Ein Fachblog von Gercke Wollschläger
gw-strafrecht.de ↗ LinkedIn Kontakt

Arbeitnehmerüberwachung: Strafbarkeitsrisiken für Arbeitgeber – Video, GPS, E-Mail & MS Teams

12 Min.

AUF EINEN BLICK

Die Überwachung von Arbeitnehmern ist nicht als solche strafbar. Ein Strafbarkeitsrisiko entsteht erst, wenn die konkrete Maßnahme einen Straftatbestand erfüllt: Videoaufnahmen können § 201a StGB berühren, wenn sie den höchstpersönlichen Lebensbereich verletzen; Telefonmitschnitte § 201 StGB; das Auslesen dienstlicher E-Mails oder Teams-Nachrichten § 202a StGB, wenn eine besondere Zugangssicherung unbefugt überwunden wird; bei erlaubter Privatnutzung kann zusätzlich § 206 StGB (Fernmeldegeheimnis) in Betracht kommen. Ob eine Maßnahme strafbar oder straflos ist, hängt nicht allein von der Technik ab, sondern vom Zusammenspiel aus Tatbestand, Zugriffsbefugnis, Privatnutzung, Verdachtslage und Verhältnismäßigkeit. Daneben können Datenschutzbußgelder nach Art. 83 DSGVO drohen — je nach verletzter Pflicht bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes.

Die Überwachung eigener Beschäftigter bewegt Arbeitgeber in einem Spannungsfeld: Die Legalitätspflicht verlangt, Rechtsverstöße im Unternehmen aufzudecken — doch gerade die dafür eingesetzten Kontrollmaßnahmen können den Verantwortlichen selbst ins Visier der Strafverfolgung bringen. Dieser Beitrag ordnet die vier praktisch wichtigsten Formen strafrechtlich ein. Den systematischen Rahmen der strafrechtlichen Risiken im Arbeitsstrafrecht — von § 266a StGB über Schwarzarbeit bis Mindestlohn — liefert der Pillar-Beitrag zum Arbeitsstrafrecht.

Welche Strafnorm bei welcher Überwachungsform? Die Übersicht

Überwachungsform Mögliche Strafnorm Strafbarkeitsentscheidender Punkt
Videoüberwachung § 201a StGB Verletzung des höchstpersönlichen Lebensbereichs / besonders geschützter Raum
GPS-Ortung § 42 BDSG möglich; daneben Datenschutzbußgeld heimlich, Bewegungsprofil, eigenständige Voraussetzungen des § 42 BDSG
E-Mail-Kontrolle § 202a StGB, ggf. § 206 StGB Zugriffsbefugnis, besondere Zugangssicherung, Privatnutzung
Teams-Chat § 202a StGB, ggf. § 206 StGB Privatnutzung, Fernmeldegeheimnis, Transparenz, Verdachtslage
Telefonmitschnitt § 201 StGB nichtöffentlich gesprochenes Wort, Aufnahme oder Abhören

Videoüberwachung: § 201a StGB und die Grenzen der Rechtfertigung

Videoüberwachung am Arbeitsplatz kann den Straftatbestand des § 201a StGB nur in engen Grenzen erfüllen, birgt aber ein erhebliches Bußgeldrisiko nach Art. 83 DSGVO. § 201a Abs. 1 StGB (Verletzung des höchstpersönlichen Lebensbereichs durch Bildaufnahmen) sanktioniert das Herstellen, Übertragen, Gebrauchen und Zugänglichmachen von Bildaufnahmen mit Freiheitsstrafe bis zu zwei Jahren — jedoch nur, soweit die Aufnahme den höchstpersönlichen Lebensbereich verletzt. In der Praxis scheitert eine Strafbarkeit meist bereits am Tatbestand. § 201a Abs. 1 Nr. 1 StGB setzt einen „gegen Einblick besonders geschützten Raum“ voraus. Darunter fallen Toiletten, Wasch-, Umkleide- und Sozialräume — nicht dagegen offene Verkaufs- oder Produktionsräume, die einer beliebigen Zahl von Mitarbeitern offenstehen. Die bloße Aufnahme einer Person beim Arbeiten verletzt den höchstpersönlichen Lebensbereich regelmäßig nicht.

Auf der Rechtfertigungsebene stellt sich eine ungeklärte Frage: ob § 26 BDSG über seine datenschutzrechtliche Erlaubniswirkung hinaus auch Straftaten nach dem StGB rechtfertigen kann. Diese Frage muss normspezifisch geprüft werden und hat durch die EuGH-Rechtsprechung an Schärfe gewonnen (dazu unten). Für die verdeckte Videoüberwachung gilt datenschutzrechtlich jedenfalls: Sie ist nur zulässig, wenn gegen einen räumlich und funktional abgrenzbaren Kreis von Arbeitnehmern ein dokumentierter konkreter Verdacht einer Straftat oder schweren Pflichtverletzung besteht und die verdeckte Maßnahme als letztes Mittel verhältnismäßig ist. Das Bundesarbeitsgericht hat diese Schwelle für vergleichbar eingriffsintensive Maßnahmen bestätigt.

Solange nicht geklärt ist, ob § 26 BDSG oder unmittelbar Art. 6 DSGVO Straftaten nach dem StGB rechtfertigen kann, bleibt jede verdeckte Videoüberwachung ein Restrisiko. Bei konkretem Verdacht gegen einen Arbeitnehmer verlagert die Einbindung der Strafverfolgungsbehörden dieses Risiko — und kann zugleich die Verwertbarkeit der Erkenntnisse sichern.

Standortüberwachung per GPS: strafrechtlich und datenschutzrechtlich hochriskant

Die heimliche Standortüberwachung eines Arbeitnehmers mittels GPS ist strafrechtlich und datenschutzrechtlich hochriskant. Der Bundesgerichtshof hat mit BGH, Urt. v. 04.06.2013 – 1 StR 32/13 für den Einsatz von GPS-Empfängern durch eine Detektei entschieden, dass das heimliche Anbringen eines Empfängers zur Erstellung von Bewegungsprofilen nach damaligem Recht strafbar war (§§ 44, 43 Abs. 2 Nr. 1 BDSG a.F.). Der Senat verlangte für eine Rechtfertigung ein starkes berechtigtes Interesse und nannte als Beispiel eine notwehrähnliche Lage.

Diese Entscheidung lässt sich nicht schematisch auf die heutige Rechtslage übertragen. § 42 BDSG in der geltenden Fassung ist keine bloße Nachfolgenorm zu § 44 BDSG a.F.: Er stellt eigenständige Voraussetzungen auf — Abs. 1 etwa die Übermittlung oder das Zugänglichmachen nicht allgemein zugänglicher Daten einer großen Zahl von Personen und gewerbsmäßiges Handeln, Abs. 2 das Handeln gegen Entgelt oder in Bereicherungs- bzw. Schädigungsabsicht. Ob eine heimliche GPS-Ortung gegenüber einem Arbeitnehmer § 42 BDSG erfüllt, ist daher im Einzelfall gesondert zu prüfen und keineswegs die Regel. Unabhängig von der Strafbarkeit steht das Bußgeldrisiko nach Art. 83 DSGVO, weil jede GPS-Ortung eine Datenverarbeitung im Sinne des Art. 4 Nr. 2 DSGVO ist.

Datenschutzrechtlich zieht die Rechtsprechung enge Grenzen. Das VG Lüneburg (Urt. v. 19.03.2019 – 4 A 12/19) hat die dauerhafte Ortung von Firmenfahrzeugen mit 150-tägiger Speicherung für nicht erforderlich gehalten; vorgelegte Einwilligungen waren unwirksam, weil die Beschäftigten nicht vollständig über den Verarbeitungszweck informiert waren. Das ArbG Heilbronn (Urt. v. 30.01.2019 – 2 Ca 360/18) qualifizierte eine Telematik-Box zur Echtzeit-Erfassung des Fahrverhaltens als unzulässige „Totalüberwachung“. Eine anlasslose Standortüberwachung ist in jedem Fall unzulässig.

