Datenschutz-Verpflichtung von Beschäftigten in der Praxis

Beschäftigte bzw. Mitarbeiter sind zur Einhaltung der Datenschutzgesetze bzw. auf Vertraulichkeit zu verpflichten – zumindest sobald sie Umgang mit personenbezogenen Daten haben. Die EU-Datenschutz-Grundverordnung (DSGVO) lässt diesbezüglich keinen Spielraum. Wie diese Verpflichtung von Mitarbeitern auf Vertraulichkeit in der Praxis am besten funktioniert und wie Sie etwaige Hindernisse überwinden, erläutern wir Ihnen in dieser Anleitung (inkl. kostenlosem Muster).

Gesetzliche Grundlagen der Verpflichtung von Mitarbeitern

Die Verpflichtung von Beschäftigten auf Vertraulichkeit ergibt sich aus mehreren Normen der DSGVO:

  1. Nach 29 DSGVO dürfen Beschäftigte eines Verantwortlichen personenbezogene Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten.
  2. 32 Abs. 4 DSGVO schreibt ferner vor, dass der Verantwortliche Schritte unternehmen muss, um sicherzustellen, dass ihm unterstellte Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten.
  3. Der Begriff der Verpflichtung findet sich ausdrücklich in 28 Abs. 3 Satz 2 lit. b DSGVO, der bestimmt, dass der Auftragsverarbeiter die zur Verarbeitung der Daten befugten Personen zur Vertraulichkeit verpflichten muss.
  4. Die Rechenschaftspflicht des Verantwortlichen, also die Pflicht diese „verpflichtende Unterrichtung“ nachweisen zu können, ergibt sich aus Art. 24 DSGVO und Art. 5 Abs. 2 DSGVO.

Die Datenschutzkonferenz (DSK) der unabhängigen Datenschutzbehörden des Bundes und der Länder hält in ihrem Kurzpapier Nr. 19 vom 29. Mai 2018 zudem fest, dass diese „verpflichtende Unterrichtung“ nicht nur die Beschäftigten von Auftragsverarbeitern sondern natürlich auch die Verantwortlichen und deren Beschäftigte trifft.

Praktische Umsetzung der Verpflichtung von Mitarbeitern mit den 3 W-Fragen

Wer sollte verpflichtet werden?

Die DSGVO spricht von der Verpflichtung der „unterstellten natürlichen Personen“, was im Hinblick auf die Wichtigkeit der Regelung weit auszulegen ist. Die DSK empfiehlt ergänzend zum regulären Mitarbeiterstamm auch Auszubildende, Praktikanten, Leiharbeiter und ehrenamtlich Tätige miteinzubeziehen.

Wann muss verpflichtet werden?

Für Neubeschäftigte muss die Verpflichtung vor Aufnahme der Tätigkeit erfolgen. Genauer: Sie muss erfolgen, bevor die verpflichtete Person zum ersten Mal mit personenbezogenen Daten in Kontakt kommt. Es bietet sich damit an, die Unterschrift zur Kenntnisnahme der Vertraulichkeitsvereinbarung zusammen mit der Unterschrift des Arbeitsvertrages einzuholen.

Idealerweise werden Arbeitsvertrag, IT-Nutzungsrichtlinie und Verpflichtungserklärung nach der DSGVO als drei getrennte Dokumente vor dem Arbeitsantritt unterschrieben. Mit der Verpflichtung nach DSGVO können aber auch andere Geheimhaltungsvereinbarungen kombiniert werden, z. B. zum Betriebs-, Telekommunikations- oder Steuergeheimnis.

Für bereits beschäftigte Mitarbeiter bietet es sich an, im Zuge der Umsetzung der DSGVO eine Neuverpflichtung vorzunehmen. Dies kann sowohl im Anschluss an eine Schulung zum Datenschutz oder auch ohne einen besonderen Anlass geschehen. Denn die Umsetzung gesetzlicher Vorgaben ist immer ein ausreichender Anlass. In diesem Zusammenhang empfiehlt die DSK sogar ab und zu im Rahmen von Schulungen oder schriftlichen Hinweisen (z. B. in der Betriebszeitung) als „Auffrischung der Unterrichtung“ daran zu erinnern, dass die Beschäftigten verpflichtet worden sind und welche Bedeutung dieser Verpflichtung zukommt.

Wie wird verpflichtet?

Die DSGVO schreibt keine bestimmte Form der Verpflichtung vor. Damit die Unternehmensleitung als verantwortliche Stelle jedoch ihrer Rechenschaftspflicht gegenüber der Aufsichtsbehörde nachkommen kann, sollte aus Gründen der Nachweisbarkeit zumindest beim ersten Mal ein entsprechendes Dokument verwendet werden (siehe unsere kostenlose Vorlage zur Verpflichtung auf Vertraulichkeit). Auf diesem sollten neben dem eigentlichen Inhalt der Verpflichtung auch Ort, Datum und die Unterschriften der verantwortlichen Stelle und des zu Verpflichtenden festgehalten werden.

Beachten Sie, dass die reine Verpflichtung zur Einhaltung der datenschutzrechtlichen Vorgaben keine entsprechende Schulung ersetzen kann, bei der die Umsetzung dieser Pflicht in der Praxis anhand typischer Fälle erläutert wird.

Müssen Beschäftigte die Verpflichtung unterschreiben?

Zunächst ist festzuhalten, dass die gesetzlichen Verpflichtungen der DSGVO von den Mitarbeitern einzuhalten sind, ob sie eine Verpflichtungserklärung unterschreiben oder nicht. Anders als beispielsweise bei einer Einwilligung zur Nutzung von Fotos eines Mitarbeiters fragt der Verantwortliche bei der Datenschutzverpflichtung nicht um Erlaubnis, sondern setzt ihn lediglich in Kenntnis von den – unabhängig von einer Unterschrift – bestehenden Pflichten. So gelten beispielsweise auch die Strafgesetze oder die Betriebsvereinbarung für alle Mitarbeiter, ohne dass diese ihre explizite Zustimmung erklären müssen.

Bei der Verpflichtung auf das Datengeheimnis handelt es sich daher nicht um eine Verlagerung von Verantwortung, eine Erweiterung der Pflichten des Beschäftigten oder eine Streitfrage, bei der sich Arbeitnehmer und Arbeitgeber gegenüberstehen. Der Arbeitgeber kommt bei der Unterrichtung lediglich seiner gesetzlichen Pflicht nach, den Arbeitnehmer auf seine gesetzlichen Pflichten beim Umgang mit personenbezogenen Daten hinzuweisen. Die Unterschrift stellt damit keine Erweiterung der Aufgaben des Beschäftigten oder eine Einwilligung dar, sie quittiert lediglich die Kenntnisnahme der bestehenden Aufgaben im Rahmen des Datenschutzes.

Es besteht folglich kein Grund eine Erklärung zur Kenntnisnahme nicht zu unterschreiben. Wenn sich ein Beschäftigter dennoch weigert, die Erklärung zur Kenntnisnahme zu unterschreiben, empfiehlt es sich, ihm oder ihr diesen Zusammenhang in einem persönlichen Gespräch – idealweise unter Miteinbeziehung des Datenschutzbeauftragten oder -koordinators – zu erläutern. Ein entsprechend datierter Vermerk, dass ein aufklärendes Gespräch geführt wurde und der Beschäftigte darin auf seine Pflichten hingewiesen wurde, sollte als Nachweis gegenüber der Aufsichtsbehörde ausreichend sein.

Arbeitsrechtliche Konsequenzen sind möglich, da die Einhaltung des Datenschutzes eine wesentliche Pflicht des Arbeitnehmers gegenüber dem Arbeitgeber darstellt. Sie sollten entsprechende Maßnahmen allerdings erst dann einleiten, wenn der Beschäftigte nicht nur die Unterschrift der Kenntnisnahme verweigert, sondern auch die Einhaltung der rechtlichen Pflichten verweigert, auf die er dort hingewiesen wird.

Die Rolle des Betriebsrats bei der Verpflichtung

Der Betriebsrat hat gemäß § 80 I Nr. 1 BetrVG die Aufgabe, darüber zu wachen, dass die zugunsten der Arbeitnehmer geltenden Gesetze durchgeführt werden. Ihm sollte es infolgedessen auch daran gelegen sein, dass die Beschäftigten eine Verpflichtungserklärung unterschreiben. Dies ist einfach der Tatsache geschuldet, dass der Schutz personenbezogener Daten nach der DSGVO sich nicht auf Kundendatenschutz beschränkt, sondern auch dem Beschäftigtendatenschutz größte Relevanz beimisst. Beispielsweise mag einem Beschäftigten im Vertrieb oder Marketing eine Verpflichtung zum Datenschutz auf den ersten Blick lästig erscheinen. Nichtsdestotrotz sorgt dieselbe Verpflichtung dafür, dass die Kollegen z. B. aus der Personal- oder IT-Abteilung vertraulich mit seinen Daten umgehen.

Fazit: Machen Sie die Verpflichtung von Mitarbeitern zum Standard

Die Verpflichtung auf Vertraulichkeit von Mitarbeitern und ggfs. anderen Beschäftigten ist in der Praxis sehr effizient umzusetzen. Da sich die Pflicht zur Vertraulichkeit direkt aus dem Gesetz ergibt, sollte es wenig Widerstand bei den Verpflichteten geben. Letztlich profitieren von einer sauber dokumentierten Verpflichtung alle Beteiligten.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Zweckbindung bei der Datenverarbeitung

Erhebung und Verarbeitung personenbezogener Daten dürfen nicht unsystematisch erfolgen, sondern ausschließlich zweckgebunden. Die EU-Datenschutz-Grundverordnung (DSGVO) führt die Pflicht zur Zweckbindung der Datenverarbeitung als einen der Grundsätze in Art. 5 DSGVO auf. Wer personenbezogene Daten verarbeiten will, muss bei Festlegung und Ausgestaltung des Zwecks einige wichtige Kriterien beachten.

Praktische Bedeutung der Zweckbindung

Nach Art. 5 Abs. 1 lit. b) DSGVO dürfen personenbezogene Daten nur „für festgelegte eindeutige und legitime Zwecke erhoben werden“. Relevant wird dies insbesondere im Rahmen der Informationspflichten gem. Art. 13 Abs. 1 lit. c) DSGVO sowie Art. 14 Abs. 1 lit. c) DSGVO, im Rahmen derer die Zwecke, für die personenbezogene Daten verarbeitet werden, mitzuteilen sind. Im Rahmen des Verzeichnisses der Verarbeitungstätigkeiten nach Art. 30 Abs. 1 S. 2 lit. b) DSGVO sind die konkreten Zwecke ebenfalls zu definieren.

