Datenschutz am Arbeitsplatz

Datenschutz am Arbeitsplatz

Datenschutz am Arbeitsplatz

Darf der Arbeitgeber Mitarbeiterdaten einsehen?

Man stelle sich folgenden Fall vor: Der Arbeitgeber hat seinen Mitarbeitern Rechnern mit Internetzugang zur Verfügung gestellt, den sie in den Mittagspausen auch privat nutzen dürfen. Nun erhält der Arbeitgeber Hinweise, dass eine Mitarbeiterin das Internet übermäßig privat nutzt und beschließt diesen Hinweisen nachzugehen. Ohne Einwilligung der Mitarbeiterin wertet er den Browserverlauf aus und stellt an mehreren Tagen eine private Nutzung außerhalb der Mittagszeit fest. Daraufhin kündigt er der Mitarbeiterin wegen der Privatnutzung fristlos aus wichtigem Grund. Die private Internetnutzung am Arbeitsplatz beschäftigte bereits häufig die Gerichte. Umstritten ist, was der Arbeitgeber unternehmen darf, um die private Internet Nutzung festzustellen.

Nach Auffassung der Datenschutzaufsichtsbehörden ist die Auswertung des Browserverlaufs ohne Einwilligung des Arbeitnehmers unzulässig.1)Für mehr Informationen: Orientierungshilfe der Datenschutzbehörden zur Datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz. Demnach ist der Arbeitgeber als Telekommunikationsdienstleister im Sinne des Telekommunikationsgesetzes (TKG) anzusehen, sofern er die private Internetnutzung gestattet. Dies hat zur Folge, dass er das Fernmeldegeheimnis zu beachten hat. Die unerlaubte Überprüfung von Email oder Browserverlauf stellt eine Verletzung des Fernmeldegeheimnisses dar, § 206 StGB.2)vgl. ArbRAktuell 2016, 255.

Die Gerichte vertreten überwiegend eine andere Ansicht.3)LAG Berlin-Brandenburg · Urteil vom 16. Februar 2011 · Az. 4 Sa 2132/10; Hessischer VGH · Beschluss vom 19. Mai 2009 · Az. 6 A 2672/08.Z; LAG Niedersachsen · Urteil vom 31. Mai 2010 · Az. 12 SA 875/09.

Sie sehen die Kontrolle des Browserprotokolls als rechtmäßig an. Nach dieser Auffassung ist der Arbeitgeber kein Dienstanbieter im Sinne des TKG und das Fernmeldegeheimnis findet keine Anwendung, sondern es greift das Bundesdatenschutzgesetz (BDSG). Nach § 32 BDSG kann der Arbeitgeber bei Missbrauchsverdacht die Protokolldaten stichprobenartig auch ohne Einwilligung des Mitarbeiters prüfen.

Der auf diese Weise erlangte Beweis des Arbeitgebers darf vor Gericht verwertet werden, da das BDSG eine Speicherung und Auswertung des Browserverlaufs zur Missbrauchskontrolle erlaubt, wenn der Arbeitgeber keine andere Möglichkeit hat die private Nutzung zu kontrollieren. Hat der Arbeitgeber hingegen die private Internetnutzung am Arbeitsplatz generell verboten, so ist es unumstritten, dass er stichprobenartig Kontrollen nach § 32 BDSG durchführen darf.

Darf der Arbeitgeber Telefonate seiner Mitarbeiter abhören oder aufzeichnen, um zu überprüfen ob und wie viel sein Mitarbeiter privat telefoniert?

Bei privaten Telefonaten am Arbeitsplatz stellt sich ein ähnliches Problem. Jeder Mitarbeiter musste auf Arbeit wohl schon mal ein privates Telefongespräch führen. Ab und zu ist es unvermeidlich.

Entscheidend ist zunächst, ob private Telefonate generell erlaubt sind. Dies sollte deutlich aus der Betriebsvereinbarung, gesonderten Vereinbarung oder Arbeitsvertrag hervorgehen.4)Stamer/Kuhnke in: Plath, BDSG, 2013, 32 BDSG, Rn.80. Häufig fehlt es an solchen Vereinbarungen; die privaten Gespräche werden aber vom Arbeitgeber geduldet, solange diese im Rahmen bleiben. Private Telefonate sind durch das Fernmeldegeheimnis geschützt, welches in Art. 10 des Grundgesetzes verankert ist. Vom Schutz eingeschlossen ist nicht nur der der Inhalt des Telefonats, sondern alle näheren Umstände, wie Telefonnummer oder Gesprächspartner. Dienstliche Gespräche fallen hingegen nicht unter das Fernmeldegeheimnis. Aber auch hier ist der Arbeitgeber bei der Überwachung eingeschränkt. Der Arbeitgeber darf stichprobenartige Kontrollen durchführen, wobei die Privatsphäre des Gesprächspartners beachtet werden muss.5)vgl. LAG Berlin-Brandenburg: Zulässige Missbrauchskontrolle durch Auswertung des Browserverlaufs von Arbeitnehmern, CR 2016, 442-446

Dem Arbeitgeber muss es aber möglich sein, die durch seine Mitarbeiter verursachten Telefonkosten nach Zeitpunkt und Dauer aufzuschlüsseln.6)LAG Hamm · Urteil vom 30. Mai 2005 · Az. 8 (17) Sa 1773/04 Es sollte zum Schutz des Gesprächspartners nur die Vorwahl oder ein Teil seiner Nummer gespeichert werden. Die Daten dürfen nur solange gespeichert werden, wie sie für den Zweck der Missbrauchs-und Kostenkontrolle relevant sind7)LAG Berlin-Brandenburg: Zulässige Missbrauchskontrolle durch Auswertung des Browserverlaufs von Arbeitnehmern, CR 2016, 442-446, das heißt circa drei Monate. Will der Arbeitgeber die Telefonate abhören, um dadurch Pausen des Mitarbeiters zu verifizieren, also für eine Leistungskontrolle, so ist die nur nach entsprechender Vereinbarung zulässig.

Telefonate abhören zur Qualitätskontrolle

Firmen, die Dienstleistungen über das Telefon erbringen, zeichnen häufig Telefonate auf bzw. hören diese ab um durch die Auswertung der Telefongespräche die Servicequalität zu verbessern. Dies ist jedoch problematisch, da es einen Eingriff in das Grundrecht auf informationelle Selbstbestimmung darstellt, wonach jede Person selbst entscheiden kann, ob und welche Daten über sie erhoben und verarbeitet werden. Ist das Mithören, Abhören und Aufzeichnen von Telefongesprächen zwischen Mitarbeiter und Kunden zur Qualitätskontrolle dennoch datenschutzrechtlich erlaubt?

Gemäß § 4 Abs. 1 BDSG ist das Abhören bzw. Aufzeichnen nur erlaubt, wenn dies eine Rechtsvorschrift erlaubt oder eine Einwilligung vorliegt. Als Rechtsvorschrift kommt § 28 Abs. 1 Satz 1 Nr. 1 und Nr.2 BDSG in Betracht. Jedoch darf das Gespräch nur in dem Umfang abgehört werden, wie es zur Erfüllung des Geschäftszwecks notwendig ist.

Das Abhören- und Aufzeichnen der Telefongespräche könnte erlaubt sein, wenn eine Einwilligung vorliegt. Dabei ist eine ausdrückliche Einwilligung des Kunden sowie des Mitarbeiters erforderlich. Grundsätzlich muss die Einwilligung schriftlich sein, § 4a Abs. 1 Satz 3 BDSG.  Etwas anderes gilt, wenn unter besonderen Umständen eine andere Form angemessen ist. Bei telefonischen Kundenkontakt kann die Einwilligung des Kunden deshalb auch mündlich am Telefon erteilt werden.

Zwischen Arbeitgeber und Arbeitnehmer sollte aber eine schriftliche Vereinbarung hierzu geschlossen werden. Zeichnet der Arbeitgeber die Telefongespräche heimlich auf, so macht er sich nach § 201 StGB wegen Verletzung der Vertraulichkeit des Wortes strafbar.

Wer hat Zugriff auf Personalakten?

Arbeitgeber dürfen zwar gewisse Daten zur Person und zur Einsatzfähigkeit ihrer Beschäftigten in Personalakten sammeln 8)§ 32 Abs. 1 S.1 BDSG., müssen allerdings auch nach Beendigung des Arbeitsverhältnisses sorgsam mit diesen Informationen umgehen. Diese Informationen dürfen grundsätzlich nicht an Dritte weitergeben werden. In die Personalakten dürfen nur Daten erfasst werden deren Erhebung und Speicherung der Arbeitnehmer zugestimmt hat oder wenn ein Gesetz oder besonderer Umstand dies erlaubt9)§ 4 Abs.1 BDSG.. Das Arbeitsverhältnis ist zum Beispiel ein besonderer Umstand. Das BDSG erlaubt es dem Arbeitgeber Daten zu erfassen, die für die Durchführung, Begründung oder Beendigung des Arbeitsverhältnisses essentiell sind (Bankverbindung, Arbeitsgenehmigung,…)10)Grundsatz der Datensparsamkeit § 3a BDSG, § 32 Abs.1 BDSG.. Hingegen ist es nicht erlaubt das gesamte Verhalten des Arbeitnehmers zu protokollieren.

Laut BDSG haben die Beschäftigten das Recht, Einsicht in ihre Personalakte sowie Löschung oder Berichtigung falscher Angaben zu verlangen11)§ 35 BDSG.. Zugriff haben nur diejenigen im Unternehmen, die für ihre Arbeit auf die Informationen in den Personalakten angewiesen sind. Die Personalakte ist vor dem Zugriff unbefugter Mitarbeiter und Dritter zu sichern. Vor allem bei elektronisch geführten Personalakten ist die Vertraulichkeit der Daten einzuhalten. Besonders empfindliche Dokumente (wie beispielsweise Informationen die Gesundheit des Mitarbeiter betreffend) müssen gemäß § 9 BDSG durch dokumentspezifische Verschlüsselung o.ä. besonders gesichert werden. Die Verwaltung der elektronischen Schlüssel sollte nicht dem Administrator der IT-Systeme obliegen, da dieser sonst theoretisch kraft seiner Berechtigung die Personalakten einsehen oder sogar verändern könnte.

Einige Unternehmen nutzen sogenannte Employee-Self-Service-Systeme. Über eine Software, Internet oder Intranet können Mitarbeiter ihre personenbezogenen Daten selbst in die digitale Personalakte einpflegen oder ändern. Vor allem große Unternehmen sparen damit viel Geld und Zeit, die Daten bleiben so stets aktuell und die Mitarbeiter können selbst die Anzahl ihrer Ausgleichstage oder die Reisekostenabrechnung einsehen. Dadurch wird Transparenz im Unternehmen gefördert. Doch die Bereitstellung derartiger Mitarbeiterselbstverwaltungstechnologien bringen auch  Probleme mit sich: Wie können Passwörter geschützt werden? Wer kann wie Berechtigungen vergeben? Ist ein ständiger Zugriff von Mitarbeiter oder Vorgesetzten sinnvoll? Ob Akte oder elektronisches Dokument mit der Führung der Personalakten sind Sicherheitsrisiken wie der Verlust, Diebstahl oder Manipulation der Daten verbunden.

Übrigens: Gelangen die Daten trotz Sicherheitsvorkehrungen an die Öffentlichkeit, so hat der Betroffene einen Anspruch auf Schadensersatz.

Ausblick: Mitarbeiterschutz in der neuen EU-DSGVO

Es bleibt abzuwarten wie die Umsetzung der neuen EU-Datenschutz-Grundverordnung (EU-DSGVO) im Mai 2018 das BDSG den Mitarbeiterdatenschutz reformiert. Am 14. April 2016 hat das EU-Parlament die DSGVO verabschiedet. Die zukünftige Gesetzesänderung sieht unter anderem höhere Bußgelder und neue Sanktionen vor. Während derzeit Bußgelder bis zu 300.000 nach § 43 BDSG möglich sind, können in Zukunft Bußgelder von bis zu zu 20 Millionen Euro oder vier Prozent des globalen Unternehmensumsatzes auf Unternehmen zukommen.

Unternehmen sollten deshalb jetzt schon vorbeugen und sich datenschutzrechtlich beraten lassen, um sich auf die zukünftige Rechtslage einzustellen. Auch bei aktueller Rechtslage hilft ein gutes Datenschutzkonzept gegen Rufschädigung oder Schadensersatzansprüchen der Mitarbeiter bei Datenschutzpannen. Informieren sie sich hier zu unserem Beratungsangebot.

Anmerkungen   [ + ]

1. Für mehr Informationen: Orientierungshilfe der Datenschutzbehörden zur Datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz.
2. vgl. ArbRAktuell 2016, 255.
3. LAG Berlin-Brandenburg · Urteil vom 16. Februar 2011 · Az. 4 Sa 2132/10; Hessischer VGH · Beschluss vom 19. Mai 2009 · Az. 6 A 2672/08.Z; LAG Niedersachsen · Urteil vom 31. Mai 2010 · Az. 12 SA 875/09.
4. Stamer/Kuhnke in: Plath, BDSG, 2013, 32 BDSG, Rn.80.
5. vgl. LAG Berlin-Brandenburg: Zulässige Missbrauchskontrolle durch Auswertung des Browserverlaufs von Arbeitnehmern, CR 2016, 442-446
6. LAG Hamm · Urteil vom 30. Mai 2005 · Az. 8 (17) Sa 1773/04
7. LAG Berlin-Brandenburg: Zulässige Missbrauchskontrolle durch Auswertung des Browserverlaufs von Arbeitnehmern, CR 2016, 442-446
8. § 32 Abs. 1 S.1 BDSG.
9. § 4 Abs.1 BDSG.
10. Grundsatz der Datensparsamkeit § 3a BDSG, § 32 Abs.1 BDSG.
11. § 35 BDSG.

Jetzt teilen