E-Mail- und Internetkontrolle: § 202a StGB, § 206 StGB und die Weichenstellung der Privatnutzung

Bei der Kontrolle dienstlicher E-Mails hat ein Umstand besonderes Gewicht: ob der Arbeitgeber die private Nutzung erlaubt oder verboten hat. Bei verbotener Privatnutzung steht regelmäßig § 202a StGB (Ausspähen von Daten) im Vordergrund. Bei erlaubter oder geduldeter Privatnutzung kann zusätzlich § 206 StGB (Verletzung des Fernmeldegeheimnisses) relevant werden — mit Freiheitsstrafe bis zu fünf Jahren die deutlich schärfere Norm, deren Anwendbarkeit auf Arbeitgeber aber gerade umstritten ist.

Ob § 202a StGB erfüllt ist, hängt von mehreren Voraussetzungen ab: Der Zugriff muss unbefugt erfolgen, die Daten dürfen nicht für den Zugreifenden bestimmt und müssen gegen unberechtigten Zugang besonders gesichert sein. Ein Passwort des Arbeitnehmers begründet nicht ohne Weiteres eine besondere Zugangssicherung gegenüber dem Arbeitgeber; entscheidend sind Nutzungsregelung, technische Rollenrechte, Betriebsvereinbarungen und die Frage, ob die Sicherung gerade den Zugriff des Arbeitgebers ausschließen soll. § 202a StGB ist damit kein allgemeiner E-Mail-Kontrolltatbestand. Von der Löschung eingehender E-Mails sollte der Arbeitgeber gleichwohl absehen — sie kann eine Datenveränderung nach § 303a StGB darstellen.

Für § 206 StGB genügt die technische Einordnung der Kommunikation nicht. Die Norm ist ein Sonderdelikt: Sie setzt voraus, dass die Tatsachen dem Fernmeldegeheimnis unterliegen und dem Täter als Inhaber oder Beschäftigtem eines Unternehmens bekanntgeworden sind, das geschäftsmäßig Telekommunikationsdienste erbringt. Ob ein Arbeitgeber, der die Privatnutzung gestattet, diese Anbietereigenschaft erfüllt, ist weiterhin umstritten. Ist sie zu bejahen, ist tatbestandsmäßig nicht schon die Kenntnisnahme, sondern erst die Mitteilung an Dritte (§ 206 Abs. 1 StGB) oder das Unterdrücken von Nachrichten (§ 206 Abs. 2 Nr. 2 StGB) maßgeblich. Das Fernmeldegeheimnis wanderte von § 88 TKG über § 3 TTDSG (seit 01.12.2021) in § 3 TDDDG (seit 14.05.2024). Das OLG Thüringen (Urt. v. 14.09.2021 – 7 U 521/21) bejahte die Anwendbarkeit bei erlaubter Privatnutzung, ließ die Grundfrage aber ausdrücklich offen; das LG Erfurt (Urt. v. 28.04.2021 – 1 HK O 43/20) verneinte die Anbietereigenschaft. Die Rechtslage bleibt uneinheitlich.

Microsoft-Teams-Chats: interpersonelle Kommunikation und die Bărbulescu-Kriterien

Die Überwachung von Microsoft-Teams-Chats folgt strafrechtlich denselben Weichen wie die E-Mail-Kontrolle. Teams-Chats können als interpersonelle elektronische Kommunikation einzuordnen sein; bei verbotener Privatnutzung ist § 202a StGB die im Vordergrund stehende Strafnorm, bei erlaubter Privatnutzung kann § 206 StGB hinzutreten. Für § 206 StGB genügt die Einordnung als Kommunikation aber nicht allein — zusätzlich ist zu prüfen, ob der Arbeitgeber im konkreten Nutzungsszenario dem Fernmeldegeheimnis unterliegt.

