Überwachung von Mitarbeitenden im Betrieb vs. Datenschutz

Der Deutsche Gewerkschaftsbund (DGB) hat einen Gesetzesentwurf für einen besseren Beschäftigtendatenschutz vorgelegt. Der Gesetzesentwurf soll Beschäftigte vor Überwachung und unrechtmäßiger Datenverarbeitung schützen. Nach Ansicht des DGB sei dies bislang nicht ausreichend durch das Datenschutzrecht geregelt. Doch braucht es einen Beschäftigtendatenschutz in Hinblick auf Überwachung der Beschäftigten oder sind die bisherigen Regelungen völlig ausreichend? Dieser Beitrag soll eine kurze Übersicht geben.

1. Derzeitige rechtliche Regelungen zum Beschäftigtendatenschutz

Die EU-Datenschutz-Grundverordnung (DSGVO) hat keine konkreten Regelungen hinsichtlich des Beschäftigtendatenschutzes getroffen. Es ist jedoch möglich, auf Grundlage der sogenannten Öffnungsklausel (Art. 88 DSGVO) Regelungen zum Beschäftigtendatenschutz heranzuziehen. Der deutsche Gesetzgeber macht mit dem § 26 Bundesdatenschutzgesetz (BDSG) von der Öffnungsklausel gebrauch. § 26 BDSG gilt in Verbindung mit kollektivrechtlichen Regelungen als Zentralnorm zur Regelung des Beschäftigtendatenschutzes in Deutschland. Durch den § 26 BDSG ist eine Verarbeitung personenbezogener Daten von Beschäftigten erlaubt, wenn diese für „Zwecke des Beschäftigungsverhältnisses“ notwendig sind. Die Zwecke des Beschäftigungsverhältnisses ergeben sich aus § 26 Abs. 1 S. 1 BDSG, wenn zur Entscheidung über die Begründung eines Beschäftigungsverhältnisses sowie für seine Durchführung und Beendigung personenbezogene Daten verarbeitet werden.

Eine Besonderheit in § 26 Abs. 1 S. 1 BDSG ermöglicht sogar Beschäftigtendaten zur Aufdeckung von Straftaten zu verarbeiten. Diese Norm gilt jedoch nur für die Aufdeckung und nicht für die Verhinderung von Straftaten bzw. noch nicht eingetretenen Situationen, die eine Straftat darstellen.

2. Gesetzesentwurf des DGB für besseren Beschäftigtendatenschutz

Der DGB wendet ein, dass beispielsweise die Videoüberwachung am Arbeitsplatz, das Abhören von Mitarbeitenden oder GPS-Tracker zur Nachverfolgung unrechtmäßige Datenverarbeitungen sind. Dennoch sind es gern eingesetzte Methoden der Arbeitgeber. Oft sogar heimlich. Die bereits bestehenden Datenschutzregelungen der DSGVO sowie des BDSG setzen bereits enge Grenzen. Nach Ansicht des DGB müsse jedoch eine Rechtsgrundlage dafür geschaffen werden, dass Persönlichkeitsrechte am Arbeitsplatz gewahrt werden, damit eine unzulässige Überwachung und Datenverarbeitung vermieden wird.  Der Entwurf des DGB für ein Beschäftigtendatenschutz soll der unrechtmäßigen Datenverarbeitung ein Ende bereiten. Doch reichen die derzeit bestehenden Datenschutzrechte sowie bereits rechtskräftige Urteile nicht schon aus?

3. Regelungen zur Kontrolle von Mitarbeitenden

Die Kontrolle von Beschäftigten ist eine Verarbeitung von personenbezogenen Daten. Wenn Mitarbeiter ausschließlich zu Mitteilungen über gewisse Umstände, Vorfälle oder Zustände gebeten werden, dann handelt es sich nicht um eine Erhebung von Informationen, die einer datenschutzrechtlichen Erlaubnis bedürfen. Erst mit einem konkreten Personenbezug, wenn es sich um eine identifizierte oder identifizierbare natürliche Person handelt, ist eine datenschutzrechtliche Erlaubnis notwendig. Für viele vom Arbeitgeber eingesetzte Überwachungsformen erlaubt die Eröffnungsklausel (Art. 88 Abs. 1 DSGVO) die Verarbeitung von Beschäftigtendaten. Nach Art. 88 Abs. 2 DSGVO werden auch Überwachungssysteme am Arbeitsplatz erwähnt. Dabei handelt es sich um offen oder verdeckt durchgeführte Maßnahmen zur Kontrolle von Mitarbeitern. Dazu kann u.a. die Zugangskontrolle, die Kontrolle des E-Mail-Verkehrs und der Internetnutzung sowie die Videoüberwachung gezählt werden. Die durchgeführten Maßnahmen haben jedoch Grenzen.

4. Grenzen der Mitarbeiterkontrolle

Aus datenschutzrechtlicher Sicht sind Kontrollen bei begründetem (Anfangs-)Verdacht in gezielter Form möglich. Möglich macht das Art. 32 DSGVO und § 26 Abs. 5 BDSG. Danach sind die Unternehmen verpflichtet geeignete Schutzmaßnahmen zu treffen, die sicherstellen, dass personenbezogene Daten angemessen geschützt und die Grundprinzipien der DSGVO eingehalten werden.

Problematisch könnte jedoch dann aus arbeitsrechtlicher Sicht die Beweisverwertung sein. Kontrollen sind also möglich, sofern nicht aus arbeitsrechtlichen Gründen etwas dagegenspricht. Im Falle einer gerichtlichen Auseinandersetzung könnte die Beweisverwertung problematisch sein. So sollte die Zustimmung des Arbeitnehmers bestenfalls eingeholt werden. Wenn man den jüngsten Entscheidungen der Arbeitsgerichte folgt, dann sind gezielte sowie zeitlich begrenzte Kontrollen (z.B. bei der Auswertung des Surfverhaltens eines Arbeitnehmers auf dem Dienstrechner) bei begründetem Anfangsverdacht jedoch auch ohne Zustimmung des betroffenen Arbeitnehmers möglich. Voraussetzung ist, dass Hinweise auf eine umfangreiche private Nutzung des Geräts vorliegen und eine private Nutzung des Internets im Arbeitsvertrag untersagt ist. Die insoweit gewonnenen personenbezogenen Daten unterliegen dann keinem Beweisverwertungsverbot und dürfen folglich in einem etwaigen gerichtlichen Prozess zu Lasten des Arbeitnehmers verwendet werden (LAG Berlin-Brandenburg im Urteil vom. 14.01.2016, Az.: 5 Sa 657/15).

5. Sind stichprobenartige Kontrollen zulässig?

Die Zulässigkeit von Überwachungsmaßnahmen wird nach der Rechtsprechung des Bundesarbeitsgerichts (Urteil vom 27.07.2017 – 2 AZR 681/16) unter folgenden Voraussetzungen erfüllt:

  • Es muss der konkrete Verdacht einer Straftat oder schweren arbeitsvertraglichen Pflichtverletzung vorliegen.
  • Es darf kein weniger einschneidendes Mittel für die Aufklärung in Betracht kommen.
  • Der Grundsatz der Verhältnismäßigkeit muss gewahrt sein.

Daraus folgt, dass weder eine Überwachung „rund um die Uhr“ noch eine anlasslose Dauerüberwachung in Betracht kommen. Stichprobenartige Kontrollen sind also möglich. Protokolldaten/Verbindungsdaten können stichprobenartig zur Überprüfung der Einhaltung des Verbots der Privatnutzung ausgewertet werden. Mit diesen Stichproben kann der Arbeitgeber einen missbräuchlichen Einsatz des E-Mail-Accounts verhindern. Eine Inhaltskontrolle sollte jedoch nur in eng begrenzten Ausnahmefällen stattfinden, nämlich bei einem konkreten Straftatverdacht oder bei einem konkreten Verdacht hinsichtlich einer schwerwiegenden arbeitsrechtlichen Pflichtverletzung. Eine Inhaltskontrolle ohne jeden Anlass zur Verhaltenskontrolle wäre unverhältnismäßig.

Bei ausschließlich dienstlicher Nutzung darf der Arbeitgeber grundsätzlich von dienstlichen E-Mails Kenntnis nehmen. Die dienstliche E-Mail wird nach herrschender Meinung mit dienstlichem Schriftverkehr gleichgestellt. Der Arbeitgeber hat das Recht, die Arbeitsergebnisse zu kontrollieren, worunter auch die Vorlage dienstlicher E-Mails durch die Mitarbeiter fällt.

Ein Zugriff auf E-Mails ohne Wissen des Arbeitnehmers ist dagegen wesentlich kritischer zu beurteilen. Informationspflichten aus Art. 13 Abs. 1 DSGVO könnten Kontrollen ohne Wissen des Mitarbeiters entgegenstehen. Generelle Hinweise auf Kontrollen in Unternehmens-Richtlinien dürften dagegen ausreichend sein. Fehlt es an einer ordnungsgemäßen Unterrichtung, ist die vorgenommene Kontrolle unwirksam und der Arbeitgeber ist daran gehindert, etwaige Ergebnisse seiner Kontrolle in einem Gerichtsverfahren zu verwerten. (Zum Vergleich hierzu auch das Urteil vom 05.09.2017 – 61496/08 des Europäischen Gerichtshof für Menschenrechte (EGMR). Darin wird festgehalten, dass derartige Kontrollmaßnahmen nicht heimlich erfolgen dürfen. Der Beschäftigte sei vorab über Möglichkeit, Art und Ausmaß von Kontrollen zu informieren). Bei rechtswidrigen Kontrollen von E-Mails kann der Arbeitgeber Verstöße gegen die DSGVO und das BDSG begehen, die eine Ordnungswidrigkeit nach Art. 83 DSGVO darstellen können.

6. Fazit

Diese Beispiele zeigen, dass ein Schutz von personenbezogenen Daten der Beschäftigten nicht durch ein bestimmtes Gesetz vorgegeben wird, sondern durch ein Zusammenspiel aus der DSGVO und den durch die Öffnungsklausel hinzugezogenen arbeitsrechtlichen Regelungen und rechtskräftigen Urteilen. Der Sinn der Öffnungsklauseln wird durch dieses Zusammenspiel bestens ausgenutzt. Ob die Einführung eines weiteren datenschutzrechtlichen Gesetzes dieses sehr gut funktionierende Zusammenspiel verbessern würde, kann derzeit nicht mit für und wider beantwortet werden. Die Entwicklung mit dem neuen Gesetz zum Schutze des Beschäftigtendatenschutzes würde diese Antwort irgendwann liefern. Doch die bisherigen Regelungen haben ihren Zweck zum Wohle des Beschäftigtendatenschutzes bereits erfüllt.


Autor: Kenan Tilki (Master of Laws, Senior Data Privacy Consultant)