AUF EINEN BLICK
Die Auswertung von E-Mail-Postfach und Diensthandy in einer internen Untersuchung ist Eingriff in das allgemeine Persönlichkeitsrecht. Nach BAG 08.05.2025 – 8 AZR 209/21 hält die nationale Generalklausel des § 26 Abs. 1 Satz 1 BDSG der Öffnungsklausel des Art. 88 DSGVO nicht stand. Bei erlaubter Privatnutzung droht nach LAG Baden-Württemberg 27.01.2023 – 12 Sa 56/21 ein vollständiges Beweisverwertungsverbot. Die ersten 48 Stunden entscheiden, ob die Erkenntnisse später verwertbar bleiben.
Wenn ein Hinweisgeber meldet, ein Vertriebsleiter habe Kickback-Zahlungen erhalten, ist die erste Frage des General Counsel meist nicht die nach der Rechtsgrundlage. Sie lautet: „Greifen wir auf sein Postfach zu?“ Diese Frage ist falsch gestellt. Die richtige lautet: „Welche Daten sichern wir wann auf welche Weise, damit die Erkenntnisse später vor Arbeitsgericht, Bußgeldbehörde und Staatsanwaltschaft verwertbar bleiben — und damit unser Unternehmen nicht selbst zum Beklagten in einem DSGVO-Schadensersatzverfahren wird?“
Aus Strafverteidigerperspektive zeigt sich immer wieder: Die größten Schwierigkeiten in einer internen Untersuchung entstehen nicht durch zu wenig, sondern durch zu schnellen, undokumentierten oder dogmatisch falsch verorteten Datenzugriff. Wer in der Akut-Phase auf Postfächer und Geräte zugreift, ohne die Architektur zuvor sauber abgesteckt zu haben, produziert Beweismittel mit Verfallsdatum. Sie halten der ersten arbeitsgerichtlichen Prüfung nicht stand und entlasten am Ende — paradoxerweise — den eigenen Mitarbeiter. Schlimmer noch: Sie verwandeln den Verteidiger des Mitarbeiters in den Verbündeten der Aufsichtsbehörde gegen das Unternehmen.
Die These dieses Beitrags ist klar: Nach der BAG-Entscheidung vom 8. Mai 2025 ist die operative Architektur der internen Untersuchung in Deutschland in einer Übergangsphase, die Inhouse Counsel proaktiv gestalten müssen. Wer die Mehrebenen-Absicherung (DSGVO-Rechtsgrundlage + § 26 Abs. 1 Satz 2 BDSG für die Aufdeckungsdimension + Betriebsvereinbarung) nicht parallel aufbaut, baut auf einer einzelnen Säule, die in der nächsten EuGH-Vorlage einbrechen kann. Die folgenden Seiten ordnen die drei Datenquellen, vor denen Inhouse Counsel typischerweise stehen, und entwickeln die operativen Entscheidungsregeln nach der jüngsten Rechtsprechung.
Drei Datenquellen, drei Regelungs-Regime
Die rechtliche Behandlung des Datenzugriffs in einer internen Untersuchung hängt weniger vom Gerätetyp ab als vom Nutzungs-Status. Drei Konstellationen sind zu unterscheiden — und sie lösen jeweils ein anderes Schutzregime aus.
| Datenquelle | Privatnutzungs-Status | Rechtsgrundlage | Zentrale Hürde |
|---|---|---|---|
| Dienstlicher E-Mail-Account (rein dienstlich) | keine Privatnutzung erlaubt | Art. 6 Abs. 1 lit. f DSGVO; § 26 Abs. 1 Satz 2 BDSG bei Aufdeckung | Verhältnismäßigkeit; Stichwortsuche vor Volleinsicht |
| Dienstlicher E-Mail-Account (Privatnutzung erlaubt/geduldet) | erlaubt | Art. 6 Abs. 1 lit. f DSGVO + verschärfte Verhältnismäßigkeit | Persönlichkeitsrecht der Privatkommunikation; Trennung dienstlich/privat |
| Diensthandy (rein dienstlich) | keine Privatnutzung | Art. 6 Abs. 1 lit. f DSGVO | Stichprobenartige Kontrolle, dokumentierter Anlass |
| Diensthandy (Privatnutzung erlaubt) | erlaubt | Art. 6 Abs. 1 lit. f DSGVO + Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG | Verdeckte Auswertung führt regelmäßig zum Verwertungsverbot |
| BYOD-Privatgerät mit dienstlichen Daten | strukturell privat | Vertragliche Grundlage über BYOD-Richtlinie + DSGVO | Zugriff nur auf abgegrenzten dienstlichen Container |
| Messenger (WhatsApp, Signal, Threema) | meist gemischt | DSGVO + ggf. Fernmeldegeheimnis (str.) | E2E-Verschlüsselung; Trennbarkeit problematisch |
Diese Tabelle ist die Grundlage jeder Architekturentscheidung. Wer sie überspringt, riskiert die Verwertbarkeit der gesamten Untersuchung.
Was die BAG-Entscheidung vom 8. Mai 2025 wirklich besagt — und was nicht
Mit Urteil vom 8. Mai 2025 – 8 AZR 209/21 hat das Bundesarbeitsgericht im Anschluss an EuGH 30.03.2023 – C-34/21 (Hauptpersonalrat der Lehrerinnen und Lehrer) und EuGH 19.12.2024 – C-65/23 (K GmbH) klargestellt: § 26 Abs. 1 Satz 1 BDSG erfüllt die Anforderungen der Öffnungsklausel des Art. 88 DSGVO nicht, weil ihm die nach Art. 88 Abs. 2 DSGVO erforderlichen spezifischen Schutzmaßnahmen fehlen.
Diese Entscheidung wird in der Tagespresse oft als „Ende des § 26 BDSG“ verkauft. Das ist verkürzt und für die interne Untersuchung gefährlich.
Erstens: Das BAG hat ausdrücklich nur § 26 Abs. 1 Satz 1 BDSG für unanwendbar gehalten. Die spezifische Aufdeckungsregelung des § 26 Abs. 1 Satz 2 BDSG, die für interne Untersuchungen die zentrale Norm ist, hat das BAG nicht kassiert. Sie regelt etwas, was Satz 1 nicht regelt — die Datenverarbeitung zur Aufdeckung von Straftaten im Beschäftigungsverhältnis — und enthält damit den nach Art. 88 Abs. 2 DSGVO geforderten spezifischen Regelungsgehalt. Der EuGH hat in C-34/21 die Aufdeckungsfrage ausdrücklich offengelassen.
Zweitens: Auch § 26 Abs. 4 BDSG (Kollektivvereinbarungen) bleibt nach EuGH C-65/23 grundsätzlich anwendbar — allerdings unter der Maßgabe, dass die Kollektivvereinbarung selbst die Vorgaben der Art. 5, 6, 9 DSGVO einhalten muss und die Erforderlichkeitsprüfung der vollen gerichtlichen Kontrolle unterliegt. Der Spielraum der Betriebsparteien ist enger, aber der Pfad ist nicht versperrt.
Drittens: Soweit spezifische nationale Regelungen fehlen, ist Rechtsgrundlage unmittelbar Art. 6 Abs. 1 DSGVO — bei internen Untersuchungen typischerweise lit. f (berechtigtes Interesse). Auch das BAG geht von dieser Architektur aus.
Die operative Konsequenz für die Praxis: Inhouse Counsel sollte die Datenverarbeitung in der internen Untersuchung mehrebenig rechtfertigen. Primärrechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO mit dokumentierter Interessenabwägung. Sekundärrechtsgrundlage für die Aufdeckungsdimension: § 26 Abs. 1 Satz 2 BDSG, der nicht von der BAG-Entscheidung erfasst ist. Wenn eine Betriebsvereinbarung existiert, wird sie als zusätzliche Stütze über § 26 Abs. 4 BDSG eingebaut. Wer nur auf eine dieser drei Säulen setzt, baut riskant.
Postfach-Auswertung bei rein dienstlicher Nutzung
Ist die Privatnutzung des E-Mail-Accounts vertraglich oder per Betriebsvereinbarung untersagt und wird dieses Verbot durchgesetzt, ist der Zugriff im Rahmen einer internen Untersuchung im Regelfall zulässig — sofern die Verhältnismäßigkeitsprüfung bestanden ist. Das BAG hat diese Linie unter altem Recht in BAG 23.08.2018 – 2 AZR 133/18 (BAGE 163, 239) als Senats-Grundsatzentscheidung zur Beweisverwertung entwickelt und in BAG 31.01.2019 – 2 AZR 426/18 (BAGE 165, 255) zum Dienstrechner präzisiert.
Die Voraussetzungen lassen sich als Drei-Stufen-Test beschreiben.
Erste Stufe: dokumentierter Anlass. Es muss einen konkreten, schriftlich festgehaltenen Anhaltspunkt für eine Straftat oder schwerwiegende Pflichtverletzung geben. Die Hinweisgeber-Meldung mit Datum, der Revisionsbericht mit konkreten Auffälligkeiten, der externe Hinweis durch Kunden oder Lieferanten — all das genügt, sofern der Anlass vor dem Zugriff dokumentiert ist. Ein nachträglich konstruierter Anlass hält keiner Prüfung stand. Bei niedrigschwelligen Maßnahmen — etwa der Sichtung nicht als „privat“ gekennzeichneter Dateien auf dem Dienstrechner — hat der 2. Senat nach BAG 31.01.2019 – 2 AZR 426/18 zudem entschieden, dass auch ohne durch Tatsachen begründeten Anfangsverdacht eine zulässige Stichprobenkontrolle möglich ist.
Zweite Stufe: Erforderlichkeit und Verhältnismäßigkeit. Der Zugriff muss zur Aufklärung erforderlich sein und es darf kein milderes Mittel ausreichen. Hier liegt die größte Fehlerquelle der Praxis: Die sofortige Volleinsicht in das Postfach ist fast nie verhältnismäßig. Verhältnismäßig ist eine zweistufige Prüfung — zunächst eine automatisierte Stichwortsuche entlang vordefinierter Begriffe (Lieferantennamen, Geldbeträge, kritische Begriffe wie „Bonus“ oder „Dankeschön“), dann manuelle Sichtung nur der Treffer. Wer diese Reihenfolge ignoriert, riskiert nicht nur die Verwertbarkeit der Erkenntnisse, sondern auch DSGVO-Bußgelder nach Art. 83 Abs. 5.
Dritte Stufe: Interessenabwägung. Selbst bei dokumentiertem Anlass und gestufter Vorgehensweise muss das Aufklärungsinteresse das Persönlichkeitsrecht des Mitarbeiters überwiegen. Bei einem konkreten Verdacht auf eine schwerwiegende Vermögensstraftat fällt diese Abwägung typischerweise zugunsten des Arbeitgebers aus. Bei vagen Verdachtsmomenten oder geringfügigen Pflichtverletzungen nicht.
Die BAG-Linie zur Beweisverwertung in Kündigungsschutzprozessen — BAG 29.06.2023 – 2 AZR 296/22 (BAGE 181, 188) und Folgeentscheidung BAG 24.08.2023 – 2 AZR 17/23 — entlastet den Arbeitgeber dabei: Datenschutzverstöße führen nicht automatisch zum Beweisverwertungsverbot. Die Faustformel des Senats lautet sinngemäß: Datenschutz ist nicht Täterschutz. Aber diese Linie hat eine Grenze, die der 2. Senat ausdrücklich offen hält — bei schwerwiegenden Grundrechtseingriffen kommt das Verwertungsverbot zurück. Genau diese Grenze ist es, die der Strafverteidiger in einem späteren Strafverfahren immer wieder mit Erfolg einreden kann.
Postfach-Auswertung bei erlaubter Privatnutzung — und der Streit um das Fernmeldegeheimnis
Wird die Privatnutzung des dienstlichen E-Mail-Accounts ausdrücklich erlaubt oder über längere Zeit geduldet, verschiebt sich die Lage erheblich. Hier überlagern sich zwei Streitfragen, die Inhouse Counsel auseinanderhalten muss.
Die erste Streitfrage: Greift bei erlaubter Privatnutzung das Fernmeldegeheimnis nach § 3 Abs. 1, 2 TDDDG? Der Streit ist seit Inkrafttreten des TKG 2004 ungelöst und durch das TDDDG (in Kraft seit 14.05.2024 als Nachfolger des TTDSG) nicht abschließend geklärt. Drei Positionen stehen sich gegenüber.
Die ältere Linie der Aufsichtsbehörden, dokumentiert in der DSK-Orientierungshilfe 2016: Bei erlaubter Privatnutzung wird der Arbeitgeber zum geschäftsmäßigen Anbieter eines Telekommunikationsdienstes; das Fernmeldegeheimnis greift. Folge: kein Zugriff ohne Einwilligung des Mitarbeiters; Verstoß ist nach § 206 StGB strafbewehrt. Diese Linie hat das OLG Thüringen mit Urteil vom 14.09.2021 – 7 U 521/21 in einem viel zitierten Einzelfall ausdrücklich bestätigt — wenn auch noch unter altem Recht.
