Mitarbeiterüberwachung am Arbeitsplatz und im Homeoffice: Was ist erlaubt und wo liegen die Risiken?

Vertrauen ist gut, aber Kontrolle ist besser?
So scheinen es, zumindest laut einer Studie der Software Vergleichsplattform GetApp, viele KMUs in Deutschland zu sehen:
27 % der befragten Manager gaben an, bereits vor der Corona Pandemie Mitarbeiter-Überwachungssoftware genutzt zu haben.
Im Zuge der Pandemie – und des damit verbundenen starken Anstiegs der Arbeitsverrichtung im Homeoffice – nahm die Nutzung solcher Software noch einmal beachtlich zu und stieg auf insgesamt 38 %.

Das Thema Mitarbeiterüberwachung ist also ein sehr aktuelles und das wird es, im Lichte der sich immer weiter etablierenden ortsunabhängigen Arbeitsmodelle, wohl auch in Zukunft weiterhin sein.


Aber Achtung: Nicht alles, was technisch möglich ist, ist auch rechtlich zulässig!


So findet die Mitarbeiterüberwachung zum einen ihre Grenzen im Grundgesetz (GG), im speziellen in den Persönlichkeitsrechten des Arbeitnehmers (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG), und zum anderen im Bundesdatenschutzgesetz (BDSG) sowie der Datenschutz-Grundverordnung (DSGVO).

Über die datenschutzrechtlichen Implikationen der Mitarbeiterüberwachung klärt die Volljuristin & Datenschutzexpertin Gina Bleckmann von Fresh Compliance in folgendem Interview auf: 

Liebe Gina, gibt es Fälle, in denen eine Überwachung am Arbeitsplatz zulässig ist? Welche Voraussetzungen müssen erfüllt sein?

Grundsätzlich ist dem Arbeitgeber jegliche Form von Überwachung verboten, es sei denn es ergibt sich eine Erlaubnis aus Gesetzen, Rechtsvorschriften oder aus ausdrücklichen Einwilligungen durch die betroffenen Mitarbeiter zum Verarbeiten von personenbezogenen Daten.
Im Rahmen des Beschäftigungsverhältnisses ergibt sich die Rechtsgrundlage aus dem Arbeitsvertrag i.V.m. § 26 Abs. 1 BDSG.
Danach dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden (Überwachungsmaßnahme), wenn dies für die Begründung, Durchführung oder Beendigung des Arbeitsverhältnisses erforderlich ist.

Möchte der Arbeitgeber beispielsweise ein Bild des Arbeitnehmers auf der Firmenwebseite hochladen, so ist dies in der Regel nicht für die Durchführung des Arbeitsverhältnisses erforderlich.
In diesem Fall benötigt er nach § 26 Abs. 2 BDSG eine Einwilligung der Beschäftigten.
Auch der Einsatz eines Chat-Tools für Gruppen wie Microsoft Teams bedarf grundsätzlich einer Information über die Funktionen und regelmäßig der Einwilligung der nutzenden Mitarbeiter, insbesondere, wenn dem Arbeitgeber solche Funktionen zur Verfügung stehen, die Mitarbeiter in ihrer Arbeit zu kontrollieren.
Bei größeren Unternehmen mit einem Betriebsrat kann diese Anforderung über eine Betriebsvereinbarung erfüllt werden.

Im Falle einer notwendigen Einwilligung ist jedoch zu beachten, dass sie stets freiwillig erteilt werden muss.
Dabei ist für die Beurteilung der Freiwilligkeit der Grad der Abhängigkeit des Beschäftigten vom Arbeitgeber sowie die Umstände, unter denen der Mitarbeiter seine Einwilligung abgeben soll, entscheidend.
Zudem muss die Überwachungsmaßnahme einen legitimen Zweck verfolgen und dem Verhältnismäßigkeitsgrundsatz genügen.
Das bedeutet, dass das Interesse des Arbeitgebers, bspw. der Schutz der Daten, mit dem Recht des Arbeitnehmers auf informationelle Selbstbestimmung, abgewogen werden muss.

Hat der Arbeitgeber jedoch einen konkreten Verdacht, dass der Mitarbeiter das Unternehmen schädigen (schwerwiegende Pflichtverletzung) oder eine strafbare Handlung begehen will, so kann er diesen überwachen, ohne dessen Einwilligung vorher einholen zu müssen.
Denn dann ist die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich und die Interessen bzw. Grundrechte des Arbeitnehmers müssen dahinter zurücktreten, Art. 6 Abs. 1 f) DSGVO.

Inwieweit oder warum sind datenschutzrechtliche Vorgaben bei der Mitarbeiterüberwachung relevant?

