Für die Überwachung und Kontrolle der Mitarbeiter gibt es viele offensichtliche Gründe. Compliance und Controlling geben einem Arbeitgeber ein nachvollziehbares Interesse an einer Überwachung, aber nahezu jede Überwachungsmaßnahme beinhaltet auch eine Datenverarbeitung und fällt daher unter die Regeln des Datenschutzes und somit der DSGVO.
Was ist Mitarbeiterüberwachung?
Jede Maßnahme, die das Verhalten, die Kommunikation, die Arbeitszeit oder den Arbeitsort der Beschäftigten aufzeichnet, fällt unter diesen Begriff.
Typische Beispiele dafür sind Arbeitszeiterfassung, Videoüberwachung und Ortungssystems für Dienstfahrzeuge, aber auch Beurteilungsgespräche gehören dazu.
Bestimmte Bereiche der Überwachung verbieten sich von Vornherein wegen der Persönlichkeitsrechte der Mitarbeiter. Somit scheidet eine Videoüberwachung von Umkleideräumen oder Sanitärbereichen ebenso aus, wie die Aufzeichnung von Telefonaten. Hier gibt es auch ganz klare strafrechtliche Grenzen, wie sie beispielsweise in den §§ 201 und 201a StGB verankert sind. Gleiches gilt für die Erstellung von Bewegungsprofilen von Arbeitnehmern.
Zwingende Vorüberlegungen
Bevor eine Mitarbeiterüberwachung ins Leben gerufen bzw. installiert wird, erscheint es also auf jeden Fall sinnvoll, innezuhalten und nachzudenken.
Dabei folgt die Frage, ob und wo überhaupt eine Überwachung notwendig und sinnvoll ist, der ersten und viel wichtigeren Überlegung: Wie ist es um die Unternehmenskultur und -philosophie bestellt? Stehen Vertrauen und Wertschätzung nur als fröhliche Zeilen in einem Leitbild, oder werden diese Begriffe tatsächlich gelebt? Wenn ja, wird das die Überwachung nicht unbedingt ausschließen, aber die Art und Weise und der Umfang werden in diesem Fall eine andere sein.
Mitarbeiterüberwachung und Datenschutz
Mitarbeiterdaten sind schon allein wegen der Besonderheiten des Arbeitsverhältnisses besonders schützenswert. Bei jeder Überwachungsmaßnahme sind daher aus datenschutzrechtlichen Gründen die nachfolgend aufgezählten vier typischen Punkte im Vorfeld besonders zu prüfen bzw. zu implementieren:
- Prüfung und Dokumentation der rechtlichen Grundlage
- Erfüllung der Transparenzpflichten durch geeignete Informationen nach Art. 13 und 14 DSGVO
- Prüfung und Umsetzung angemessener technischer und organisatorischer Maßnahmen (am Beispiel Videoüberwachung: die Fragen der Zugriffskontrolle, Speicherung und Löschung der Videodaten)
- Definition der Verarbeitungstätigkeit und Integration im Verzeichnis der Verarbeitungstätigkeiten
Die rechtlichen Grundlagen
Für die rechtliche Grundlage der Datenverarbeitung kommen drei Alternativen in Frage:
- Einwilligung – Art. 6 Abs. 1 lit. a DSGVO
Grundsätzlich kann der Mitarbeiter in die Überwachungsmaßnahme einwilligen, jedoch dürfte dabei im Regelfall die Freiwilligkeit der Einwilligung und damit ihre Rechtmäßigkeit anzuzweifeln sein. (Art. 7 Abs. 4 DSGVO). Auch wegen der generellen Widerrufbarkeit (Art. 7 Abs. 3 DSGVO) ist die Einwilligung eine unsichere Rechtsgrundlage.
- Kollektivrechtliche Vereinbarungen – § 26 Abs. 1 Satz 1 BDSG n. F.
Das neue Bundesdatenschutzgesetz sieht diese Möglichkeit der arbeitsrechtlichen Vereinbarung ausdrücklich vor. Abgesehen davon, dass dies die sicherste rechtliche Lösung sein dürfte, erscheint es auch allein aus Gründen der Motivation und des Betriebsfriedens logisch, die Arbeitnehmervertretung in die Prozesse einzubeziehen.
Da allerdings fast die Hälfte der Betriebe nicht tarifgebunden sind und oft auch kein Betriebsrat vorhanden ist, scheidet diese Lösung in vielen Unternehmen leider häufig aus.
- Berechtigtes Interesse – Art. 6 Abs. 1 lit. f DSGVO
Das Besondere an dieser Rechtsgrundlage ist, dass sie zu einer Abwägung der Interessen verpflichtet. Selbstverständlich hat der Arbeitgeber in der Regel ein berechtigtes Interesse an einer Überwachung. Dieses muss jedoch mit den Interessen und den Rechten der Mitarbeiter ins Verhältnis gesetzt werden.
Hier kommt es stark auf den Einzelfall an. So dürfte die ständige Ortung eines Geldtransportes statthaft sein, eine vergleichbare Überwachung aller Außendienstfahrzeuge hingegen nicht.
Ein entscheidendes Kriterium bei der Interessenabwägung ist die Frage, ob es nicht ein milderes Mittel für den Arbeitgeber gibt. Im Falle der Außendienstfahrzeuge genügt vielleicht ein Ortungssystem, welches nur im Fall eines Unfalls oder Diebstahls aktiviert wird.
Die Transparenzpflichten
Grundsätzlich ist über jede Datenverarbeitung im Rahmen der Überwachung der Mitarbeiter im Vorfeld zu informieren, sei es über das Intranet, per Mail, Post oder Aushang. In jedem Fall muss sichergestellt sein, dass den Mitarbeitern die Information wirklich ohne Probleme zugänglich ist. Ein Aushang allein im Personalbüro dürfte beispielsweise unzureichend sein. Auch sind natürlich bei der Mitarbeiterinformation die Pflichtangaben gemäß Art. 13 und 14 DSGVO zu beachten.
In bestimmten Fällen, wenn es um mögliche Straftaten, wie z. B. Betrug oder Diebstahl geht, zieht der Arbeitgeber vielleicht eine verdeckte Überwachung vor, die geeignet scheint, den möglichen Täter zu überführen. Diesem Weg sind aber nach § 26 Absatz 1 Satz 2 BDSG n. F. enge Grenzen gesetzt. Es müssen triftige Anhaltspunkte vorliegen, die einen Verdacht begründen. Eine rein präventive verdeckte Überwachung scheidet daher aus. Und auch hier muss die Verhältnismäßigkeit der Maßnahme geprüft werden, frei nach dem Motto: Nicht mit Kanonen auf Spatzen schießen.
Die Datenschutzfolgenabschätzung gemäß Art. 35 DSGVO
Je umfangreicher und engmaschiger die Überwachungsmaßnahmen sind, umso schneller besteht für den Arbeitgeber als Verantwortlicher die Pflicht, eine Datenschutzfolgenabschätzung durchführen zu müssen. Das kann beispielsweise bei einer sehr umfassenden Videoüberwachungstechnik mit Zoomfunktion schnell der Fall sein. Gesetzlich vorgeschrieben ist sie, wenn öffentlich zugängliche Bereiche gemäß Art. 35 Abs. 3 lit. c DSGVO systematisch überwacht werden.
Je nach Unternehmensgröße oder Branche wird man hier auf die ISO/IEC-Norm 29134 zurückgreifen müssen. Aber selbst, wenn die umfassende Anwendung der Industrienorm nicht notwendig ist: eine Datenschutzfolgenabschätzung ist eine umfangreiche und unter Umständen kostenintensive Aufgabe.
Außerdem zieht diese gemäß § 38 Abs. 1 Satz 2 BDSG n. F. automatisch die Pflicht zur Benennung eines Datenschutzbeauftragten nach sich.
Grundsätzlich sollte sich aber ohnehin jeder Arbeitgeber, der Überwachungsmaßnahmen plant oder durchführt, von einem Datenschutzexperten beraten lassen, um hier nicht in unvorhergesehene Fallen zu laufen.
