Die Datenschutzgrundverordnung (DSGVO) gewährt Arbeitnehmern zwar einen hohen Datenschutzgrad – dennoch haben Arbeitgeber Möglichkeiten, ihre Belegschaft zu überwachen.DC Studio | shutterstock.com In der Praxis erfolgt die Mitarbeiterüberwachung regelmäßig im Rahmen von internen Untersuchungen oder mithilfe von IT-Überwachungstools. Die stetige Veränderung der Arbeitswelt und die damit einhergehende, wachsende Bedeutung des Homeoffice steigert zudem das Bedürfnis der Arbeitgeber, Arbeitszeiten und Arbeitsleistung der Mitarbeiter durch IT-Systeme zu kontrollieren. Die EU-Datenschutzgrundverordnung (DSGVO) ist sieben Jahre nach dem Beginn ihrer Anwendbarkeit zwar fester Bestandteil der Arbeitswelt geworden, dennoch stellen die Datenschutzanforderungen Arbeitgeber weiterhin vor erhebliche Herausforderungen, wenn es um die Überwachung und Kontrolle von Mitarbeitern geht. Zum einen sind den Arbeitgebern dabei datenschutzrechtliche, zum anderen auch arbeitsrechtliche Grenzen gesetzt. Die Mitarbeiterüberwachung ist ein Grundrechtseingriff in das allgemeine Persönlichkeitsrecht der Beschäftigten, der verhältnismäßig sein muss. Über das Datenschutz- und Arbeitsrecht hinaus kann die Überwachung und Kontrolle der Mitarbeiter auch die Einhaltung von telekommunikationsrechtlichen Grenzen erfordern. Zum anderen kann der Arbeitgeber ein Bedürfnis zur Kontrolle aus Compliance-Gesichtspunkten haben, zum Beispiel die Sicherstellung der Einhaltung von rechtlichen Anforderungen oder internen Richtlinien. Dieses Spannungsverhältnis macht es zunehmend schwerer, sich rechtskonform zu verhalten. Wegen der Vielfältigkeit der Datenverarbeitungsprozesse, der unterschiedlichen rechtlichen Anforderungen und der neuen politischen und rechtlichen Entwicklungen muss die rechtliche Zulässigkeit der Kontrolle und Überwachung im Arbeitsverhältnis stets im Einzelfall beurteilt werden. Typische Anwendungsfälle werden nachfolgend aus rechtlicher Sicht erläutert. Mitarbeiterüberwachung – neue Entwicklungen Neue politische und rechtliche Entwicklungen haben in letzter Zeit die Verunsicherung bei der rechtskonformen Mitarbeiterüberwachung erhöht. So wurde zwar im Oktober 2024 ein Referentenentwurf eines neuen Beschäftigtendatenschutzgesetzes vorgelegt, der unter anderem spezielle Regelungen für Überwachungsmaßnahmen durch Arbeitgeber vorsah. Mit dem Scheitern der Ampelkoalition scheiterte jedoch auch dieser Referentenentwurf. Somit existiert nach wie vor kein eigenständiges Gesetz für den Mitarbeiterdatenschutz und es muss weiterhin auf die generellen Vorschriften der DSGVO sowie auf die Ergänzungen im Bundesdatenschutzgesetz (BDSG) zurückgegriffen werden. Außerdem haben sich die rechtlichen Rahmenbedingungen bei der Nutzung von Telekommunikationssystemen in den vergangenen Jahren wiederholt geändert, erst durch die Einführung des Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) im Jahr 2021, das wiederum 2024 durch das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) ersetzt wurde. Zudem haben deutsche Bundesgerichte und auch der Europäische Gerichtshof (EuGH) in den letzten Jahren Entscheidungen getroffen, die auch für den Beschäftigtendatenschutz, insbesondere auch für die Überwachung von Mitarbeitern, erhebliche Auswirkungen haben. So führt die Entscheidung des Bundesarbeitsgerichts zur teilweisen Unwirksamkeit der Generalklausel zum Beschäftigtendatenschutz in § 26 Abs.1 Satz 1 BDSG zu Unsicherheit dahingehend, auf welcher Rechtsgrundlage und mit welchen Argumenten Beschäftigtendaten in Deutschland nun verarbeitet werden dürfen. Außerdem hat der EuGH klargestellt, dass Betriebsvereinbarungen, die von manchen Arbeitgebern gerne als datenschutzrechtliche Erlaubnisnorm für die Datenverarbeitung herangezogen werden, nicht als Persilschein für Datenschutz-Compliance herangezogen werden können. Berufliche E-Mails und Nachrichten einsehen Teil eines robusten Compliance Managements ist es, möglichen kartellrechtswidrigen Absprachen, dem Missbrauch von Geschäftsgeheimnissen oder auch Meldungen von möglichen Rechtsverstößen intern nachzugehen. Im Rahmen dieser internen Untersuchungen sollen regelmäßig die E-Mails oder ähnliche elektronische Nachrichten der Mitarbeiter, die mittels geschäftlicher E-Mail-Systeme oder anderer Tools verschickt werden, gesichtet werden. Oftmals ist in diesen Tools aber nicht nur berufliche Kommunikation gespeichert, sondern auch private. Um nicht selbst einen Compliance-Verstoß zu begehen, müssen Arbeitgeber einiges beachten. Durchsuchung von beruflichen E-Mails und das Problem des Fernmeldegeheimnisses Die größte Herausforderung bei der Durchsicht von E-Mails im Rahmen von internen Untersuchungen ist das Fernmeldegeheimnis, welches nun im TDDDG geregelt ist. Diese, größtenteils durch einen akademischen Streit angeheizte Herausforderung, hat deshalb nicht an Brisanz verloren, weil ein Verstoß gegen das Fernmeldegeheimnis möglicherweise als Straftat angesehen wird. Ob die E-Mails der Mitarbeiter, die über den beruflichen E-Mail-Account versendet oder empfangen werden, dem Fernmeldegeheimnis unterliegen, ist trotz des jahrelangen Streits nicht geklärt. Jedenfalls soll kein Schutz des Fernmeldegeheimnisses bestehen, wenn der Arbeitgeber die Privatnutzung entweder ausdrücklich verboten hat und dieses Verbot auch wirksam durchsetzt – oder über ein eher komplexes Konzept von “Verbot der Privatnutzung mit einzelfallbezogener Erlaubnis der Privatnutzung bei gleichzeitigem Verzicht auf das Fernmeldegeheimnis” den Schutz des Fernmeldegeheimnisses umgeht. Ob infolge einer erlaubten oder zumindest geduldeten Privatnutzung des beruflichen E-Mail-Accounts die versendeten und empfangenen Nachrichten dem Fernmeldegeheimnisschutz unterliegen, wird seit Jahrzehnten diskutiert. Ausgangspunkt dieses Streits ist die Überlegung, dass der Arbeitgeber als ein Anbieter von Telekommunikationsdiensten unter dem ehemaligen Telekommunikationsgesetz (TKG) gelten könnte, wenn die Mitarbeiter das berufliche Telekommunikationssystem wie den E-Mail-Account auch für private Zwecken nutzen dürfen. Als Telekommunikationsanbieter würde der Arbeitgeber dann auch dem gesetzlichen Fernmeldegeheimnis unterliegen. Seit dem Inkrafttreten des TDDDG, das nunmehr die hierfür relevanten Bestimmungen des TKG in leicht geänderter Form fortführt, werden die Stimmen in der juristischen Literatur immer lauter, dass Arbeitgeber im Falle der Privatnutzung keine Telekommunikationsanbieter sind und somit auch nicht den Schutz des Fernmeldegeheimnisses wahren müssen. Dieser Ansicht folgen nun auch einige Aufsichtsbehörden in Deutschland, wie im Jahresbericht 2023 des Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen mitgeteilt wird. Trotz der steigenden Tendenz gegen die Anwendbarkeit des Fernmeldegeheimnisses bei Privatnutzung im Arbeitsverhältnis sind Unternehmen wegen der Risiken einer Strafbarkeit bei Verletzung des Fernmeldegeheimnisses teilweise weiterhin zurückhaltend, dieser unternehmensfreundlichen Ansicht zu folgen. Um dieses Risiko zu reduzieren, bleibt Unternehmen nur, die Privatnutzung entweder komplett zu verbieten und dieses Verbot auch durchzusetzen oder das komplexe Konzept von „Generellem Verbot von Privatnutzung mit Erlaubnis der Privatnutzung bei gleichzeitigem Verzicht auf das Fernmeldegeheimnis“ einzuführen. Letzteres ist jedoch im Gegensatz zum Komplettverbot mitbestimmungspflichtig und erfordert eine Einbindung des Betriebsrats, sofern einer vorhanden ist. Durchsuchung von beruflichen E-Mails und die datenschutzrechtlichen Grenzen Wenn die Hürden des Fernmeldegeheimnisses – in welcher Form auch immer – überwunden sind, stellt sich vor dem Zugriff und der Sichtung von beruflichen E-Mails die Frage, welche datenschutzrechtliche Rechtsgrundlage dies gestattet und welchen Voraussetzungen diese Rechtsgrundlage unterliegt. Bei jeder Durchsuchung von E-Mails werden inhärent auch die darin enthaltenen und damit verbundenen personenbezogenen Daten von Betroffenen verarbeitet, insbesondere des Senders und des Empfängers der E-Mail. Grundprinzip des Datenschutzrechts ist es, dass personenbezogenen Daten nur dann verarbeitet werden dürfen, wenn diese Verarbeitung von einer Rechtsgrundlage gestattet ist. Im Rahmen einer internen Untersuchung kann eine Durchsuchung der beruflichen E-Mails zur Aufdeckung von Straftaten oder schwerwiegenden Pflichtverletzungen des Mitarbeiters durch die Rechtsgrundlage in § 26 Abs. 1 S. 2 BDSG gestattet sein, vorausgesetzt, dokumentierte tatsächliche Anhaltspunkte begründen den Verdacht, dass der betroffene Mitarbeiter im Beschäftigungsverhältnis eine Straftat oder schwerwiegende Pflichtverletzung begangen hat, die Durchsuchung ist zur Aufdeckung erforderlich und das schutzwürdige Interesse des Mitarbeiters gegen die Durchsuchung der E-Mails überwiegt nicht. Die Erfüllung dieser Voraussetzungen sind vom Arbeitgeber im Detail zu dokumentieren, auch um den Vorwurf einer rechtswidrigen Datenerhebung, die zu einem Beweisverwertungsverbot führen könnte (siehe unten Ziff. 7) wirksam entgegentreten zu können. Darüber hinaus muss der Arbeitgeber die generellen Datenschutzprinzipien einhalten; er sollte die hierfür ergriffenen Maßnahmen schriftlich dokumentieren. Dies erfordert insbesondere, dass die Mitarbeiter zumindest grundsätzlich vorab informiert wurden, wie ihre personenbezogenen Daten für die Zwecke interner Untersuchungen verarbeitet werden können (im Regelfall wird eine konkrete Information wegen der möglichen Gefährdung des Untersuchungszweckes vorab nicht möglich sein). Zudem muss die Datenverarbeitung auf das erforderliche Maß minimiert werden, insbesondere durch eine strenge Begrenzung der Personen, die in die Durchsuchung der E-Mails involviert sind, und durch Begrenzung der Daten und E-Mails, die der Durchsuchung unterliegen sollen, beispielsweise durch Begrenzung des Zeitraums der zu durchsuchenden E-Mails und Vorab-Filterung der E-Mails nach relevanten Schlagwörtern. Zur Wahrung der Grundsätze von Erforderlichkeit und Verhältnismäßigkeit sollten weitere Maßnahmen ergriffen werden, um die Auswirkungen auf die Privatsphäre des Betroffenen so gering wie möglich zu halten. Zu denken wäre an die automatisierte Aussortierung von E-Mails, die an private E-Mail-Adressen gehen oder aufgrund von Schlagwörtern sensible Informationen enthalten könnten, an die Einbindung des betrieblichen Datenschutzbeauftragten oder eines Vertreters des Betriebsrats bei der manuellen Durchsuchung oder an die vorläufige Nichtberücksichtigung von E-Mails in privaten Ordern. Idealerweise werden die Prozesse für eine solche E-Mail-Durchsuchung in internen Richtlinien geregelt, wodurch zum einen Transparenz gegenüber den Mitarbeitern bezüglich der möglichen Verarbeitung ihrer personenbezogenen Daten in beruflichen E-Mails geschaffen wird und zum anderen die Maßnahmen zur Einhaltung der Datenschutzprinzipien dokumentiert werden. Je nach Umständen des Einzelfalls kann eine Durchsuchung der beruflichen E-Mails auch die Durchführung und Verschriftlichung einer Datenschutzfolgeabschätzung nach der DSGVO erfordern. Die Anforderungen des Datenschutzrechts verlangen, dass jede Durchsuchung von beruflichen E-Mails anhand der Umstände des Einzelfalls betrachtet und bewertet wird. Nichteinhaltung dieser Anforderungen kann sowohl zu Beweisverwertungsverboten als auch zu Bußgeldern, Schadensersatzforderungen und Unterlassungsverfahren führen. Durchsuchung von Nachrichten in anderen beruflichen Kommunikations-Tools Neben E-Mail stellen Arbeitgeber regelmäßig auch niedrigschwellige Tools für die schnelle interne Kommunikation zur Verfügung, wie MS Teams, Slack oder auch WhatsApp. Der Zugriff auf diese Kommunikation durch den Arbeitgeber im Rahmen einer internen Untersuchung unterliegt den gleichen Voraussetzungen und Einschränkungen wie der Zugriff auf berufliche E-Mails. Hinzu kommt allerdings, dass die Interessen des Arbeitnehmers auf Privatsphäre und Schutz seiner Persönlichkeitsrechte hier sogar höher liegen können aufgrund der gängigen Nutzung dieser Tools als einfache, schnelle und gefühlt inoffizielle Kommunikationsmittel. Auch bei einem Verbot der Privatnutzung werden diese Tools regelmäßig für privat veranlasste Kommunikation oder vertrauliche Gespräche zwischen Kollegen genutzt. Diese Aspekte sind bei der Festlegung der Maßnahmen zum Schutz der Interessen des Mitarbeiters zu berücksichtigen, mit der Folge, dass der Zugriff auf diese Kommunikation einen größeren Rechtfertigungs- und Begründungsaufwand erfordern kann als der Zugriff auf die E-Mails in beruflichen E-Mail-Accounts. Dauerhafte Überwachung der Kommunikation der Mitarbeiter Aus den strengen datenschutzrechtlichen Anforderungen, beruhend auf den Grundprinzipen von Erforderlichkeit, Verhältnismäßigkeit und Datenminimierung, folgt auch, dass eine permanente Kontrolle und ein anlassunabhängiges Mitlesen der Kommunikation unzulässig ist. Betriebsrat Die konkrete Überwachungsmaßnahme im Einzelfall, wie die Durchsuchung von beruflicher Kommunikation eines einer Pflichtverletzung verdächtigten Arbeitnehmers, unterliegt zwar für sich genommen nicht dem Mitbestimmungsrecht des Betriebsrats. Da diese Überwachungsmaßnahmen aber regelmäßig mit technischen Einrichtungen (wie dem beruflichen E-Mail-System oder den software-basierten Kommunikationstools) erfolgen, greift das Mitbestimmungsrecht des Betriebsrates für diese technische Einrichtung. Dies folgt daraus, dass dem Betriebsrat bei der Einführung und Nutzung von technischen Einrichtungen, die geeignet sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, ein Mitbestimmungsrecht nach dem Betriebsverfassungsgesetz zusteht. Typischerweise werden die Voraussetzungen und das Verfahren, unter denen der Arbeitgeber die Kommunikation der Mitarbeiter mithilfe dieser technischen Einrichtungen überwachen kann, bereits vorab in der Betriebsvereinbarung zu der jeweiligen technischen Einrichtung geregelt. Der in der Betriebsvereinbarung festgelegte Zweck der Durchsuchung sollte dabei sowohl die Ermittlung von möglichen Rechtsverstößen als auch von möglichen Verstößen gegen interne Richtlinien oder sonstige Pflichtverletzungen betreffen. Umfang und Reichweite des Mitbestimmungsrechts wird kontrovers diskutiert. Die Meinungen gehen dabei weit auseinander. Der Betriebsrat hat grundsätzlich keinen gesetzlichen Anspruch vor der Ergreifung von Überwachungsmaßnahmen bei einem konkreten Verdacht eingebunden zu werden. Teilweise sehen aber Betriebsvereinbarungen Mitsprache- beziehungsweise Informationsrechte bei konkreten Verdachtsfällen vor. Wenn eine Durchsuchungsmaßnahme unter Verstoß gegen eine Betriebsvereinbarung vorgenommen wurde, führt dieser Verstoß gegen die Betriebsvereinbarung nicht zu einem Beweisverwertungsverbot, das heißt zu einem Verbot, die durch die Durchsuchung gewonnenen Beweise in einem nachfolgenden gerichtlichen Prozess (zum Beispiel Kündigungsschutzprozess) als Beweismittel zu würdigen. Dies gilt selbst dann, wenn die Betriebsvereinbarung ein solches Beweisverwertungsverbot vorsieht. Gleichwohl kann sich ein Beweisverwertungsverbot aus anderen Gründen ergeben (siehe unten Ziff. 7). E-Mails und Internetnutzung überwachen Um vertrauliche Informationen, Geschäftsgeheimnisse und personenbezogene Daten vor ungewolltem Abfluss oder unberechtigtem Zugriff zu schützen, setzen Arbeitgeber regelmäßig Software-Tools wie Data Loss Prevention Tools, Virenfilter oder SSL-Entschlüsselungs-Systeme ein. Selbst wenn diese Werkzeuge dem Zweck dienen sollen, auch den Zugriff auf personenbezogene Daten zu verhindern, sind bei der Implementierung und dem Betrieb dieser Tools die oben beschriebenen Anforderungen zu berücksichtigen. Da diese Tools auch die ein- und ausgehende