Datenschutz
Mitarbeiterüberwachung im Betrieb
Text: Andreas Sutter | Foto (Header): © jayzynism – stock.adobe.com
Eine Modekette hat aufgrund von schweren Verstößen gegen Bestimmungen des Beschäftigtendatenschutzes jüngst ein Bußgeld i. H. v. 35,3 Millionen Euro kassiert. Das Bußgeld macht klar, dass die Mitarbeiterüberwachung den strengen Vorgaben des Datenschutzes genügen muss.
Auszug aus:
Datenschutz für Praktiker
Ausgabe Januar 2019
Jetzt Leser werden
Für die Überwachung und Kontrolle der Mitarbeiter gibt es viele offensichtliche Gründe. Controlling und Compliance rechtfertigen ein nachvollziehbares Interesse des Arbeitgebers an einer Überwachung. Aber nahezu jede Überwachungsmaßnahme beinhaltet auch eine Datenverarbeitung und unterliegt daher den Regeln des Datenschutzes.
Was bedeutet Mitarbeiterüberwachung?
Jede Maßnahme, die das Verhalten, die Kommunikation, die Arbeitszeit oder den Arbeitsort des Beschäftigten aufzeichnet, fällt unter diesen Begriff. Typische Beispiele dafür sind die Arbeitszeiterfassung, Videoüberwachung oder das Ortungssystem für Dienstfahrzeuge. Aber auch Beurteilungsgespräche gehören dazu. Bestimmte Bereiche der Überwachung fallen aufgrund der Persönlichkeitsrechte der Mitarbeiter von vornherein weg. Somit scheidet eine Videoüberwachung von Umkleideräumen oder Sanitätsbereichen genauso aus wie die Aufzeichnungen von Telefonaten. Hier gibt es ganz klare strafrechtliche Grenzen (z. B. §§ 201 und 201a StGB). Gleiches gilt für die Erstellung von Bewegungsprofilen des Arbeitnehmers.
Zwingende Vorüberlegungen
Bevor eine Mitarbeiterüberwachung geplant wird, erscheint es sinnvoll, innezuhalten und nachzudenken. Dabei folgt die Frage, ob und wo eine Überwachung überhaupt notwendig und sinnvoll ist, der ersten und viel wichtigeren Überlegung: Wie ist es um die Unternehmenskultur und -philosophie bestellt? Stehen Vertrauen und Wertschätzung nur als fröhliche Zeilen in einem Leitbild oder werden diese Begriffe tatsächlich gelebt? Wenn ja, wird das die Überwachung nicht unbedingt ausschließen, aber die Art und Weise
sowie der Umfang der Überwachung werden in jedem Fall anders ausfallen.
Mitarbeiterüberwachung und Datenschutz
Mitarbeiterdaten sind alleine schon aufgrund der Besonderheiten des Arbeitsverhältnisses besonders schützenswert. Bei jeder Überwachungsmaßnahme sind daher aus datenschutzrechtlichen Gründen die vier typischen Punkte im Vorfeld besonders zu prüfen bzw. zu implementieren:
- Definition der Verarbeitungstätigkeit und Integration im Verzeichnis der Verarbeitungstätigkeiten
- Daraus ergibt sich zwangsläufig die Prüfung der rechtlichen Grundlage und ihrer Dokumentation.
- Ebenso folgt daraus die Prüfung von angemessenen technischen und organisatorischen Maßnahmen; am Beispiel Videoüberwachung: die Fragen der Zugriffskontrolle, Speicherung und Löschung der Videodaten.
- Und zu guter Letzt: die Erfüllung der Transparenzpflichten durch geeignete Informationen nach Art. 13 und 14 DSGVO.
Die rechtlichen Grundlagen
Für die rechtliche Grundlage der Datenverarbeitung kommen drei Alternativen infrage:
1. Einwilligung – Art. 6 Abs. 1 lit. a) DSGVO
Grundsätzlich kann der Mitarbeiter in die Überwachungsmaßnahme einwilligen. Jedoch dürften dabei im Regelfall die Freiwilligkeit der Einwilligung und damit ihre Rechtmäßigkeit anzuzweifeln sein (Art. 7 Abs. 4 DSGVO). Auch wegen der generellen Widerrufbarkeit (Art. 7 Abs. 3 DSGVO) beruht die Einwilligung auf einer unsicheren Rechtsgrundlage.
