Dürfen Arbeitgebende den Dienst-PC durchsuchen und private Daten dem Arbeitsgericht vorlegen? Das hat die österreichische Datenschutzbehörde (DSB) in einem Bescheid vom 4sep2025 (GZ:2025-0.178.139) bejaht, unter bestimmten Voraussetzungen.
Die Entscheidung berührt ein Spannungsfeld, das in der betrieblichen Praxis allgegenwärtig ist: das Aufeinandertreffen von Arbeitgeberkontrollrechten und dem Grundrecht auf Datenschutz.
Sachverhalt
Der Beschwerdeführer war langjähriger Mitarbeiter einer Salzburger Luftverkehrsgesellschaft und dort für die Aufrechterhaltung der Lufttüchtigkeit von Luftfahrzeugen zuständig. Im Februar 2024 erreichte die Geschäftsleitung ein Schreiben aus der Belegschaft, in dem erhebliche Mängel in der Arbeitsleistung des Beschwerdeführers beanstandet wurden. In der Folge wurde der Beschwerdeführer gekündigt und dienstfrei gestellt.
Die Arbeitgeberin nahm daraufhin Einsicht in den Dienst-PC des Beschwerdeführers, um einerseits den Fortbetrieb sicherzustellen und andererseits den im Raum stehenden Dienstverletzungen nachzugehen. Dabei stieß die Arbeitgeberin auf eine Fülle privater Daten: Intimaufnahmen, Familien- und Urlaubsfotos, Bewerbungsschreiben bei anderen Unternehmen, ein politisches Satirebild, Kreditkartenabrechnungen über Privateinkäufe und den Entwurf eines Kündigungsschreibens. Eine interne Richtlinie zur Privatnutzung des Dienst-PCs existierte im Unternehmen nicht.
Der Beschwerdeführer focht die Kündigung gemäß § 105 Abs 3 Z 2 ArbVG vor dem Landesgericht Salzburg als Arbeits- und Sozialgericht (LG Salzburg) an. Die Arbeitgeberin legte die am Dienst-PC gefundenen privaten Daten als Beweismittel vor, unter anderem um zu beweisen, dass der Beschwerdeführer seinen dienstlichen Pflichten nicht nachgekommen sei und die IT-Infrastruktur übermäßig privat genutzt habe. Der Beschwerdeführer erhob daraufhin Beschwerde wegen Verletzung seines Rechts auf Geheimhaltung, Information und Löschung.
Die Entscheidung
Die DSB wies die Beschwerde als unbegründet ab:
Zum Recht auf Geheimhaltung stützte sich die Behörde auf eine umfassende Interessenabwägung nach Art 6 Abs 1 lit f DSGVO. Entscheidend war, dass die Einsichtnahme auf einem begründeten Verdacht beruhte, der durch das Schreiben der Belegschaft ausgelöst wurde. Die DSB hielt fest, dass der Beschwerdeführer, der seine privaten Daten eigenständig auf dem Dienst-PC gespeichert hatte, vernünftigerweise damit rechnen musste, dass dieser im Falle eines arbeitsrechtlichen Verfahrens ausgewertet wird. Die Behörde verwies dabei auf die arbeitsrechtliche Treuepflicht gemäß § 1153 ABGB. Diese greife umso intensiver, je höher die Vertrauensstellung im Betrieb sei – was bei einer sicherheitsrelevanten Tätigkeit in der Luftfahrt zweifellos der Fall war.
Bemerkenswert ist, dass sich unter den gefundenen Daten auch sogenannte besondere Kategorien personenbezogener Daten im Sinne des Art 9 Abs 1 DSGVO befanden: Intimaufnahmen, die Rückschlüsse auf das Sexualleben ermöglichen, sowie ein politisches Satirebild. Die DSB erachtete deren Verarbeitung dennoch als zulässig, da sie zur Verteidigung von Rechtsansprüchen (Art 9 Abs 2 lit f DSGVO) erforderlich war. Der Beschwerdeführer konnte zudem nicht nachweisen, seine Daten in eigens als privat gekennzeichneten Ordner abgelegt zu haben. Das schwächte seine Position zusätzlich. Die Behörde stellte jedoch ausdrücklich klar, dass selbst eine solche Kennzeichnung die Einsichtnahme bei einem begründeten Verdacht nicht unzulässig gemacht hätte.
Auch die Übermittlung der Daten an das LG Salzburg im Rahmen der Kündigungsanfechtung erachtete die DSB als rechtmäßig. Das Argument des Beschwerdeführers, Zeugeneinvernahmen wären als gelinderes Mittel in Betracht gekommen, akzeptierte die Behörde nicht. Diese hätten zum Inhalt der gespeicherten Daten keine Aussage machen können.
Zum Recht auf Information entschied die DSB, dass der Beschwerdeführer bereits über die wesentlichen Informationen verfügte: Er hatte die Daten selbst gespeichert und musste spätestens mit Einbringung der Kündigungsanfechtung damit rechnen, dass sein Dienst-PC ausgewertet wird. Die Ausnahme gemäß Art 13 Abs 4 bzw Art 14 Abs 5 lit a DSGVO greife daher.
Zum Recht auf Löschung verwies die DSB auf die Ausnahmebestimmung des Art 17 Abs 3 lit e DSGVO: Solange das arbeitsgerichtliche Verfahren anhängig ist, dürfen die Daten zur Verteidigung von Rechtsansprüchen weiter gespeichert werden.
Praktische Konsequenzen für Unternehmen und Beschäftigte
Die Entscheidung verdeutlicht, dass Arbeitgebende bei begründetem Verdacht auf Dienstpflichtverletzungen rechtmäßige Möglichkeiten zur Einsichtnahme in dienstliche IT-Infrastruktur haben. Das gilt selbst dann, wenn dabei private oder sogar besonders sensible Daten zutage treten. Gleichzeitig zeigt der Fall, wie risikoreich es für Beschäftigte sein kann, private Daten auf dem Dienst-PC zu speichern, insbesondere wenn keine klare betriebliche Regelung zur Privatnutzung existiert.
Unternehmen sollten klare und schriftlich dokumentierte Richtlinien zur Privatnutzung betrieblicher Infrastruktur implementieren. Für Beschäftigte gilt umgekehrt: Wer private Daten auf einem Dienst-PC speichert, sollte sich bewusst sein, dass kein absoluter Schutz vor einer Einsichtnahme durch Arbeitgebende besteht.
Private Daten am Dienst-PC | Arbeitgebende dürfen bei Verdacht zugreifen