Die Bestimmung des Zwecks der Verarbeitung dient demzufolge gleich in zweifacher Hinsicht als Prüfmaßstab für den Verantwortlichen:

  1. gegenüber den von der Datenverarbeitung Betroffenen (im Rahmen der Informationspflichten) und
  2. gegenüber der Aufsichtsbehörde (im Rahmen des Verzeichnisses der Verarbeitungstätigkeiten).

Anhand des Zwecks können Sie etwa feststellen, ob Sie den Grundsatz der Datenminimierung berücksichtigen: Werden wirklich nur diejenigen Daten erhoben, die notwendig sind, um den Zweck zu erreichen? Ebenfalls können Sie kontrollieren, ob das Erreichen eines festgelegten Zwecks durch eine Rechtsgrundlage gedeckt und somit rechtmäßig ist. Weiterhin dürfen gem. dem Grundsatz der Speicherbegrenzung personenbezogene Daten nur so lange aufbewahrt werden, wie es für das Erreichen des Zwecks erforderlich ist – außer es gibt eine gesetzliche Aufbewahrungsfrist, welche eine längere Speicherfrist erlaubt bzw. gebietet.

Festlegung des Zwecks

Jeder Verantwortliche muss sich vor (!) Erhebung personenbezogener Daten überlegen, wofür er welche Daten braucht und welches Ziel er mit diesen verfolgt. Denn die Datenverarbeitung darf nur für die bei der Erhebung festgelegten Zwecke erfolgen. Eine Sammlung von Daten für potenziell noch festzulegende Zwecke sind als Vorratsdatenspeicherung nicht erlaubt.

Eindeutigkeit des Zwecks

Unter Berücksichtigung des Grundsatzes der Transparenz muss der Zweck eindeutig bestimmt werden. Für einen vernünftigen Außenstehenden muss der Umfang der Datenverarbeitung klar und vor allem explizit (wie dies dem „explicit“ im englischen Original der DSGVO entspricht) aus dem genannten Zweck hervorgehen. Allgemeine Zweckbestimmungen, die einen zu großen Interpretationsspielraum zulassen, sollten vermieden werden.

Soll die Verarbeitung etwa zu „Marketingzwecken“ erfolgen, ist nicht zwingend klar, ob es sich um personalisiertes Marketing handelt oder ob zum Erreichen dieses Ziels ein Datenaustausch zwischen mehreren Konzern-Unternehmen notwendig ist. Dies wäre dann als „konzernweites, personalisiertes Marketing“ eindeutiger und transparenter beschrieben.

Legitimität des Zwecks

Die Verarbeitung personenbezogener Daten darf weiterhin nur für legitime Zwecke erfolgen. Mit „legitim“ ist zum einen die Frage der Rechtmäßigkeit gemeint; jedoch auch, dass die Datenverarbeitung insgesamt im Einklang mit der Rechtsordnung stehen muss. Mit anderen Worten: Die Verarbeitung darf nicht zu einem von der Rechtsordnung missbilligten oder verbotenen Zweck erfolgen. Im Hinblick hierauf sind auch Gesetze und Rechtsprinzipien außerhalb des Datenschutzes zu berücksichtigen.

Beispielsweise wird Diskriminierung von der Rechtsordnung grundsätzlich missbilligt. Eine Datenverarbeitung, die einen diskriminierenden Zweck verfolgt, wäre nicht legitim. Im Rahmen des Beschäftigtenverhältnisses wären sämtliche Gesetze und Grundsätze des Arbeitsrechts zu berücksichtigen. Dort, wo eine Bewertung von Mitarbeitern unverhältnismäßig oder nicht erforderlich wäre, wäre sie ebenfalls nicht legitim.

Zweckänderung

Die Verarbeitung personenbezogener Daten darf durchaus für mehrere Zwecke erfolgen, sofern diese vor der Verarbeitung bereits festgelegt und gegenüber den Betroffenen kommuniziert wurden. Von einer Zweckänderung ist die Rede, wenn nach der Erhebung bzw. Verarbeitung personenbezogener Daten nachträglich weitere Zwecke verfolgt werden sollen, die zu Beginn noch nicht festgelegt waren.

Eine Zweckänderung setzt zunächst voraus, dass die ursprüngliche Datenerhebung bzw. -verarbeitung zweckgebunden erfolgte. Voraussetzung ist ebenfalls eine Vereinbarkeit des ursprünglichen und des neuen Zwecks. Erwägungsgrund 50 DSGVO sieht hierfür vor, dass die Zwecke auf einen Zusammenhang zu prüfen sind und ob diese Änderung aus Sicht eines vernünftigen Betroffenen auch erwartet werden konnte.

Im Falle einer Zweckänderung ist der Verantwortliche verpflichtet, den Betroffenen über die Umstände der Zweckänderung nach Art. 13 Abs. 3 DSGVO oder Art. 14 Abs. 4 DSGVO zu informieren.

Verstöße gegen Grundsätze sind keine Kavaliersdelikte

Wie bei allen in Art. 5 DSGVO aufgestellten Grundsätzen, gehören Verstöße gegen die Zweckbindung bei der Datenverarbeitung zu der Kategorie von Verstößen, die mit höheren Bußgeldern geahndet werden können. Art. 83 Abs. 5 lit. a DSGVO sieht vor, dass Aufsichtsbehörden Bußgelder bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängen dürfen (und sollen).

Es lohnt sich also auch finanziell, dem Zweck der Verarbeitung personenbezogener Daten ausreichend Aufmerksamkeit zu widmen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Dürfen Unternehmen krankgeschriebene Mitarbeiter kontrollieren?

Laut Institut der deutschen Wirtschaft waren Arbeitnehmer hierzulande 2017 durchschnittlich 17,3 Tage krankgeschrieben und konnten deswegen nicht zur Arbeit kommen. Da der Arbeitgeber den Lohn für eine bestimmte Zeitspanne trotz krankheitsbedingt nicht erbrachter Arbeitsleistung fortzahlen muss, bedeutet jeder Krankheitstag natürlich einen finanziellen Schaden für das Unternehmen. Nun scheint der Arbeitsdrang bei manch einem Arbeitnehmer nicht so ausgeprägt zu sein, wie er sein sollte. Das „Blaumachen“ wird mitunter als Kavaliersdelikt angesehen. Wie also können Arbeitgeber datenschutzkonform zwischen berechtigter und unberechtigter Krankschreibung unterscheiden?

Welche Möglichkeiten haben Unternehmen im Rahmen des Datenschutzes?

Welche Möglichkeiten haben Arbeitgeber, wenn sich der Verdacht der „Phantomkrankheit“ eines Mitarbeiters aufdrängt? Dies ist zum einen natürlich die Einschaltung des medizinischen Dienstes nach § 275 SGB V. Daneben versuchen jedoch auch viele Arbeitgeber, die Krankschreibung eines Mitarbeiters zu entkräften, indem sie Foto- oder Videoaufnahmen eines Mitarbeiters anfertigen, auf denen dieser äußerlich nicht den Eindruck einer Krankheit vermittelt.

Grundsätzlich richtet sich die Zulässigkeit derartiger Aufnahmen nach § 26 BDSG, wonach

  1. tatsächliche Anhaltspunkte vorliegen müssen, dass der Mitarbeiter die Krankheit nur vorgibt;
  2. neben den Aufnahmen kein milderes Mittel zur Aufklärung des Sachverhalts zur Verfügung steht und
  3. das Interesse des Arbeitgebers an der Aufklärung das Interesse des Arbeitnehmers auf Schutz seiner Persönlichkeitsrechte überwiegt.

Die genannten Punkte sollten stets vorsichtig ausgelegt werden, so dass im Zweifel von einer datenschutzrechtlichen Unzulässigkeit auszugehen ist. Denn eine falsche Einschätzung geht immer zulasten des Arbeitgebers und kann unter Umständen auch Schadensersatzklagen zur Folge haben.

Datenschutz-Kriterien für die Zulässigkeit einer Kontrolle krankgeschriebener Mitarbeiter

Wann müssen Anhaltspunkte für das Vortäuschen der Krankheit vorliegen?

Grundsätzlich kommt einer ärztlichen Arbeitsunfähigkeitsbescheinigung ein hoher Beweiswert zu. Der Arbeitgeber benötigt also einen triftigen Grund, warum er der Bescheinigung nicht glaubt und deswegen weitere Nachforschungen anstellt.

Dieser Grund für das Misstrauen muss bereits bei Beginn der Überwachung des Mitarbeiters vorliegen. Daher ist zu unterscheiden, ob der krankgeschriebene Mitarbeiter zufällig angetroffen wird oder ob er gezielt überwacht wird. Denn bei einer zufälligen Begegnung beginnt das Überwachen erst mit der äußerlichen „Analyse“ des Mitarbeiters auf Krankheitserscheinungen. Bei einem bewussten Nachstellen hingegen fängt die Überwachung schon mit Beginn des Nachstellens an. Dies soll freilich nicht bedeuten, dass bei einem zufälligen Antreffen des Mitarbeiters das Anfertigen von Aufnahmen schrankenlos möglich ist. Lediglich die erste der oben genannten Voraussetzungen ist so einfacher zu erreichen.

Sind Fotos von Mitarbeitern zum Beweis geeignet?

Grundsätzlich hat ein Arbeitgeber das allgemeine Persönlichkeitsrecht der Mitarbeiter zu respektieren, welches auch das Recht umfasst, nicht fotografiert oder aufgenommen zu werden. Jede Aufnahme des Mitarbeiters würde dieses Recht zunächst verletzen.

Es ist aber möglich, dass der Arbeitgeber dieses Recht des Mitarbeiters verletzen darf, und zwar dann, wenn er ein berechtigtes Interesse an der Verletzung geltend machen kann und das Interesse des Mitarbeiters am Unterlassen der Aufnahmen nicht höher zu gewichten ist. Dies kann der Fall sein, wenn eine Aufnahme zu beweisen vermag, dass der Mitarbeiter nicht unter der entsprechenden Krankheit leidet.

Dabei ist jedoch zu beachten, dass der Arbeitgeber im Regelfall die genaue Diagnose nicht kennt. Sofern ein Mitarbeiter beispielsweise beim Einkaufen „erwischt“ wird, bedeutet dies noch lange nicht, dass er nicht krank ist. Zumal Arbeitnehmern grundsätzlich jedes Verhalten erlaubt ist, das die Genesung nicht gefährdet oder verzögert.

Nicht jede Krankheit verpflichtet also zur Hütung des eigenen Betts. Leidet ein Mitarbeiter beispielsweise an einem grippalen Infekt, darf dieser durchaus Besorgungen im Supermarkt machen, ohne seine Pflichten gegenüber dem Arbeitgeber zu verletzen. Geht selbiger Mitarbeiter jedoch Bergsteigen, so ist er entweder nicht krank oder er verletzt seine Pflicht zur ungehinderten Genesung, was im Ergebnis wohl durch Fotos belegt werden darf.

Wann überwiegt das Interesse des Arbeitgebers?

Als Leitprinzip gilt, dass die verdeckte Aufnahme von Mitarbeitern immer nur als letztes Mittel eingesetzt werden sollte. Sofern dem Ziel mit einer offenen Aufnahme gedient ist, ist zu diesem Mittel zu greifen (lesen Sie dazu unseren Ratgeber zur Videoüberwachung im Unternehmen).

Pauschale und allgemeingültige Aussagen zum überwiegenden Interesse des Arbeitgebers können an dieser Stelle kaum getroffen werden, da stets alle Umstände des Einzelfalls berücksichtigt werden müssen. Es gilt jedoch die Faustregel, dass je öffentlicher und für die Allgemeinheit sichtbarer sich ein Arbeitnehmer bewegt, desto geringer ist sein Schutz vor eventuellen Aufnahmen. Aufnahmen des Mitarbeiters in seiner Wohnung sind daher grundsätzlich unzulässig. Hält sich ein Mitarbeiter jedoch im öffentlichen Straßenraum oder an sonstigen öffentlichen Plätzen auf, können Aufnahmen unter Umständen rechtmäßig sein. Aber auch die Intimität des Augenblicks, in dem die Aufnahme entsteht, ist mit in die Gewichtung einzubeziehen. Zudem stellen Fotos einen geringeren Eingriff in das Persönlichkeitsrecht dar, als länger andauernde Videoaufnahmen.

Fazit: Kontrolle bei Zweifeln am Krankheitsfall nur mit Rechtsbeistand

Anhand dieser vagen und auslegungsbedürftigen Kriterien ist also ersichtlich, wie wenig greifbar sich die Rechtslage in diesem Bereich darstellt. Vor der Durchführung der Kontrolle sollten Arbeitgeber stets einen Experten konsultieren und die Zulässigkeit fachmännisch und einzelfallbezogen prüfen lassen. Denn die Überwachung der eigenen Mitarbeiter ist ein heißes Eisen, an dem man sich schnell verbrennen kann.

Dieser aktualisierte Artikel wurde zuerst am 1. Juni 2015 veröffentlicht.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Private E-Mail- und Internetnutzung im Unternehmen

Die Versuchung zur privaten Nutzung des betrieblichen E-Mail-Accounts oder des Internetzugangs in der Arbeitszeit ist für Beschäftigte groß. Gerade weil es die Kommunikation bequemer macht und das private Datenvolumen des Smartphones schont, nutzen viele Angestellte die Betriebsmittel zu eigenen Zwecken. Ob damit eine vertragswidrige Zweckentfremdung einhergeht, sollten Arbeitgeber durch Regelungen zur IT-Nutzung klarstellen. Dies bringt zahlreiche weitere Vorteile mit sich, wie unser Praxistipp zeigt.

Private Nutzung des geschäftlichen E-Mail-Accounts

Es sollte eine Selbstverständlichkeit sein, dass Arbeitnehmer ihre Arbeitszeit dafür verwenden, ihren vertraglichen Pflichten nachzukommen. Andernfalls drohen Konsequenzen. Für Arbeitgeber ist es deshalb unter gewissen Umständen zulässig, E-Mails von Mitarbeitern auszuwerten, um eine Pflichtverletzung nachzuweisen und darauf gestützt sogar eine Kündigung auszusprechen.

Selbst die fristlose Kündigung eines langjährig beschäftigten Arbeitnehmers kann gerechtfertigt sein, wenn dieser einen bedeutenden Teil seiner Arbeitszeit für den Austausch privater E-Mails nutzt. So entschied es das Landesarbeitsgericht Niedersachsen in seinem Urteil vom 31. Mai 2010 (AZ: 12 SA 875/09).

Der Arbeitgeber konnte nachweisen, dass der Kläger in einem Zeitraum von sieben Wochen mehrere Stunden pro Arbeitstag mit dem Schreiben privater E-Mails verbrachte. Die dem Kläger im betreffenden Zeitraum zugegangenen E-Mails umfassten im konkreten Fall fast 800 DIN A4-Seiten.

Die private Nutzung der Dienst-IT war zwar nicht ausdrücklich geregelt, eine Dienstanweisung aus dem Jahr 1997 gab aber vor, dass das Unterbrechen der Arbeitszeit zur Erledigung privater Angelegenheiten nicht erlaubt sei.

Problematisch war auch, dass der Arbeitgeber es in der Vergangenheit geduldet hatte, dass sein E-Mailsystem zumindest in den Pausen für private Zwecke genutzt wurde. Mit einer eindeutigen Regelung zur E-Mail-Nutzung wäre es vielleicht gar nicht erst zum Prozess gekommen, da dem Arbeitnehmer seine unmittelbare Pflicht zur Unterlassung bewusst gewesen wäre.

Private Nutzung des geschäftlichen Internetzugangs

In einer Zeit, in der viele Angestellte mit eigenen Smartphones surfen und mit Whatsapp kommunizieren, ist die Anziehung des geschäftlichen E-Mail-Accounts hinter die der Internetnutzung über den arbeitgebereigenen Zugang gefallen. Die private Nutzung des geschäftlichen Internetzugangs ist jedoch ein großer Produktivitätskiller, Grund vieler Abmahnungen und begründet deutliche Einbußen für den Arbeitgeber bei Missbrauch.

Zum Vorteil der Arbeitgeberseite hat das Bundesarbeitsgericht schon 2005 entschieden, dass die private Nutzung des Internets während der Arbeitszeit eine Verletzung der arbeitsvertraglichen Pflichten darstellen kann (BAG, Urteil vom 7. Juli 2005, AZ: 2 AZR 581/04). Genauer gesagt befand das Gericht, dass die private Nutzung des Internets die Erbringung der arbeitsvertraglich geschuldeten Arbeitsleistung nicht erheblich beeinträchtigen darf. Die Pflichtverletzung wiegt dabei umso schwerer, je mehr der Arbeitnehmer bei der privaten Nutzung des Internets seine Arbeitspflichten in zeitlicher und inhaltlicher Hinsicht vernachlässigt. Letztlich wurde durch das Gericht sogar festgestellt, dass im Falle einer exzessiven Privatnutzung des Internets während der Arbeitszeit es keiner Abmahnung vor der Kündigung bedarf.

Doch was ist genau mit einer „erheblichen“ Beeinträchtigung oder „exzessiven“ Privatnutzung gemeint? Rechtliche Unsicherheit bleibt bestehen, da diese Begriffe großen Interpretationsspielraum zulassen. Erschwerend kommt hinzu, dass dem Arbeitgeber grundsätzlich kein Kontroll- und Einsichtsrecht bei Internetaktivitäten von Mitarbeitern zusteht, weil er als Dienstanbieter gemäß TKG gilt. Um für beide Seiten Sicherheit zu schaffen und dem Arbeitgeber Kontrollmöglichkeiten einzuräumen, ist deshalb eine Richtlinie zur IT-Nutzung hilfreich.

Richtlinie zur IT-Nutzung bringt Klarheit

Rechtliche Sicherheit für Arbeitgeber und Gewissheit für Arbeitnehmer lässt sich durch eine Richtlinie zur IT-Nutzung schaffen. Indem klar vorgegeben wird, was dem Arbeitnehmer erlaubt ist und was nicht, können Streitfälle vermieden werden. Zudem sind Übertritte durch Arbeitnehmer leichter zu ahnden, weil die Grenzen deutlich abgesteckt wurden.

Die Richtlinie zur IT-Nutzung sollte den privaten Gebrauch der geschäftlichen E-Mail ausschließen. Dies maximiert zum einen die Arbeitszeit, zum anderen birgt das Verbot praktische Vorteile: Wenn etwa ein Mitarbeiter kurzfristig erkrankt, kann der Arbeitgeber dem Vertreter erlauben, das E-Mail-Postfach einzusehen, da sich dank des Verbots keine privaten Daten darin befinden.

Ein anderer Fall ist ein Mitarbeiter, der das Unternehmen im Schlechten verlässt. Sollte die private Nutzung nicht ausgeschlossen sein, könnte der Ex-Mitarbeiter den Arbeitgeber durch die Abwesenheit einer Rechtsgrundlage (Art. 6 Abs. 1 DSGVO) vom Zugriff auf die E-Mails hindern.

In manchen Berufen kann der Browserverlauf eines Mitarbeiters eine Information sein, mit der die Krankheitsvertretung arbeiten muss. Wurde die private Nutzung nicht ausgeschlossen oder nicht wenigstens auf Pausenzeiten begrenzt, kann das Fernmeldegeheimnis bzw. das Bundesdatenschutzgesetz (BDSG) den Arbeitgeber hindern, den Verlauf einzusehen.

Einige praktische Hinweise bei Einführung einer Richtlinie zur IT-Nutzung:

  • Auch wenn Sie private Internet- und E-Mailnutzung schriftlich verboten/eingeschränkt haben, kann eine faktische Duldung Ihre Richtlinie arbeitsrechtlich unwirksam machen.
  • Das Recht des Arbeitnehmers auf Privatsphäre kann die berechtigten Interessen des Arbeitgebers zur Überwachung überwiegen. Deshalb ist trotz Ausschluss der privaten Internet- und E-Mail-Nutzung darauf hinzuweisen, dass stichprobenhafte Kontrollen durch den Arbeitgeber durchgeführt werden. Dies ist mit dem jüngsten Urteil des EGMR vom 5. September 2017 im Einklang und berücksichtigt die neusten Tendenzen in der europäischen Rechtslandschaft.
  • Sofern Sie die Internetnutzung in Pausenzeiten erlauben, holen Sie eine DSGVO-konforme Einwilligung ein, damit Sie die Einhaltung kontrollieren können.
  • Sie sollten sich die Kenntnisnahme der IT-Nutzungsrichtlinie von allen Mitarbeitern unterschreiben lassen.
  • Legen Sie Arbeitnehmern die Richtlinie jährlich zur Erinnerung vor.
  • Klären Sie Arbeitnehmer darüber auf, welche Sanktionen bei Zuwiderhandlungen drohen.
  • Treffen Sie Regelungen zu „Bring-your-own-device“ (BYOD), weil arbeitnehmereigene Geräte die interne Informationssicherheit in der Regel unterwandern.