2. Kollektivrechtliche Vereinbarungen – § 26 Abs. 1 Satz 1 BDSG
Das neue Bundesdatenschutzgesetz sieht diese Möglichkeit der arbeitsrechtlichen Vereinbarung ausdrücklich vor. Abgesehen davon, dass dieses die sicherste rechtliche Lösung sein dürfte, erscheint es auch alleine aus Gründen der Motivation und des Betriebsfriedens logisch, die Arbeitnehmervertretung in die Prozesse einzubeziehen. Da allerdings fast die Hälfte der Betriebe nicht tarifgebunden ist und oft auch kein Betriebsrat vorhanden ist, scheidet diese Lösung in vielen Unternehmen aus.
3. Berechtigtes Interesse – Art. 6 Abs. 1 lit. f) DSGVO
Das Besondere an dieser Rechtsgrundlage ist, dass sie zu einer Abwägung der Interessen verpflichtet. Selbstverständlich hat der Arbeitgeber i. d. R. ein berechtigtes Interesse an einer Überwachung. Dieses muss jedoch mit den Interessen und den Rechten der Mitarbeiter ins Verhältnis gesetzt werden. Hier kommt es stark auf den Einzelfall an. So dürfte die ständige Ortung eines Geldtransports gerechtfertigt sein, eine vergleichbare Überwachung aller Außendienstfahrzeuge jedoch nicht. Ein entscheidendes Kriterium bei der Interessenabwägung ist die Frage, ob es nicht ein milderes Mittel für den Arbeitgeber gibt. Im Fall der Außendienstfahrzeuge genügt vielleicht ein Ortungssystem, das nur im Fall eines Unfalls oder Diebstahls aktiviert wird.
Die Transparenzpflichten
Grundsätzlich ist der Mitarbeiter über jede Datenverarbeitung im Rahmen der Überwachung im Vorfeld zu informieren – sei es über das Intranet, per E-Mail, Post oder Aushang. In jedem Fall muss sichergestellt werden, dass die Information dem Mitarbeiter wirklich ohne Probleme zugänglich ist. Ein Aushang alleine im Personalbüro dürfte bspw. unzureichend sein.
Bei der Mitarbeiterinformation sind natürlich auch die Pflichtangaben nach Art. 13 und 14 DSGVO zu beachten. Bezüglich der Pflichtangaben bei einer Videoüberwachung verweise ich auf das entsprechende Kurzpapier Nr. 15 der DSK.
In bestimmten Fällen, wenn es um mögliche Straftaten wie z. B. Betrug oder Diebstahl geht, zieht der Arbeitgeber vielleicht eine verdeckte Überwachung vor, die geeignet scheint, den möglichen Täter zu überführen. Diesem Weg sind aber nach § 26 Abs. 1 Satz 2 BDSG enge Grenzen gesetzt. Es müssen triftige Anhaltspunkte vorliegen, die einen Verdacht begründen. Eine rein präventive, verdeckte Überwachung scheidet daher aus. Und auch hier muss die Verhältnismäßigkeit der Maßnahme überprüft werden, frei nach dem Motto: Nicht mit Kanonen auf Spatzen schießen.
Die Datenschutzfolgenabschätzung (Art. 35 DSGVO)
Je umfangreicher und engmaschiger die Überwachungsmaßnahmen sind, desto schneller besteht für den Arbeitgeber als Verantwortlichen die Pflicht, eine Datenschutzfolgenabschätzung durchführen zu müssen. Das kann bspw. bei einer sehr umfassenden Videoüberwachungstechnik mit Zoomfunktion schnell der Fall sein. Gesetzlich vorgeschrieben ist sie, wenn öffentlich zugängliche Bereiche systematisch überwacht werden (Art. 35 Abs. 3 lit. c DSGVO).
Je nach Unternehmensgröße oder Branche wird man hier auf die ISO/IEC-Norm 29134 zurückgreifen müssen, selbst wenn die umfassende Anwendung der Industrienorm nicht notwendig ist: Eine Datenschutzfolgeabschätzung ist eine umfangreiche und u. U. kostenintensive Aufgabe. Außerdem zieht diese automatisch die Pflicht zur Benennung eines Datenschutzbeauftragten nach sich (§ 38 Abs. 1 Satz 2 BDSG).
Grundsätzlich sollte sich aber ohnehin jeder Arbeitgeber, der Überwachungsmaßnahmen plant oder durchführt, von einem Datenschutzexperten beraten lassen, um hier nicht in unvorhergesehene Fallen zu tappen. Die Nicht-Durchführung einer Datenschutzfolgenabschätzung trotz einer bestehenden Pflicht löst mögliche Ordnungsgelder und im Schadensfall eine unglückliche Ausgangsposition aus.
Zeiterfassung
Schauen wir uns nun verschiedene Überwachungsvorgänge genauer an. Hinweise dazu können allerdings nur an der Oberfläche bleiben, denn auch hier gilt eines der Grundprinzipien im Datenschutz: Jeder Einzelfall ist für sich zu betrachten.
Die Arbeitszeiterfassung findet heute nur noch selten mit der klassischen Stechuhr statt. Moderne Code-Karten vereinfachen die Erfassung; das bedeutet aber auch, dass zu den technischen und organisatorischen Maßnahmen einige Überlegungen anzustellen sind (Verlust der Code-Karte, Ausfall der Erfassungstechnik, Zugriffsrechte, Datensicherung usw.).
Besondere Überlegungen sind notwendig, wenn mit der Code-Karte weitere Funktionen verbunden sind. Wenn damit auch ein Schließ- oder Zutrittssystem verbunden ist, muss durch verschiedene Maßnahmen verhindert werden, dass ein Bewegungsprotokoll des Mitarbeiters erstellt werden kann. Das gelingt z. B. durch eine Pseudonymisierung der Schließdaten. Gleiches gilt für die Kantinennutzung. Dort werden, ehe man sich versieht, auch schnell gesundheitsrelevante Daten i. S. v. Art. 9 DSGVO mit den entsprechenden Anforderungen an die technischen und organisatorischen Maßnahmen verarbeitet (z. B. Allergien und Unverträglichkeiten).
Videoüberwachung
Unabhängig davon, ob analog oder digital: Die Videoüberwachung ist in jedem Fall eine Datenverarbeitung. Zu diesem Thema ist ja schon einiges oben gesagt worden. Daher weise ich nur noch auf einen Punkt hin: Falls im Unternehmen eine Videoüberwachung erfolgt, die aber eigentlich gar nicht den Mitarbeitern, sondern den Kunden gilt, sind sehr oft auch Mitarbeiter davon betroffen. Auch dann müssen die besonderen datenschutztechnischen und -rechtlichen Fragen der Mitarbeiterüberwachung beachtet werden.
Die Risiken der Videoüberwachung sollten ohnehin zur Überlegung führen, ob diese überhaupt an allen Stellen notwendig ist. Eines der ersten bekannten Ordnungsgelder nach der DSGVO wurde übrigens aufgrund von Fehlern in diesem Punkt verhängt.
IT-Überwachung
Bestimmte Protokollierungen sind i. S. d. IT-Sicherheit unumgänglich. Das gilt insbesondere dann, wenn die private Internetnutzung im Unternehmen untersagt ist. In diesem Zusammenhang sind Stichproben-Kontrollen meistens zulässig. Aber auch hier kommt es auf den Umfang und die Tiefe der Kontrollen an.
Der berufliche Mail-Verkehr gehört zur geschäftlichen Korrespondenz, die der Arbeitgeber nicht nur prüfen darf, sondern sogar nach HGB archivieren muss.
Besonderheiten gelten bei Geheimnisträgern wie Betriebsrat oder Betriebsarzt. Hier darf der Arbeitgeber zwar Kenntnis vom Inhalt haben, der Absender und Empfänger müssen jedoch geheim bleiben. Noch nicht abschließend geklärt ist in diesem Zusammenhang die Frage, ob ein Betriebsrat ein eigener Verantwortlicher i. S. d. DSGVO ist. Sollte dies der Fall sein, gäbe es für die Verarbeitung von Betriebsrats-Mails eine Vielzahl weiterer Überlegungen anzustellen.
Sind private E-Mails oder private Chat-Nachrichten erlaubt, sind auch hier gelegentliche Stichproben-Kontrollen zulässig, wenn den Mitarbeitern die Nutzung nicht in jedem Umfang erlaubt und darauf hingewiesen wurde, dass keine Vertraulichkeit gewährleistet ist.
Fazit
Die Mitarbeiterüberwachung stellt hohe Anforderungen an den Datenschutz. Eine individuelle Beratung durch einen Datenschutzexperten ist daher dringend zu empfehlen.
Zur Person
Andreas Sutter ist Datenschutzbeauftragter, Dozent und Unternehmensberater. Er berät Mandanten u. a. aus der Finanzdienstleistung, Wohnungswirtschaft und Rechtsberatung.