Die neue Linie der Aufsichtsbehörden: Die LDI NRW hat im 29. Tätigkeitsbericht 2024 (S. 76) die Auffassung vertreten, dass Arbeitgeber dem Telekommunikationsrecht nicht mehr unterliegen, weil ihnen der Rechtsbindungswille fehle, als geschäftsmäßiger TK-Anbieter aufzutreten. Der BfDI und weitere Landesdatenschutzbehörden teilen diese Position laut LDI-NRW-Bericht. Die Bundesnetzagentur hat sich in einer Stellungnahme im Sommer 2025 angeschlossen. Folge: nur DSGVO und BDSG, keine telekommunikationsrechtlichen Sondervorgaben.
Die Gegenmeinung in der Literatur: Heilmann/Herrmann in BeckOK IT-Recht (Borges/Hilber, 14. Edition, § 3 TTDSG Rn. 21–25) halten an der Anwendbarkeit fest, weil die Definition der „geschäftsmäßigen“ TK-Dienste nicht auf Gewinnerzielung, sondern auf Nachhaltigkeit abstellt — und die mehrjährige Bereitstellung eines E-Mail-Systems mit erlaubter Privatnutzung diese Nachhaltigkeit erfüllt.
Aus Strafverteidigerperspektive ist die Beurteilung pragmatisch: Solange weder BAG noch BVerfG die Frage höchstrichterlich entschieden haben, ist die Anwendbarkeit des Fernmeldegeheimnisses ein offenes Risiko. Die DSK hat ihre Orientierungshilfe von 2016 nicht förmlich zurückgezogen; die LDI-NRW-Linie ist die Position einer einzelnen Aufsichtsbehörde, kein DSK-Beschluss. Wer auf die LDI-NRW-Linie setzt und das Fernmeldegeheimnis ignoriert, geht das Risiko ein, dass eine Strafverteidigung des Mitarbeiters in einem späteren Strafverfahren auf der älteren Linie aufbaut und Beweisverwertungsverbot reklamiert. Die belastbare Praxis-Empfehlung lautet: weiterhin von der Anwendbarkeit ausgehen — solange die Frage nicht durch DSK-Beschluss oder höchstrichterliche Rechtsprechung geklärt ist.
Die zweite Streitfrage: Welche operativen Konsequenzen hat die erlaubte Privatnutzung für die Datenauswertung? Hier ist das LAG Baden-Württemberg im Urteil vom 27. Januar 2023 – 12 Sa 56/21 die maßgebliche Linie. Drei Punkte stellt das LAG klar.
Erstens: Bei erlaubter oder geduldeter Privatnutzung muss die Auswertung im Rahmen der Verhältnismäßigkeitsprüfung verschärft kontrolliert werden. Eine verdachtsunabhängige Überprüfung muss in aller Regel angekündigt werden, mit klarer Nennung der Gründe. Verdeckte Auswertungen sind nur in eng begrenzten Ausnahmefällen zulässig.
Zweitens: Wenn ein mobiles Endgerät dem Mitarbeiter zur einvernehmlichen Mischnutzung überlassen wird, durfte der Mitarbeiter berechtigterweise annehmen, dass sich die Erlaubnis auch auf andere Kommunikationsformen wie E-Mail bezieht. Die isolierte Erlaubnis „Privatnutzung des Telefons, aber nicht der E-Mail“ hält der Realität der Mischnutzung selten stand.
Drittens: Wird die Privatnutzung erlaubt und der Arbeitgeber wertet trotzdem verdeckt aus, folgt regelmäßig ein gerichtliches Beweisverwertungsverbot — und ein DSGVO-Schadensersatzanspruch des Mitarbeiters nach Art. 82 DSGVO. Das LAG sprach in dem entschiedenen Fall 3.000 Euro zu und betonte ausdrücklich, dass der Betrag „fühlbar“ sein müsse.
Diensthandy: was nach LAG Baden-Württemberg 27.01.2023 gilt
Die Entscheidung des LAG Baden-Württemberg vom 27. Januar 2023 – 12 Sa 56/21 ist die für Inhouse Counsel wichtigste Diensthandy-Entscheidung der vergangenen Jahre. Der Sachverhalt: Der Arbeitgeber hatte das iPhone eines Mitarbeiters bei dessen Privatnutzung verdeckt forensisch ausgelesen, ohne Einwilligung, ohne Ankündigung, ohne Differenzierung zwischen dienstlichen und privaten Daten. Das Ergebnis: vollständiges Beweisverwertungsverbot, Schadensersatz, Persönlichkeitsrechtsverletzung.