Kommunikation der Mitarbeiter mit überwachen können, kann auch hier die Problematik des Fernmeldegeheimnisses relevant werden. Außerdem muss die mithilfe der Tools durchgeführte Datenverarbeitung, insbesondere das automatische Screening und Filtern von Kommunikationsdaten und -inhalten, die Speicherung von Logfiles, oder die Löschung von Daten, den datenschutzrechtlichen Anforderungen genügen. Die datenschutzrechtliche Rechtsgrundlage wird regelmäßig das überwiegende berechtigte Interesse des Arbeitgebers sein. Diese Rechtsgrundlage erfordert aber eine sorgfältige Bewertung und Dokumentation dieser Abwägung zwischen den berechtigen Interessen des Arbeitgebers und der Interessen des Arbeitnehmers. Zudem setzt diese Rechtsgrundlage voraus, dass der Arbeitgeber auch alle anderen Anforderungen aus dem Datenschutzrecht ordnungsgemäß umsetzt, insbesondere transparente Information an die Mitarbeiter, funktionierende Prozesse für die Geltendmachung von datenschutzrechtlichen Rechten sowie – soweit erforderlich – die Durchführung einer Datenschutzfolgeabschätzung. Aspekte wie Erforderlichkeit, Verhältnismäßigkeit und Datenminimierung erfordern typischerweise ein stufenweises Vorgehen, um die Auswirkungen auf die Privatsphäre und Persönlichkeitsrechte des Mitarbeiters so gering wie möglich zu halten, beispielsweise durch Pseudonymisierungsprozesse, automatisierte Warnungen, kurze Speicherfristen für Logfiles, und längere Speicherfristen nur bei verifizierten Verstößen. Anwesenheitskontrolle im Büro & Homeoffice Nach der Covid-19-Pandemie ist eine Tendenz der Arbeitgeber zu beobachten, die Arbeit aus dem Homeoffice zumindest teilweise zu verbieten und die Rückkehr ins Büro zu verlangen. Oftmals gibt es Anwesenheitsquoten von 50 Prozent oder Vorgaben, drei von fünf Wochenarbeitstagen im Büro anwesend zu sein. Eine Kontrolle der Einhaltung der Anwesenheitspflicht kann zum Beispiel mittels Auslesen von Chipkarten, die für den Zugang zum Büro verwendet werden, oder durch Speicherung und Auswertung der IP-Adresse des Mitarbeitergeräts erfolgen, die eine Rückschluss auf den ungefähren Standort des Geräts bei der Nutzung des Internets erlaubt. Da hierbei personenbezogenen Daten des Mitarbeiters verarbeitet werden, sind die datenschutzrechtlichen Anforderungen zu beachten. Insbesondere müssen die Arbeitgeber ihre Mitarbeiter darüber informieren, dass die Einhaltung dieser Regelungen mittels der IP-Adresse stichprobenartig überwacht und bei Verdachtsfällen auch zu einer regelmäßigen Überwachung führen kann. Wegen des Grundsatzes der Datenminimierung und Verhältnismäßigkeit unterliegen diese Daten Speicherfristen, typischerweise von sieben Tagen. Werden die Daten länger gespeichert und dann zur Kontrolle der Homeoffice-Regelungen genutzt, kann dies zu einem Beweisverwertungsverbot führen. Darüber hinaus ist die Ermittlung und Dokumentierung der datenschutzrechtlichen Rechtsgrundlage (siehe hierzu oben 2b) und 3) erforderlich. Taschen und Schubladen kontrollieren Zufällige, anlasslose und verdachtsunabhängige Kontrollen von Taschen (zum Beispiel am Ausgang zur Verhinderung von Diebstählen) in Anwesenheit des Mitarbeiters können dann datenschutzrechtlich zulässig sein, wenn die Grundprinzipien des Datenschutzrechts beachtet werden (insbesondere transparente Information), Maßnahmen zum Schutz der Privatsphäre ergriffen wurden (wie Taschenbereiche, die von der Kontrolle ausgenommen sind) und wenn es Nachweise gibt, dass solche Verstöße in der Vergangenheit bereits vorgekommen sind und mit diesen Kontrollen wirksam verhindert werden können. Auch wenn die Sichtung der Taschen keine typische automatisierte Datenverarbeitung darstellt, kann diese Maßnahme eine Verarbeitung von personenbezogenen Daten in Form der Gewinnung von Informationen über den Mitarbeiter aus dem Inhalt der Tasche darstellen, selbst wenn diese Informationen nicht in einem Dateisystem gespeichert werden. Leistung überwachen Die Hauptleistungspflicht des Arbeitnehmers ist seine Arbeitsleistung. Aus diesem Grund ist das Interesse der Arbeitgeber an Leistungskontrollen ihrer Mitarbeiter groß. Auch eine Schlecht- oder Minderleistung kann eine Verletzung arbeitsvertraglicher Pflichten darstellen, die der Arbeitgeber durch entsprechende Kontrollmaßnahmen identifizieren und unterbinden möchte. Diese Leistungskontrollen sind aber ebenfalls nur unter der Berücksichtigung des Datenschutzrechts zulässig. Eine permanente Überwachung kann laut der Rechtsprechung wegen des damit verbundenen unverhältnismäßigen Eingriffs in das allgemeine Persönlichkeitsrecht unzulässig sein. Das ist vor allem der Fall, wenn durch die Leistungskontrolle ein schwerwiegender und dauerhafter Anpassungsdruck für die Mitarbeiter entsteht. Bei der Beurteilung, ob eine Leistungskontrolle zulässig oder unzulässig ist, muss eine Abwägung zwischen den Arbeitgeberinteressen an der Verarbeitung der Beschäftigtendaten und dem allgemeinen Persönlichkeitsrecht des Mitarbeiters vorgenommen werden, und diese Interessenabwägung muss zugunsten des Arbeitgebers ausfallen; anderenfalls ist die Kontrolle unzulässig. Darüber hinaus kommt es auf den konkreten Zweck der Datenverarbeitung an, insbesondere darauf, ob dieser in der gezielten Durchführung einer Leistungskontrolle besteht und ob die Datenverarbeitung heimlich erfolgt und die Mitarbeiter nicht vorab über die Datenverarbeitung und deren Zweck informiert worden sind. Im Jahr 2023 hatte ein Gericht über das Leistungskontrollverfahren in einem globalen Vertriebszentrum von Amazon in Deutschland zu entscheiden. Die automatisierte Steuerung der Logistikprozesse ermöglichte die Aufzeichnung der einzelnen Arbeitsschritte des Mitarbeiters bei der Auswahl und Verpackung der Ware einschließlich der unproduktiven Arbeitszeiten. Aus datenschutzrechtlicher Sicht überraschend entschied das Gericht, dass die Erhebung und Verarbeitung dieser Logistikprozessdaten datenschutzrechtlich zulässig sei, um die termingerechte Lieferung der Waren sicherzustellen. Es liege keine unzulässige Kontrolle der Mitarbeiter vor, weil die Leistungen lediglich objektiv gemessen werden und die Grundsätze der Verhältnismäßigkeit im Einzelfall gewahrt waren. Stichprobenartige, nach abstrakten Kriterien durchgeführte und transparent kommunizierte Kontrollmaßnahmen können laut Bundesarbeitsgericht auch ohne Anlass zulässig sein. Auch hier gilt, dass jede Art der Leistungskontrolle im Einzelfall datenschutzrechtlich beurteilt werden muss, um eine mögliche Rechtsgrundlage und die zu ergreifenden Maßnahmen zum Schutz der Arbeitnehmerinteressen zu ermitteln. Vor dem Hintergrund der Sensibilität der Mitarbeiter bei Leistungskontrollen sollte stets eine Datenschutzfolgenabschätzung detailliert durchgeführt und dokumentiert werden. Beweisverwertungsverbot Von großer Relevanz, insbesondere im Rahmen von Kündigungsschutzprozessen, ist die Frage, wann ein Verwertungsverbot für einen vom Arbeitgeber unter Verstoß gegen die Vorschriften der DSGVO erlangten Beweise besteht. Nach der Rechtsprechung ist in diesen Fällen kein absolutes Beweisverwertungsverbot anzunehmen. Vielmehr ist eine sorgfältige Abwägung der Interessen und Grundrechte der Beteiligten durchzuführen. Nur wenn diese Abwägung das Überwiegen der Interessen und Grundrechte des von dem DSGVO-Verstoß Betroffenen ergibt, kann ein Beweisverwertungsverbot angenommen werden. Ein Datenschutzverstoß steht der Beweisverwertbarkeit grundsätzlich nicht entgegen, wenn die Daten offen erhoben wurden und eine vorsätzlich begangene Pflichtverletzung des Mitarbeiters aufzuklären ist. Im Falle einer solchen Pflichtverletzung hat das allgemeine Persönlichkeitsrecht des Mitarbeiters regelmäßig hinter dem Beweisinteresse des Arbeitgebers zurückzutreten. Beweismittel des Arbeitgebers müssen daher unter Umständen auch dann durch die Arbeitsgerichte verwertet werden, wenn