Dieser aktualisierte Artikel wurde zuerst am 18. April 2011 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

E-Mails rechtssicher und datenschutzkonform archivieren

Unternehmen, die E-Mails rechtssicher und datenschutzkonform archivieren wollen, stehen vor einer mindestens mittleren Herausforderung. Denn die Aufbewahrungspflichten für E-Mails sind nicht in einem eigenen Gesetz geregelt, sondern ergeben sich aus unterschiedlichsten Rechtsquellen, die teils gegenläufige Ziele verfolgen. Während der Gesetzgeber beispielsweise aus steuerrechtlichen Gesichtspunkten ein Interesse an einer längerfristigen Aufbewahrung hat, stellt die EU-Datenschutz-Grundverordnung (DSGVO) das Gebot der Speicherbegrenzung auf. Je nach Sachverhalt ergeben sich daher verschiedene Fristen, die (auch technisch) in Einklang zu bringen sind.

Aufbewahrungsfristen für E-Mails

Für die geschäftliche Kommunikation bestehen vielfältige handelsrechtliche und steuerrechtliche Aufbewahrungspflichten. Erfolgt der Schriftverkehr in elektronischer Form, wirken sich diese auch auf den Einsatz der Informationstechnik aus.

Handels- und Geschäftsbriefe, zu denen auch E-Mails mit geschäftlichem Inhalt zählen, sind z. B. mindestens sechs Jahre bzw. bis zum Abschluss einer laufenden Steuerprüfung aufzubewahren (§ 257 Absatz 4 HGB; § 147 Absatz 3 AO). Unabhängig hiervon empfiehlt es sich, Unterlagen mindestens so lange aufzubewahren, wie sich noch Folgen aus dem zugrundeliegenden Rechtsverhältnis ergeben können, etwa solange noch Haftungsansprüche möglich sind. Dies sind grundsätzlich drei Jahre gemäß § 195 BGB.

Für (elektronische) Unterlagen, die für die Bilanzierung relevant sind, gilt eine Aufbewahrungsfrist von zehn Jahren (§ 14b Absatz 1 UStG). Dazu zählen insbesondere Rechnungen, Buchungsbelege und Inventare.

Technische Anforderungen an das E-Mail-Archiv

Gemäß den Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) muss der Originalzustand der archivierten Daten jederzeit überprüfbar sein. Das stellt komplexe Anforderungen an das Archivierungssystem:

  • Alle Dokumente müssen zeitnah auffindbar sein.
  • Systeme sind zudem gegen Vernichtung, Untergang und Diebstahl zu schützen.
  • Ein Verändern, Überschreiben oder Ersetzen von Daten darf nicht ohne eine entsprechende Kennzeichnung möglich sein. Zudem müssen die Dokumente jederzeit im ursprünglichen Dateiformat wiederherstellbar sein.
  • Wenn neue IT-Systeme eingeführt werden, muss gewährleistet sein, dass die archivierten Datenformate damit kompatibel sind.
  • Die Dokumente müssen sich maschinell auswerten lassen. Die Archivierung von Ausdrucken oder PDF-Versionen der E-Mails genügt daher nicht.

Die archivierten E-Mails sollten nur für einen ausgewählten Kreis von Mitarbeitern und nur bei dringendem Bedarf zugänglich sein. Das sollte aus Gründen der Nachweisbarkeit in einem Berechtigungskonzept festgehalten werden. Zudem sollten sich Unternehmen mit der Frage beschäftigen, wie die Unwiederherstellbarkeit archivierter E-Mails nach Ablauf der Aufbewahrungsfrist erreicht wird.

Datenschutzrechtliche Einschränkungen

Eine selektive Archivierung einzelner E-Mails würde bei den meisten Unternehmen einen unverhältnismäßig großen Aufwand verursachen. Auch liegt hierin eine Fehlerquelle, wenn wichtige Nachrichten übersehen werden.

Wird jedoch prinzipiell der gesamte E-Mailverkehr archiviert, stellt das eine datenschutzrechtliche Herausforderung dar: Wenn im Unternehmen die private Nutzung der E-Mailkonten geduldet wird, ist davon auszugehen, dass bei der Archivierung auch private personenbezogene Daten der Mitarbeiter gespeichert werden. Dies erfordert aber eine ausdrückliche Einwilligung der Mitarbeiter.

Entweder müsste eine entsprechende rechtskonforme Einwilligung von jedem einzelnen Mitarbeiter eingeholt werden oder eine Vereinbarung mit der Arbeitnehmervertretung geschlossen werden (vgl. § 26 Abs. 1 BDSG, § 87 BetrVG).

Generell ist davon abzuraten, dass Mitarbeiter die geschäftliche E-Maildresse zu privaten Zwecken nutzen dürfen; so können Sie die Notwendigkeit einer Einwilligung vermeiden. Der gesamte elektronische Schriftverkehr gilt in dem Fall als Geschäftsverkehr und bedarf für die Archivierung keiner Einwilligung durch die Mitarbeiter. Dies ist aber immer noch kein Freischein zur endlosen Archivierung, da die E-Mails reichlich personenbezogene Daten von Ansprechpartnern enthalten und auch geschäftliche E-Mails von Mitarbeitern nicht unbegrenzt gespeichert werden dürfen.

In vielen Fällen liegt ein Aufbewahrungsinteresse des Verantwortlichen vor, das von keiner der genannten gesetzlichen Aufbewahrungspflichten gedeckt ist. In solchen Fällen kann ein berechtigtes Aufbewahrungsinteresse bestehen, das die weitere Speicherung erlaubt. Konkrete Beispiele hierfür sind die Aufbewahrung von Werbeeinwilligungen oder Schulungsnachweisen von Mitarbeitern. Eine individuelle Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO ist dafür regelmäßig notwendig.

Fazit: E-Mail-Archivierung nur mit Löschkonzept

Die rechtskonforme bzw. rechtssichere Archivierung von E-Mails bildet für Unternehmen eine große Herausforderung. Dies liegt vor allem an der schieren Menge von Informationen, die einer Entscheidung über Aufbewahrung oder Löschung bedürfen. Zudem gewähren die gesetzlichen Aufbewahrungspflichten nur bedingt rechtliche Sicherheit darüber, ob eine E-Mail gespeichert werden darf oder nicht.

Um E-Mails datenschutzkonform zu archivieren, ist deshalb dringend ein Löschkonzept anzuraten. Dieses bringt allen Beteiligten den Prozess näher und fördert eine gezielte Archivierungsbegrenzung im Unternehmen. Nicht zuletzt dient ein Löschkonzept der Dokumentation und dem Nachweis gegenüber der Aufsichtsbehörde.

Dieser aktualisierte Artikel wurde zuerst am 16. August 2011 veröffentlicht.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Die datenschutzrechtliche Zulässigkeit psychologischer Eignungstests

Psychologische Eignungstests oder Assessments in Bewerbungsverfahren erfreuen sich großer Beliebtheit bei Personalern und HR-Abteilungen. Derartige Tests sind jedoch nicht immer rechtlich zulässig. Denn der Datenschutz gibt bei der Bewerberauswahl einen Rahmen vor, der mit der Testdurchführung nicht überschritten werden darf. Welche Bedingungen für einen psychologischen Eignungstest vorliegen müssen, erfahren Sie in diesem Artikel.

Psychologische Eignungstests in Bewerbungsverfahren

Die Auswahl von Bewerbern geht mit steigenden Anforderungen an Verantwortliche in Personalabteilungen einher. Zum einen vergrößert sich die Bewerberzahl in Zeiten, in denen Stellen nicht mehr nur in regionalen Zeitungsannoncen, sondern räumlich unbegrenzt in Online-Jobbörsen ausgeschrieben wird, mitunter um ein Vielfaches. Zum anderen steigen auch die Anforderungen, die an neue Mitarbeiter gestellt werden. Sieht man sich in den digitalen Stellenmärkten um, findet sich kaum eine Stellenanzeige, die allein auf die fachliche Kompetenz des Bewerbers abstellt. Stattdessen werden im Regelfall neben den typischen Soft-Skills wie Teamfähigkeit, Ausdruckstärke, Zielstrebigkeit oder Belastbarkeit oft auch analytisches Denkvermögen, strukturierte Arbeitsweise, Identifikation mit dem Unternehmen und ähnliche Anforderungen vom Bewerber erwartet.

Aufgrund der geringen Überprüfbarkeit eines Bewerbungsanschreibens oder des Lebenslaufes im Hinblick auf eben diese Soft-Skills, bietet sich die Durchführung von psychologischen Eignungstests an. Zweck dieser Eignungstests ist es, mit geringem Zeitaufwand systematisch einen möglichst tiefgehenden Einblick in die Persönlichkeit der Bewerber zu erhalten.

Da derartige Messungen massiv in das allgemeine Persönlichkeitsrecht des Bewerbers eingreifen, müssen die diesbezüglichen datenschutzrechtlichen Anforderungen eingehalten werden. Dementsprechend bedarf die Durchführung solcher Persönlichkeitstests einer rechtlichen Legitimierung. Dies gilt besonders vor dem Hintergrund, dass im Rahmen solcher Eignungstests oftmals auch besondere Arten personenbezogener Daten erhoben und verarbeitet werden.

Erste datenschutzrechtliche Legitimierung: Einwilligung

Eine Option der rechtlichen Ausgestaltung wäre das Einholen einer Einwilligung von jedem Bewerber, der ein solches psychologisches Eignungsverfahren durchlaufen soll. Hierbei ist jedoch zu beachten, dass die Einwilligung nicht in jedem Fall als Allheilmittel gesehen werden kann. Denn gerade rund um Arbeitsverhältnisse können begründete Bedenken hinsichtlich der Freiwilligkeit bestehen, die für die Wirksamkeit einer Einwilligung erforderlich ist. Zwar hat das Bundesarbeitsgericht in einer Entscheidung verdeutlicht, dass grundsätzlich davon auszugehen ist, dass Arbeitnehmer auch innerhalb eines Arbeitsverhältnisses frei entscheiden können. Dies kann jedoch nicht pauschal für jeden Einzelfall angenommen werden. Stattdessen ist stets die konkrete Ausgestaltung der Situation der Eignungstests zu berücksichtigen und der Druck auf den Arbeitnehmer zu beachten, der durch das Machtgefälle im Beschäftigungsverhältnis auf den Mitarbeiter einwirkt.

