Mitarbeiterüberwachung

Welche Kontrollen die DSGVO erlaubt

Julia Kaufmann ist Partner in der Kanzlei Baker McKenzie in München.
Christian Koops ist Senior Associate in der Kanzlei Baker McKenzie in München.

In jedem Fall muss die Ortung entsprechend der allgemeinen Datenschutzprinzipien durchgeführt werden, das heißt zulässiger Verarbeitungszweck, transparente Information an die Mitarbeiter, Ortung nur im absolut erforderlichen Rahmen (wenn möglich nur Ortung eines Gebiets statt Ortung des exakten Standorts), konkrete Festlegung des Zwecks, sehr begrenzte Speicherung der Daten und sehr begrenzter Zugriff auf die Daten.

Auch kann das Telekommunikationsgesetz insbesondere bei der Ortung über Handys, die auf "Bring your own device" beruhen, eine Einwilligung des Mitarbeiters erfordern, welche wegen des Arbeitnehmer-Arbeitgeber-Verhältnisses aber meist unwirksam sein wird. Erfolgt die Ortung über das Mobilfunknetz des TK-Anbieters, müsste bei jeder Ortung eine SMS an das Handy versandt werden, soweit die Ortung nicht nur auf dem Handy angezeigt wird. Bei einer Ortung via Internet und GPS vertritt der Bundesbeauftragte für den Datenschutz und Informationsfreiheit die Auffassung, dass das Telekommunikationsgesetz nicht gilt, und somit "nur" die datenschutzrechtlichen Grundprinzipien eingehalten werden müssen.

Zufällige, anlasslose und verdachtsunabhängige Kontrollen von Taschen (zum Beispiel am Ausgang, um Diebstähle zu verhindern) oder Schubläden (zum Beispiel bei Call-Center-Mitarbeitern, um Kreditkartenbetrug zu verhindern) in Anwesenheit des Mitarbeiters sind regelmäßig datenschutzrechtlich zulässig, wenn die Grundprinzipien des Datenschutzrechts beachtet werden. Das Fernmeldegeheimnis spielt in diesem Kontext keine Rolle. Zwar ist in diesem Fall Gegenstand der Untersuchung keine technische Einrichtung, allerdings unterliegen allgemeine Kontrollen dem Mitbestimmungsrecht des Betriebsrats, da ein kollektiver Bezug vorliegt und solche Maßnahmen das Verhalten der Arbeitnehmer im Betrieb tangiert, nämlich die Kontrolle des Arbeitgebers zu dulden.

Homeoffice-Kontrollen: Das ist zulässig

Bei Arbeitgebern, deren Mitarbeiter im Homeoffice arbeiten, kann das Bedürfnis nach einer technischen Überwachung hinsichtlich der Arbeitszeit bestehen. Hierzu sind eine Vielzahl unterschiedlicher Überwachungs- und Kontrollmittel denkbar, etwa das Protokollieren des Ein- und Ausloggens am Computer, der Aktivitäten im Firmennetzwerk bis hin zu einzelnen Tastenanschlägen am Rechner des Mitarbeiters.

Die Aufzeichnung der Häufigkeit der Tastenanschläge wird grundsätzlich wegen des Charakters der Dauerüberwachung unzulässig sein (siehe oben zu Keylogger-Software). Die Überprüfung der Login-Daten könnte mit dem analogen Einstempeln verglichen werden und als zulässig angesehen werden, wenn die sonstigen Grundprinzipien des Datenschutzrechts beachtet werden. Auswertungen des Aktivitätsstatus bei Instant-Messenger-Diensten werden auch nur in Einzelfällen zulässig sein, weil der Zweck des Aktivitätsstatus typischerweise nicht die Arbeitszeitkontrolle, sondern die Echtzeit-Kommunikation ist und deshalb eine Aufzeichnung des Aktivitätsstatus grundsätzlich nicht erforderlich sein dürfte. Umfassende oder gar lückenlose Kontrollmaßnahmen des Arbeitgebers sind aber auch im Homeoffice grundsätzlich unzulässig.

Zur Startseite