Für die Verhältnismäßigkeit gibt der Europäische Gerichtshof für Menschenrechte den Maßstab vor. In der Sache Bărbulescu/Rumänien ging es um genau diese Konstellation: die Überwachung eines dienstlichen Instant-Messenger-Accounts. Die Große Kammer entschied (Urt. v. 05.09.2017 – 61496/08), dass die Auswertung der Chatkommunikation Art. 8 EMRK verletzte, und formulierte elf Abwägungskriterien — darunter, ob der Arbeitnehmer vorab über Möglichkeit, Art und Ausmaß der Überwachung informiert wurde, ob ein legitimer Grund bestand und ob ein milderes Mittel zur Verfügung stand.

Die Intensität einer laufenden, inhaltlichen Chat-Auswertung ist hoch — vergleichbar dem Keylogger-Einsatz, den das BAG mit Urt. v. 27.07.2017 – 2 AZR 681/16 an einen Anfangsverdacht band. Eine anlasslose Vollauswertung von Teams-Chats ist daher regelmäßig unverhältnismäßig und in der Folge weder gerechtfertigt noch verwertbar.

Die gemeinsame Achse: die Rechtsgrundlage im Beschäftigungsverhältnis nach dem EuGH-Urteil

Über das Strafbarkeitsrisiko entscheidet häufig nicht allein die eingesetzte Technik, sondern die datenschutzrechtliche Rechtfertigungsebene — und diese ist seit 2023 in Bewegung. § 26 BDSG galt lange als zentrale Schaltstelle des Beschäftigtendatenschutzes. Der Europäische Gerichtshof hat § 26 Abs. 1 S. 1 BDSG für europarechtswidrig und unanwendbar erklärt, weil er keine gegenüber der DSGVO „spezifischere Vorschrift“ i. S. v. Art. 88 DSGVO ist (Urt. v. 30.03.2023 – C-34/21). Das BAG hat dies bestätigt (Urt. v. 08.05.2025 – 8 AZR 209/21). Die Verarbeitung von Beschäftigtendaten richtet sich insoweit unmittelbar nach Art. 6 DSGVO.

Der EuGH hat § 26 Abs. 1 S. 2 BDSG (Datenverarbeitung zur Aufdeckung von Straftaten) ausdrücklich nicht entschieden. Ob diese Norm als spezifischere Vorschrift fortgilt, ist offen. Für die Praxis bedeutet das: Die datenschutzrechtliche Rechtsgrundlage einer verdachtsbasierten Überwachung ist derzeit gesondert zu bestimmen — je nach Auffassung über § 26 Abs. 1 S. 2 BDSG oder unmittelbar über Art. 6 DSGVO. In beiden Fällen bleiben ein dokumentierter Verdacht und die Verhältnismäßigkeit die tragenden Voraussetzungen.

Ob eine datenschutzrechtliche Erlaubnisnorm zugleich einen Straftatbestand nach dem StGB rechtfertigt, ist eine davon zu trennende, normspezifisch zu beantwortende Frage. Je intensiver der Eingriff, desto weniger tragfähig ist eine pauschale Berufung auf eine datenschutzrechtliche Erlaubnis. Bei § 201 StGB und § 206 StGB ist die Rechtfertigung deutlich schwieriger zu begründen als bei rein datenschutzrechtlichen Tatbeständen.