diese unter Missachtung von Datenschutzbestimmungen gewonnen worden sind. Datenschutz ist weiterhin kein Tatenschutz. Checklisten für interne Untersuchungen Die folgenden Checklisten sind Leitfäden für die vielen rechtlichen Fragen, die sich stellen, bevor man mit einer internen Untersuchung beginnen kann, und können in ähnlicher Weise auch für sonstige Überwachungsmaßnahmen angewendet werden. Klare Ja-/Nein-Antworten auf die einzelnen Fragen gibt es nicht – sie wären auch irreführend. Die Situationen sind teilweise noch nie gerichtlich, jedenfalls nicht höchstrichterlich, geklärt worden. Die Beantwortung dieser Checkliste wird regelmäßig die Einbeziehung von Entscheidungsträgern aus den Bereichen IT, Personal, Recht und Datenschutz, einschließlich des Datenschutzbeauftragten, fordern. Checkliste Datenschutz und Strafrecht Was ist der konkrete rechtliche Vorwurf, der untersucht werden soll? Zum Beispiel Verstoß gegen arbeitsvertragliche Pflichten, interne Richtlinien oder gesetzliche Vorgaben? Was ist der konkrete Gegenstand und Umfang der internen Untersuchung? Wie lassen sich Gegenstand und Umfang bestmöglich eingrenzen? Gibt es schon konkrete Stichworte und einen Zeitraum für die zu durchsuchenden Dokumente? – Je weniger Daten durchsucht werden, desto besser. Was soll durchsucht werden? E-Mails, sonstige Nachrichten, Dokumentenarchive, SMS-Nachrichten, Kommunikations-Log-Files? Sollen auch Interviews durchgeführt werden? Welche Mitarbeiter sind Gegenstand der internen Untersuchung und warum? (Beschuldigte, mögliche Mitwisser, mögliche Zeugen, mögliche Inhaber von relevanten Dokumenten?) In welchen Systemen sind diese Dokumente gespeichert und wer hat Zugriff auf diese Dokumente? Ist die Privatnutzung für diese Systeme entweder ausdrücklich erlaubt oder geduldet? Gibt es hierzu eine IT-Richtlinie, Nutzungsrichtlinie, Nutzungsvereinbarung, arbeitsvertragliche Regelung und/oder Betriebsvereinbarung? Gibt es bereits eine Risikoentscheidung für den Umgang mit dem möglichen Fernmeldegeheimnis? Wird im Rahmen der internen Untersuchung auf Daten zugegriffen, die gegen unberechtigten Zugriff besonders gesichert sind und deren Zugangssicherung besonders überwunden werden muss? Werden im Rahmen von Untersuchungsmaßnahmen private Daten verändert oder gelöscht? Wurden die Mitarbeiter entsprechend der Informationspflicht gemäß Art. 13 bzw. Art. 14 DSGVO über die Durchführung von internen Untersuchung- / Überwachungs- und Kontrollmaßnahmen ausreichend und transparent informiert? Auf welcher Rechtsgrundlage der DSGVO und des BDSG dürfen die personenbezogenen Daten der Mitarbeiter für den Zweck der internen Untersuchung verarbeitet werden (typischerweise § 26 Abs. 1 Satz 2 BDSG oder Art. 6 Abs. 1 lit. f DSGVO)? Wurde diese Rechtsgrundlage ausreichend dokumentiert und begründet? Ist eine Datenschutzfolgeabschätzung nach der DSGVO erforderlich? Wenn ja, wurde diese sorgfältig durchgeführt und dokumentiert? Welche Maßnahmen wurden hierbei identifiziert, um das Risiko für die Betroffenen zu minimieren? Wer ist für die Umsetzung dieser Maßnahmen verantwortlich? Soll die Untersuchung auf eine Einwilligung der betroffenen Mitarbeiter gestützt werden (Achtung: Mitarbeitereinwilligungen sind grundsätzlich nicht freiwillig, es sei denn, die betroffenen Mitarbeiter sind leitende Angestellte oder gehören zur Geschäftsführung)? Wird die Untersuchung oder Ermittlung in Zusammenarbeit mit einem externen Dienstleister durchgeführt (zum Beispiel forensischer Dienstleister, e-Discovery-Dienstleister) und wurde mit diesem Dienstleister ein Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO geschlossen? Sitzt dieser Dienstleister (oder eingebundene Sub-unternehmer) gegebenenfalls außerhalb der EU mit der Folge einer internationalen Datenübermittlung (Art. 44 ff. DSGVO)? Sind dem Dienstleister schriftliche Anweisungen gegeben worden, wie er die Untersuchung vornehmen soll (Stichworte, Zeitraum etc.) und wie er private oder nicht relevante E-Mails behandeln soll (zum Beispiel “sofort schließen” “nicht lesen”, “nicht kopieren”, “nicht weiterleiten”, “nicht drucken”)? Werden die Ergebnisse der Untersuchung (zum Beispiel die Ergebnisse der E-Mail-Durchsuchung oder Interview-Mitschriften bei Mitarbeiterbefragungen) an Dritte übermittelt (insbesondere an andere Unternehmen der Gruppe, die möglicherweise außerhalb der EU sitzen, oder an externe Rechtsberater) und – sofern die Antwort “ja” ist – ist die Zulässigkeit der Übermittlung überprüft worden und ist beim Empfänger, soweit erforderlich, ein angemessenes Datenschutzniveau sichergestellt (Art. 44 ff. DSGVO)? Werden die Ergebnisse der Dokumenten-Durchsuchung oder Interview-Mitschriften bei Mitarbeiterbefragungen vor Weiterleitung anonymisiert oder pseudonymisiert? Wenn nein, warum? Sind die Aufbewahrungs- und Löschungsfristen für Untersuchungsergebnisse klar und wird die Löschung von Untersuchungsergebnissen eingehalten sowie kontrolliert? Hat sich das Unternehmen Gedanken darüber gemacht, dass rechtswidrig erhobene Beweise in einem späteren gerichtlichen Verfahren möglicherweise einem Beweisverwertungsverbot unterliegen und deshalb nicht nutzbar gemacht werden können? Bestehen bei den untersuchten Vergehen mögliche Anzeigepflichten gegenüber staatlichen Strafverfolgungsbehörden? Checkliste Arbeitsrecht Besteht ein Betriebsrat? Bestehen Betriebsvereinbarungen zu Kontrollmaßnahmen bei Mitarbeitern beziehungsweise zur Kontrolle der IT/E-Mail-Systeme? Sind Benachrichtigungspflichten gegenüber dem Betriebsrat und/oder Mitbestimmungsrechte des Betriebsrats eingehalten worden? Handelt es sich bei dem zu befragenden Mitarbeiter um einen Verdächtigen oder einen Beschuldigten? Müssen Mitarbeiter zu Interviewterminen erscheinen und auf Fragen antworten? Ist Mitarbeitern bei Interviews ein Anwalt (auf Kosten des Arbeitgebers) beizustellen? Sind Mitarbeiter darauf hinzuweisen, dass sie sich nicht selbst belasten müssen? Wenn ja, in welcher Form? Sind Vertreter des Betriebsrats berechtigt, an den Interviews oder sonstigen Untersuchungsmaßnahmen teilzunehmen? Hat der Betriebsrat ein Recht, die Untersuchungsergebnisse zu erhalten oder einzusehen? Haben die Mitarbeiter ein Recht, die Untersuchungsergebnisse zu erhalten oder einzusehen? Müssen die Untersuchungsergebnisse in die Personalakte? Hat sich das Unternehmen Gedanken gemacht, dass rechtswidrig erhobene Beweise in einem späteren gerichtlichen Verfahren möglicherweise einem Beweisverwertungsverbot unterliegen und deshalb nicht nutzbar gemacht werden können? Auch wenn eine Totalüberwachung der Mitarbeitenden technisch jederzeit möglich wäre, ist allenfalls eine teilweise Überwachung rechtlich zulässig. Dabei hängt die Zulässigkeit oftmals maßgeblich von der Abwägung zwischen den berechtigten Arbeitgeberinteressen und dem allgemeinen Persönlichkeitsrecht der Mitarbeitenden ab. Darüber hinaus sind stets die gesetzlichen Vorgaben zu berücksichtigen. Insbesondere muss der Mitarbeiter transparent über die konkrete Datenverarbeitung im Rahmen der Mitarbeiterüberwachung informiert werden. Außerdem ist das gegebenenfalls bestehende Mitbestimmungserfordernis des Betriebsrates sowie der Abschluss einer erforderlichen Betriebsvereinbarung zu beachten. (pg/fm)
Wie viel Mitarbeiterüberwachung die DSGVO erlaubt Die Datenschutzgrundverordnung (DSGVO) gewährt Arbeitnehmern zwar einen hohen Datenschutzgrad – dennoch haben Arbeitgeber Möglichkeiten, ihre Belegschaft zu überwachen.DC Studio | shutterstock.com
In der Praxis erfolgt die Mitarbeiterüberwachung regelmäßig im Rahmen von internen Untersuchungen oder mithilfe von IT-Überwachungstools. Die stetige Veränderung der Arbeitswelt und die damit einhergehende, wachsende Bedeutung des Homeoffice steigert zudem das Bedürfnis der Arbeitgeber, Arbeitszeiten und Arbeitsleistung der Mitarbeiter durch IT-Systeme zu kontrollieren.