Das Gericht stellte ausdrücklich klar: Bei erlaubter Privatnutzung eines Diensthandys schützt das allgemeine Persönlichkeitsrecht aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG den privaten Kommunikationsbereich umfassend — unabhängig davon, ob sich die privaten Inhalte auf einem dienstlichen Gerät befinden. Eine heimliche Auswertung verletzt dieses Grundrecht und führt zum Verwertungsverbot. Die Kündigungen, die der Arbeitgeber auf die so gewonnenen WhatsApp-Nachrichten und privaten E-Mails gestützt hatte, verloren ihre Grundlage.
Für die Inhouse-Praxis folgt daraus eine klare Reihenfolge. Vor jeder Diensthandy-Auswertung bei erlaubter Privatnutzung ist zu klären: Liegt eine schriftliche Einwilligung des Mitarbeiters vor, die freiwillig erteilt wurde? Wurde die Auswertung vorher angekündigt mit klarer Zweckbestimmung? Ist eine Trennung dienstlicher und privater Inhalte technisch möglich, etwa über einen MDM-Container? Ist die forensische Auswertung das mildeste verfügbare Mittel?
Wenn auch nur eine dieser Fragen mit „Nein“ beantwortet wird, kommt eine Auswertung im Regelfall nicht in Betracht — oder sie wird Beweismittel produzieren, das vor Gericht nicht standhält.
Bei rein dienstlich genutzten Diensthandys ist die Lage entspannter. Der Arbeitgeber darf Verbindungsdaten einsehen, Ortungsdaten abrufen und im Verdachtsfall auch Kommunikationsinhalte sichten. Aber auch hier gilt die Verhältnismäßigkeitsprüfung — und sie wird umso strenger, je mehr Indizien für eine geduldete Privatnutzung sprechen. Die bloße Tatsache, dass die Privatnutzung formal verboten ist, schützt den Arbeitgeber nicht, wenn er sie über Jahre geduldet hat. Das BAG hat in 23.08.2018 – 2 AZR 133/18 die „berechtigte Privatheitserwartung“ als entscheidendes Abwägungskriterium etabliert; sie kann auch bei formal verbotener, aber faktisch geduldeter Privatnutzung greifen.
Messenger-Daten: die schwierigste Kategorie
WhatsApp, Signal, Threema und vergleichbare Dienste sind aus Inhouse-Sicht die problematischste Datenkategorie. Drei Probleme überlagern sich.
Erstens: Ende-zu-Ende-Verschlüsselung. Der Arbeitgeber hat technisch keinen Zugriff auf die übertragenen Inhalte, sondern nur auf das Gerät des Mitarbeiters. Das verschiebt die Auswertung zwingend auf das physische Endgerät und damit in das Regime der Diensthandy-Forensik mit allen oben genannten Hürden.
Zweitens: Die Trennung zwischen dienstlicher und privater Kommunikation ist auf Messengern in der Regel nicht möglich. Auch wenn dienstliche Themen über WhatsApp besprochen werden, finden sich auf demselben Gerät private Chats mit Familie und Freunden. Eine selektive Auswertung scheidet damit faktisch aus.
Drittens: Hinsichtlich des Schutzes von Chat-Inhalten und der Beweisverwertbarkeit existiert noch keine konsolidierte BAG-Linie. Das BAG hat in 24.08.2023 – 2 AZR 17/23 die in 29.06.2023 – 2 AZR 296/22 begonnene Linie zur Beweisverwertung bei DSGVO-Verstößen fortgeschrieben, ohne sich speziell zu Messenger-Daten zu äußern. Eine Übertragung der Privatheitserwartungs-Rechtsprechung auf Messenger-Daten liegt nahe, ist aber nicht abgesichert.
Die Inhouse-Konsequenz lässt sich klar formulieren: Unternehmen, die für interne Untersuchungen vorgesorgt haben wollen, müssen vor der Krise dienstliche Kommunikationskanäle einrichten, die von privaten Messenger-Apps strikt getrennt sind. Microsoft Teams, Slack mit unternehmensgehosteter Instanz, vergleichbare Lösungen mit klar kommunizierter Untersuchungs-Befugnis für den Arbeitgeber. Wer in der Akut-Situation auf private WhatsApp-Chats des Mitarbeiters zugreifen muss, hat in der Vorbeugung versagt — und wird die Kosten dafür im Verfahren tragen.
BYOD-Geräte: der Sonderfall
Bring-Your-Own-Device-Konstellationen sind in deutschen Großunternehmen seltener als in der angelsächsischen Welt, aber sie existieren. Die rechtliche Architektur unterscheidet sich grundlegend von der des Diensthandys: Das Gerät gehört dem Mitarbeiter, das Unternehmen hat keinen sachenrechtlichen Zugriff. Der Zugriff ist nur über vertragliche Grundlagen möglich, die in der BYOD-Richtlinie geschaffen werden müssen.
