Datenschutz im Arbeitsverhältnis ist eine schwierige Angelegenheit. Immer wieder gehen Meldungen durch die Medien, die berichten, wie Mitarbeiter (vermeintlich) von ihren Arbeitgebern heimlich ausgespäht würden. Das Thema ist ein schwieriges Spannungsfeld zwischen der Privatsphäre der Mitarbeiter und dem berechtigten Interesse des Arbeitgebers an einer Kontrolle der Arbeitsprozesse. In diesem Zusammenhang spielt auch der Betriebsrat eine wichtige Rolle. Lesen Sie hier, wie eine Lösung gelingt.
Die Privatsphäre der Mitarbeiter
Am 18. September 2020 wurden die BigBrotherAwards vergeben - ein Preis, der jährlich an die größten Datenkraken vergeben wird. Mit dabei war auch dieses Jahr wieder die Kategorie Arbeitswelt, in der regelmäßig diejenigen Arbeitgeber herausgestellt werden, die in besonders extensivem Maße Mitarbeiterdaten verarbeiten und dabei die Privatsphäre ihrer Arbeitnehmer verletzen. Die Mittel der Überwachung sind dabei vielfältig und umfassen unter anderem:
Videoüberwachung,
Zeiterfassungssysteme,
Software, z.B. Keylogger,
GPS-Tracking.
Lesetipp: Zeiterfassung - Zwang zum Fingerabdruck unzulässig
Aber nicht jede Überwachungsmaßnahme stellt zwingend eine Verletzung der Privatsphäre der Mitarbeiter dar. Die Zulässigkeit der Maßnahme richtet sich danach, ob der Arbeitgeber die Vorgaben des Datenschutzes einhält, die individuellen Rechte der Arbeitnehmer wahrt und die Mitbestimmungsrechte des Betriebsrats beachtet. Von zentraler Bedeutung ist auch, ob die Überwachungsmaßnahme offen oder verdeckt erfolgt, auf welche Daten sie sich bezieht und wie umfangreich sie sich gestaltet.
Kontrollrechte des Arbeitgebers
Der Arbeitgeber kann durchaus ein berechtigtes Interesse daran haben, das Verhalten seiner Mitarbeiter zu überwachen. Nur so kann er Fehlverhalten der Mitarbeiter, also Verstöße gegen den Arbeitsvertrag oder auch Straftaten, feststellen und weitere Maßnahmen bis hin zur Kündigung vorbereiten. Ohne eine entsprechende Kontrolle könnten gesetzliche Vorgaben oder Weisungen der Vorgesetzten missachtet werden. Der Arbeitgeber hat deswegen das Recht, die Einhaltung der arbeitsvertraglichen Pflichten zu kontrollieren und etwaige Missstände aufzuklären.
Datenschutzes - wie weit darf der Arbeitgeber gehen?
Das Kontrollrecht des Arbeitgebers ist jedoch nicht grenzenlos. Dem stehen die Rechte der Arbeitnehmer auf Achtung ihrer Privatsphäre, auch im Arbeitsverhältnis, entgegen. Zum Schutz dieser Rechte macht das Datenschutzrecht Vorgaben für die Verarbeitung der Mitarbeiterdaten. Nach der Datenschutzgrundverordnung ist die Verarbeitung personenbezogener Daten grundsätzlich nicht erlaubt, es sei denn, es liegt ein Erlaubnistatbestand vor. Im Beschäftigungskontext ist § 26 Bundesdatenschutzgesetz (BDSG) zu beachten, der die Überwachung von Mitarbeitern unter drei Voraussetzungen erlaubt:
Es muss ein auf objektive Anhaltspunkte gestützter Verdacht für das Vorliegen einer Straftat oder einer erheblichen Pflichtverletzung des Arbeitnehmers bestehen. Auf einen konkreten Verdacht kann nur verzichtet werden, wenn es um weniger intensiv in das allgemeine Persönlichkeitsrecht des Arbeitnehmers eingreifende Maßnahmen geht, z.B. stichprobenartige Kontrollen des Browserverlaufs.
Die Überwachungsmaßnahme und die damit einhergehende Datenverarbeitung muss auf das für die Zweckerreichung erforderliche Maß beschränkt sein.
Die Maßnahme muss verhältnismäßig sein, d.h. sie darf unter Berücksichtigung der beiderseitigen Arbeitgeber- und Arbeitnehmerinteressen nicht außer Verhältnis stehen.
Daneben kommt auch eine Einwilligung des Arbeitnehmers als Rechtfertigungsgrundlage in Betracht, wobei die deutschen Aufsichtsbehörden davon ausgehen, dass die Einwilligung durch den Arbeitnehmer im Beschäftigungsverhältnis nicht freiwillig erfolge und daher regelmäßig datenschutzrechtlich unwirksam sei. Außerdem kann die Datenverarbeitung sich auch auf eine Betriebsvereinbarung stützen. Diese wird zwischen dem Arbeitgeber und dem Betriebsrat ausgehandelt und hat normative Wirkung, d.h. sie gilt im Betrieb wie ein Gesetz.
Die Rolle des Betriebsrats - das Mitbestimmungsrecht
Dem Betriebsrat obliegt die Aufgabe, die Interessen der Arbeitnehmer zu vertreten und die Einhaltung der zu seinen Gunsten geltenden Gesetzesvorschriften zu überwachen. Eine allgemeine Regel, wonach der Betriebsrat immer dann mitzubestimmen hätte, wenn eine datenschutzrechtliche Angelegenheit vorliegt, gibt es nicht. Besondere Bedeutung kommt in diesem Zusammenhang aber der Vorschrift des § 87 Abs. 1 Nr. 6 BetrVG zu. Danach hat der Betriebsrat bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, ein Mitbestimmungsrecht.
Lesetipp: Videoüberwachung - aber DSG-konform - Vorsicht: Eine Fake-Kamera kann rechtswidrig sein
Das Mitbestimmungsrecht dient dem Schutz der Arbeitnehmer vor den Gefahren der technischen Überwachung. Die Norm wurde bereits im Jahre 1972 eingeführt. Angesichts der weiten Auslegung durch die Rechtsprechung und der modernen Arbeitswelt, in der regelmäßig technische Einrichtungen im Sinne der Vorschrift zum Einsatz kommen, birgt das Mitbestimmungsrecht des Betriebsrats allerdings ein gewisses Blockaderisiko.
- Überwachung am Arbeitsplatz
Die Möglichkeiten der Mitarbeiterüberwachung in den Unternehmen nehmen zu – und viele Chefs, aber auch externe Kriminelle nehmen sie gerne in Anspruch. Vorsicht vor diesen fiesen Tricks! - Keylogging
Vorsicht vor Keyloggern, also der Erfassung und dem Tracking von Tastatur- und Mauseingaben.<br /><br /> Aktuelle Keylogger, die häufig in Unternehmen zum Einsatz kommen, sind "Predator Pain" und "HawkEye" - neben dem Keylogging bieten diese Programme zusätzliche Funktionen wie dem Erkennen von Login-Vorgängen im Browser und im E-Mail-Client. HawkEye wird kommerziell offen vermarktet, Predator Pain ist nur in Untergrundforen zu bekommen. Besonders in Industrienationen wie den USA, Australien, Kanada, Japan, Spanien oder Italien wurden in den vergangenen Monaten verstärkte Keylogger-Aktivitäten festgestellt. Gerade in High-Tech-Branchen, wo es vielfach um Wissensdiebstahl geht. - Heimliche Screenshots
Sind entsprechende Programme installiert, werden in regelmäßigen Abständen Fotos vom aktuellen Bildschirm, unter anderem auch laufenden Videos, ohne Wissen des Anwenders angefertigt und versendet. - Videoüberwachung
Ob Webcam, eingebaute Mikrofone oder die klassische Überwachungskamera (die natürlich in Miniaturausführung vorliegt und versteckt wurde): Wenn es um die Liveübertragung der Büroaktivitäten geht, ist der Kreatitivät keine Grenzen gesetzt. - Sniffing
Wird die gesamte Netzwerkkommunikation mitgeschnitten und überwacht, ist das erst einmal aus IT-Security-Gesichtspunkten heraus durchaus sinnvoll. Sobald aber einzelne Clients und Benutzer auf diese Weise ausgespäht werden, gelangen wir schnell in die verbotene Zone. - Überwachungsmalware
Alle vorgestellten Spähmethoden und weitere "individuell angepasste" gelangen häufig auch über Schädlinge in Unternehmensnetze und bis auf den Bürorechner. Dann weiß außer eines wildfremden Kriminellen weder Ihr Chef noch Sie selbst, dass Sie überwacht werden. Also immer aufpassen!
Demnach greift das Mitbestimmungsrecht schon dann, wenn eine technische Einrichtung objektiv dazu geeignet ist, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, was z.B. schon dann der Fall ist, wenn die Software etwa den Bearbeitungszeitpunkt und die -dauer erfasst. Damit ist regelmäßig durch diese weite Auslegung die gesamte IT im Betrieb dem Mitbestimmungsrecht des Betriebsrats unterworfen.
Hinzu kommt, dass Änderungen, darunter auch Updates, ebenfalls mitwirkungspflichtig sein können. Das kann gerade bei sicherheitsrelevanten Updates zum Problem werden. In der Praxis wird dem häufig mit einer Rahmenbetriebsvereinbarung abgeholfen.
