Mitarbeiterüberwachung
Welche Kontrollen die DSGVO erlaubt
In der Praxis wird typischerweise stufenweise vorgegangen, um dem Grundsatz der Erforderlichkeit und Verhältnismäßigkeit gerecht zu werden, beispielsweise Gespräche mit dem Arbeitnehmer zur Aufdeckung des Sachverhalts auf der ersten Stufe, automatisierte Durchsuchung der E-Mails nach Stichworten und begrenzt auf einen möglichst kurzen Zeitraum auf der zweiten Stufe, und eine manuelle Durchsicht von möglicherweise relevanten E-Mails erst auf der dritten Stufe.
Betriebsrat
Sofern es sich nicht um anlassunabhängige Kontrollen beziehungsweise Stichproben, sondern um die Aufklärung konkreter individueller Pflichtverletzungen handelt, unterliegen solche Untersuchungsmaßnahmen mangels kollektiven Bezugs und - da es sich regelmäßig um das Arbeitsverhalten des Arbeitnehmers handelt - nicht der betrieblichen Mitbestimmung. Gleichwohl unterliegt die Einführung und Nutzung der technischen Einrichtung (hier: das E-Mail-Postfach beziehungsweise das E-Mail-Programm, welches Gegenstand der Untersuchung ist oder auch das E-Discovery-Tool zur automatischen Durchsuchung des beruflichen E-Mail-Accounts) der betrieblichen Mitbestimmung.
Der Abschluss einer entsprechenden Betriebsvereinbarung über die Einführung und Nutzung der Einrichtung, die das Recht des Arbeitgebers auf die Vornahme von Auswertungen im Fall eines dringenden Verdachts von schweren Pflichtverletzungen und Straftaten eines Mitarbeiters normiert, ist in jedem Fall geboten. Dies gilt auch für die nachfolgend geschilderten Konstellationen (mit Ausnahme Ziff. 7), die - da es sich um Zugriffsrecht auf technische Einrichtungen handelt - ebenfalls der betrieblichen Mitbestimmung unterliegen.
Ist ein Arbeitnehmer vorübergehend (wegen Urlaub oder Krankheit) oder dauerhaft wegen Ausscheidens aus dem Unternehmen abwesend, besteht häufig das Bedürfnis die geschäftlichen E-Mails (und andere Dateien) des Arbeitnehmers, sowohl in den Archiven als auch neu im Posteingang, zur Fortsetzung des Geschäftsbetriebs einzusehen. Auch hier ist zunächst eine Regelung erforderlich, die eine Verletzung des Fernmeldegeheimnisses bei Zugriff auf die E-Mails vermeidet (siehe oben). Zusätzlich sollte eine transparente, die Interessen der Mitarbeiter angemessen berücksichtigende Regelung, sei es als interne Richtlinie, als Betriebsvereinbarung oder als Teil des Arbeitsvertrags, die Umstände und Bedingungen eines Zugriffs festlegen.
Mitarbeiterüberwachung: DLP Tools, Keylogger und Ortung
Um vertrauliche Informationen, Geschäftsgeheimnisse und personenbezogene Daten vor unberechtigtem Zugriff zu schützen, setzen Arbeitgeber regelmäßig IT-Tools ein, wie Data Loss Prevention Tools, Virenfilter oder SSL-Entschlüsselungs-Systeme. Soweit diese Tools den Zweck verfolgen, den Zugriff auf personenbezogene Daten zu verhindern, werden diese grundsätzlich als geeignete und erforderliche Sicherheitsmaßnahmen zum Schutz der personenbezogenen Daten (Art. 32 DSGVO) angesehen. Allerdings sind bei der Implementierung dieser Tools wiederum die Beschränkungen des Fernmeldegeheimnisses und des Datenschutzes zu beachten.