Dr. iur. Berthold Hilderink
Rz. 25
Nach § 26 Abs. 1 S. 1 Var. 2 BDSG ist die Verarbeitung personenbezogener Daten zulässig, wenn dies nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist.
Der Arbeitgeber kann im Rahmen seines Weisungsrechts gem. § 611 a Abs. 1 S. 2, 3 BGB, § 106 S. 2 GewO anordnen, dass Arbeitnehmer sich Torkontrollen zu unterziehen haben (BAG NZA 2008, 1008; BT-Drucks 14/8796, 24). Solche Kontrollen können präventiv oder repressiv, stichprobenartig ohne konkrete Verdachtsmomente gegenüber einer Person oder anlassbezogen erfolgen (BAG NZA 2014, 551, 555 f.). In der Regel werden bei derartigen Kontrollen personenbezogene Daten erhoben, etwa wo sich ein bestimmter Arbeitnehmer zu welchem Zeitpunkt an welchem Ort befand und welche Gegenstände er ggf. unerlaubt bei sich führte. Infolgedessen sind datenschutzrechtliche Vorschriften zu beachten. Wenn die Kontrolle der Durchführung des Arbeitsverhältnisses dient, ist § 26 Abs. 1 S. 1 BDSG als mögliche Erlaubnisnorm einschlägig. Erfolgt die Kontrolle zur Sicherung des Hausrechts, kommt Art. 6 Abs. 1 Buchst. f DSGVO in Betracht (vgl. zur Anwendbarkeit im Einzelnen Rdn 118). In beiden Fällen muss der mit der Kontrolle verbundene Eingriff in das allgemeine Persönlichkeitsrecht des Arbeitnehmers gegen das Überwachungsinteresse des Arbeitgebers abgewogen werden.
Werden bei Zugangskontrollen biometrische Daten i.S.d. Art. 9 DSGVO erhoben (z.B. Iris-Scan, Fingerprint etc.), sind zusätzlich die Anforderungen des § 26 Abs. 3 BDSG (vgl. hierzu im Einzelnen Rdn 83 f.) zu beachten. Darüber hinaus sind gem. § 22 Abs. 2 i.V.m. § 26 Abs. 3 S. 3 BDSG angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen. Dazu gehören z.B. § 22 Abs. 2 S. 2 Nr. 1 BDSG technisch organisatorische Maßnahmen (sog. TOMs), um sicherzustellen, dass die Verarbeitung gem. der DSGVO erfolgt, und gem. § 22 Abs. 2 S. 2 Nr. 2 BDSG Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind (vgl. auch Rdn 85).
Rz. 26
Die Kontrollmöglichkeiten des Arbeitgebers hängen davon ob, ob er seinen Beschäftigten gestattet hat, die betriebliche IT-Infrastruktur für private Zwecke zu nutzen. Eine solche Gestattung kann ausdrücklich oder schlüssig erfolgen.
Hinweis
In jedem Fall ist eine ausdrückliche Regelung, sei es ein Verbot oder eine Erlaubnis, zu empfehlen.
Rz. 27
Hat der Arbeitgeber die private Nutzung untersagt, sind Kontrollen grundsätzlich zulässig, insbesondere auch, um zu überprüfen, ob die Beschäftigten das Verbot beachten.
Einschränkungen durch das Telekommunikationsrecht bestehen bei einem Verbot der Privatnutzung nicht (vgl. hingegen die Problematik für den Fall einer gestatteten Privatnutzung (Rdn 31). Der Arbeitgeber hat aber § 26 BDSG zu beachten. Die Kontrolle muss somit verhältnismäßig sein. Eine permanente Überwachung ist auch bei untersagter Privatnutzung nicht zulässig. Gestattet sind nach der sog. Keylogger-Entscheidung des BAG Stichproben, namentlich mit dem Ziel, eine weisungswidrige (Privat-)Nutzung des Internets zu verhindern (BAG v. 27.7.2017 – 2 AZR 681/16, Rn 31). Nach Ansicht des BAG kann die vorübergehende Speicherung und stichprobenartige Kontrolle der Verlaufsdaten eines Internetbrowsers zulässig sein, um die Einhaltung des Verbots oder einer Beschränkung der Privatnutzung von IT-Einrichtungen des Arbeitgebers zu kontrollieren (BAG v. 27.7.2017 – 2 AZR 681/16, Rn 31). Dabei werden lediglich die Adressen und Titel der aufgerufenen Seiten und der Zeitpunkt des Aufrufs protokolliert und damit nicht mehr Daten gespeichert, als benötigt werden, um einen möglichen inhaltlichen oder zeitlichen Missbrauch der Nutzungsrechte festzustellen (BAG v. 27.7.2017 – 2 AZR 681/16, Rn 31; LAG Berlin-Brandenburg v. 14.1. 2016 – 5 Sa 657/15, zu B I 4 a aa (8) (d) der Gründe). Würden die gespeicherten Verlaufsdaten nicht zumindest stichprobenartig überprüft, könnten Zuwiderhandlungen gegen das Verbot oder die Beschränkung der Privatnutzung von IT-Einrichtungen des Arbeitgebers nicht geahndet werden und somit könnte die Datenerhebung ihre verhaltenslenkende Wirkung nicht entfalten (BAG v. 27.7.2017 – 2 AZR 681/16, Rn 31).
Rz. 28
Zu beachten ist ferner, dass nach der Rechtsprechung des EGMR bei der Überwachung Verhältnismäßigkeit und Verfahrensgarantien gegen Willkür wesentlich sind (EGMR, Große Kammer, v. 5.9.2017 – 61496/08 [Bărbulescu/Rumänien], NZA 2017, 1443). Wenn geprüft wird, ob sie gegeben sind, ist zu berücksichtigen,
▪ |
ob der Arbeitnehmer über die Möglichkeit informiert worden ist, dass der Arbeitgeber Überwachungsmaßnahmen wegen der Korrespondenz oder sonstiger Kommunikation trifft, |
▪ |
das Ausmaß der Überwachung durch den Arbeitgeber und inwieweit sie in das Privatleben des Arbeitnehmers eindringt,
▪ |
ob die Überwachung zeitlich begrenzt war und wie viele Personen Zugang zu den Ergebnissen haben, |
▪ |
ob der Arbeitgeber legi... | |