In Sachen Mitarbeiterüberwachung hängt in Deutschland vieles davon ab, ob Gerichte Unternehmen als Telekommunikationsdienste-Anbieter einstufen. Foto: elnur -shutterstock.com Videoüberwachung? Emotionserkennung am Arbeitsplatz? E-Mails mitlesen? Unzulässige Überwachungsmaßnahmen am Arbeitsplatz sorgen immer wieder für Schlagzeilen. Dabei stellt sich mit Blick auf das Datenschutzrecht die Frage, wann und in welchem Umfang Arbeitgeberinnen und Arbeitgeber ihre Beschäftigten überwachen dürfen. Grundsätzlich haben Unternehmen ein schutzwürdiges Interesse daran, das Verhalten und die Leistung ihres Personals zu kontrollieren. Dem steht jedoch das allgemeine Persönlichkeitsrecht der Arbeitnehmerinnen und Arbeitnehmer gegenüber – insbesondere das Recht auf informationelle Selbstbestimmung. Diese widersprüchlichen Interessen gleicht das Datenschutzrecht aus. Da es viele Möglichkeiten gibt, die Belegschaft zu überwachen, muss jede Maßnahme einzeln bewertet werden. Es gilt, hinsichtlich der Zulässigkeit zwischen den einzelnen Maßnahmen zu differenzieren. Ein spezielles Beschäftigtendatengesetz, das Klarheit schaffen könnte, existiert (noch) nicht. In der folgenden FAQ beantworten wir die wichtigsten Fragen. 1. Dürfen Betriebe ihr Personal mittels Videoaufnahmen überwachen? Es kommt darauf an. Die Videoüberwachung ist in Deutschland nicht grundsätzlich unzulässig. Wegen des erheblichen Eingriffs in die Persönlichkeitsrechte der Arbeitnehmer:innen ist die Videoüberwachung jedoch an strenge Zulässigkeitsvoraussetzungen geknüpft. So sind z. B. besonders sensible Bereiche wie Umkleide- oder Pausenräume immer von der Videoüberwachung ausgenommen. Ansonsten ist zu unterscheiden, ob die Videoüberwachung in einem öffentlich zugänglichen Raum stattfindet und ob sie offen oder verdeckt erfolgt. Die offene Videoüberwachung öffentlich zugänglicher Räume ist insbesondere in der Datenschutz-Grundverordnung (DSGVO) und im Bundesdatenschutzgesetz (BDSG) geregelt (Siehe auch: Deutschlands schlimmste DSGVO-Sünder). Sie ist zulässig, wenn sie entweder für die Aufgabenerfüllung öffentlicher Stellen, die Wahrnehmung des Hausrechts oder die Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist. Zudem darf kein Anhaltspunkt dahingehend bestehen, dass schutzwürdige Interessen der betroffenen Person überwiegen. Eine verdeckte Videoüberwachung ist nur unter sehr engen Voraussetzungen möglich, wenn der Anfangsverdacht einer strafbaren Handlung oder einer sonstigen schweren Pflichtverletzung besteht und weniger einschneidende Mittel zur Aufklärung des Verdachts nicht möglich sind. Arbeitgeberinnen und Arbeitgeber müssen die Überwachung außerdem zeitlich und räumlich auf das notwendige Minimum beschränken. 2. Dürfen Unternehmen Telefongespräche heimlich abhören? Nein. Das heimliche Abhören oder Aufzeichnen von Telefongesprächen ist – abgesehen von extremen Ausnahmefällen, insbesondere im Zusammenhang mit der Aufdeckung von Straftaten – verboten. 3. Dürfen Unternehmen Telefongespräche offen abhören? Es kommt darauf an. Zu Schulungszwecken, zum Beispiel im Call-Center, dürfen Arbeitgeberinnen und Arbeitgeber in zeitlich begrenztem Umfang dienstliche Telefongespräche aufzeichnen. Bei einer ausschließlich dienstlichen Nutzung der Telefonanlage dürfen Betriebe die Telefonverbindungsdaten (Dauer, Beginn und Ende des Telefonats oder die ersten Ziffern der Telefonnummer) zur Kostenkontrolle sowie zur Überprüfung des Verbots der Privatnutzung auswerten. Soweit den Beschäftigten die private Nutzung der Telefonanlage gestattet ist, sind die Kontrollrechte von Unternehmen dagegen eingeschränkt. In diesen Fällen sind Arbeitgeberinnen und Arbeitgeber nach bislang vertretener Ansicht der deutschen Datenschutzbehörden als Telekommunikationsdienste-Anbieter im Sinne des Telekommunikationsgesetzes (TKG) anzusehen und müssen das Fernmeldegeheimnis beachten. Eine Verletzung kann zu einer Strafbarkeit nach § 206 StGB führen. Einige Gerichte, vor allem Arbeitsgerichte, gehen hingegen davon aus, dass entsprechende Betriebe keine Telekommunikationsdienstleister sind. Das sah auch die Landesdatenschutzbeauftragte NRW (LDI NRW) in ihrem Tätigkeitsbericht für das Jahr 2024 genauso. Demnach gilt das Fernmeldegeheimnis nach § 3 Telekommunikation-Digitale-Dienste-Gesetz (TDDDG) auch dann nicht für Arbeitgeberinnen und Arbeitgeber, wenn diese die private Nutzung von E-Mail und Telekommunikationsdiensten erlauben. Eine Abhörung ist dennoch nur dann zulässig, wenn die betroffenen Beschäftigten jeweils zugestimmt haben. Aufgrund der rechtlichen Unsicherheiten ist dringend zu empfehlen, klare Regelungen zu treffen und sich als Arbeitgeber abzusichern. 4. Dürfen Unternehmen E-Mails des Personals einsehen? Es kommt darauf an. Wie bei der Nutzung der Telefonanlage ist für die Zugriffsrechte von Unternehmen entscheidend, ob den Beschäftigten die private Nutzung gestattet ist oder nicht. Ist diese verboten, können Arbeitgeberinnen und Arbeitgeber im Gegensatz zu Telefongesprächen auch den Inhalt von E-Mails überwachen. Ist die private Nutzung hingegen erlaubt, werden die Zugriffsrechte durch den Beschäftigtendatenschutz eingeschränkt. Erfolgt eine Einstufung als Telekommunikationsdienste-Anbieter, greift das Fernmeldegeheimnis und ein Zugriff auf die E-Mails wäre nach der Einschätzung der deutschen Datenschutzbehörden grundsätzlich unzulässig. Das Landgericht Erfurt (Urt. v. 28.04.2021, Az.: 1 HK O 43/20) hat dagegen in einem Fall – zum alten TKG – entschieden, dass Arbeitgeber keine Telekommunikationsdienste-Anbieter seien und das Fernmeldegeheimnis daher nicht anwendbar sei. Dem schloss sich die Berufungsinstanz des OLG Jena (c – 7 U 521/21 (LG Erfurt); rechtskräftig) jedoch nicht an. Arbeitgeber seien Telekommunikationsdienste-Anbieter und damit wäre ein Zugriff auf den E-Mail-Account regelmäßig nicht zulässig. Die LDI NRW empfiehlt den Unternehmen daher wie bislang, über die betriebliche und/oder private Nutzung des Internets und des betrieblichen E-Mail-Accounts eine schriftliche Regelung zu treffen und sich so diesbezüglich abzusichern. In dieser Regelung sollen der Zugriff, die Protokollierung, die Auswertung und die Durchführung von Kontrollen eindeutig geklärt werden. Außerdem sollte über mögliche Überwachungsmaßnahmen und Sanktionen informiert werden. 5. Dürfen Arbeitgeber die Internetnutzung kontrollieren? Es kommt darauf an. Wurde die private Nutzung des Internetzugangs verboten, ist eine umfassende Kontrolle der Internetnutzung zur Überprüfung des Verbots zulässig. Arbeitgeber können hierzu regelmäßige und fortlaufende Stichprobenkontrollen oder anlassbezogene Vollkontrollen durchführen. Dabei dürfen aber nur die für die im Rahmen der Stichprobenkontrollen notwendigen Daten erhoben werden, wie Webadresse und Abrufdatum. Auch wenn die private Nutzung erlaubt ist, handelt es sich nach Auffassung der LDI NRW, wie oben dargestellt, um keine Telekommunikationsdienstleistung. Unabhängig davon, ob Betriebe als Telekommunikationsanbieter qualifiziert werden, können sie ohne Verletzung des Fernmeldegeheimnisses Sperren für bestimmte Internetseiten einrichten, da in diesen Fällen eine mögliche Kommunikation bereits im Vorfeld unterbunden wird. 6. Dürfen Betriebe einen Keylogger einsetzen? Nein. Das Bundesarbeitsgericht (Urt. v. 27.07.2017, Az.: 2 AZR 681/16) hat entschieden, dass der Einsatz von sogenannter Keylogger-Software, die sämtliche Tastatureingaben aufzeichnet, unzulässig ist, wenn kein auf Arbeitnehmerinnen und Arbeitnehmer bezogener, durch konkrete Tatsachen begründeter Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung besteht. 7. Dürfen Arbeitgeber auf dem Dienstrechner gespeicherte Dateien einsehen? Ja. Nach Auffassung des Bundesarbeitsgerichts (Urt. v. 31.01.2019, Az.: 2 AZR 426/18) dürfen die Firmen auf diese Dateien zugreifen, wenn die Überprüfung aus einem nicht willkürlichen Anlass erfolgt, wobei ein durch Tatsachen begründeter Verdacht einer Pflichtverletzung nicht erforderlich ist. Darüber hinaus muss die Überprüfung offen erfolgen und den Beschäftigten vorher angekündigt werden. Außerdem müssen Arbeitnehmerinnen und Arbeitnehmer zuvor darauf hingewiesen worden sein, dass sie Ordner und Dateien durch Kennzeichnung als „privat“ von einer Überprüfung ohne begründeten Anlass ausnehmen können. 8. Dürfen Unternehmen ihre Mitarbeitenden orten? Es kommt darauf an. Eine Ortung mittels GPS oder anderen technischen Hilfsmitteln ist nur in wenigen Ausnahmefällen nach Art. 6 Abs. 1 DSGVO zulässig. Das kann etwa der Fall sein, wenn die Ortung dem Schutz von Arbeitnehmerinnen und Arbeitnehmern – zum Beispiel der Fahrerin oder dem Fahrer eines Geldtransporters – dient oder wenn das Eigentum des Unternehmens geschützt werden soll. In jedem Fall muss der Zweck der Ortung vorab klar dokumentiert und den Arbeitnehmern mitgeteilt werden. 9. Welche Besonderheiten bestehen zum Schutz von Plattform-Arbeiterinnen und -Arbeitern? Die Richtlinie (EU) 2024/2831 (Plattformarbeits-RL) enthält eine Vielzahl datenschutzrechtlicher Vorgaben, die über die Anforderungen der DSGVO hinausgehen. Auch wenn die Plattformarbeits-RL erst im Jahr 2026 in deutsches Recht umgesetzt sein muss, sollten Unternehmen schon heute prüfen, ob sie die Vorgaben einhalten. Die Plattformarbeit-RL definiert Plattformarbeit als jegliche Tätigkeit, die über eine digitale Arbeitsplattform organisiert wird und von einer Person innerhalb der EU erbracht wird. Dies betrifft vor allem diverse Lieferdienste und Bestellservices. Die Plattformarbeits-RL verbietet die Verarbeitung bestimmter sensibler Daten mittels automatisierter Beobachtungssysteme oder automatisierter Entscheidungssysteme. Über die Anforderungen der DSGVO hinausgehend lassen sich diese Verarbeitungen auch nicht durch die Einwilligung der Plattform-Arbeiterinnen und -Arbeitern legitimieren. Umfasst sind unter anderem Daten über den emotionalen oder psychischen Zustand, Daten über private Gespräche sowie Daten zu sensiblen personenbezogenen Merkmalen der Plattform-Arbeiterinnen und -Arbeiter. Denkbar ist, dass auch Freitext-Bewertungen, die von Kunden auf einschlägigen Bewertungsportalen abgegeben werden, umfasst sind. Hier können beispielsweise emotionale Zustände oder sensible personenbezogene Merkmale preisgegeben werden. Der rechtmäßige Einsatz von algorithmischen Beobachtungssystemen ist indes nicht minder reguliert. Die Plattformarbeitgeber müssen Transparenz, menschliche Aufsicht und die Sicherheit der algorithmischen Beobachtungssysteme gewährleisten. 10. Gibt es Besonderheiten im Bereich der Künstlichen Intelligenz? Ja. Im Bereich der Künstlichen Intelligenz gibt es ebenfalls Besonderheiten. Wichtig ist zu wissen, dass gewisse Überwachungstechniken, die mithilfe von Künstlicher Intelligenz ausgeführt werden, seit dem 2. Februar 2025 verboten sind. Das betrifft insbesondere die Emotionserkennnungssysteme am Arbeitsplatz. Eine Ausnahme gilt jedoch, wenn „die Verwendung des KI-Systems […] aus medizinischen Gründen oder Sicherheitsgründen eingeführt“ wird. Dies ist beispielsweise bei einer Müdigkeitserkennung bei Personen in besonders gefährdeten Tätigkeiten der Fall, zum Beispiel LKW-Fahrende. Ist ein Emotionserkennnungssystem am Arbeitsplatz ausnahmsweise zulässig gilt es als „Hochrisiko-KI-System“. Ab dem 2. August 2026 gelten für solche Hochrisiko-KI-Systeme strenge Compliance-Pflichten, die sowohl die Anbietenden als auch die nutzenden Unternehmen („Betreiber“ nach der KI-VO) eines solchen KI-Systems betreffen. Die KI-VO verbietet den Einsatz solcher Hochrisiko-KI-Systeme zwar nicht, setzt aber hohe Hürden für ihren rechtskonformen Einsatz im Unternehmen. Hinzu kommt: Die Einstufung als beispielsweise weniger hochriskant nach der KI-VO führt nicht dazu, dass der Einsatz eines solchen KI-Systems immer rechtmäßig ist. Insoweit stellt die KI-VO selbst klar, dass der rechtmäßige Einsatz eines entsprechenden KI-Systems nicht abschließend durch die KI-VO bestimmt wird. Die strengen Anforderungen an den Datenschutz oder aus dem Arbeitsrecht gelten weiterhin. Fazit Die Überwachung am Arbeitsplatz ist in Deutschland zugunsten des Personals stark reglementiert. Die Praxis zeigt, dass es dennoch immer wieder zu unzulässigen Überwachungen kommt. Beschäftigte und Unternehmen sind sich der rechtlichen Rahmenbedingungen oft nicht bewusst. Dabei kann eine unzulässige Überwachung gravierende Folgen haben: Unzulässige Maßnahmen von Arbeitgebern können nach der DSGVO mit hohen Bußgeldern geahndet werden (wie beispielsweise bei H&M geschehen) und gegebenenfalls auch Schadensersatzansprüche der Betroffenen begründen. Zu beachten ist aus arbeitsrechtlicher Sicht auch, dass bei Vorhandensein eines Betriebsrats dieser stets einzubeziehen ist. Der Schutz der betroffenen Arbeitnehmerinnen und Arbeitnehmer ist also nicht nur im Datenschutzrecht verankert. (ba) https://youtu.be/gfG6jzY7rvs?rel=0
FAQ Mitarbeiterüberwachung: Was Firmen dürfen – und was nicht
In Sachen Mitarbeiterüberwachung hängt in Deutschland vieles davon ab, ob Gerichte Unternehmen als Telekommunikationsdienste-Anbieter einstufen. Foto: elnur -shutterstock.com Videoüberwachung? Emotionserkennung am Arbeitsplatz? E-Mails mitlesen? Unzulässige Überwachungsmaßnahmen am Arbeitsplatz sorgen immer wieder für Schlagzeilen. Dabei stellt sich mit Blick auf das Datenschutzrecht die Frage, wann und in welchem Umfang Arbeitgeberinnen und Arbeitgeber ihre Beschäftigten überwachen dürfen. Grundsätzlich haben Unternehmen ein schutzwürdiges Interesse daran, das Verhalten und die Leistung ihres Personals zu kontrollieren. Dem steht jedoch das allgemeine Persönlichkeitsrecht der Arbeitnehmerinnen und Arbeitnehmer gegenüber – insbesondere das Recht auf informationelle Selbstbestimmung. Diese widersprüchlichen Interessen gleicht das Datenschutzrecht aus. Da es viele Möglichkeiten gibt, die Belegschaft zu überwachen, muss jede Maßnahme einzeln bewertet werden. Es gilt, hinsichtlich der Zulässigkeit zwischen den einzelnen Maßnahmen zu differenzieren. Ein spezielles Beschäftigtendatengesetz, das Klarheit schaffen könnte, existiert (noch) nicht. In der folgenden FAQ beantworten wir die wichtigsten Fragen. 