Zudem gilt, dass nur solche Tests durchgeführt werden dürfen, an denen der Arbeitgeber ein berechtigtes Interesse hat. Somit dürfen nur solche Fähigkeiten oder Eigenschaften geprüft werden, die für das künftige Arbeitsverhältnis tatsächlich relevant sind, was beispielsweise für sexuelle Vorlieben oder philosophische bzw. weltanschauliche Überzeugungen im Regelfall nicht angenommen werden kann.

Daneben sind die gängigen datenschutzrechtlichen Anforderungen an eine Einwilligungserklärung zu beachten, wie die Aufklärung über die Konsequenzen der Nichterteilung oder auch die Art und den Umfang der Datenverarbeitung. Im Arbeitgeber-Bewerber-Verhältnis geht man wie erwähnt von einem Machtungleichgewicht aus (siehe dazu: Verarbeitung nach Treu und Glauben). Demnach ist bei Einholen der Einwilligung stets darauf zu achten, dass dem Kandidaten kein Schaden entsteht, auch wenn er die Einwilligung verweigert. Es sollte immer nachweislich auf die Folgen der Versagung hingewiesen werden.

Zweite datenschutzrechtliche Legitimierung: § 26 BDSG

Neben dem Einholen einer Einwilligung besteht auch die Möglichkeit einer Rechtfertigung psychologischer Eignungstests nach § 26 Bundesdatenschutzgesetz (BDSG). Demnach gilt eine Datenverarbeitung als zulässig, wenn sie für das Beschäftigungsverhältnis erforderlich ist.

Bei der Frage der Erforderlichkeit ist zu beachten, dass diese nicht nur dann gegeben ist, wenn beispielsweise das Gesetz eine besondere persönliche Eignung verlangt, wie bei Piloten oder auch der Betreuung von Kindern und Jugendlichen. Vielmehr kann die Erforderlichkeit bereits dann zu bejahen sein, wenn die Tätigkeit auf der zu besetzenden Stelle gewisse Anforderungen an die Persönlichkeit des Bewerbers stellt. Dies kann beispielsweise eine hohe Belastbarkeit aufgrund des Arbeitsaufkommens oder auch ein hohes Maß an Empathie für Führungspositionen sein. Stresstests können deshalb bei hoch belastenden Tätigkeiten zulässig sein. An dieser Stelle spielen jedoch viele Faktoren eine Rolle, die in ihrer Gesamtheit in jedem Einzelfall gegeneinander abgewogen werden müssen.

Eine Einwilligung schafft im Zweifel mehr Rechtssicherheit. Dem Arbeitgeber ist deshalb geraten (trotz vorliegen vermeintlicher Erforderlichkeit) eine Einwilligung einzuholen, weil ein Eignungstest ein gewaltiger Eingriff in das Persönlichkeitsrecht darstellt. Zudem ist der Bewerber in Grundzügen über die Funktionsweise des Tests aufzuklären und hat Anspruch auf Bekanntgabe des Testergebnisses.

Grundsätzliche Anforderungen für psychologische Eignungstests

Pauschal lässt sich sagen, dass die Durchführung von psychologischen Eignungstests dann nicht zulässig ist, wenn die zukünftige Tätigkeit keine speziellen Anforderungen an den Bewerber stellt und der Arbeitgeber den Test lediglich aus allgemeinem Interesse durchführen lässt. Mit anderen Worten: Nur, wenn die zu ermittelten Eigenschaften des Bewerbers eine reale Bedeutung für die zu erfüllenden Aufgaben haben, dürfen sie in Tests abgefragt werden. Beispielsweise werden allgemeinen Intelligenztests die nötige Spezifität abgesprochen. Diese werden deshalb für kaum eine berufliche Tätigkeit zu rechtfertigen sein.

Es ist Grundvoraussetzung der Rechtmäßigkeit eines jeden Tests, dass dieser überhaupt eine bewährte Methode besitzt, Rückschlüsse auf die abgefragten Persönlichkeitsmerkmale zu ziehen oder zumindest einer bewährten Übung der Personalpraxis entspricht. Demzufolge muss die Testmethodik wissenschaftlichen Kriterien entsprechen und folglich ein realistisches Abbild der Persönlichkeit liefern können.

Fazit: Datenschutz spielt bei der Bewerberauswahl eine wichtige Rolle

Psychologische Eignungstests bzw. Assessment-Center sind aus Perspektive des Datenschutzes dann zulässig, wenn eine geeignete Rechtsgrundlage vorliegt. Vor allem wenn Bewerber für die zu besetzende Stelle über spezielle Soft Skills verfügen müssen, können dazu passende Tests im Auswahlverfahren eingesetzt werden.

Beim Einsatz von psychologischen Testverfahren sind selbstverständlich weitere Datenschutzvorgaben wie etwa die Information der Bewerber über Datenverarbeitung gemäß Art. 13 DSGVO (Datenschutz-Grundverordnung) zu beachten. Hierfür können Sie unseren kostenlosen Generator für ein Mitarbeiter-Informationsschreiben nach DSGVO benutzen.

Dieser aktualisierte Artikel wurde zuerst am 20. Juni 2016 veröffentlicht.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Verbandsklagerecht im Datenschutz: eine zunehmende Gefahr für datenverarbeitende Unternehmen

Gegen Datenschutzverstöße, die einen kommerziellen Bezug haben, können in Deutschland nach dem Unterlassungsklagegesetz (UKlaG) bereits seit Februar 2016 auch Verbraucherverbände juristisch vorgehen. Die EU-Datenschutz-Grundverordnung (DSGVO) sieht seit Mai 2018 vor, dass neben den einzelnen Betroffenen auch „Einrichtungen, Organisationen oder Vereinigungen ohne Gewinnerzielungsabsicht“ umfassende Befugnisse hinsichtlich der Geltendmachung von Datenschutzverstößen haben. Dieser Beitrag beleuchtet, worauf sich Unternehmen aufgrund der Möglichkeit zur Verbandsklage sowie der Regelungen der DSGVO einstellen sollten, um teure Abmahn- und Prozesskosten möglichst zu vermeiden.

Update Mai 2022: Der EuGH entschied, dass Verbraucherschutzverbände auch ohne konkrete Verletzung Betroffener gegen DSGVO-Verstöße klagen dürfen. Mehr dazu in der Urteilsbesprechung bei activeMind.legal.

Angreifbarkeit von Datenschutzverstößen durch „Einrichtungen, Organisationen oder Vereinigungen“

Lange Zeit waren für den Schutz der Rechte des Betroffenen ausschließlich dieser selbst und die jeweilige Datenschutzbehörde zuständig. Auf die Unterstützung schlagkräftiger Verbraucherverbände konnte der Betroffene in der Regel nicht setzen. Denn diese konnten ausschließlich gegen Wettbewerbsverstöße vorgehen – zum Beispiel gegen eine irreführende Werbung. Der deutsche Gesetzgeber hatte diese Durchsetzungslücke erkannt und bereits im Jahr 2016 durch eine Änderung des Unterlassungsklagegesetzes ein (begrenztes) Verbandsklagerecht eingeführt.

Auch der europäische Gesetzgeber hat im Bereich der Durchsetzung des Datenschutzrechts ein Vollzugsdefizit festgestellt, das unter anderem auf die schlechte personelle und materielle Ausstattung der Aufsichtsbehörden zurückzuführen war.

Durch die Aufnahme des Art. 80 in die DSGVO soll der kollektive Rechtsschutz im Datenschutzrecht gestärkt und ausgebaut sowie das u.a. auch von Verbraucherschutzverbänden kritisierte Vollzugsdefizit (bei den auch verbraucherschützenden Vorschriften des Datenschutzrechts) beseitigt werden.

Einführung eines Vertretungsrechts (inkl. Verbandsklagerecht bei Datenschutzverstößen) nach DSGVO

In welchen Fällen dürfen Betroffene durch eine Einrichtung, Organisation oder Vereinigung vertreten werden?

Art. 80 DSGVO sieht zwei Möglichkeiten vor, wie der Vertreter (dies kann eine Einrichtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht sein) „aktiv“ werden kann:

  1. Er kann entweder von dem Betroffenen explizit beauftragt werden, in dessen Namen bestimmte Rechte geltend zu machen bzw. die Rechte vom Betroffenen überlassen bekommen haben (Absatz 1).
  2. Nach Absatz 2 kann der „Vertreter“ auch ohne Beauftragung bei einer Verletzung der Rechte eines Betroffenen diese Rechte gegenüber der Aufsichtsbehörde oder vor Gericht geltend machen.

Welche Rechte können von dem Vertreter geltend gemacht werden?

Der Vertreter kann grundsätzlich bei sämtlichen Datenschutzverletzungen eine Beschwerde bei der zuständigen Aufsichtsbehörde oder einen gerichtlichen Rechtsbehelf einlegen. Im Fall der Beauftragung durch den Betroffenen (Abs. 1) kann der Vertreter darüber hinaus auch Schadensersatz im Namen des Betroffenen fordern.

Können sich Einrichtungen, Organisationen oder Vereinigungen in Deutschland seit Mai 2018 auf Artikel 80 DSGVO berufen?

Nein, die DSGVO sieht vor, dass die Rechte zunächst in den Mitgliedstaaten umgesetzt werden müssen. Der deutsche Gesetzgeber hat bisher mit den seit 2016 geltenden Änderungen des Unterlassungsklagegesetzes allenfalls einen Teil hiervon umgesetzt. Das Klagerecht ist im Vergleich zu Artikel 80 DSGVO deutlich abgeschwächt, insbesondere da nach deutschem Recht

  • nur bestimmte Verbände klagen dürfen,
  • nur bestimmte Datenverarbeitungen angegriffen werden können,
  • kein umfassendes Klage- und Beschwerderecht besteht (siehe unten).

Es bleibt abzuwarten, ob der deutsche Gesetzgeber von seinem Recht Gebrauch macht, das Verbandsklagerecht auf Basis der DSGVO-Bestimmungen deutlich zu erweitern und zu stärken. Mit der Möglichkeit sollte zumindest gerechnet werden.

Verbandsklagerecht bei Datenschutzverstößen nach dem deutschen UKlaG

Welche Verarbeitungen können von Verbänden angegriffen werden?