Die Nicht-Durchführung einer Datenschutzfolgenabschätzung, trotz einer bestehenden Pflicht, löst mögliche Ordnungsgelder aus und führt im Schadenfall zu einer unglücklichen Rechtsposition.
Zeiterfassung
Schauen wir uns nun verschiedene Überwachungsvorgänge genauer an. Hinweise dazu können allerdings nur an der Oberfläche bleiben, denn auch hier gilt eines der Grundprinzipien im Datenschutz: Jeder Einzelfall ist für sich zu betrachten.
Die Arbeitszeiterfassung findet heute nur noch selten mit der klassischen Stechuhr statt. Moderne Code-Karten vereinfachen die Erfassung; das bedeutet aber auch, dass zu den technischen und organisatorischen Maßnahmen einige Überlegungen anzustellen sind. Stichworte sind hier: Verlust der Code-Karte, Ausfall der Erfassungstechnik, Zugriffsrechte, Datensicherung usw..
Besondere Überlegungen sind notwendig, wenn mit der Code-Karte weitere Funktionen verbunden sind. Wenn damit auch ein Schließ- oder Zutrittssystem verbunden ist, muss durch verschiedene Maßnahmen verhindert werden, dass ein Bewegungsprotokoll des Mitarbeiters erstellt werden kann. Das gelingt zum Beispiel durch eine Pseudonymisierung der Schließ-Daten. Gleiches gilt für die Kantinennutzung. Dort werden, ehe man sich versieht, auch schnell gesundheitsrelevante Daten im Sinne von Art. 9 DSGVO verarbeitet (z. B. Allergien und Unverträglichkeiten), mit den entsprechenden Anforderungen an die technischen und organisatorischen Maßnahmen.
Videoüberwachung
Unabhängig davon, ob analog oder digital, ist die Videoüberwachung in jedem Fall eine Datenverarbeitung. Daher sei hier noch einmal ausdrücklich auf folgenden Punkt hingewiesen: Falls im Unternehmen eine Videoüberwachung erfolgt, die aber eigentlich gar nicht den Mitarbeitern, sondern den Kunden gilt, dann sind aber sehr oft trotzdem Mitarbeiter mitbetroffen. Auch dann müssen die besonderen datenschutztechnischen und -rechtlichen Fragen der Mitarbeiterüberwachung beachtet werden. Die Risiken der Videoüberwachung sollten ohnehin zu der Überlegung führen, ob diese überhaupt an allen Stellen notwendig ist. Eines der ersten bekannten Ordnungsgelder nach der DSGVO wurde übrigens aufgrund von Fehlern in diesem Punkt verhängt.
IT-Überwachung
Bestimmte Protokollierungen sind im Sinne der IT-Sicherheit unumgänglich. Das gilt insbesondere dann, wen die private Internetnutzung im Unternehmen untersagt ist. In diesem Zusammenhang sind Stichproben-Kontrollen meistens zulässig. Aber auch hier kommt es auf den Umfang und die Tiefe der Kontrollen an.
Der berufliche Mail-Verkehr gehört zur geschäftlichen Korrespondenz, die der Arbeitgeber nicht nur prüfen darf, sondern sogar nach HGB archivieren muss.
Besonderheiten gelten bei Geheimnisträgern wie Betriebsrat oder Betriebsarzt. Hier darf der Arbeitgeber zwar Kenntnis vom Inhalt haben, der Absender und Empfänger müssen jedoch geheim bleiben.
Noch nicht abschließend geklärt ist in diesem Zusammenhang die Frage, ob ein Betriebsrat ein eigener Verantwortlicher im Sinne der DSGVO ist. Sollte dies der Fall sein, wären für die Verarbeitung von Betriebsrats-Mails eine Vielzahl weiterer Überlegungen anzustellen.
Fazit
Die Mitarbeiterüberwachung stellt hohe Anforderungen an den Datenschutz. Eine individuelle Beratung durch einen Datenschutzexperten ist daher dringend zu empfehlen.