Die EU-Datenschutzgrundverordnung (DSGVO) ist sieben Jahre nach dem Beginn ihrer Anwendbarkeit zwar fester Bestandteil der Arbeitswelt geworden, dennoch stellen die Datenschutzanforderungen Arbeitgeber weiterhin vor erhebliche Herausforderungen, wenn es um die Überwachung und Kontrolle von Mitarbeitern geht. Zum einen sind den Arbeitgebern dabei datenschutzrechtliche, zum anderen auch arbeitsrechtliche Grenzen gesetzt. Die Mitarbeiterüberwachung ist ein Grundrechtseingriff in das allgemeine Persönlichkeitsrecht der Beschäftigten, der verhältnismäßig sein muss. Über das Datenschutz- und Arbeitsrecht hinaus kann die Überwachung und Kontrolle der Mitarbeiter auch die Einhaltung von telekommunikationsrechtlichen Grenzen erfordern. Zum anderen kann der Arbeitgeber ein Bedürfnis zur Kontrolle aus Compliance-Gesichtspunkten haben, zum Beispiel die Sicherstellung der Einhaltung von rechtlichen Anforderungen oder internen Richtlinien. Dieses Spannungsverhältnis macht es zunehmend schwerer, sich rechtskonform zu verhalten.
Wegen der Vielfältigkeit der Datenverarbeitungsprozesse, der unterschiedlichen rechtlichen Anforderungen und der neuen politischen und rechtlichen Entwicklungen muss die rechtliche Zulässigkeit der Kontrolle und Überwachung im Arbeitsverhältnis stets im Einzelfall beurteilt werden. Typische Anwendungsfälle werden nachfolgend aus rechtlicher Sicht erläutert.
Mitarbeiterüberwachung – neue Entwicklungen
Neue politische und rechtliche Entwicklungen haben in letzter Zeit die Verunsicherung bei der rechtskonformen Mitarbeiterüberwachung erhöht. So wurde zwar im Oktober 2024 ein Referentenentwurf eines neuen Beschäftigtendatenschutzgesetzes vorgelegt, der unter anderem spezielle Regelungen für Überwachungsmaßnahmen durch Arbeitgeber vorsah. Mit dem Scheitern der Ampelkoalition scheiterte jedoch auch dieser Referentenentwurf. Somit existiert nach wie vor kein eigenständiges Gesetz für den Mitarbeiterdatenschutz und es muss weiterhin auf die generellen Vorschriften der DSGVO sowie auf die Ergänzungen im Bundesdatenschutzgesetz (BDSG) zurückgegriffen werden. Außerdem haben sich die rechtlichen Rahmenbedingungen bei der Nutzung von Telekommunikationssystemen in den vergangenen Jahren wiederholt geändert, erst durch die Einführung des Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) im Jahr 2021, das wiederum 2024 durch das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) ersetzt wurde.
Zudem haben deutsche Bundesgerichte und auch der Europäische Gerichtshof (EuGH) in den letzten Jahren Entscheidungen getroffen, die auch für den Beschäftigtendatenschutz, insbesondere auch für die Überwachung von Mitarbeitern, erhebliche Auswirkungen haben. So führt die Entscheidung des Bundesarbeitsgerichts zur teilweisen Unwirksamkeit der Generalklausel zum Beschäftigtendatenschutz in § 26 Abs.1 Satz 1 BDSG zu Unsicherheit dahingehend, auf welcher Rechtsgrundlage und mit welchen Argumenten Beschäftigtendaten in Deutschland nun verarbeitet werden dürfen. Außerdem hat der EuGH klargestellt, dass Betriebsvereinbarungen, die von manchen Arbeitgebern gerne als datenschutzrechtliche Erlaubnisnorm für die Datenverarbeitung herangezogen werden, nicht als Persilschein für Datenschutz-Compliance herangezogen werden können.
Berufliche E-Mails und Nachrichten einsehen
Teil eines robusten Compliance Managements ist es, möglichen kartellrechtswidrigen Absprachen, dem Missbrauch von Geschäftsgeheimnissen oder auch Meldungen von möglichen Rechtsverstößen intern nachzugehen. Im Rahmen dieser internen Untersuchungen sollen regelmäßig die E-Mails oder ähnliche elektronische Nachrichten der Mitarbeiter, die mittels geschäftlicher E-Mail-Systeme oder anderer Tools verschickt werden, gesichtet werden. Oftmals ist in diesen Tools aber nicht nur berufliche Kommunikation gespeichert, sondern auch private. Um nicht selbst einen Compliance-Verstoß zu begehen, müssen Arbeitgeber einiges beachten.
Durchsuchung von beruflichen E-Mails und das Problem des Fernmeldegeheimnisses
Die größte Herausforderung bei der Durchsicht von E-Mails im Rahmen von internen Untersuchungen ist das Fernmeldegeheimnis, welches nun im TDDDG geregelt ist. Diese, größtenteils durch einen akademischen Streit angeheizte Herausforderung, hat deshalb nicht an Brisanz verloren, weil ein Verstoß gegen das Fernmeldegeheimnis möglicherweise als Straftat angesehen wird. Ob die E-Mails der Mitarbeiter, die über den beruflichen E-Mail-Account versendet oder empfangen werden, dem Fernmeldegeheimnis unterliegen, ist trotz des jahrelangen Streits nicht geklärt. Jedenfalls soll kein Schutz des Fernmeldegeheimnisses bestehen, wenn der Arbeitgeber die Privatnutzung entweder ausdrücklich verboten hat und dieses Verbot auch wirksam durchsetzt – oder über ein eher komplexes Konzept von “Verbot der Privatnutzung mit einzelfallbezogener Erlaubnis der Privatnutzung bei gleichzeitigem Verzicht auf das Fernmeldegeheimnis” den Schutz des Fernmeldegeheimnisses umgeht.
Ob infolge einer erlaubten oder zumindest geduldeten Privatnutzung des beruflichen E-Mail-Accounts die versendeten und empfangenen Nachrichten dem Fernmeldegeheimnisschutz unterliegen, wird seit Jahrzehnten diskutiert. Ausgangspunkt dieses Streits ist die Überlegung, dass der Arbeitgeber als ein Anbieter von Telekommunikationsdiensten unter dem ehemaligen Telekommunikationsgesetz (TKG) gelten könnte, wenn die Mitarbeiter das berufliche Telekommunikationssystem wie den E-Mail-Account auch für private Zwecken nutzen dürfen. Als Telekommunikationsanbieter würde der Arbeitgeber dann auch dem gesetzlichen Fernmeldegeheimnis unterliegen.
Seit dem Inkrafttreten des TDDDG, das nunmehr die hierfür relevanten Bestimmungen des TKG in leicht geänderter Form fortführt, werden die Stimmen in der juristischen Literatur immer lauter, dass Arbeitgeber im Falle der Privatnutzung keine Telekommunikationsanbieter sind und somit auch nicht den Schutz des Fernmeldegeheimnisses wahren müssen. Dieser Ansicht folgen nun auch einige Aufsichtsbehörden in Deutschland, wie im Jahresbericht 2023 des Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen mitgeteilt wird. Trotz der steigenden Tendenz gegen die Anwendbarkeit des Fernmeldegeheimnisses bei Privatnutzung im Arbeitsverhältnis sind Unternehmen wegen der Risiken einer Strafbarkeit bei Verletzung des Fernmeldegeheimnisses teilweise weiterhin zurückhaltend, dieser unternehmensfreundlichen Ansicht zu folgen. Um dieses Risiko zu reduzieren, bleibt Unternehmen nur, die Privatnutzung entweder komplett zu verbieten und dieses Verbot auch durchzusetzen oder das komplexe Konzept von „Generellem Verbot von Privatnutzung mit Erlaubnis der Privatnutzung bei gleichzeitigem Verzicht auf das Fernmeldegeheimnis“ einzuführen. Letzteres ist jedoch im Gegensatz zum Komplettverbot mitbestimmungspflichtig und erfordert eine Einbindung des Betriebsrats, sofern einer vorhanden ist.
Durchsuchung von beruflichen E-Mails und die datenschutzrechtlichen Grenzen
Wenn die Hürden des Fernmeldegeheimnisses – in welcher Form auch immer – überwunden sind, stellt sich vor dem Zugriff und der Sichtung von beruflichen E-Mails die Frage, welche datenschutzrechtliche Rechtsgrundlage dies gestattet und welchen Voraussetzungen diese Rechtsgrundlage unterliegt. Bei jeder Durchsuchung von E-Mails werden inhärent auch die darin enthaltenen und damit verbundenen personenbezogenen Daten von Betroffenen verarbeitet, insbesondere des Senders und des Empfängers der E-Mail. Grundprinzip des Datenschutzrechts ist es, dass personenbezogenen Daten nur dann verarbeitet werden dürfen, wenn diese Verarbeitung von einer Rechtsgrundlage gestattet ist.
Im Rahmen einer internen Untersuchung kann eine Durchsuchung der beruflichen E-Mails zur Aufdeckung von Straftaten oder schwerwiegenden Pflichtverletzungen des Mitarbeiters durch die Rechtsgrundlage in § 26 Abs. 1 S. 2 BDSG gestattet sein, vorausgesetzt,
dokumentierte tatsächliche Anhaltspunkte begründen den Verdacht, dass der betroffene Mitarbeiter im Beschäftigungsverhältnis eine Straftat oder schwerwiegende Pflichtverletzung begangen hat,
die Durchsuchung ist zur Aufdeckung erforderlich und
das schutzwürdige Interesse des Mitarbeiters gegen die Durchsuchung der E-Mails überwiegt nicht.
Die Erfüllung dieser Voraussetzungen sind vom Arbeitgeber im Detail zu dokumentieren, auch um den Vorwurf einer rechtswidrigen Datenerhebung, die zu einem Beweisverwertungsverbot führen könnte (siehe unten Ziff. 7) wirksam entgegentreten zu können.
Darüber hinaus muss der Arbeitgeber die generellen Datenschutzprinzipien einhalten; er sollte die hierfür ergriffenen Maßnahmen schriftlich dokumentieren. Dies erfordert insbesondere, dass die Mitarbeiter zumindest grundsätzlich vorab informiert wurden, wie ihre personenbezogenen Daten für die Zwecke interner Untersuchungen verarbeitet werden können (im Regelfall wird eine konkrete Information wegen der möglichen Gefährdung des Untersuchungszweckes vorab nicht möglich sein). Zudem muss die Datenverarbeitung auf das erforderliche Maß minimiert werden, insbesondere durch eine strenge Begrenzung der Personen, die in die Durchsuchung der E-Mails involviert sind, und durch Begrenzung der Daten und E-Mails, die der Durchsuchung unterliegen sollen, beispielsweise durch Begrenzung des Zeitraums der zu durchsuchenden E-Mails und Vorab-Filterung der E-Mails nach relevanten Schlagwörtern. Zur Wahrung der Grundsätze von Erforderlichkeit und Verhältnismäßigkeit sollten weitere Maßnahmen ergriffen werden, um die Auswirkungen auf die Privatsphäre des Betroffenen so gering wie möglich zu halten. Zu denken wäre an die automatisierte Aussortierung von E-Mails, die an private E-Mail-Adressen gehen oder aufgrund von Schlagwörtern sensible Informationen enthalten könnten, an die Einbindung des betrieblichen Datenschutzbeauftragten oder eines Vertreters des Betriebsrats bei der manuellen Durchsuchung oder an die vorläufige Nichtberücksichtigung von E-Mails in privaten Ordern.
Idealerweise werden die Prozesse für eine solche E-Mail-Durchsuchung in internen Richtlinien geregelt, wodurch zum einen Transparenz gegenüber den Mitarbeitern bezüglich der möglichen Verarbeitung ihrer personenbezogenen Daten in beruflichen E-Mails geschaffen wird und zum anderen die Maßnahmen zur Einhaltung der Datenschutzprinzipien dokumentiert werden. Je nach Umständen des Einzelfalls kann eine Durchsuchung der beruflichen E-Mails auch die Durchführung und Verschriftlichung einer Datenschutzfolgeabschätzung nach der DSGVO erfordern.
Die Anforderungen des Datenschutzrechts verlangen, dass jede Durchsuchung von beruflichen E-Mails anhand der Umstände des Einzelfalls betrachtet und bewertet wird. Nichteinhaltung dieser Anforderungen kann sowohl zu Beweisverwertungsverboten als auch zu Bußgeldern, Schadensersatzforderungen und Unterlassungsverfahren führen.
Durchsuchung von Nachrichten in anderen beruflichen Kommunikations-Tools
Neben E-Mail stellen Arbeitgeber regelmäßig auch niedrigschwellige Tools für die schnelle interne Kommunikation zur Verfügung, wie MS Teams, Slack oder auch WhatsApp.
Der Zugriff auf diese Kommunikation durch den Arbeitgeber im Rahmen einer internen Untersuchung unterliegt den gleichen Voraussetzungen und Einschränkungen wie der Zugriff auf berufliche E-Mails. Hinzu kommt allerdings, dass die Interessen des Arbeitnehmers auf Privatsphäre und Schutz seiner Persönlichkeitsrechte hier sogar höher liegen können aufgrund der gängigen Nutzung dieser Tools als einfache, schnelle und gefühlt inoffizielle Kommunikationsmittel. Auch bei einem Verbot der Privatnutzung werden diese Tools regelmäßig für privat veranlasste Kommunikation oder vertrauliche Gespräche zwischen Kollegen genutzt. Diese Aspekte sind bei der Festlegung der Maßnahmen zum Schutz der Interessen des Mitarbeiters zu berücksichtigen, mit der Folge, dass der Zugriff auf diese Kommunikation einen größeren Rechtfertigungs- und Begründungsaufwand erfordern kann als der Zugriff auf die E-Mails in beruflichen E-Mail-Accounts.
Dauerhafte Überwachung der Kommunikation der Mitarbeiter
Aus den strengen datenschutzrechtlichen Anforderungen, beruhend auf den Grundprinzipen von Erforderlichkeit, Verhältnismäßigkeit und Datenminimierung, folgt auch, dass eine permanente Kontrolle und ein anlassunabhängiges Mitlesen der Kommunikation unzulässig ist.
Betriebsrat
Die konkrete Überwachungsmaßnahme im Einzelfall, wie die Durchsuchung von beruflicher Kommunikation eines einer Pflichtverletzung verdächtigten Arbeitnehmers, unterliegt zwar für sich genommen nicht dem Mitbestimmungsrecht des Betriebsrats. Da diese Überwachungsmaßnahmen aber regelmäßig mit technischen Einrichtungen (wie dem beruflichen E-Mail-System oder den software-basierten Kommunikationstools) erfolgen, greift das Mitbestimmungsrecht des Betriebsrates für diese technische Einrichtung. Dies folgt daraus, dass dem Betriebsrat bei der Einführung und Nutzung von technischen Einrichtungen, die geeignet sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, ein Mitbestimmungsrecht nach dem Betriebsverfassungsgesetz zusteht.
Typischerweise werden die Voraussetzungen und das Verfahren, unter denen der Arbeitgeber die Kommunikation der Mitarbeiter mithilfe dieser technischen Einrichtungen überwachen kann, bereits vorab in der Betriebsvereinbarung zu der jeweiligen technischen Einrichtung geregelt. Der in der Betriebsvereinbarung festgelegte Zweck der Durchsuchung sollte dabei sowohl die Ermittlung von möglichen Rechtsverstößen als auch von möglichen Verstößen gegen interne Richtlinien oder sonstige Pflichtverletzungen betreffen. Umfang und Reichweite des Mitbestimmungsrechts wird kontrovers diskutiert. Die Meinungen gehen dabei weit auseinander.
Der Betriebsrat hat grundsätzlich keinen gesetzlichen Anspruch vor der Ergreifung von Überwachungsmaßnahmen bei einem konkreten Verdacht eingebunden zu werden. Teilweise sehen aber Betriebsvereinbarungen Mitsprache- beziehungsweise Informationsrechte bei konkreten Verdachtsfällen vor.
Wenn eine Durchsuchungsmaßnahme unter Verstoß gegen eine Betriebsvereinbarung vorgenommen wurde, führt dieser Verstoß gegen die Betriebsvereinbarung nicht zu einem Beweisverwertungsverbot, das heißt zu einem Verbot, die durch die Durchsuchung gewonnenen Beweise in einem nachfolgenden gerichtlichen Prozess (zum Beispiel Kündigungsschutzprozess) als Beweismittel zu würdigen. Dies gilt selbst dann, wenn die Betriebsvereinbarung ein solches Beweisverwertungsverbot vorsieht. Gleichwohl kann sich ein Beweisverwertungsverbot aus anderen Gründen ergeben (siehe unten Ziff. 7).
E-Mails und Internetnutzung überwachen
Um vertrauliche Informationen, Geschäftsgeheimnisse und personenbezogene Daten vor ungewolltem Abfluss oder unberechtigtem Zugriff zu schützen, setzen Arbeitgeber regelmäßig Software-Tools wie Data Loss Prevention Tools, Virenfilter oder SSL-Entschlüsselungs-Systeme ein. Selbst wenn diese Werkzeuge dem Zweck dienen sollen, auch den Zugriff auf personenbezogene Daten zu verhindern, sind bei der Implementierung und dem Betrieb dieser Tools die oben beschriebenen Anforderungen zu berücksichtigen.
Da diese Tools auch die ein- und ausgehende Kommunikation der Mitarbeiter mit überwachen können, kann auch hier die Problematik des Fernmeldegeheimnisses relevant werden.
Außerdem muss die mithilfe der Tools durchgeführte Datenverarbeitung, insbesondere das automatische Screening und Filtern von Kommunikationsdaten und -inhalten, die Speicherung von Logfiles, oder die Löschung von Daten, den datenschutzrechtlichen Anforderungen genügen. Die datenschutzrechtliche Rechtsgrundlage wird regelmäßig das überwiegende berechtigte Interesse des Arbeitgebers sein. Diese Rechtsgrundlage erfordert aber eine sorgfältige Bewertung und Dokumentation dieser Abwägung zwischen den berechtigen Interessen des Arbeitgebers und der Interessen des Arbeitnehmers. Zudem setzt diese Rechtsgrundlage voraus, dass der Arbeitgeber auch alle anderen Anforderungen aus dem Datenschutzrecht ordnungsgemäß umsetzt, insbesondere transparente Information an die Mitarbeiter, funktionierende Prozesse für die Geltendmachung von datenschutzrechtlichen Rechten sowie – soweit erforderlich – die Durchführung einer Datenschutzfolgeabschätzung. Aspekte wie Erforderlichkeit, Verhältnismäßigkeit und Datenminimierung erfordern typischerweise ein stufenweises Vorgehen, um die Auswirkungen auf die Privatsphäre und Persönlichkeitsrechte des Mitarbeiters so gering wie möglich zu halten, beispielsweise durch Pseudonymisierungsprozesse, automatisierte Warnungen, kurze Speicherfristen für Logfiles, und längere Speicherfristen nur bei verifizierten Verstößen.
Anwesenheitskontrolle im Büro & Homeoffice
Nach der Covid-19-Pandemie ist eine Tendenz der Arbeitgeber zu beobachten, die Arbeit aus dem Homeoffice zumindest teilweise zu verbieten und die Rückkehr ins Büro zu verlangen. Oftmals gibt es Anwesenheitsquoten von 50 Prozent oder Vorgaben, drei von fünf Wochenarbeitstagen im Büro anwesend zu sein. Eine Kontrolle der Einhaltung der Anwesenheitspflicht kann zum Beispiel mittels Auslesen von Chipkarten, die für den Zugang zum Büro verwendet werden, oder durch Speicherung und Auswertung der IP-Adresse des Mitarbeitergeräts erfolgen, die eine Rückschluss auf den ungefähren Standort des Geräts bei der Nutzung des Internets erlaubt. Da hierbei personenbezogenen Daten des Mitarbeiters verarbeitet werden, sind die datenschutzrechtlichen Anforderungen zu beachten.
Insbesondere müssen die Arbeitgeber ihre Mitarbeiter darüber informieren, dass die Einhaltung dieser Regelungen mittels der IP-Adresse stichprobenartig überwacht und bei Verdachtsfällen auch zu einer regelmäßigen Überwachung führen kann. Wegen des Grundsatzes der Datenminimierung und Verhältnismäßigkeit unterliegen diese Daten Speicherfristen, typischerweise von sieben Tagen. Werden die Daten länger gespeichert und dann zur Kontrolle der Homeoffice-Regelungen genutzt, kann dies zu einem Beweisverwertungsverbot führen. Darüber hinaus ist die Ermittlung und Dokumentierung der datenschutzrechtlichen Rechtsgrundlage (siehe hierzu oben 2b) und 3) erforderlich.
Taschen und Schubladen kontrollieren
Zufällige, anlasslose und verdachtsunabhängige Kontrollen von Taschen (zum Beispiel am Ausgang zur Verhinderung von Diebstählen) in Anwesenheit des Mitarbeiters können dann datenschutzrechtlich zulässig sein, wenn die Grundprinzipien des Datenschutzrechts beachtet werden (insbesondere transparente Information), Maßnahmen zum Schutz der Privatsphäre ergriffen wurden (wie Taschenbereiche, die von der Kontrolle ausgenommen sind) und wenn es Nachweise gibt, dass solche Verstöße in der Vergangenheit bereits vorgekommen sind und mit diesen Kontrollen wirksam verhindert werden können. Auch wenn die Sichtung der Taschen keine typische automatisierte Datenverarbeitung darstellt, kann diese Maßnahme eine Verarbeitung von personenbezogenen Daten in Form der Gewinnung von Informationen über den Mitarbeiter aus dem Inhalt der Tasche darstellen, selbst wenn diese Informationen nicht in einem Dateisystem gespeichert werden.
Leistung überwachen
Die Hauptleistungspflicht des Arbeitnehmers ist seine Arbeitsleistung. Aus diesem Grund ist das Interesse der Arbeitgeber an Leistungskontrollen ihrer Mitarbeiter groß. Auch eine Schlecht- oder Minderleistung kann eine Verletzung arbeitsvertraglicher Pflichten darstellen, die der Arbeitgeber durch entsprechende Kontrollmaßnahmen identifizieren und unterbinden möchte. Diese Leistungskontrollen sind aber ebenfalls nur unter der Berücksichtigung des Datenschutzrechts zulässig.
Eine permanente Überwachung kann laut der Rechtsprechung wegen des damit verbundenen unverhältnismäßigen Eingriffs in das allgemeine Persönlichkeitsrecht unzulässig sein. Das ist vor allem der Fall, wenn durch die Leistungskontrolle ein schwerwiegender und dauerhafter Anpassungsdruck für die Mitarbeiter entsteht. Bei der Beurteilung, ob eine Leistungskontrolle zulässig oder unzulässig ist, muss eine Abwägung zwischen den Arbeitgeberinteressen an der Verarbeitung der Beschäftigtendaten und dem allgemeinen Persönlichkeitsrecht des Mitarbeiters vorgenommen werden, und diese Interessenabwägung muss zugunsten des Arbeitgebers ausfallen; anderenfalls ist die Kontrolle unzulässig. Darüber hinaus kommt es auf den konkreten Zweck der Datenverarbeitung an, insbesondere darauf, ob dieser in der gezielten Durchführung einer Leistungskontrolle besteht und ob die Datenverarbeitung heimlich erfolgt und die Mitarbeiter nicht vorab über die Datenverarbeitung und deren Zweck informiert worden sind.
Im Jahr 2023 hatte ein Gericht über das Leistungskontrollverfahren in einem globalen Vertriebszentrum von Amazon in Deutschland zu entscheiden. Die automatisierte Steuerung der Logistikprozesse ermöglichte die Aufzeichnung der einzelnen Arbeitsschritte des Mitarbeiters bei der Auswahl und Verpackung der Ware einschließlich der unproduktiven Arbeitszeiten. Aus datenschutzrechtlicher Sicht überraschend entschied das Gericht, dass die Erhebung und Verarbeitung dieser Logistikprozessdaten datenschutzrechtlich zulässig sei, um die termingerechte Lieferung der Waren sicherzustellen. Es liege keine unzulässige Kontrolle der Mitarbeiter vor, weil die Leistungen lediglich objektiv gemessen werden und die Grundsätze der Verhältnismäßigkeit im Einzelfall gewahrt waren.
Stichprobenartige, nach abstrakten Kriterien durchgeführte und transparent kommunizierte Kontrollmaßnahmen können laut Bundesarbeitsgericht auch ohne Anlass zulässig sein. Auch hier gilt, dass jede Art der Leistungskontrolle im Einzelfall datenschutzrechtlich beurteilt werden muss, um eine mögliche Rechtsgrundlage und die zu ergreifenden Maßnahmen zum Schutz der Arbeitnehmerinteressen zu ermitteln. Vor dem Hintergrund der Sensibilität der Mitarbeiter bei Leistungskontrollen sollte stets eine Datenschutzfolgenabschätzung detailliert durchgeführt und dokumentiert werden.
Beweisverwertungsverbot
Von großer Relevanz, insbesondere im Rahmen von Kündigungsschutzprozessen, ist die Frage, wann ein Verwertungsverbot für einen vom Arbeitgeber unter Verstoß gegen die Vorschriften der DSGVO erlangten Beweise besteht. Nach der Rechtsprechung ist in diesen Fällen kein absolutes Beweisverwertungsverbot anzunehmen. Vielmehr ist eine sorgfältige Abwägung der Interessen und Grundrechte der Beteiligten durchzuführen. Nur wenn diese Abwägung das Überwiegen der Interessen und Grundrechte des von dem DSGVO-Verstoß Betroffenen ergibt, kann ein Beweisverwertungsverbot angenommen werden. Ein Datenschutzverstoß steht der Beweisverwertbarkeit grundsätzlich nicht entgegen, wenn die Daten offen erhoben wurden und eine vorsätzlich begangene Pflichtverletzung des Mitarbeiters aufzuklären ist. Im Falle einer solchen Pflichtverletzung hat das allgemeine Persönlichkeitsrecht des Mitarbeiters regelmäßig hinter dem Beweisinteresse des Arbeitgebers zurückzutreten. Beweismittel des Arbeitgebers müssen daher unter Umständen auch dann durch die Arbeitsgerichte verwertet werden, wenn diese unter Missachtung von Datenschutzbestimmungen gewonnen worden sind. Datenschutz ist weiterhin kein Tatenschutz.
Checklisten für interne Untersuchungen
Die folgenden Checklisten sind Leitfäden für die vielen rechtlichen Fragen, die sich stellen, bevor man mit einer internen Untersuchung beginnen kann, und können in ähnlicher Weise auch für sonstige Überwachungsmaßnahmen angewendet werden. Klare Ja-/Nein-Antworten auf die einzelnen Fragen gibt es nicht – sie wären auch irreführend. Die Situationen sind teilweise noch nie gerichtlich, jedenfalls nicht höchstrichterlich, geklärt worden. Die Beantwortung dieser Checkliste wird regelmäßig die Einbeziehung von Entscheidungsträgern aus den Bereichen IT, Personal, Recht und Datenschutz, einschließlich des Datenschutzbeauftragten, fordern.
Checkliste Datenschutz und Strafrecht
Was ist der konkrete rechtliche Vorwurf, der untersucht werden soll? Zum Beispiel Verstoß gegen arbeitsvertragliche Pflichten, interne Richtlinien oder gesetzliche Vorgaben?
Was ist der konkrete Gegenstand und Umfang der internen Untersuchung? Wie lassen sich Gegenstand und Umfang bestmöglich eingrenzen? Gibt es schon konkrete Stichworte und einen Zeitraum für die zu durchsuchenden Dokumente? – Je weniger Daten durchsucht werden, desto besser.
Was soll durchsucht werden? E-Mails, sonstige Nachrichten, Dokumentenarchive, SMS-Nachrichten, Kommunikations-Log-Files?
Sollen auch Interviews durchgeführt werden?
Welche Mitarbeiter sind Gegenstand der internen Untersuchung und warum? (Beschuldigte, mögliche Mitwisser, mögliche Zeugen, mögliche Inhaber von relevanten Dokumenten?)
In welchen Systemen sind diese Dokumente gespeichert und wer hat Zugriff auf diese Dokumente?
Ist die Privatnutzung für diese Systeme entweder ausdrücklich erlaubt oder geduldet? Gibt es hierzu eine IT-Richtlinie, Nutzungsrichtlinie, Nutzungsvereinbarung, arbeitsvertragliche Regelung und/oder Betriebsvereinbarung? Gibt es bereits eine Risikoentscheidung für den Umgang mit dem möglichen Fernmeldegeheimnis?
Wird im Rahmen der internen Untersuchung auf Daten zugegriffen, die gegen unberechtigten Zugriff besonders gesichert sind und deren Zugangssicherung besonders überwunden werden muss?
Werden im Rahmen von Untersuchungsmaßnahmen private Daten verändert oder gelöscht?
Wurden die Mitarbeiter entsprechend der Informationspflicht gemäß Art. 13 bzw. Art. 14 DSGVO über die Durchführung von internen Untersuchung- / Überwachungs- und Kontrollmaßnahmen ausreichend und transparent informiert?
Auf welcher Rechtsgrundlage der DSGVO und des BDSG dürfen die personenbezogenen Daten der Mitarbeiter für den Zweck der internen Untersuchung verarbeitet werden (typischerweise § 26 Abs. 1 Satz 2 BDSG oder Art. 6 Abs. 1 lit. f DSGVO)? Wurde diese Rechtsgrundlage ausreichend dokumentiert und begründet?
Ist eine Datenschutzfolgeabschätzung nach der DSGVO erforderlich? Wenn ja, wurde diese sorgfältig durchgeführt und dokumentiert? Welche Maßnahmen wurden hierbei identifiziert, um das Risiko für die Betroffenen zu minimieren? Wer ist für die Umsetzung dieser Maßnahmen verantwortlich?
Soll die Untersuchung auf eine Einwilligung der betroffenen Mitarbeiter gestützt werden (Achtung: Mitarbeitereinwilligungen sind grundsätzlich nicht freiwillig, es sei denn, die betroffenen Mitarbeiter sind leitende Angestellte oder gehören zur Geschäftsführung)?
Wird die Untersuchung oder Ermittlung in Zusammenarbeit mit einem externen Dienstleister durchgeführt (zum Beispiel forensischer Dienstleister, e-Discovery-Dienstleister) und wurde mit diesem Dienstleister ein Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO geschlossen? Sitzt dieser Dienstleister (oder eingebundene Sub-unternehmer) gegebenenfalls außerhalb der EU mit der Folge einer internationalen Datenübermittlung (Art. 44 ff. DSGVO)?
Sind dem Dienstleister schriftliche Anweisungen gegeben worden, wie er die Untersuchung vornehmen soll (Stichworte, Zeitraum etc.) und wie er private oder nicht relevante E-Mails behandeln soll (zum Beispiel “sofort schließen” “nicht lesen”, “nicht kopieren”, “nicht weiterleiten”, “nicht drucken”)?
Werden die Ergebnisse der Untersuchung (zum Beispiel die Ergebnisse der E-Mail-Durchsuchung oder Interview-Mitschriften bei Mitarbeiterbefragungen) an Dritte übermittelt (insbesondere an andere Unternehmen der Gruppe, die möglicherweise außerhalb der EU sitzen, oder an externe Rechtsberater) und – sofern die Antwort “ja” ist – ist die Zulässigkeit der Übermittlung überprüft worden und ist beim Empfänger, soweit erforderlich, ein angemessenes Datenschutzniveau sichergestellt (Art. 44 ff. DSGVO)?
Werden die Ergebnisse der Dokumenten-Durchsuchung oder Interview-Mitschriften bei Mitarbeiterbefragungen vor Weiterleitung anonymisiert oder pseudonymisiert? Wenn nein, warum?
Sind die Aufbewahrungs- und Löschungsfristen für Untersuchungsergebnisse klar und wird die Löschung von Untersuchungsergebnissen eingehalten sowie kontrolliert?
Hat sich das Unternehmen Gedanken darüber gemacht, dass rechtswidrig erhobene Beweise in einem späteren gerichtlichen Verfahren möglicherweise einem Beweisverwertungsverbot unterliegen und deshalb nicht nutzbar gemacht werden können?
Bestehen bei den untersuchten Vergehen mögliche Anzeigepflichten gegenüber staatlichen Strafverfolgungsbehörden?
Checkliste Arbeitsrecht
Besteht ein Betriebsrat?
Bestehen Betriebsvereinbarungen zu Kontrollmaßnahmen bei Mitarbeitern beziehungsweise zur Kontrolle der IT/E-Mail-Systeme?
Sind Benachrichtigungspflichten gegenüber dem Betriebsrat und/oder Mitbestimmungsrechte des Betriebsrats eingehalten worden?
Handelt es sich bei dem zu befragenden Mitarbeiter um einen Verdächtigen oder einen Beschuldigten?
Müssen Mitarbeiter zu Interviewterminen erscheinen und auf Fragen antworten?
Ist Mitarbeitern bei Interviews ein Anwalt (auf Kosten des Arbeitgebers) beizustellen?
Sind Mitarbeiter darauf hinzuweisen, dass sie sich nicht selbst belasten müssen? Wenn ja, in welcher Form?
Sind Vertreter des Betriebsrats berechtigt, an den Interviews oder sonstigen Untersuchungsmaßnahmen teilzunehmen?
Hat der Betriebsrat ein Recht, die Untersuchungsergebnisse zu erhalten oder einzusehen?
Haben die Mitarbeiter ein Recht, die Untersuchungsergebnisse zu erhalten oder einzusehen?
Müssen die Untersuchungsergebnisse in die Personalakte?
Hat sich das Unternehmen Gedanken gemacht, dass rechtswidrig erhobene Beweise in einem späteren gerichtlichen Verfahren möglicherweise einem Beweisverwertungsverbot unterliegen und deshalb nicht nutzbar gemacht werden können?
Auch wenn eine Totalüberwachung der Mitarbeitenden technisch jederzeit möglich wäre, ist allenfalls eine teilweise Überwachung rechtlich zulässig. Dabei hängt die Zulässigkeit oftmals maßgeblich von der Abwägung zwischen den berechtigten Arbeitgeberinteressen und dem allgemeinen Persönlichkeitsrecht der Mitarbeitenden ab. Darüber hinaus sind stets die gesetzlichen Vorgaben zu berücksichtigen. Insbesondere muss der Mitarbeiter transparent über die konkrete Datenverarbeitung im Rahmen der Mitarbeiterüberwachung informiert werden. Außerdem ist das gegebenenfalls bestehende Mitbestimmungserfordernis des Betriebsrates sowie der Abschluss einer erforderlichen Betriebsvereinbarung zu beachten. (pg/fm)