Mobile Device Management mit Container-Lösung ist hier der Standard: Die dienstlichen Daten werden in einem abgegrenzten, vom Unternehmen verwalteten Container gespeichert, auf den der Arbeitgeber zugreifen kann. Außerhalb dieses Containers hat das Unternehmen keine Zugriffsrechte — und keine Auskunftsansprüche. In der internen Untersuchung darf die Auswertung sich also nur auf den Container beziehen, nicht auf das Gesamtgerät.
Bei Beendigung des Arbeitsverhältnisses ist ein „Selective Wipe“ auf den dienstlichen Container vertraglich abzusichern. Ein vollständiges Löschen des Privatgeräts wäre rechtswidrig und mit Schadensersatzansprüchen verbunden.
Betriebsrats-Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG
Soweit im Rahmen einer Untersuchung technische Einrichtungen eingesetzt werden, die zur Verhaltens- oder Leistungsüberwachung von Mitarbeitern geeignet sind, greift das Mitbestimmungsrecht des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG. Das gilt für Keylogger, Bildschirmaufzeichnungen, E-Mail-Monitoring-Software, Zutrittskontrollsysteme — und auch für strukturierte Compliance-Befragungssysteme, die auf eine Verhaltens- oder Leistungsbeurteilung des Mitarbeiters abstellen.
Die Mitbestimmung greift „erzwingbar“. Ohne Betriebsvereinbarung oder zumindest dokumentierte Abstimmung mit dem Betriebsrat sind die so gewonnenen Erkenntnisse in aller Regel unverwertbar — sowohl im Arbeitsgerichtsverfahren als auch im späteren Strafverfahren. Im Strafverfahren wird die Verteidigung diesen Punkt ausnutzen, um die Beweisverwertung anzugreifen; im Bußgeldverfahren reduziert sich dadurch der Beleg für ein „funktionierendes CMS“ nach BGH 09.05.2017 – 1 StR 265/16 (BGHSt 62, 223). Beide Konsequenzen sind aus Unternehmenssicht teuer.
Die Praxis-Konsequenz: Der Betriebsrat ist bei jeder strukturierten Untersuchungs-Maßnahme einzubinden, sobald technische Mittel zum Einsatz kommen. Die Einbindung kann eilig erfolgen, sie kann auch im Rahmen einer Rahmen-Betriebsvereinbarung „Compliance-Untersuchungen“ vorab geregelt werden. Was sie nicht darf: ausgelassen werden.
Datenschutz-Folgenabschätzung: Pflicht, nicht Empfehlung
Art. 35 DSGVO verlangt eine Datenschutz-Folgenabschätzung, wenn die Datenverarbeitung „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen“ birgt. Eine systematische Auswertung von Postfächern, Endgeräten und Messenger-Daten in einer internen Untersuchung erfüllt dieses Kriterium praktisch immer. Die DSFA ist damit nicht Empfehlung, sondern Pflicht.
Die Pflichtinhalte ergeben sich aus Art. 35 Abs. 7 DSGVO: Beschreibung der geplanten Verarbeitungsvorgänge, Zweck, Bewertung von Notwendigkeit und Verhältnismäßigkeit, Risikobewertung, technische und organisatorische Schutzmaßnahmen. Die DSFA muss vor Beginn der Datenverarbeitung vorliegen — nicht „spätestens nach Abschluss der Untersuchung“, wie es in der Praxis manchmal heißt. Eine fehlende DSFA ist selbst Bußgeldtatbestand nach Art. 83 Abs. 4 lit. a DSGVO mit einem Rahmen bis zu 10 Mio. EUR oder zwei Prozent des weltweiten Konzernumsatzes.
Der betriebliche Datenschutzbeauftragte ist nach Art. 35 Abs. 2 DSGVO frühzeitig einzubeziehen. „Frühzeitig“ heißt: vor der Mandatserteilung an externe Forensik-Dienstleister, nicht erst danach.
