Nutzung von digitalen Instrumenten zur Mitarbeiterüberwachung
Es erreichen die Datenschutzaufsicht immer wieder Beschwerden, in denen Beschäftigte angaben, durch Software-Anwendungen auf ihren dienstlichen Geräten von ihren Arbeitgebern überwacht zu werden. Solche Anwendungen sind in der Regel datenschutzrechtlich unzulässig.
Spätestens seit Beginn der Corona-Pandemie ist das Arbeiten im „HomeOffice“ weit verbreitet. Zur Vermeidung von Kontakten gehen viele Menschen ihrer Bürotätigkeit von Zuhause aus nach. Das ermöglicht den Beschäftigten, ihre Kontakte zu reduzieren und Infektionen zu vermeiden. Für Arbeitgeberinnen und Arbeitgeber kann sich die Frage stellen, ob ihre Beschäftigten die übertragenen Aufgaben auch im Home-Office erledigen oder die Arbeitszeit auch für private Angelegenheiten nutzen. Vor diesem Hintergrund gibt es einen wachsenden Markt zur digitalen Überwachung von Beschäftigten z.B. mittels Software-Anwendungen, die für diese Zwecke auf Dienstrechnern installiert werden. Um Leistungs- und Verhaltenskontrollen von Beschäftigten zu ermöglichen, nutzen solche Anwendungen eine Reihe möglicher Daten, die bei der ganz normalen Benutzung von IT-Geräten entstehen. Beginnend bei einfach zu erhebenden Informationen – wie etwa wann ein Mitarbeiter sich auf einem Gerät eingeloggt hat oder der Bildschirmschoner wegen Inaktivität aktiviert wurde –, können auch die Anzahl der Anschläge der Tastatur, die Dauer der sich im Fokus befindlichen, benutzten Anwendungen, die aufgerufenen Websites im Webbrowser bis hin zu regelmäßigen Screenshots aufgezeichnet werden. Bei mobilen Geräten wie beispielsweise Smartphones können zusätzlich auch GPS-Positionen und Bewegungsdaten verarbeitet werden.
Bei Nutzung von Software-as-a-Service-Angeboten (SaaS) werden die ermittelten Daten häufig direkt auf die IT-Systeme der Anbieter übertragen, dort aggregiert und ausgewertet. Den Arbeitgebern wird sodann oftmals der direkte Zugriff auf die Leistungs- und Verhaltensdaten der Beschäftigten ermöglicht. In Fällen, in denen Beschäftigte auch ihre privaten Endgeräte zur dienstlichen Aufgabenerledigung nutzen, oder wenn die private Nutzung von E-Mail und anderen Internetdiensten mittels der dienstlichen Geräte zugelassen ist, ist es zudem nicht unwahrscheinlich, dass auch die private Kommunikation und Aktivität der Beschäftigten erfasst und ausgewertet wird. Vor dem Hintergrund der technischen Möglichkeiten und dem legitimen Interesse von Arbeitgebern, unter Beachtung der Persönlichkeitsrechte der Beschäftigten Leistungs- und Verhaltenskontrollen durchführen zu können, stellt sich somit die Frage, inwieweit die Überwachung der Arbeitsleistung von Beschäftigten unter Nutzung elektronischer Systeme datenschutzrechtlich zulässig ist.
Der Einsatz jeglicher Instrumente zur Überwachung Beschäftigter ist an den datenschutzrechtlichen Anforderungen des § 26 Abs. 1 Satz 1 BDSG zu messen.
Danach ist eine Verarbeitung personenbezogener Daten im Beschäftigtenverhältnis zulässig, wenn sie zur Durchführung des Beschäftigtenverhältnisses erforderlich ist. Eine solche Erforderlichkeit wird etwa für die Arbeitszeiterfassung angenommen. Nach § 16 Abs. 2 ArbZG sind Arbeitgeber dazu verpflichtet, die Arbeitszeit ihrer Beschäftigten zu erfassen, wenn diese über die in § 3 ArbZG festgelegte Arbeitszeit von acht Stunden pro Tag hinausgeht. Eine Anwendung, die die Arbeitszeiterfassung im Home-Office ermöglicht und darüber hinaus keine personenbezogenen Daten der Beschäftigten verarbeitet, ist daher als datenschutzrechtlich zulässig zu betrachten.
Anders ist die Rechtslage zu beurteilen, wenn eine Software weitergehende Datenverarbeitungsvorgänge betreibt. Einige Produkte, die als Software zur Arbeitszeiterfassung beworben werden, ermitteln die Anzahl der Tastaturanschläge oder fertigen regelmäßig Screenshots des Bildschirms an. Dies ist in aller Regel datenschutzrechtlich unzulässig, da solche Datenverarbeitungsvorgänge einen erheblichen Eingriff in das Recht der Beschäftigten auf informationelle Selbstbestimmung darstellen, der durch den Überwachungszweck nicht gerechtfertigt werden kann (BAG, Urteil vom 27.07.2017, 2 AZR 681/16, Rn. 21 ff).
Sofern es um Überwachungsmaßnahmen zur Aufdeckung von im Beschäftigungsverhältnis begangenen Straftaten geht, sind die strengen Voraussetzungen des § 26 Abs. 1 Satz 2 BDSG zu beachten. Die Überwachung der Beschäftigten muss hiernach zur Aufdeckung von Straftaten erforderlich sein. Dabei gilt, dass keine sogenannte Ermittlung „ins Blaue hinein“ erfolgen darf, sondern bereits tatsächliche Anhaltspunkte für das Begehen einer Straftat im Beschäftigtenverhältnis vorliegen müssen. Diese sind zu dokumentieren. Zudem muss die Datenverarbeitung auch tatsächlich für die Aufdeckung der Straftat erforderlich sein und es ist eine Interessenabwägung durchzuführen. Keinesfalls ist es datenschutzrechtlich zulässig, alle Beschäftigten unter Generalverdacht zu stellen und von vornherein präventiv zu überwachen. Genau eine solche verdachtsunabhängige und lückenlose Datenverarbeitung erfolgt aber je nach Konfiguration durch die meist angebotene Software zur Mitarbeiterüberwachung, so dass deren Einsatz auch nach § 26 Abs. 1 Satz 2 BDSG nur in seltenen Fällen zulässig sein dürfte. Der bloße Verdacht, dass Beschäftigte im Home-Office private Angelegenheiten erledigen, legitimiert nicht deren lückenlose Überwachung. Selbst wenn von Fällen des Arbeitszeitbetrugs auszugehen ist, wird die Nutzung der beschriebenen digitalen Überwachungsinstrumente regelmäßig schon nicht das mildeste Mittel sein, um den Verdacht der Straftat zu erhärten.
Nutzen Arbeitgeber Produkte zur Mitarbeiterüberwachung, die datenschutzrechtlich unzulässige Verarbeitungsvorgänge durchführen, so muss mit der Verhängung von Maßnahmen nach Art. 58 Abs. 2 DSGVO gerechnet werden. Je nach Schwere des Verstoßes kann eine Verwarnung, eine Anweisung, die Datenverarbeitung in Einklang mit den Bestimmungen des Datenschutzrechts zu bringen, oder auch ein Verbot der Nutzung der eingesetzten Software in Betracht kommen.
Außerdem ist in solchen Fällen die Einleitung eines Bußgeldverfahrens zu erwägen, wobei Arbeitgeber sich im Rahmen eines Bußgeldverfahrens nicht durch den Einwand exkulpieren können, dass das eingesetzte Produkt mit dem Zusatz „DSGVO-konform“ beworben wird. Als Verantwortliche im Sinn des Art. 4 Nr. 7 DSGVO sind Arbeitgeber nach Art. 5 Abs. 2 DSGVO für die Einhaltung der Grundsätze der Verarbeitung verantwortlich und rechenschaftspflichtig. Anwendungen, die geeignet sind, eine lückenlose Überwachung der Beschäftigten zu ermöglichen, sind daher so zu konfigurieren, dass unzulässige Überwachungsmaßnahmen von vornherein ausgeschlossen sind.
Abschließend ist darauf hinzuweisen, dass Betriebsräte bei der Einführung und Anwendung von technischen Einrichtungen, die dazu geeignet sind, das Verhalten und die Leistung von Beschäftigten zu überwachen, nach § 87 Abs. 1 Nr. 6 BetrVG ein Mitbestimmungsrecht haben. Auch ist die Verarbeitung personenbezogener Daten, einschließlich besonderer Kategorien personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses, nach § 26 Abs. 4 BDSG auf der Grundlage von Kollektivvereinbarungen zulässig. In Unternehmen, in denen ein Betriebs- oder Personalrat existiert, sollten daher vor der Einführung solcher Anwendungen Betriebsvereinbarungen abgeschlossen werden.
Quelle: HBDI
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks