall aufzugreifende Fehlbeurteilung dar.

[24] Das Berufungsgericht war überdies der Auffassung, es überwiege das Interesse der Beklagten an der Information der mit Personalangelegenheiten befassten Mitarbeiterin und an der Kündigung des Arbeitsverhältnisses der Erstklägerin als Assistentin der Geschäftsführung, die über das Unternehmen und die dort Tätigen schimpfe, ihre Tätigkeit auf ein Minimum reduzieren und das Arbeitsverhältnis beenden wolle, jenem der Erstklägerin an der Aufrechterhaltung dieses Arbeitsverhältnisses. Auf diese Erwägungen des Berufungsgerichts gehen die Revisionen gar nicht ein.

[25] 2.7. Damit versäumen es die Revisionen aber, im Zusammenhang mit der vom Berufungsgericht verneinten Datenschutzverletzung eine erhebliche Rechtsfrage iSd § 502 Abs 1 ZPO aufzuzeigen.

[26] 3.1. Die Revisionen stützen den behaupteten Anspruch auf Ersatz eines immateriellen Schadens auf eine Datenschutzverletzung. Ein solcher Schadenersatzanspruch wäre gemäß § 1328a Abs 2 ABGB nicht nach Abs 1 dieser Bestimmung zu beurteilen, sondern nur nach Art 82 DSGVO bzw § 29 DSG (vgl 6 Ob 209/16b [ErwGr 7.2.]).

[27] 3.2. Aus § 16 ABGB wird – ebenso wie aus anderen durch die Rechtsordnung geschützten Grundwerten wie Art 8 EMRK – das jedermann angeborene Persönlichkeitsrecht auf Achtung seines Privatbereichs und seiner Geheimsphäre abgeleitet. Entscheidend für den jeweiligen Schutz ist eine Güter‑ und Interessensabwägung. Diese hat sich an den Umständen des Einzelfalls zu orientieren (7 Ob 248/09k; RS0125721; vgl EGMR Bsw 61496/08 [Barbulescu/Rumänien] Kristoferitsch/Struth,Rechtsprechung des EGMR, ecolex 2018, 288).

[28] Auch insoweit legen die Revisionen nicht dar, weshalb im vorliegenden Fall eine solche Abwägung zu ihren Gunsten ausschlage. Selbst wenn man daher aus dem bloßen Hinweis auf einen Eingriff in ihre Privatsphäre entnehmen wollte, dass sich die Klägerinnen neben einer Datenschutzverletzung auch darauf stützten, brächten die Revisionen damit keine erhebliche Rechtsfrage zur Darstellung.

[29] Bereits das Berufungsgericht hat überdies darauf hingewiesen, dass ein immaterieller Schadenersatzanspruch nach § 1328a ABGB dem Verletzten nur bei „erheblichen“ Verletzungen der Privatsphäre zustünde. Entscheidend sind daher die Intensität und das Ausmaß der Verletzung. Als Beispiel nennt das Gesetz für die Erheblichkeit des Eingriffs in die Privatsphäre die Verwertung von privaten Umständen in einer Weise, die geeignet ist, den Betroffenen in der Öffentlichkeit bloßzustellen. Bei Beurteilung der Erheblichkeit eines Eingriffs kommt es auf die Umstände des Einzelfalls an (9 ObA 120/19s [ErwGr 4.]).

[30] Eine in den Revisionen weiterhin behauptete Bloßstellung der Klägerinnen ist den Feststellungen nicht zu entnehmen. Neben seiner im Betrieb tätigen Ehefrau hat der Geschäftsführer der Beklagten die private Nachricht niemandem zugänglich gemacht. Der in den Revisionen angeführten Entscheidung 9 ObA 120/19s lag keine an Intensität und Dauer vergleichbare Persönlichkeitsrechtsverletzungen zu Grunde, weil es dort während des gesamten Dienstverhältnisses zu einer ständigen Überwachung des Aufenthalts des Arbeitnehmers gekommen war.

[31] 4. Der Anregung in den Revisionen, ein Vorabentscheidungsersuchen gemäß Art 267 AEUV an den Gerichtshof der Europäischen Union (EuGH) zu stellen, war nicht näher zu treten. Die in den Revisionen formulierten Fragen im Zusammenhang mit einer Zustimmung der Klägerinnen nach Art 10 Abs 1 AVRAG oder dem behaupteten „Rückgriffsverbot“ stellen sich im vorliegenden Fall – wie dargelegt – nicht. Die hier ebenfalls nicht präjudizielle Entscheidung des EuGH über das im Verfahren 6 Ob 35/21x eingeholte Vorabentscheidungsersuchen liegt mittlerweile vor. Danach reicht der bloße Verstoß gegen die Bestimmungen der DSGVO nicht aus, um einen Schadenersatzanspruch zu begründen. Die Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, ist nicht vom Nachweis befreit, dass diese Folgen einen immateriellen Schaden iSd Art 82 DSGVO darstellen (EuGH C‑300/21 [Rn 50]).

[32] 5. Die Kostenentscheidung gründet auf §§ 41, 50 ZPO. Die Beklagte hat auf die Unzulässigkeit der Revisionen hingewiesen. Sie hätte die ohnedies identischen Revisionsbeantwortungen aber miteinander verbinden können, weshalb nur die Entlohnung für einen Schriftsatz gebührt, allerdings auf Basis des summierten Streitwerts von 2.000 EUR und unter Berücksichtigung des Streitgenossenzuschlags nach § 15 lit a RATG.