Inhouse-Counsel-Checkliste: Vor jeder Auswertung
Vor jeder geplanten Auswertung von E-Mail-Postfach, Diensthandy oder vergleichbarer Datenquelle sind neun Fragen zu beantworten — und ihre Antworten zu dokumentieren.
| # | Frage | Bei „Nein“: Konsequenz |
|---|---|---|
| 1 | Liegt ein dokumentierter, datierter Verdachts-Anlass vor? | Auswertung vertagen, Anlass nachdokumentieren |
| 2 | Welche Datenquelle (E-Mail, Diensthandy, BYOD, Messenger)? | Regelungs-Regime anwenden |
| 3 | Ist die Privatnutzung erlaubt, geduldet oder ausgeschlossen? | Verschärfte Hürde bei Erlaubnis/Duldung |
| 4 | Ist die Auswertung zur Aufklärung erforderlich? | Auswertung vertagen oder Umfang reduzieren |
| 5 | Ist die Stichwortsuche vor Volleinsicht eingerichtet? | Auswertung vertagen, Stichwortliste erstellen |
| 6 | Ist der Betriebsrat eingebunden, wo erforderlich? | Auswertung vertagen, Betriebsvereinbarung schließen |
| 7 | Liegt die DSFA nach Art. 35 DSGVO vor? | Auswertung vertagen, DSFA durchführen |
| 8 | Ist die Mehrebenen-Rechtsgrundlage dokumentiert (Art. 6 Abs. 1 lit. f DSGVO + § 26 Abs. 1 Satz 2 BDSG + ggf. BV)? | Vor Auswertung Dokumentation anlegen |
| 9 | Ist die Reaktion auf Treffer (Eskalations-Pfad, externer Verteidiger) festgelegt? | Akuter Fehler bei späterer Behördenkonfrontation |
Die Checkliste ist nicht abschließend, aber sie deckt die häufigsten Stolperfallen ab, an denen interne Untersuchungen in der gerichtlichen Auseinandersetzung scheitern.
Was Strafverteidiger in der Verteidigung des Mitarbeiters tun
Aus der Strafverteidigerperspektive zeigt sich der gleiche Sachverhalt mit umgekehrter Stoßrichtung. Wenn ein Mitarbeiter nach einer internen Untersuchung beschuldigt wird, ist die erste Prüfung nicht die des materiellen Tatverdachts, sondern die der Beweisgewinnung. Wurde die DSFA vor dem Zugriff erstellt? Lag ein dokumentierter Anlass vor? Wurde der Betriebsrat eingebunden? Wurde Stichwortsuche vor Volleinsicht eingehalten? Bei erlaubter Privatnutzung: gab es eine Einwilligung oder eine Ankündigung? Wurde die Mehrebenen-Rechtsgrundlage in der DSFA sauber benannt — oder nur lapidar auf den ohnehin angreifbaren § 26 Abs. 1 Satz 1 BDSG verwiesen?
Wo Inhouse Counsel diese Architektur nicht eingehalten hat, kommt das Beweisverwertungsverbot in Reichweite. Was im Arbeitsgericht nach BAG 29.06.2023 – 2 AZR 296/22 noch durchgehen kann, ist im Strafverfahren oft nicht mehr verwertbar — und im Bußgeldverfahren gegen das Unternehmen wird die schlampige Untersuchung zum Argument gegen das CMS.
Die Folge: Eine schlecht geführte interne Untersuchung schadet dem Unternehmen doppelt. Sie scheitert an der Aufklärung des Sachverhalts, und sie produziert die Beweise, mit denen der Strafverteidiger des Mitarbeiters die Mitschuld des Unternehmens an Verfahrensfehlern dokumentiert. Eine sauber geführte Untersuchung dagegen erfüllt die Aufklärungspflicht, sichert das Bußgeld-mildernde-CMS-Argument und verhindert die DSGVO-Schadensersatz-Welle.
Die ersten 48 Stunden entscheiden. Sie entscheiden nicht über das Was der Aufklärung, sondern über die Verwertbarkeit ihrer Erkenntnisse über die nächsten zwei Jahre.
Häufige Fragen
Wann darf der Arbeitgeber das E-Mail-Postfach eines Mitarbeiters durchsuchen?
Bei rein dienstlich genutztem Postfach ist die Auswertung zulässig, wenn ein dokumentierter Anlass für eine Straftat oder schwerwiegende Pflichtverletzung vorliegt, die Maßnahme verhältnismäßig ist und kein milderes Mittel ausreicht. Rechtsgrundlage ist nach BAG 08.05.2025 – 8 AZR 209/21 nicht mehr § 26 Abs. 1 Satz 1 BDSG, wohl aber Art. 6 Abs. 1 lit. f DSGVO und ergänzend § 26 Abs. 1 Satz 2 BDSG für die Aufdeckungsdimension. Stichwortsuche vor Volleinsicht ist Pflicht.
Darf ich das Diensthandy eines Mitarbeiters in einer Compliance-Untersuchung auswerten?
Bei rein dienstlich genutztem Diensthandy ist die Auswertung im Verdachtsfall zulässig. Bei erlaubter oder geduldeter Privatnutzung ist sie nur unter sehr engen Voraussetzungen möglich. LAG Baden-Württemberg 27.01.2023 – 12 Sa 56/21 hat bei verdeckter Auswertung eines privat genutzten Diensthandys ein vollständiges Beweisverwertungsverbot ausgesprochen und 3.000 EUR DSGVO-Schadensersatz zugesprochen.
Was gilt, wenn die private Nutzung des Diensthandys gestattet ist?
Bei erlaubter Privatnutzung schützt das allgemeine Persönlichkeitsrecht aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG den privaten Kommunikationsbereich umfassend. Eine verdeckte Auswertung ist nahezu ausgeschlossen. Erforderlich sind regelmäßig schriftliche Einwilligung des Mitarbeiters, vorherige Ankündigung der Auswertung mit Zweckbestimmung und technische Trennung dienstlicher und privater Inhalte über MDM-Container.
Greift das Fernmeldegeheimnis im Unternehmen?
Streitig. Die LDI NRW (29. Tätigkeitsbericht 2024), der BfDI und die BNetzA verneinen die Anwendbarkeit des § 3 Abs. 2 TDDDG bei erlaubter Privatnutzung. Die ältere Linie der DSK-Orientierungshilfe 2016 und das OLG Thüringen 14.09.2021 – 7 U 521/21 bejahen sie. Die Gegenmeinung wird in der Literatur (BeckOK IT-Recht) weiterhin vertreten. Bis zur höchstrichterlichen Klärung sollte Inhouse Counsel von der Anwendbarkeit ausgehen.
Darf ich WhatsApp- oder Signal-Nachrichten lesen?
Praktisch nur bei rein dienstlicher Nutzung des Endgeräts und in eng begrenzten Verdachtsfällen. Die Ende-zu-Ende-Verschlüsselung erzwingt einen Zugriff auf das physische Gerät, was dem Diensthandy-Regime unterliegt. Die fehlende Trennung dienstlich/privat macht selektive Auswertung praktisch unmöglich. Die Konsequenz: Unternehmen, die in Untersuchungen auf Messenger-Daten zugreifen müssen, brauchen vorab eingerichtete dienstliche Messenger-Kanäle.
Wann muss der Betriebsrat einer Datenauswertung zustimmen?
§ 87 Abs. 1 Nr. 6 BetrVG schreibt zwingende Mitbestimmung vor, wenn technische Einrichtungen zum Einsatz kommen, die zur Verhaltens- oder Leistungsüberwachung der Mitarbeiter geeignet sind. Das umfasst E-Mail-Monitoring-Software, Keylogger und strukturierte Compliance-Befragungssysteme. Ohne Betriebsvereinbarung oder dokumentierte Abstimmung folgt regelmäßig das Verwertungsverbot.
Was passiert, wenn die Auswertung gegen die DSGVO verstößt?
Drei Konsequenzen drohen parallel. Erstens: Beweisverwertungsverbot in Arbeitsgericht und Strafverfahren, je nach Schwere des Verstoßes. Zweitens: DSGVO-Schadensersatzanspruch des Mitarbeiters nach Art. 82 DSGVO, der nach LAG-BW-Linie „fühlbar“ sein muss und im Vier- bis Fünfstelligen-Bereich liegen kann. Drittens: Aufsichtsrechtliches Bußgeld nach Art. 83 DSGVO bis zu 20 Mio. EUR oder vier Prozent des weltweiten Konzernumsatzes.
Ist eine Datenschutz-Folgenabschätzung Pflicht?
Ja. Systematische Auswertung von Postfächern, Endgeräten und Messenger-Daten in einer internen Untersuchung erfüllt regelmäßig das Hochrisiko-Kriterium des Art. 35 DSGVO. Die DSFA ist vor Beginn der Datenverarbeitung zu erstellen, nicht erst nach Abschluss der Untersuchung. Eine fehlende DSFA ist selbst Bußgeldtatbestand nach Art. 83 Abs. 4 lit. a DSGVO mit einem Rahmen bis zu 10 Mio. EUR oder zwei Prozent des weltweiten Konzernumsatzes.
Grundlage: Rechtlicher Überblick
- Interne Untersuchungen im Unternehmen: Leitfaden für General Counsel
- Unternehmensstrafrecht: Haftung, Sanktionen & Verteidigung
- § 30 OWiG — Unternehmensgeldbuße