Nicht alle! Ausgenommen sind insbesondere Datenverarbeitungen, die für den Abschluss, die Durchführung oder die Beendigung eines Vertrags mit dem Betroffenen erforderlich sind. Dies betrifft insbesondere die Verarbeitung von Arbeitnehmerdaten. Auch dann, wenn das Unternehmen mit der Datenverarbeitung einer gesetzlichen Pflicht nachkommt (z. B. einer Aufbewahrungspflicht), greift das Gesetz nicht.

Demgegenüber dürfen Verbände jedenfalls dann abmahnen und klagen, wenn die Daten in folgenden Verwendungszusammenhängen verarbeitet werden:

  • Werbung;
  • Markt- und Meinungsforschung;
  • Tätigkeit einer Auskunftei;
  • Erstellen von Persönlichkeits- und Nutzungsprofilen;
  • Adress- und sonstiger Datenhandel.

Hier wird deutlich, dass der Gesetzgeber personenbezogene Daten offenbar als Wirtschaftsgut erkannt hat und dementsprechend schützen möchte. Das Gesetz findet deshalb nur bei kommerziellen Datenverarbeitungen Anwendung.

In diesem Zusammenhang kann ein klageberechtigter Verband Ansprüche auf Unterlassung, Sperrung und Löschung personenbezogener Daten geltend machen.

Welche Verbände dürfen gegen Datenschutzverstöße vorgehen?

Nicht alle. Abmahnen und klagen darf ein Verband nur, wenn er in eine vom Bundesamt für Justiz geführte Liste aufgenommen wurde. Das Amt prüft vor Aufnahme eines Verbandes, ob dieser seiner Satzung und anderer Kriterien gemäß für die Wahrnehmung von Verbraucherrechten qualifiziert ist. Dies soll einen Missbrauch der Klagebefugnis verhindern. Neben Verbraucherverbänden können auch Wirtschaftsverbände, Industrie- und Handelskammern sowie Handwerkskammern vor den Zivilgerichten abmahnen und klagen.

Welche Rolle spielen die Aufsichtsbehörden im Verbandsklagerecht?

Vor seiner Entscheidung muss das Gericht grundsätzlich die zuständige Datenschutzbehörde anhören. Der Gesetzgeber möchte nicht auf den Sachverstand der unabhängigen Datenschutzbehörden verzichten und verdeutlichen, dass er in den Behörden nach wie vor das wichtigste Kontrollorgan im Datenschutzrecht sieht. Eine Anhörung der Datenschutzbehörde ist dann allerdings nicht erforderlich, wenn eine einstweilige Verfügung ohne mündliche Verhandlung beantragt wird.

Fazit: Datenverarbeitenden Unternehmen droht ein erhöhtes Rechts- und Reputationsrisiko

Die zusätzliche Kontrollinstanz im Datenschutzrecht – neben dem Betroffenen, der Aufsichtsbehörde und eingeschränkt den Mitbewerbern – erhöht das Risiko auf Seiten der datenverarbeitenden Unternehmen, für Datenschutzverstöße rechtlich einstehen zu müssen. Hinzu kommt die Gefahr des Imageverlusts für den Fall, dass das eigene Unternehmen zur Zielscheibe eines Verbraucherverbands wird.

Unternehmen sollten einen rechtssicheren Datenschutz daher mehr denn je mit Priorität versehen und entsprechenden Sachverstand frühzeitig hinzuziehen. Dies gilt insbesondere vor dem Hintergrund der EU-Datenschutz-Grundverordnung, die nun zum einen den Mitgliedsstaaten die Möglichkeit gibt, sehr viel weitergehende Rechte für Vertreter der Betroffenen (insbesondere auch für Verbände) festzulegen und darüber hinaus das datenschutzrechtliche Schadensersatzrecht deutlich verschärft.

Dieser aktualisierte Artikel wurde zuerst am 24. Februar 2018 veröffentlicht.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Videoaufnahmen von Mitarbeitern zur Beweisverwertung vor Gericht

Das jüngste Urteil des Bundesarbeitsgerichts (BAG) erweitert die zeitlichen Grenzen, in denen Videoaufnahmen von Mitarbeitern vor Gericht als Beweis verwertet werden können (Urteil vom 23. August 2018, 2 AZR 133/18). Arbeitgeber sollten sich dadurch jedoch nicht veranlasst sehen, flächendeckend Mitarbeiterverhalten aufzunehmen und Videoaufnahmen unbegrenzt aufzubewahren. Damit ein Überwachungsvideo zur Beweisverwertung vor Gericht zugelassen werden kann, müssen Sie u. a. die Vorschriften der EU-Datenschutz-Grundverordnung (DSGVO) einhalten. Wie Sie als Arbeitgeber die Videoüberwachung gestalten sollten, damit einer Verwertung vor Gericht nichts im Wege steht, erfahren Sie hier.

Das BAG-Urteil zur Beweisverwertung von Videoaufnahmen

Eine Arbeitnehmerin wurde in einer Lottoannahmestelle mit angeschlossener Zeitschriften- und Tabakhandlung des Arbeitgebers beschäftigt. Der Verkaufsraum sowie der Kassenbereich wurden offen videoüberwacht, um das Eigentum des Betreibers vor Straftaten von Kunden sowie Mitarbeitern zu schützen. Als ein Warenschwund festgestellt wurde, wertete der Arbeitgeber Videoaufzeichnungen aus, die zum Zeitpunkt der Auswertung nahezu sechs Monate alt waren. Er stellte vermögensschädigende Handlungen der Arbeitnehmerin fest und sprach daraufhin die fristlose Kündigung aus.

Die Arbeitnehmerin legte Kündigungsschutzklage ein und ein Kündigungsrechtsstreit entbrach, in dem sich der Arbeitgeber auf das Videomaterial als Beweis für die Schädigung stützte. Nach Auffassung des Landesarbeitsgerichts (LAG) Hamm (LAG Hamm, Urteil vom 20. Dezember 2017 – 2 Sa 192/17) war die Speicherung sowie Auswertung unrechtmäßig. Das Gericht stellte fest, die Daten einer offenen Videoüberwachung zur Wahrnehmung des Hausrechts und zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke in einem öffentlichen Geschäft seien unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen. Die Intensität der Persönlichkeitsrechtsverletzung für die Arbeitnehmerin stünde der Berücksichtigung der Videoaufnahme entgegen.

Das jüngste Urteil des Bundesarbeitsgerichts hob das Berufungsurteil des LAG Hamm auf und veranlasste damit eine Neuverhandlung. Das Bundesarbeitsgericht stellte allerdings bisher nur fest, dass die Speicherung von Bildsequenzen möglich ist, solange die Ahndung der Pflichtverletzung durch den Arbeitgeber arbeitsrechtlich möglich ist. Hinzu kommen zwei weitere Prämissen: Zum einen müsse es sich um eine vorsätzliche Handlung eines Arbeitnehmers zulasten des Eigentums des Arbeitgebers handeln. Zum anderen müsse die offene Videoüberwachung rechtmäßig im Sinne der DSGVO gewesen sein.

Sollte das nun wieder zuständige Landesarbeitsgericht Hamm also feststellen, dass die offene Videoüberwachung rechtmäßig war, dann wäre die Verwertung des Videomaterials zulässig.

So wahren Sie die Rechtmäßigkeit bei der offenen Videoüberwachung

Für Arbeitgeber ist insbesondere Folgendes zu beachten: Ohne die Videoüberwachung datenschutzrechtlich sauber zu gestalten, können Videobeweise trotz des hier beschriebenen BAG Urteils nicht verwertet werden. Das Bundesdatenschutzgesetz regelt in § 4 BDSG den Einsatz von Videoüberwachung und beschränkt diese auf die Wahrnehmung des Hausrechtes und berechtigte Interessen für konkret festgelegte Zwecke. Es ist umstritten, ob die DSGVO diese speziellere nationale Regelung, wie sie der deutsche Gesetzgeber getroffen hat, überhaupt zulässt. Deshalb sollte zur Bestimmung der Rechtmäßigkeit immer auch Art. 6 Abs. 1 DSGVO herangezogen werden.

Damit offene Videoaufnahmen keinem Beweisverwertungsverbot unterliegen, ist die offene Videoüberwachung insbesondere mit folgenden Maßnahmen rechtmäßig zu gestalten:

  • Die Überwachung muss gem. § 26 Abs. 1 S. 1 BDSG erforderlich sein für die Durchführung des Beschäftigungsverhältnisses. Hier könnte man argumentieren, dass z. B. die Videoüberwachung eines Geldtransportfahrers erforderlich und gerechtfertigt ist, um einerseits den Mitarbeiter vor Dritten zu schützen, aber auch, um den Arbeitgeber vor Vermögensdelikten durch Kunden sowie den Mitarbeiter selbst zu bewahren. Ein Beispiel, in dem hingegen definitiv keine Erforderlichkeit zur Videoüberwachung besteht, wäre ein Mitarbeiter in einer Produktionslinie, der Maschinenteile niederen Wertes zusammensetzt.
  • Gemäß Art. 6 Abs. 1 lit. f DSGVO ist eine Interessenabwägung erforderlich, die feststellt, ob die berechtigten Interessen des Arbeitgebers an der Überwachung die Interessen, Rechte und Grundfreiheiten des Beschäftigten überwiegen. Dabei sollte bedacht werden, welche Auswirkungen die offene Überwachung für einen Arbeitnehmer hat. Überwachungsdruck und konstante Auswertung von Mimik sowie Verhalten sind Einschnitte, die vor der Installation bedacht und abgewogen werden sollten.
  • Die Verhältnismäßigkeit einer Maßnahme gebietet, dass die Videoüberwachung immer nur als letztes Mittel eingesetzt werden sollte, wenn es keine Maßnahmen gibt, die weniger in das Persönlichkeitsrecht des Betroffenen einschneiden. Technische Maßnahmen wie das „Ausgrauen“ einzelner Bereiche des Erfassungswinkels einer Kamera kann den Überwachungscharakter entschärfen.
  • Mitarbeiter sollten über die offene Videoüberwachung umfangreich informiert werden. Dazu zählt z. B., ihnen den Filmwinkel der Kamera vorzuführen und sie über Speicherfristen und Zugriffsberechtigte aufzuklären. Die unmittelbaren Voraussetzungen der Informationspflichten finden sich in Art. 13 DSGVO (nutzen Sie dafür einfach unseren kostenlosen Generator für ein Mitarbeiter-DSGVO-Informationsschreiben)
  • Wenn dem Arbeitnehmer eine Straftat nachgewiesen werden soll, muss die Überwachung gem. § 26 Abs. 1 S. 2 BDSG zur Aufdeckung erforderlich sein. Es müssen also tatsächliche Anhaltspunkte für eine Straftat vorliegen. Ein „bloßer Verdacht“ auf Grund von vagen Hinweisen oder bloßen Gerüchten reicht dazu regelmäßig nicht aus. Eine präventive Überwachung ist nicht möglich, sondern kann nur eigens dafür errichtet werden, wenn die Voraussetzungen des § 26 Abs. 1 S. 2 BDSG erfüllt sind.
  • Art. 5 Abs. 1 lit. e DSGVO gebietet die Löschung von personenbezogenen Daten, was Videoaufnahmen von identifizierbaren Mitarbeitern einschließt, nachdem der Zweck für die Verarbeitung nicht mehr besteht. Demnach sollten Speicherfristen so kurz wie möglich und lang wie nötig gehalten werden.