Die damit verbundene Frage, welche Strafbarkeitsrisiken für Geschäftsführer aus einer fehlerhaft angeordneten oder überwachten Kontrolle entstehen, ist von der Technikfrage zu trennen. Der Haftungsmaßstab des § 43 GmbHG verlangt eine pflichtgemäße Entscheidung — einschließlich der rechtlichen Einordnung vor Implementierung einer Überwachungsmaßnahme. Auch für den General Counsel folgt daraus eine Beratungspflicht: Empfiehlt er eine Maßnahme, die strafrechtlich oder datenschutzrechtlich unzulässig ist, kann ihn eigene Verantwortung treffen.

Häufige Fragen

Ist heimliche GPS-Überwachung eines Firmenwagens strafbar?

Heimliche GPS-Ortung ist strafrechtlich und datenschutzrechtlich hochriskant. Der Bundesgerichtshof hat für den Einsatz von GPS-Empfängern durch Privatdetektive nach altem BDSG eine Strafbarkeit bejaht (BGH, Urt. v. 04.06.2013 – 1 StR 32/13). Unter heutiger Rechtslage kann § 42 BDSG in Betracht kommen, setzt aber eigenständige Voraussetzungen voraus und ist nicht schematisch mit dem alten Recht gleichzusetzen. Zusätzlich drohen ein Bußgeld nach Art. 83 DSGVO und arbeitsrechtliche Verwertungsrisiken; eine anlasslose Ortung ist stets unzulässig.

Darf der Arbeitgeber Microsoft-Teams-Chats mitlesen?

Ob der Arbeitgeber Teams-Chats auswerten darf, hängt maßgeblich davon ab, ob er die private Nutzung erlaubt hat. Bei verbotener Privatnutzung steht § 202a StGB im Vordergrund, bei erlaubter Privatnutzung kann § 206 StGB relevant werden, sofern der Arbeitgeber dem Fernmeldegeheimnis unterliegt (str.). Eine anlasslose inhaltliche Vollauswertung ist nach den Kriterien des EGMR (Bărbulescu, 05.09.2017 – 61496/08) regelmäßig unverhältnismäßig; eine inhaltliche Auswertung kommt im Kern nur bei dokumentiertem Verdacht in Betracht.

Welche Strafnorm gilt bei der Kontrolle dienstlicher E-Mails?

Bei verbotener Privatnutzung steht § 202a StGB (Ausspähen von Daten) im Vordergrund; ob der Tatbestand erfüllt ist, hängt insbesondere von Zugriffsbefugnis und besonderer Zugangssicherung ab. Bei erlaubter Privatnutzung kann § 206 StGB (Verletzung des Fernmeldegeheimnisses) mit Freiheitsstrafe bis zu fünf Jahren hinzutreten, sofern der Arbeitgeber als geschäftsmäßiger Diensteanbieter anzusehen ist. Tatbestandlich genügt dort nicht jede Kenntnisnahme, sondern insbesondere die Mitteilung an Dritte oder das Unterdrücken von Nachrichten.

Wann ist verdeckte Videoüberwachung am Arbeitsplatz zulässig?

Verdeckte Videoüberwachung ist datenschutzrechtlich nur zulässig, wenn gegen einen räumlich und funktional abgrenzbaren Kreis von Arbeitnehmern ein dokumentierter konkreter Verdacht einer Straftat oder schweren Pflichtverletzung besteht und die Maßnahme als letztes Mittel verhältnismäßig ist. Der Straftatbestand des § 201a StGB greift nur bei Verletzung des höchstpersönlichen Lebensbereichs, etwa in Umkleide- oder Sanitärräumen. Die passende datenschutzrechtliche Rechtsgrundlage ist seit dem EuGH-Urteil zu § 26 BDSG gesondert zu bestimmen.

Macht sich der Arbeitgeber strafbar, wenn er ein Diensttelefonat mitschneidet?

Das Aufnehmen oder Abhören eines Telefongesprächs des Arbeitnehmers kann § 201 StGB (Verletzung der Vertraulichkeit des Wortes) erfüllen — mit Freiheitsstrafe bis zu drei Jahren. Der Schutz gilt auch für dienstliche Gespräche. Erforderlich ist die Aufnahme auf einen Tonträger oder das Abhören mit einem Abhörgerät. Eine Rechtfertigung ist bei vertraulicher Kommunikation nur schwer zu begründen und scheidet bei privaten Telefonaten regelmäßig aus.

Ist § 26 BDSG nach dem EuGH-Urteil noch anwendbar?

Der EuGH hat § 26 Abs. 1 S. 1 BDSG für unanwendbar erklärt, weil er keine „spezifischere Vorschrift“ i. S. v. Art. 88 DSGVO ist (Urt. v. 30.03.2023 – C-34/21); das BAG hat dies bestätigt (08.05.2025 – 8 AZR 209/21). Die Verarbeitung von Beschäftigtendaten richtet sich insoweit unmittelbar nach Art. 6 DSGVO. Für § 26 Abs. 1 S. 2 BDSG (Aufdeckung von Straftaten) hat der EuGH die Frage ausdrücklich offengelassen; die Rechtsgrundlage einer verdachtsbasierten Überwachung ist daher derzeit gesondert zu bestimmen.

Die vier Überwachungsformen teilen dieselbe strafrechtliche Grundstruktur: eine potenziell einschlägige, formspezifische Strafnorm, ein flankierendes Bußgeldrisiko nach Art. 83 DSGVO und eine datenschutzrechtliche Rechtfertigungsebene, die seit dem EuGH-Urteil zu § 26 BDSG neu zu bestimmen ist. Wo der dokumentierte Verdacht fehlt oder die Verhältnismäßigkeit nicht gewahrt ist, bleibt nicht nur die arbeitsrechtliche Verwertbarkeit fraglich — es kann ein originäres Strafbarkeitsrisiko für die handelnden Unternehmensverantwortlichen entstehen. Die verwandte Frage, wann Manipulation der Arbeitszeiterfassung den Tatbestand des Betrugs erfüllt und ob der Arbeitgeber Strafanzeige stellen muss, behandelt der Beitrag Arbeitszeitbetrug: Strafanzeige und Arbeitgeberpflicht.

Quellen

Normen: § 201, § 201a, § 202a, § 206, § 303a StGB · § 26, § 42 BDSG · § 3 TDDDG · Art. 6, Art. 83, Art. 88 DSGVO · §§ 100a, 100h StPO (Gesetze im Internet)

Rechtsprechung:
EuGH, Urt. v. 30.03.2023 – C-34/21
BAG, Urt. v. 08.05.2025 – 8 AZR 209/21
BGH, Urt. v. 04.06.2013 – 1 StR 32/13
EGMR (Große Kammer), Urt. v. 05.09.2017 – 61496/08 (Bărbulescu/Rumänien), NZA 2017, 1443
BAG, Urt. v. 27.07.2017 – 2 AZR 681/16
VG Lüneburg, Urt. v. 19.03.2019 – 4 A 12/19
ArbG Heilbronn, Urt. v. 30.01.2019 – 2 Ca 360/18
OLG Thüringen, Urt. v. 14.09.2021 – 7 U 521/21
LG Erfurt, Urt. v. 28.04.2021 – 1 HK O 43/20

Literatur: Gercke/Kraft/Richter, Arbeitsstrafrecht, 3. Aufl. 2021, C.F. Müller.

Das Fundament

GrundlageUnternehmensstrafrecht DeutschlandGrundlageCompliance Officer — HaftungGrundlageBeschuldigtenrechte im StrafverfahrenGrundlageUntreue nach § 266 StGBGrundlageBetrug im WirtschaftsstrafrechtGrundlageSteuerhinterziehung § 370 AO

Criminal Compliance Briefing

Einmal im Quartal: ausgewählte Entwicklungen im Wirtschaftsstrafrecht, in der Criminal Compliance und bei internen Untersuchungen — eingeordnet aus Verteidigerperspektive.

Zum Inhalt springen