Es gibt nicht nur Regelungen im BDSG, sondern auch die DSGVO hat sich mit dem Datenschutz bei der Arbeitnehmerüberwachung befasst.
Zwar sind dem Arbeitgeber bei der Überwachung des Arbeitnehmers datenschutzrechtliche Grenzen gesetzt, aber gleichzeitig wird er gezwungen, seine Arbeitnehmer unter gewissen Umständen zu kontrollieren.
Dabei spielt die vermehrte Arbeit von zu Hause eine besondere Rolle, da der Arbeitgeber außerhalb des Büros weniger Einblick in den Arbeitsalltag der Mitarbeiter hat; mit der Folge, dass sich sein Verlangen an Kontrolle verstärkt hat.

In beiden Fällen, d. h. nicht nur im Büro, sondern auch bei der Arbeit zu Hause sollte die Umgebung so ausgestattet sein, dass sowohl die Vertraulichkeit als auch die Verfügbarkeit der Daten gewährleistet ist.
Dabei ist entscheidend, wie die Arbeitsumgebung gestaltet ist, welche Hardware genutzt wird oder wie mit Papierdokumenten umgegangen wird.
Idealerweise ist der Arbeitsplatz so gewählt, dass keine Dritten Einblicke auf den Computer haben und Telefongespräche in einem gesonderten Raum stattfinden.
Insbesondere muss für das Homeoffice ein betriebliches Notebook zur Verfügung gestellt werden.
Allerdings ist zu beachten, dass die Anwendung der allgemeinen Maßstäbe der DSGVO zur Zulässigkeit von Mitarbeiterüberwachung (Beschäftigungsschutz) nur möglich ist, wenn der nationale Gesetzgeber keine eigenen Regeln getroffen hat (vgl. Art. 88 DSGVO).

Doch auch in diesem Rahmen sind eine Vielzahl von Überwachungs– und Kontrollmitteln denkbar.
Beispielsweise das Protokollieren des Ein- und Ausloggens am Computer oder der Aktivitäten im Firmennetzwerk.
Eine permanente Überwachung des Arbeitnehmers durch den Arbeitgeber ist aber - auch im Homeoffice - unzulässig.

Auch der Einsatz einer Überwachungssoftware kommt in Betracht.
In diesem Fall ist der erste Schritt die Prüfung des Überwachungszwecks.
Anschließend ist das Interesse des Arbeitgebers an der Überwachung mit der Eingriffsintensität in die Interessen und Grundrechte des Beschäftigten abzuwägen.
Auch hierbei ist ein gerechter Ausgleich zu finden.

Nur eingeschränkt einsetzbar, ist eine Videoüberwachung, auf der personenbezogene Daten der Mitarbeiter verarbeitet werden.
Beispielsweise ist eine solche in Umkleidekabinen oder Toiletten stets verboten.
Anders sieht das am Schalter einer Bankfiliale aus, da eine Überwachung dort meist im Interesse beider Parteien liegt.
Denn auch ein Arbeitnehmer strebt möglichst großen Schutz vor Angriffen an.
Sollte dem Arbeitnehmer der Schutz seiner Daten und seines Bildes jedoch wichtiger sein, so muss wiederum eine Abwägung vorgenommen werden.
Doch das Interesse des Arbeitgebers an einer Videoüberwachung wird meist überwiegen.
In öffentlich zugänglichen Räumen ist eine Videoüberwachung nur dann erlaubt, wenn die Voraussetzungen des § 4 BDSG vorliegen.
Diese sind erfüllt, wenn sie zur Aufgabenerfüllung öffentlicher Stellen oder zur Wahrnehmung des Hausrechts oder zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist.
Allerdings darf die Überwachung nie dazu dienen, die Mitarbeiter auszuspionieren.

Auch der Einsatz eines Software-Keyloggers ist ohne Verdacht einer Straftat oder schwerwiegender Pflichtverletzung unzulässig.
Denn ein Keylogger zeichnet alle Tastatureingaben am Arbeitscomputer des Mitarbeiters auf, speichert diese und fertigt Screenshots an.
Wichtig ist dabei zu wissen, dass stichprobenartige Kontrollen der Verlaufsdaten des Internetbrowser zulässig sind, um die Einhaltung eines vom Arbeitgeber aufgestellten Komplettverbots der Privatnutzung von IT-Einrichtungen zu überprüfen.
Allerdings sind auch solche Erkenntnisse in einem gerichtlichen Verfahren nicht verwertbar.

Besonders interessant ist die Empfehlung der Datenschutzbehörden, berufliche E-Mail-Accounts für die Privatnutzung zu verbieten, da die Einwilligung der Mitarbeiter bei einer akuten internen Untersuchung sowohl praktisch als auch rechtlich problematisch sein kann.
Denn der Mitarbeiter hat jederzeit die Möglichkeit, seine Einwilligung zu widerrufen.
Daher stufen Datenschutzbehörden solche Einwilligungen häufig als unzulässig ein, da diese in der Regel nicht frei und ohne Zwang abgegeben werden.

Was sind wichtige Regeln im Bereich Datenschutz, auf die Arbeitgeber in diesem Kontext achten müssen?

Wichtigste Regel im Bereich Datenschutz ist, dass sich Arbeitgeber stets im Voraus informieren sollten, inwieweit sie Überwachungsmaßnahmen - in zulässiger Weise - einsetzen dürfen.
Denn ohne eine entsprechende Erlaubnis – in der Regel die Einwilligungen durch die Betroffenen – ist eine Verarbeitung von personenbezogenen Daten unzulässig.
Denn die Datenschutzprinzipien wie Erforderlichkeit, Verhältnismäßigkeit, Datenminimierung, Transparenz sowie die Erlaubnis durch eine Rechtsgrundlage sind stets vom Arbeitgeber zu beachten.
Daraus folgt die Beschränkung der Maßnahmen auf das absolut Erforderliche und die Dokumentation der datenschutzrechtlichen Rechtsgrundlage für die Durchsuchung, die Beschränkung der Zugriffsrechte sowie eine transparente Information an die Mitarbeiter.

Dabei fordert vor allem die Bestimmung der richtigen datenschutzrechtlichen Rechtsgrundlage eine sorgfältige Analyse.
Bei dem Verdacht einer Straftat oder schwerwiegender Pflichtverletzungen des Arbeitnehmers ist eine Rechtsgrundlage kein Problem.
Voraussetzung ist allerdings auch hierbei, dass es dokumentierte Anhaltspunkte für eine Straftat gibt, die Durchsuchung erforderlich ist und schutzwürdige Interessen des Arbeitnehmers die des Arbeitgebers nicht überwiegen.

Denn der Arbeitgeber wird häufig IT-Tools einsetzen, um vertrauliche Kundendaten, Geschäftsgeheimnisse und personenbezogene Daten vor unberechtigten Dritten zu schützen.
Zweck dieser Tools ist daher in erster Linie die Verhinderung des Zugriffs auf personenbezogene Daten.
Dabei werden sie als technische und organisatorische Maßnahmen im Sinne des Art. 32 DSGVO eingestuft.
Problematisch ist die Verwendung solcher IT-Tools bspw. dann, wenn der Firmen-E-Mail-Account auch privat genutzt werden darf, da die oben genannten Datenschutzprinzipien auch in diesem Fall eingehalten werden müssen.
Daher ist zu empfehlen, Pseudonyme, statt vollständige Namen der Mitarbeiter, zu verwenden.
Zudem ist zu empfehlen, ein automatisiertes Warnmeldesystem, welches auf mögliche Fehlverhalten hinweist, zu integrieren.

Was droht bei Verstößen?

Ein Verstoß gegen die DSGVO kann mit Geldbußen von bis zu 20 Millionen Euro bestraft werden, wenn der Mitarbeiterdatenschutz verletzt wird.
Sollte das allgemeine Persönlichkeitsrecht aufgrund der Mitarbeiterüberwachung verletzt sein, so kann der Arbeitnehmer auch Ansprüche auf Entschädigung gemäß § 823 Abs. 1 BGB geltend machen.
Zudem haben die betroffenen Mitarbeiter, bspw. bei der Aufdeckung einer unzulässigen Überwachung, einen Anspruch auf sofortige Unterlassung und Beseitigung fortwirkender Beeinträchtigungen.

Im Falle einer Kündigungsschutzklage ist interessant, dass unerlaubte Überwachungsmaßnahmen, die in der Regel personenbezogene Daten enthalten, als Beweismittel angegriffen werden können und vor Gericht meist nicht verwertbar sind.
In solchen Fällen scheitert die Kündigung des Arbeitgebers.
Denn solche unerlaubten Überwachungsmaßnahmen stellen einen rechtswidrigen Eingriff in das Recht auf informationelle Selbstbestimmung dar. 

Fazit:

Abschließend lässt sich festhalten, dass eine Mitarbeiterüberwachung grundsätzlich nur aufgrund einer Erlaubnis – in der Regel einer Einwilligung – zulässig ist.
Ausnahmen hiervon sind bspw. das Vorliegen des berechtigten Interesses des Arbeitgebers (unter Abwägung mit den Interessen der Beschäftigten) oder der Verdacht schwerwiegender Pflichtverletzungen bzw. die Begehung von Straftaten durch den Mitarbeiter.

Vielen Dank, Gina!


Datenschutzrechtliche Themen interessieren dich besonders? Gerne empfehlen wir dir auch diesen Blogartikel!

Lust auf mehr HR & Legal Wissen?

Dann abonniere unseren Newsletter und bleib immer auf dem neusten Stand!

Jetzt abonnieren