Datenschutzkonforme Videoüberwachung

Unser Workbook mit 45 Seiten voller Anwendungsbeispiele und Praxistipps
Jetzt bestellen

Hinweise zur Frist der Beweisverwertung

Bisher wurde davon ausgegangen, dass Videoaufnahmen von z. B. Ladenflächen und Büroeingängen zur Wahrung des Hausrechts wenige Tage nach Aufnahme gelöscht werden müssen, um dem Datenschutz zu genügen. Da Art. 5 Abs. 1 lit. e DSGVO (Begrenzung der Speicherdauer) auf die Rechtmäßigkeit der Videoüberwachung Einfluss nimmt, müssen gute Gründe für eine Monate andauernde Speicherung von Aufnahmen existieren.

Das BAG hat die Rechtslage nun konkretisiert und erlaubt die Speicherung solange eine Ahndung der Pflichtverletzung durch den Arbeitgeber arbeitsrechtlich möglich ist. Art. 5 Abs. 1 lit. e DSGVO schließt allerdings aus,

  1. dass z. B. Aufnahmen zum alleinigen Zweck der Wahrung des Hausrechts angefertigt werden,
  2. man über die Zweckbegrenzung hinaus Aufzeichnungen speichert und
  3. sich später auf den (anderen) Zweck der Mitarbeiterüberwachung beruft, wenn ein Verdacht aufkommt.

Die Begründung liegt darin, dass die Aufnahmen zur Wahrung des Hausrechtes grundsätzlich wesentlich kürzeren Speicherfristen unterliegen, als eine Ahndung der Pflichtverletzung durch den Arbeitgeber arbeitsrechtlich möglich ist. Zudem ist eine Zweckänderung nur selten und unter strengen Voraussetzungen möglich.

Fazit: Datenschutzkonformität der Videoüberwachung bleibt vorrangig

Das Bundesarbeitsgericht eröffnet mit seinem Urteil zwar Wege, Videoaufnahmen länger vor Gericht verwerten zu dürfen. Der Richterspruch ist aber noch lange kein Freischein zur Vorratsspeicherung und unberechtigter Videoüberwachung von Arbeitnehmern.

Videoüberwachung muss weiterhin den strengen Anforderungen der DSGVO genügen. Damit der Videobeweis vor Gericht verwendet werden kann, muss die Videoüberwachung zulässig und damit datenschutzrechtskonform gestaltet sein. Dass das ohne gute Planung und Koordination kaum umsetzbar ist, beweisen die aufgeführten zu treffenden Maßnahmen dieses Artikels.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Überwachung von Beschäftigten vs. Mitarbeiterdatenschutz

Es gibt vielerlei Möglichkeiten, das Verhalten von Mitarbeitern zu kontrollieren: Von der herkömmlichen Videoüberwachung über die Kontrolle des E-Mail-Verkehrs, der sonstigen Internetnutzung bis zur Erfassung von Chatdaten haben Arbeitgeber jede Menge technische Einsichtsmöglichkeiten. In der Regel soll so festgestellt werden, ob Beschäftigte strafbares Verhalten an den Tag legen oder sich entgegen der Unternehmensregeln verhalten. Doch welche Maßnahmen der Mitarbeiterüberwachung sind datenschutzrechtlich überhaupt zulässig? Insbesondere das neue Bundesdatenschutzgesetz (BDSG) konkretisiert den Mitarbeiterdatenschutz und legt fest, wann welche Überwachung rechtens ist.

Die gesetzlichen Schranken der Mitarbeiterüberwachung

Für die Kontrolle von Mitarbeitern macht insbesondere § 26 Abs. 1 S. 2 BDSG folgende Einschränkung:

„Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.“

Grundsätzlich ist auch zu erwähnen, dass jegliche Art von Überwachung unter § 26 Abs. 7 BDSG fällt, unabhängig davon, ob Daten automatisiert, maschinell, digital oder analog verarbeitet werden. Dazu ist es nicht notwendig, dass die Daten in einem Dateisystem abgelegt werden. Folglich unterfällt selbst ein Bewertungsgespräch zwischen Mitarbeiter und Vorgesetztem dem BDSG, ganz gleich, ob es protokolliert und auf dem PC gespeichert wurde oder den Teilnehmern nur eine Erinnerung bleibt.

Über alle Kontrollmaßnahmen, die nicht verdeckt ablaufen, müssen Mitarbeiter gemäß Art. 13 DSGVO informiert werden (siehe unser kostenloser Generator zum Erstellen eines DSGVO-Mitarbeiter-Informationsschreibens).

Trotz alledem ist es durch allgemeine Überwachungsmaßnahmen möglich und erlaubt, das Mitarbeiterverhalten zu beobachten und drohende Schäden frühzeitig zu erkennen:

Überwachung von Bewerbern

Die erste vorgelagerte Überwachung kann sich schon im Bewerbungsprozess ergeben: Gab es negative Vorfälle in der Vergangenheit? Schlechte Presse? Gehört der Bewerber einer bedenklichen Gruppierung an? Als zukünftiger Arbeitgeber möchten Sie sich ggfs. Informationen über Bewerber beim vorigen Chef, mit einer schnellen Google-Suche bzw. in privaten sozialen Netzwerken einholen. Solche Informationsquellen sind allerdings problematisch, weil die zu gewinnenden Informationen nicht unbedingt erforderlich sind, um sich für oder gegen einen Bewerber zu entscheiden – dazu dient schließlich der Interviewprozess.

Von diesen Kanälen sollten Sie als Arbeitgeber also lieber Abstand nehmen, es sei denn der Bewerber hat ausdrücklich (und nachweislich) dazu aufgefordert, diese Informationsquellen anzuzapfen. Alternativ können Sie sich auch eine Einwilligung einholen. Die Versagung der Einwilligung darf sich allerdings nicht negativ auf die Auswahl niederschlagen, was dem Bewerber mitzuteilen und auch tatsächlich vom Recruiter einzuhalten ist.

Überwachung des allgemeinen Betriebs

Private Bereiche

Das allgemeine Persönlichkeitsrecht ist in der privaten Lebensgestaltung des Arbeitnehmers vollkommen unantastbar. Damit sind Toiletten, geschlossene Sanitärbereiche und Umkleidekabinen von Kontrollen frei zu lassen.

Verbale Kommunikation

Ebenso stark geschützt ist die verbale Kommunikation, die grundsätzlich der Vertraulichkeit des Wortes unterfällt und nur in wenigen Fällen verdeckt mitgehört werden darf. Zum Beispiel ist das Mithören externer Telefongespräche nur zu Ausbildungszwecken erlaubt und bedarf der Information des Sprechenden über diesen Umstand. Ein verdeckter Lauschangriff von Mitarbeitern ist demnach schwierig bis unmöglich rechtskonform gestaltbar.

Videoüberwachung

Der Einsatz von Kameras zur Wahrung des Hausrechts ist gemäß § 4 Abs. 1 lit. 2 BDSG generell zulässig. Die Kamera sollte dabei allerdings ausschließlich die Zutrittspunkte zum Gebäude filmen. Die Speicherung des Bildmaterials muss so kurz wie möglich ausfallen.

Wenn eine Videokamera platziert wird, die merklich auf einen Mitarbeiter gerichtet ist, kann es dazu führen, dass sich ein „Anpassungszwang“ entwickelt und der Überwachungsdruck erheblichen Stress auslöst. Sofern keine Rückzugsmöglichkeiten bestehen (z. B. ein zweiter Arbeitsplatz), lässt sich eine Überwachung ohne Tatverdacht nicht rechtfertigen.

IT-Nutzung

Wenn ein Arbeitgeber den Gebrauch der dienstlichen IT für private Zwecke untersagt hat, sind Kontrollen angebracht (aus IT-Sicherheitsgründen) und auch erlaubt. Wenn sich das Verbot auf den Internetzugang erstreckt, kann auch die Einhaltung dieser Vorgaben anhand von Stichproben kontrolliert werden.

E-Mailverkehr

Ähnlich verhält es sich ähnlich mit E-Mails. Grundsätzlich ist jede E-Mail im Postfach der Firmenadresse eines Mitarbeiters geschäftliche Korrespondenz und damit offen zur Kontrolle durch den Arbeitgeber. Bei Geheimnisträgern wie Betriebsräten, -ärzten und -psychologen darf der Arbeitgeber zwar den Inhalt erfahren, jedoch nicht wer Sender und Empfänger ist.

Anders verhält es sich bei normalen Mitarbeitern, bei denen ein privater Gebrauch des dienstlichen E-Mailpostfaches erlaubt oder geduldet ist.

Chatnachrichten

Die stichprobenhafte Kontrolle von Chatnachrichten und sogar Auswertung von Chats nach Ausscheiden eines Mitarbeiters sind nach Auffassung des Landesarbeitsgericht Hamm (LAG Hamm, Urteil vom 10. Juli 2012 – 14 Sa 1711/10) in Ordnung, wenn Arbeitnehmern die private Nutzung nur in Maßen erlaubt wurde und mitgeteilt wurde, dass keine Vertraulichkeit der Inhalte zu erwarten sei.

Zeiterfassung

Auch die Zeiterfassung ist im Rahmen des berechtigten Interesses des Arbeitgebers an Zugangskontrollen datenschutzrechtlich unbedenklich. Es gilt allerdings die Einschränkung, dass keine Bewegungsprofile des Mitarbeiters erstellt werden sollten und die Identifikation möglichst ohne biometrische Daten erfolgt.

Ortung

Wenn die Ortung während der dienstlichen Tätigkeit der Verkehrssicherheit, der Sicherheit des Arbeitnehmers, der Einsatzplanung, der Abwehr und Aufdeckung von Straftaten oder Pflichtverstößen der eigenen Mitarbeiter zuträglich ist, kann über den Einsatz der Technik nachgedacht werden.