1. Dürfen Betriebe ihr Personal mittels Videoaufnahmen überwachen? Es kommt darauf an. Die Videoüberwachung ist in Deutschland nicht grundsätzlich unzulässig. Wegen des erheblichen Eingriffs in die Persönlichkeitsrechte der Arbeitnehmer:innen ist die Videoüberwachung jedoch an strenge Zulässigkeitsvoraussetzungen geknüpft. So sind z. B. besonders sensible Bereiche wie Umkleide- oder Pausenräume immer von der Videoüberwachung ausgenommen. Ansonsten ist zu unterscheiden, ob die Videoüberwachung in einem öffentlich zugänglichen Raum stattfindet und ob sie offen oder verdeckt erfolgt. Die offene Videoüberwachung öffentlich zugänglicher Räume ist insbesondere in der Datenschutz-Grundverordnung (DSGVO) und im Bundesdatenschutzgesetz (BDSG) geregelt (Siehe auch: Deutschlands schlimmste DSGVO-Sünder). Sie ist zulässig, wenn sie entweder für die Aufgabenerfüllung öffentlicher Stellen, die Wahrnehmung des Hausrechts oder die Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist. Zudem darf kein Anhaltspunkt dahingehend bestehen, dass schutzwürdige Interessen der betroffenen Person überwiegen. Eine verdeckte Videoüberwachung ist nur unter sehr engen Voraussetzungen möglich, wenn der Anfangsverdacht einer strafbaren Handlung oder einer sonstigen schweren Pflichtverletzung besteht und weniger einschneidende Mittel zur Aufklärung des Verdachts nicht möglich sind. Arbeitgeberinnen und Arbeitgeber müssen die Überwachung außerdem zeitlich und räumlich auf das notwendige Minimum beschränken. 2. Dürfen Unternehmen Telefongespräche heimlich abhören? Nein. Das heimliche Abhören oder Aufzeichnen von Telefongesprächen ist – abgesehen von extremen Ausnahmefällen, insbesondere im Zusammenhang mit der Aufdeckung von Straftaten – verboten. 3. Dürfen Unternehmen Telefongespräche offen abhören? Es kommt darauf an. Zu Schulungszwecken, zum Beispiel im Call-Center, dürfen Arbeitgeberinnen und Arbeitgeber in zeitlich begrenztem Umfang dienstliche Telefongespräche aufzeichnen. Bei einer ausschließlich dienstlichen Nutzung der Telefonanlage dürfen Betriebe die Telefonverbindungsdaten (Dauer, Beginn und Ende des Telefonats oder die ersten Ziffern der Telefonnummer) zur Kostenkontrolle sowie zur Überprüfung des Verbots der Privatnutzung auswerten. Soweit den Beschäftigten die private Nutzung der Telefonanlage gestattet ist, sind die Kontrollrechte von Unternehmen dagegen eingeschränkt. In diesen Fällen sind Arbeitgeberinnen und Arbeitgeber nach bislang vertretener Ansicht der deutschen Datenschutzbehörden als Telekommunikationsdienste-Anbieter im Sinne des Telekommunikationsgesetzes (TKG) anzusehen und müssen das Fernmeldegeheimnis beachten. Eine Verletzung kann zu einer Strafbarkeit nach § 206 StGB führen. Einige Gerichte, vor allem Arbeitsgerichte, gehen hingegen davon aus, dass entsprechende Betriebe keine Telekommunikationsdienstleister sind. Das sah auch die Landesdatenschutzbeauftragte NRW (LDI NRW) in ihrem Tätigkeitsbericht für das Jahr 2024 genauso. Demnach gilt das Fernmeldegeheimnis nach § 3 Telekommunikation-Digitale-Dienste-Gesetz (TDDDG) auch dann nicht für Arbeitgeberinnen und Arbeitgeber, wenn diese die private Nutzung von E-Mail und Telekommunikationsdiensten erlauben. Eine Abhörung ist dennoch nur dann zulässig, wenn die betroffenen Beschäftigten jeweils zugestimmt haben. Aufgrund der rechtlichen Unsicherheiten ist dringend zu empfehlen, klare Regelungen zu treffen und sich als Arbeitgeber abzusichern. 4. Dürfen Unternehmen E-Mails des Personals einsehen? Es kommt darauf an. Wie bei der Nutzung der Telefonanlage ist für die Zugriffsrechte von Unternehmen entscheidend, ob den Beschäftigten die private Nutzung gestattet ist oder nicht. Ist diese verboten, können Arbeitgeberinnen und Arbeitgeber im Gegensatz zu Telefongesprächen auch den Inhalt von E-Mails überwachen. Ist die private Nutzung hingegen erlaubt, werden die Zugriffsrechte durch den Beschäftigtendatenschutz eingeschränkt. Erfolgt eine Einstufung als Telekommunikationsdienste-Anbieter, greift das Fernmeldegeheimnis und ein Zugriff auf die E-Mails wäre nach der Einschätzung der deutschen Datenschutzbehörden grundsätzlich unzulässig. Das Landgericht Erfurt (Urt. v. 28.04.2021, Az.: 1 HK O 43/20) hat dagegen in einem Fall – zum alten TKG – entschieden, dass Arbeitgeber keine Telekommunikationsdienste-Anbieter seien und das Fernmeldegeheimnis daher nicht anwendbar sei. Dem schloss sich die Berufungsinstanz des OLG Jena (c – 7 U 521/21 (LG Erfurt); rechtskräftig) jedoch nicht an. Arbeitgeber seien Telekommunikationsdienste-Anbieter und damit wäre ein Zugriff auf den E-Mail-Account regelmäßig nicht zulässig. Die LDI NRW empfiehlt den Unternehmen daher wie bislang, über die betriebliche und/oder private Nutzung des Internets und des betrieblichen E-Mail-Accounts eine schriftliche Regelung zu treffen und sich so diesbezüglich abzusichern. In dieser Regelung sollen der Zugriff, die Protokollierung, die Auswertung und die Durchführung von Kontrollen eindeutig geklärt werden. Außerdem sollte über mögliche Überwachungsmaßnahmen und Sanktionen informiert werden. 5. Dürfen Arbeitgeber die Internetnutzung kontrollieren? Es kommt darauf an. Wurde die private Nutzung des Internetzugangs verboten, ist eine umfassende Kontrolle der Internetnutzung zur Überprüfung des Verbots zulässig. Arbeitgeber können hierzu regelmäßige und fortlaufende Stichprobenkontrollen oder anlassbezogene Vollkontrollen durchführen. Dabei dürfen aber nur die für die im Rahmen der Stichprobenkontrollen notwendigen Daten erhoben werden, wie Webadresse und Abrufdatum. Auch wenn die private Nutzung erlaubt ist, handelt es sich nach Auffassung der LDI NRW, wie oben dargestellt, um keine Telekommunikationsdienstleistung. Unabhängig davon, ob Betriebe als Telekommunikationsanbieter qualifiziert werden, können sie ohne Verletzung des Fernmeldegeheimnisses Sperren für bestimmte Internetseiten einrichten, da in diesen Fällen eine mögliche Kommunikation bereits im Vorfeld unterbunden wird. 6. Dürfen Betriebe einen Keylogger einsetzen? Nein. Das Bundesarbeitsgericht (Urt. v. 27.07.2017, Az.: 2 AZR 681/16) hat entschieden, dass der Einsatz von sogenannter Keylogger-Software, die sämtliche Tastatureingaben aufzeichnet, unzulässig ist, wenn kein auf Arbeitnehmerinnen und Arbeitnehmer bezogener, durch konkrete Tatsachen begründeter Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung besteht. 7. Dürfen Arbeitgeber auf dem Dienstrechner gespeicherte Dateien einsehen? Ja. Nach Auffassung des Bundesarbeitsgerichts (Urt. v. 31.01.2019, Az.: 2 AZR 426/18) dürfen die Firmen auf diese Dateien zugreifen, wenn die Überprüfung aus einem nicht willkürlichen Anlass erfolgt, wobei ein durch Tatsachen begründeter Verdacht einer Pflichtverletzung nicht erforderlich ist. Darüber hinaus muss die Überprüfung offen erfolgen und den Beschäftigten vorher angekündigt werden. Außerdem müssen Arbeitnehmerinnen und Arbeitnehmer zuvor darauf hingewiesen worden sein, dass sie Ordner und Dateien durch Kennzeichnung als „privat“ von einer Überprüfung ohne begründeten Anlass ausnehmen können. 8. Dürfen Unternehmen ihre Mitarbeitenden orten? Es kommt darauf an. Eine Ortung mittels GPS oder anderen technischen Hilfsmitteln ist nur in wenigen Ausnahmefällen nach Art. 6 Abs. 1 DSGVO zulässig. Das kann etwa der Fall sein, wenn die Ortung dem Schutz von Arbeitnehmerinnen und Arbeitnehmern – zum Beispiel der Fahrerin oder dem Fahrer eines Geldtransporters – dient oder wenn das Eigentum des Unternehmens geschützt werden soll. In jedem Fall muss der Zweck der Ortung vorab klar dokumentiert und den Arbeitnehmern mitgeteilt werden. 9. Welche Besonderheiten bestehen zum Schutz von Plattform-Arbeiterinnen und -Arbeitern? Die Richtlinie (EU) 2024/2831 (Plattformarbeits-RL) enthält eine Vielzahl datenschutzrechtlicher Vorgaben, die über die Anforderungen der DSGVO hinausgehen. Auch wenn die Plattformarbeits-RL erst im Jahr 2026 in deutsches Recht umgesetzt sein muss, sollten Unternehmen schon heute prüfen, ob sie die Vorgaben einhalten. Die Plattformarbeit-RL definiert Plattformarbeit als jegliche Tätigkeit, die über eine digitale Arbeitsplattform organisiert wird und von einer Person innerhalb der EU erbracht wird. Dies betrifft vor allem diverse Lieferdienste und Bestellservices. Die Plattformarbeits-RL verbietet die Verarbeitung bestimmter sensibler Daten mittels automatisierter Beobachtungssysteme oder automatisierter Entscheidungssysteme. Über die Anforderungen der DSGVO hinausgehend lassen sich diese Verarbeitungen auch nicht durch die Einwilligung der Plattform-Arbeiterinnen und -Arbeitern legitimieren. Umfasst sind unter anderem Daten über den emotionalen oder psychischen Zustand, Daten über private Gespräche sowie Daten zu sensiblen personenbezogenen Merkmalen der Plattform-Arbeiterinnen und -Arbeiter. Denkbar ist, dass auch Freitext-Bewertungen, die von Kunden auf einschlägigen Bewertungsportalen abgegeben werden, umfasst sind. Hier können beispielsweise emotionale Zustände oder sensible personenbezogene Merkmale preisgegeben werden. Der rechtmäßige Einsatz von algorithmischen Beobachtungssystemen ist indes nicht minder reguliert. Die Plattformarbeitgeber müssen Transparenz, menschliche Aufsicht und die Sicherheit der algorithmischen Beobachtungssysteme gewährleisten. 10. Gibt es Besonderheiten im Bereich der Künstlichen Intelligenz? Ja. Im Bereich der Künstlichen Intelligenz gibt es ebenfalls Besonderheiten. Wichtig ist zu wissen, dass gewisse Überwachungstechniken, die mithilfe von Künstlicher Intelligenz ausgeführt werden, seit dem 2. Februar 2025 verboten sind. Das betrifft insbesondere die Emotionserkennnungssysteme am Arbeitsplatz. Eine Ausnahme gilt jedoch, wenn „die Verwendung des KI-Systems […] aus medizinischen Gründen oder Sicherheitsgründen eingeführt“ wird. Dies ist beispielsweise bei einer Müdigkeitserkennung bei Personen in besonders gefährdeten Tätigkeiten der Fall, zum Beispiel LKW-Fahrende. Ist ein Emotionserkennnungssystem am Arbeitsplatz ausnahmsweise zulässig gilt es als „Hochrisiko-KI-System“. Ab dem 2. August 2026 gelten für solche Hochrisiko-KI-Systeme strenge Compliance-Pflichten, die sowohl die Anbietenden als auch die nutzenden Unternehmen („Betreiber“ nach der KI-VO) eines solchen KI-Systems betreffen. Die KI-VO verbietet den Einsatz solcher Hochrisiko-KI-Systeme zwar nicht, setzt aber hohe Hürden für ihren rechtskonformen Einsatz im Unternehmen. Hinzu kommt: Die Einstufung als beispielsweise weniger hochriskant nach der KI-VO führt nicht dazu, dass der Einsatz eines solchen KI-Systems immer rechtmäßig ist. Insoweit stellt die KI-VO selbst klar, dass der rechtmäßige Einsatz eines entsprechenden KI-Systems nicht abschließend durch die KI-VO bestimmt wird. Die strengen Anforderungen an den Datenschutz oder aus dem Arbeitsrecht gelten weiterhin. Fazit Die Überwachung am Arbeitsplatz ist in Deutschland zugunsten des Personals stark reglementiert. Die Praxis zeigt, dass es dennoch immer wieder zu unzulässigen Überwachungen kommt. Beschäftigte und Unternehmen sind sich der rechtlichen Rahmenbedingungen oft nicht bewusst. Dabei kann eine unzulässige Überwachung gravierende Folgen haben: Unzulässige Maßnahmen von Arbeitgebern können nach der DSGVO mit hohen Bußgeldern geahndet werden (wie beispielsweise bei H&M geschehen) und gegebenenfalls auch Schadensersatzansprüche der Betroffenen begründen. Zu beachten ist aus arbeitsrechtlicher Sicht auch, dass bei Vorhandensein eines Betriebsrats dieser stets einzubeziehen ist. Der Schutz der betroffenen Arbeitnehmerinnen und Arbeitnehmer ist also nicht nur im Datenschutzrecht verankert. (ba) https://youtu.be/gfG6jzY7rvs?rel=0
FAQ Mitarbeiterüberwachung: Was Firmen dürfen – und was nicht In Sachen Mitarbeiterüberwachung hängt in Deutschland vieles davon ab, ob Gerichte Unternehmen als Telekommunikationsdienste-Anbieter einstufen. Foto: elnur -shutterstock.com Videoüberwachung? Emotionserkennung am Arbeitsplatz? E-Mails mitlesen? Unzulässige Überwachungsmaßnahmen am Arbeitsplatz sorgen immer wieder für Schlagzeilen. Dabei stellt sich mit Blick auf das Datenschutzrecht die Frage, wann und in welchem Umfang Arbeitgeberinnen und Arbeitgeber ihre Beschäftigten überwachen dürfen. Grundsätzlich haben Unternehmen ein schutzwürdiges Interesse daran, das Verhalten und die Leistung ihres Personals zu kontrollieren. Dem steht jedoch das allgemeine Persönlichkeitsrecht der Arbeitnehmerinnen und Arbeitnehmer gegenüber – insbesondere das Recht auf informationelle Selbstbestimmung. Diese widersprüchlichen Interessen gleicht das Datenschutzrecht aus. Da es viele Möglichkeiten gibt, die Belegschaft zu überwachen, muss jede Maßnahme einzeln bewertet werden. Es gilt, hinsichtlich der Zulässigkeit zwischen den einzelnen Maßnahmen zu differenzieren. Ein spezielles Beschäftigtendatengesetz, das Klarheit schaffen könnte, existiert (noch) nicht. In der folgenden FAQ beantworten wir die wichtigsten Fragen. 1. Dürfen Betriebe ihr Personal mittels Videoaufnahmen überwachen? Es kommt darauf an. Die Videoüberwachung ist in Deutschland nicht grundsätzlich unzulässig. Wegen des erheblichen Eingriffs in die Persönlichkeitsrechte der Arbeitnehmer:innen ist die Videoüberwachung jedoch an strenge Zulässigkeitsvoraussetzungen geknüpft. So sind z. B. besonders sensible Bereiche wie Umkleide- oder Pausenräume immer von der Videoüberwachung ausgenommen. Ansonsten ist zu unterscheiden, ob die Videoüberwachung in einem öffentlich zugänglichen Raum stattfindet und ob sie offen oder verdeckt erfolgt. Die offene Videoüberwachung öffentlich zugänglicher Räume ist insbesondere in der Datenschutz-Grundverordnung (DSGVO) und im Bundesdatenschutzgesetz (BDSG) geregelt (Siehe auch: Deutschlands schlimmste DSGVO-Sünder). Sie ist zulässig, wenn sie entweder für die Aufgabenerfüllung öffentlicher Stellen, die Wahrnehmung des Hausrechts oder die Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist. Zudem darf kein Anhaltspunkt dahingehend bestehen, dass schutzwürdige Interessen der betroffenen Person überwiegen. Eine verdeckte Videoüberwachung ist nur unter sehr engen Voraussetzungen möglich, wenn der Anfangsverdacht einer strafbaren Handlung oder einer sonstigen schweren Pflichtverletzung besteht und weniger einschneidende Mittel zur Aufklärung des Verdachts nicht möglich sind. Arbeitgeberinnen und Arbeitgeber müssen die Überwachung außerdem zeitlich und räumlich auf das notwendige Minimum beschränken. 2. Dürfen Unternehmen Telefongespräche heimlich abhören? Nein. Das heimliche Abhören oder Aufzeichnen von Telefongesprächen ist – abgesehen von extremen Ausnahmefällen, insbesondere im Zusammenhang mit der Aufdeckung von Straftaten – verboten. 3. Dürfen Unternehmen Telefongespräche offen abhören? Es kommt darauf an. Zu Schulungszwecken, zum Beispiel im Call-Center, dürfen Arbeitgeberinnen und Arbeitgeber in zeitlich begrenztem Umfang dienstliche Telefongespräche aufzeichnen. Bei einer ausschließlich dienstlichen Nutzung der Telefonanlage dürfen Betriebe die Telefonverbindungsdaten (Dauer, Beginn und Ende des Telefonats oder die ersten Ziffern der Telefonnummer) zur Kostenkontrolle sowie zur Überprüfung des Verbots der Privatnutzung auswerten. Soweit den Beschäftigten die private Nutzung der Telefonanlage gestattet ist, sind die Kontrollrechte von Unternehmen dagegen eingeschränkt. In diesen Fällen sind Arbeitgeberinnen und Arbeitgeber nach bislang vertretener Ansicht der deutschen Datenschutzbehörden als Telekommunikationsdienste-Anbieter im Sinne des Telekommunikationsgesetzes (TKG) anzusehen und müssen das Fernmeldegeheimnis beachten. Eine Verletzung kann zu einer Strafbarkeit nach § 206 StGB führen. Einige Gerichte, vor allem Arbeitsgerichte, gehen hingegen davon aus, dass entsprechende Betriebe keine Telekommunikationsdienstleister sind. Das sah auch die Landesdatenschutzbeauftragte NRW (LDI NRW) in ihrem Tätigkeitsbericht für das Jahr 2024 genauso. Demnach gilt das Fernmeldegeheimnis nach § 3 Telekommunikation-Digitale-Dienste-Gesetz (TDDDG) auch dann nicht für Arbeitgeberinnen und Arbeitgeber, wenn diese die private Nutzung von E-Mail und Telekommunikationsdiensten erlauben. Eine Abhörung ist dennoch nur dann zulässig, wenn die betroffenen Beschäftigten jeweils zugestimmt haben. Aufgrund der rechtlichen Unsicherheiten ist dringend zu empfehlen, klare Regelungen zu treffen und sich als Arbeitgeber abzusichern. 4. Dürfen Unternehmen E-Mails des Personals einsehen? Es kommt darauf an. Wie bei der Nutzung der Telefonanlage ist für die Zugriffsrechte von Unternehmen entscheidend, ob den Beschäftigten die private Nutzung gestattet ist oder nicht. Ist diese verboten, können Arbeitgeberinnen und Arbeitgeber im Gegensatz zu Telefongesprächen auch den Inhalt von E-Mails überwachen. Ist die private Nutzung hingegen erlaubt, werden die Zugriffsrechte durch den Beschäftigtendatenschutz eingeschränkt. Erfolgt eine Einstufung als Telekommunikationsdienste-Anbieter, greift das Fernmeldegeheimnis und ein Zugriff auf die E-Mails wäre nach der Einschätzung der deutschen Datenschutzbehörden grundsätzlich unzulässig. Das Landgericht Erfurt (Urt. v. 28.04.2021, Az.: 1 HK O 43/20) hat dagegen in einem Fall – zum alten TKG – entschieden, dass Arbeitgeber keine Telekommunikationsdienste-Anbieter seien und das Fernmeldegeheimnis daher nicht anwendbar sei. Dem schloss sich die Berufungsinstanz des OLG Jena (c – 7 U 521/21 (LG Erfurt); rechtskräftig) jedoch nicht an. Arbeitgeber seien Telekommunikationsdienste-Anbieter und damit wäre ein Zugriff auf den E-Mail-Account regelmäßig nicht zulässig. Die LDI NRW empfiehlt den Unternehmen daher wie bislang, über die betriebliche und/oder private Nutzung des Internets und des betrieblichen E-Mail-Accounts eine schriftliche Regelung zu treffen und sich so diesbezüglich abzusichern. In dieser Regelung sollen der Zugriff, die Protokollierung, die Auswertung und die Durchführung von Kontrollen eindeutig geklärt werden. Außerdem sollte über mögliche Überwachungsmaßnahmen und Sanktionen informiert werden. 5. Dürfen Arbeitgeber die Internetnutzung kontrollieren? Es kommt darauf an. Wurde die private Nutzung des Internetzugangs verboten, ist eine umfassende Kontrolle der Internetnutzung zur Überprüfung des Verbots zulässig. Arbeitgeber können hierzu regelmäßige und fortlaufende Stichprobenkontrollen oder anlassbezogene Vollkontrollen durchführen. Dabei dürfen aber nur die für die im Rahmen der Stichprobenkontrollen notwendigen Daten erhoben werden, wie Webadresse und Abrufdatum. Auch wenn die private Nutzung erlaubt ist, handelt es sich nach Auffassung der LDI NRW, wie oben dargestellt, um keine Telekommunikationsdienstleistung. Unabhängig davon, ob Betriebe als Telekommunikationsanbieter qualifiziert werden, können sie ohne Verletzung des Fernmeldegeheimnisses Sperren für bestimmte Internetseiten einrichten, da in diesen Fällen eine mögliche Kommunikation bereits im Vorfeld unterbunden wird. 6. Dürfen Betriebe einen Keylogger einsetzen? Nein. Das Bundesarbeitsgericht (Urt. v. 27.07.2017, Az.: 2 AZR 681/16) hat entschieden, dass der Einsatz von sogenannter Keylogger-Software, die sämtliche Tastatureingaben aufzeichnet, unzulässig ist, wenn kein auf Arbeitnehmerinnen und Arbeitnehmer bezogener, durch konkrete Tatsachen begründeter Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung besteht. 7. Dürfen Arbeitgeber auf dem Dienstrechner gespeicherte Dateien einsehen? Ja. Nach Auffassung des Bundesarbeitsgerichts (Urt. v. 31.01.2019, Az.: 2 AZR 426/18) dürfen die Firmen auf diese Dateien zugreifen, wenn die Überprüfung aus einem nicht willkürlichen Anlass erfolgt, wobei ein durch Tatsachen begründeter Verdacht einer Pflichtverletzung nicht erforderlich ist. Darüber hinaus muss die Überprüfung offen erfolgen und den Beschäftigten vorher angekündigt werden. Außerdem müssen Arbeitnehmerinnen und Arbeitnehmer zuvor darauf hingewiesen worden sein, dass sie Ordner und Dateien durch Kennzeichnung als „privat“ von einer Überprüfung ohne begründeten Anlass ausnehmen können. 8. Dürfen Unternehmen ihre Mitarbeitenden orten? Es kommt darauf an. Eine Ortung mittels GPS oder anderen technischen Hilfsmitteln ist nur in wenigen Ausnahmefällen nach Art. 6 Abs. 1 DSGVO zulässig. Das kann etwa der Fall sein, wenn die Ortung dem Schutz von Arbeitnehmerinnen und Arbeitnehmern – zum Beispiel der Fahrerin oder dem Fahrer eines Geldtransporters – dient oder wenn das Eigentum des Unternehmens geschützt werden soll. In jedem Fall muss der Zweck der Ortung vorab klar dokumentiert und den Arbeitnehmern mitgeteilt werden. 9. Welche Besonderheiten bestehen zum Schutz von Plattform-Arbeiterinnen und -Arbeitern? Die Richtlinie (EU) 2024/2831 (Plattformarbeits-RL) enthält eine Vielzahl datenschutzrechtlicher Vorgaben, die über die Anforderungen der DSGVO hinausgehen. Auch wenn die Plattformarbeits-RL erst im Jahr 2026 in deutsches Recht umgesetzt sein muss, sollten Unternehmen schon heute prüfen, ob sie die Vorgaben einhalten. Die Plattformarbeit-RL definiert Plattformarbeit als jegliche Tätigkeit, die über eine digitale Arbeitsplattform organisiert wird und von einer Person innerhalb der EU erbracht wird. Dies betrifft vor allem diverse Lieferdienste und Bestellservices. Die Plattformarbeits-RL verbietet die Verarbeitung bestimmter sensibler Daten mittels automatisierter Beobachtungssysteme oder automatisierter Entscheidungssysteme. Über die Anforderungen der DSGVO hinausgehend lassen sich diese Verarbeitungen auch nicht durch die Einwilligung der Plattform-Arbeiterinnen und -Arbeitern legitimieren. Umfasst sind unter anderem Daten über den emotionalen oder psychischen Zustand, Daten über private Gespräche sowie Daten zu sensiblen personenbezogenen Merkmalen der Plattform-Arbeiterinnen und -Arbeiter. Denkbar ist, dass auch Freitext-Bewertungen, die von Kunden auf einschlägigen Bewertungsportalen abgegeben werden, umfasst sind. Hier können beispielsweise emotionale Zustände oder sensible personenbezogene Merkmale preisgegeben werden. Der rechtmäßige Einsatz von algorithmischen Beobachtungssystemen ist indes nicht minder reguliert. Die Plattformarbeitgeber müssen Transparenz, menschliche Aufsicht und die Sicherheit der algorithmischen Beobachtungssysteme gewährleisten. 10. Gibt es Besonderheiten im Bereich der Künstlichen Intelligenz? Ja. Im Bereich der Künstlichen Intelligenz gibt es ebenfalls Besonderheiten. Wichtig ist zu wissen, dass gewisse Überwachungstechniken, die mithilfe von Künstlicher Intelligenz ausgeführt werden, seit dem 2. Februar 2025 verboten sind. Das betrifft insbesondere die Emotionserkennnungssysteme am Arbeitsplatz. Eine Ausnahme gilt jedoch, wenn „die Verwendung des KI-Systems aus medizinischen Gründen oder Sicherheitsgründen eingeführt“ wird. Dies ist beispielsweise bei einer Müdigkeitserkennung bei Personen in besonders gefährdeten Tätigkeiten der Fall, zum Beispiel LKW-Fahrende. Ist ein Emotionserkennnungssystem am Arbeitsplatz ausnahmsweise zulässig gilt es als „Hochrisiko-KI-System“. Ab dem 2. August 2026 gelten für solche Hochrisiko-KI-Systeme strenge Compliance-Pflichten, die sowohl die Anbietenden als auch die nutzenden Unternehmen („Betreiber“ nach der KI-VO) eines solchen KI-Systems betreffen. Die KI-VO verbietet den Einsatz solcher Hochrisiko-KI-Systeme zwar nicht, setzt aber hohe Hürden für ihren rechtskonformen Einsatz im Unternehmen. Hinzu kommt: Die Einstufung als beispielsweise weniger hochriskant nach der KI-VO führt nicht dazu, dass der Einsatz eines solchen KI-Systems immer rechtmäßig ist. Insoweit stellt die KI-VO selbst klar, dass der rechtmäßige Einsatz eines entsprechenden KI-Systems nicht abschließend durch die KI-VO bestimmt wird. Die strengen Anforderungen an den Datenschutz oder aus dem Arbeitsrecht gelten weiterhin. Fazit Die Überwachung am Arbeitsplatz ist in Deutschland zugunsten des Personals stark reglementiert. Die Praxis zeigt, dass es dennoch immer wieder zu unzulässigen Überwachungen kommt. Beschäftigte und Unternehmen sind sich der rechtlichen Rahmenbedingungen oft nicht bewusst. Dabei kann eine unzulässige Überwachung gravierende Folgen haben: Unzulässige Maßnahmen von Arbeitgebern können nach der DSGVO mit hohen Bußgeldern geahndet werden (wie beispielsweise bei H&M geschehen) und gegebenenfalls auch Schadensersatzansprüche der Betroffenen begründen. Zu beachten ist aus arbeitsrechtlicher Sicht auch, dass bei Vorhandensein eines Betriebsrats dieser stets einzubeziehen ist. Der Schutz der betroffenen Arbeitnehmerinnen und Arbeitnehmer ist also nicht nur im Datenschutzrecht verankert. (ba) https://youtu.be/gfG6jzY7rvs?rel=0