Diese sollte allerdings bestimmten Anforderungen genügen, um zu verhindern, dass das Mitbestimmungsrecht für Arbeitgeber und Betriebsrat gleichermaßen belastend wird.
Die Betriebsvereinbarung als Lösung
In einer Betriebsvereinbarung können alle Fragen geregelt werden, bei denen der Betriebsrat ein Mitbestimmungsrecht hat. Sofern eine Einigung über den Einzelfall hinaus erzielt werden soll, z.B. wenn die Betriebsvereinbarung die Einführung aller künftigen Software-Updates regeln soll, spricht man von einer Rahmenbetriebsvereinbarung. Diese hat den Vorteil, dass sie für die Zukunft bestimmte Regeln aufstellt, die der Arbeitgeber zu beachten hat, ihm aber einen gewissen, vorher definierten Spielraum belässt. Damit ist das Mitbestimmungsrecht des Betriebsrats gewahrt, technische Neuerungen können aber gleichwohl ohne die Gefahr erheblicher zeitlicher Verzögerungen eingeführt werden. Ein kompletter Ausschluss der betrieblichen Mitbestimmung ist jedoch nicht möglich. Deswegen sollte der Formulierung der Rahmenbetriebsvereinbarung besondere Aufmerksamkeit geschenkt werden. Möglich ist es beispielsweise, die Implementierung bestimmter Updates oder technischer Einrichtungen ohne Beteiligung des Betriebsrats im Einzelfall vorzusehen, wenn der Arbeitgeber eine Zusicherung abgibt, dass hierdurch eine automatisierte Leistungs- und/oder Verhaltenskontrolle nicht stattfinden wird.
Empfehlenswert ist darüber hinaus eine Kategorisierung der zukünftigen Updates und ein dahingehend abgestuftes Mitwirkungsrecht des Betriebsrats. So sollte beispielsweise unterschieden werden zwischen
Updates, die keine Änderung der Funktionsweise der Software mit sich bringen und
Updates, die neue Funktionalitäten einführen.
Um die zeitnahe Einspielung von sicherheitsrelevanten Lösungen zu ermöglichen, sollte auch ein Ausnahmetatbestand für solche Notfälle vorgesehen werden, in denen sofort gehandelt werden muss, um akute Gefahren oder Schäden abzuwenden. In der Praxis wird weiterhin regelmäßig ein Beweisverwertungsverbot geregelt, wonach mitbestimmungswidrig erlangte Informationen im Kündigungsschutzprozess nicht verwertet werden dürfen. Die Wirksamkeit solcher Beweisverwertungsverbote in Betriebsvereinbarungen wird kritisch gesehen; zurzeit ist beim Bundesarbeitsgericht ein Verfahren anhängig, das diese Frage klären wird.
Aktuelles aus der Rechtsprechung
Die Verletzung des Mitbestimmungsrechts des Betriebsrats kann weitgehende Rechte des Betriebsrats nach sich ziehen. Letztlich kann er sogar die Unterlassung derjenigen Maßnahme verlangen, bei der er nicht mitgewirkt hat. Dass die Überwachung der Mitarbeiter mitunter auch im Interesse und zum Schutz der Arbeitnehmer erfolgen kann, zeigt ein kürzlich vom Arbeitsgericht Wesel entschiedener Fall. Der Arbeitgeber hatte Videoaufnahmen aus bestimmten Bereichen des Betriebes auswerten lassen, um so zu bestimmen, ob die im Rahmen der Corona-Pandemie gebotenen Sicherheitsabstände unter den Beschäftigten eingehalten werden können. Gleichwohl urteilte das Gericht zu Ungunsten des Arbeitgebers, weil das Mitbestimmungsrecht des Betriebsrats nicht beachtet wurde. Der Betriebsrat konnte daher die Unterlassung der Maßnahme verlangen. Auch im Hinblick auf mobile Arbeit ist das Mitbestimmungsrecht des Betriebsrats zu beachten, wie kürzlich das Landesarbeitsgericht Mecklenburg-Vorpommern urteilte.
Fazit und Ausblick
Bei der Mitarbeiterkontrolle gilt es, die Interessen des Arbeitgebers und des Arbeitnehmers in einen gerechten Ausgleich zu bringen. Der Betriebsrat ist hierbei grundsätzlich zur Vertretung der Interessen der Arbeitnehmer berufen. Ohne eine entsprechende Betriebsvereinbarung besteht jedoch die Gefahr, dass technische Neuerungen im Betrieb nur verzögert umgesetzt werden können. Bisher gibt es kein eigenes Beschäftigtendatenschutzgesetz, obgleich die Notwendigkeit eines solchen Gesetzes schon lange diskutiert wird. Das Bundesministerium für Arbeit und Soziales hat einen ExpertInnenbeirat eingerichtet, der Anfang 2021 einen Bericht zu diesem Thema vorlegen soll. (bw)