Es gelten die Grenzen des § 26 Abs. 1 S. 1 BDSG und damit muss eine genaue Abwägung der Erforderlichkeit der Mitarbeiter-Ortung zur Durchführung des Beschäftigungsverhältnisses durchgeführt werden. Zudem muss die Ortung verhältnismäßig eingesetzt werden, was bedeutet, dass die Maßnahme nicht über das Ziel hinausschießt. Beispielsweise kommt es darauf an, ob die Fahrer eines Geldtransporters getrackt werden oder ein Vertriebsmitarbeiter mit Dienstwagen. Ähnlich wie bei der Zeiterfassung, sind lückenlose Bewegungsprofile unzulässig.

Videoüberwachung von Mitarbeitern aufgrund eines Tatverdachts

Der Großteil der oben genannten Maßnahmen lassen sich auch ohne Tatverdacht realisieren. Der verdeckten Videoüberwachung sind dagegen klare Grenzen gesetzt.

Eine direkte Videoüberwachung einzelner Mitarbeiter allerdings ist zulässig, wenn das Kontrollinteresse des Arbeitgebers das Persönlichkeitsrecht des Arbeitnehmers überwiegt. Die bloße Intention zu überprüfen, ob auch wirklich gearbeitet wird, reicht dazu regelmäßig nicht aus.

Das Interesse des Arbeitgebers kann überwiegen, wenn ein Anfangsverdacht besteht, der größer als nur mutmaßlich sein muss. Vage Anhaltspunkte reichen nicht aus, sondern es muss ein Grad an Wahrscheinlichkeit nachweisbar sein, der eine Tat wie Diebstahl, Unterschlagung oder Verrat von Geschäftsgeheimnissen untermauert.

Die Videoüberwachung kann sich nicht gegen den gesamten Betrieb richten, sondern nur gegen Einzelpersonen. Dazu sollte sichergestellt sein, dass eine Videoüberwachung das praktisch einzig verbliebene Mittel darstellt, Unregelmäßigkeiten aufzuklären.

Sofern Sie eine verdeckte Kameraüberwachung anstreben, sind die rechtlichen Hürden umso höher. Wenn sichergestellt ist, dass die offene Überwachung keinen Effekt hätte und ein konkreter Verdacht einer strafbaren Handlung vorliegt, lässt sich diese Art von Kontrolle mit aktuellem Datenschutzrecht vereinen. Gleiche Überlegungen gelten für einen verdeckt eingesetzten Keylogger, der sämtliche Tastenanschläge eines Mitarbeiters aufzeichnet und zur Auswertung bereitstellt.

Fazit: Überwachung von Mitarbeitern ist datenschutzrechtlich kompliziert

Die Grenzen des BDSG bei der Überwachung bzw. Kontrolle von Mitarbeitern sind relativ eng gesteckt. Beim Einsatz von Überwachungsmaßnahmen sollte deswegen stets der Datenschutzbeauftragte des Unternehmens hinzugezogen werden, um im Zweifelsfall eine rechtskonforme Abwägung der Interessen von Arbeitgeber und Arbeitnehmer durchführen zu können. Eine lückenlose Dokumentation aller Mitarbeiterüberwachungsmaßnahmen sollte selbstverständlich sein.

Dieser aktualisierte Artikel erschien zuerst am 5. Februar 2011.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Rechtmäßigkeit der Verarbeitung von Daten

Die europäische Datenschutz-Grundverordnung (DSGVO) formuliert für die Verarbeitung personenbezogener Daten zahlreiche Pflichten. Diese werden Art. 5 DSGVO als Grundsätze verankert. Der erste besagt, dass personenbezogene Daten nur „auf rechtmäßige Weise“ verarbeitet werden dürfen. Für die praktische Umsetzung im Unternehmen hat dieser Grundsatz der Rechtmäßigkeit umfangreiche Konsequenzen.

Verbot mit Erlaubnisvorbehalt

Nach dem Grundsatz der Rechtmäßigkeit dürfen personenbezogene Daten grundsätzlich nicht verarbeitet werden, es sei denn, dass es ausnahmsweise eine Rechtsgrundlage gibt, welche die Verarbeitung erlaubt. Deshalb wird hier von einem Verbot mit Erlaubnisvorbehalt gesprochen.

Wann eine Verarbeitung personenbezogener Daten ausnahmsweise erlaubt ist, wird in Art. 6 DSGVO geregelt; für personenbezogene Daten besonderer Kategorien in Art. 9 DSGVO. Weitere Rechtsgrundlagen ergeben sich aus dem neuen Bundesdatenschutzgesetz (BDSG-neu).

Rechtsgrundlagen nach Art. 6 DSGVO

Soweit die Verarbeitung keine besonderen personenbezogenen Daten betrifft, bemisst sich die Rechtmäßigkeit nach Art. 6 DSGVO. Hiernach ist die Datenverarbeitung unter folgenden Bedingungen ausnahmsweise erlaubt:

  • Einwilligung des Betroffenen, Art. 6 Abs. 1 lit. a DSGVO;
  • Erfüllung eines Vertrages (Betroffener muss Vertragspartner sein) oder vorvertraglichen Maßnahme (Vertragsanbahnung muss vom Betroffenen ausgehen), Art. 6 Abs. 1 lit. b DSGVO;
  • Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen, Art. 6 Abs. 1 lit. c DSGVO;
  • Schutz lebenswichtiger Interessen, Art. 6 Abs. 1 lit. d DSGVO;
  • Wahrnehmung einer Aufgabe im öffentlichen Interesse, Art. 6 Abs. 1 lit. e DSGVO;
  • Wahrung eines überwiegenden (Interessenabwägung erforderlich) berechtigten Interesses des Verantwortlichen, Art. 6 Abs. 1 lit. f DSGVO.

Zwischen den Rechtsgrundlagen gibt es keinen Vorrang oder eine Hierarchie. Dies bedeutet, dass nicht primär eine Einwilligung gefordert werden muss bevor man sich auf eine andere Rechtsgrundlage berufen darf. Vielmehr stehen alle Rechtsgrundlagen gleichwertig nebeneinander (lesen Sie in diesem Ratgeber, welche Rechtsgrundlage für welche Verarbeitungen am besten geeignet ist).

Rechtsgrundlagen nach Art. 9 DSGVO

Werden besondere Kategorien personenbezogener Daten verarbeitet, bedarf es einer gesonderten Rechtsgrundlage aus Art. 9 DSGVO.

Besondere Kategorien personenbezogener Daten sind etwa solche über rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische oder biometrische Daten, Gesundheitsdaten oder Daten zum Sexualleben bzw. der sexuellen Orientierung.

Die Verarbeitung solcher Daten ist entsprechend ihrer höheren Schutzwürdigkeit beispielsweise nur erlaubt

  • aufgrund einer ausdrücklichen Einwilligung, Art. 9 Abs. 2 lit. a DSGVO,
  • zum Schutz lebenswichtiger Interessen, Art. 9 Abs. 2 lit. c DSGVO,
  • aufgrund eines erheblichen öffentlichen Interesses Art. 9 Abs. 2 lit. g DSGVO oder
  • zur individuellen Versorgung im Gesundheitsbereich Art. 9 Abs. 2 lit. h DSGVO.

Rechtgrundlagen nach BDSG-neu

Aus dem neuen Bundesdatenschutzgesetz ergeben sich ebenfalls einige Rechtsgrundlagen für die Verarbeitung personenbezogener Daten, die in dieser Form von der DSGVO nicht genannt werden:

  • Verarbeitung personenbezogener Daten durch öffentliche Stellen, § 3 BDSG-neu;
  • Videoüberwachung öffentlich zugänglicher Räume, § 4 BDSG-neu;
  • Datenverarbeitungen für Zwecke des Beschäftigungsverhältnisses, § 26 BDSG-neu;
  • Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken, § 27 BDSG-neu.

Umfang einer Rechtsgrundlage

Alle Verarbeitungsvorgänge müssen umfassend von einer Rechtsgrundlage gedeckt sein. Dies betrifft nicht nur die Frage ob die Daten überhaupt verarbeitet werden dürfen, sondern auch wie. Hierbei ist insbesondere zu beachten, an wen die Daten weitergegeben und zu welchen Zwecken sie verarbeitet werden dürfen.

Weitergabe von Daten an Dritte

Die Existenz einer Rechtsgrundlage zur Erhebung von Daten berechtigt nicht zwangsläufig zur Weiterleitung der Daten an Dritte. Dies wird insbesondere bei der Verarbeitung von Daten innerhalb einer Unternehmensgruppe relevant, wo die gemeinsame Verarbeitung durch die Teilung der Ressourcen verschiedener Unternehmen praktisch, aber nicht ohne Weiteres erlaubt ist.

Nach Erwägungsgrund 48 DSGVO kann ein überwiegendes berechtigtes Interesse hinsichtlich der Übermittlung von Kunden- und Beschäftigtendaten zu internen Verwaltungszwecken angenommen werden. Soweit die Übermittlung jedoch nicht aufgrund eines überwiegenden berechtigten Interesses erforderlich ist (Art. 6 Abs. 1 lit. f DSGVO), bedarf es einer anderen Rechtsgrundlage, um die konzerninterne Übermittlung zu legitimieren.

Andere Nutzung der Daten als zum Erhebungszweck

Erhebt ein Unternehmen im Rahmen eines Bestellvorganges in einem Onlineshop Kontakt-, Liefer- und Zahlungsdaten des Kunden, ist dies erlaubt, da dies gemäß Art. 6 Abs. 1 lit. b DSGVO zur Erfüllung vertraglicher Pflichten erforderlich ist.

Dies rechtfertigt jedoch nicht automatisch die Nutzung dieser Daten zu Werbezwecken. Vielmehr ist individuell zu ermitteln, ob die Nutzung der Daten zu Werbezwecken etwa aufgrund eines überwiegenden berechtigten Interesses gem. Art. 6 Abs. 1 lit. f DSGVO vorliegt oder ob eine zusätzliche Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO erforderlich ist.

Verstöße gegen Grundsätze sind keine Kavaliersdelikte

Verstöße gegen die Grundsätze des Art. 5 DSGVO, hierunter auch der Grundsatz der Rechtmäßigkeit, gehören zu der Kategorie von Verstößen, die mit höheren Bußgeldern geahndet werden. Gemäß Art. 83 Abs. 5 lit. a DSGVO können die Aufsichtsbehörden Bußgelder bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am: