open search
close
Datenschutz Mitarbeiterkontrolle

Mitarbeiterkontrollen und betriebliche IT: So geht es auch ohne „Keylogger“

Print Friendly, PDF & Email
Mitarbeiterkontrolle

Das Bundesarbeitsgericht (BAG) hat vor wenigen Tagen über die Zulässigkeit des Einsatzes von sog. „Keyloggern“ entschieden (dazu in Kürze mehr auf diesem Blog). Jenseits des Einzelfalls belegt die Entscheidung, wie unverändert aktuell das Bedürfnis ist, die Nutzung betrieblicher IT durch die Arbeitnehmer nur innerhalb gewisser Schranken zu gewährleisten – und diese Nutzung dann auch kontrollieren zu können. In diesem Zusammenhang ist häufig umstritten, inwiefern sich Arbeitsgerichte weigern können, vom Arbeitgeber mittels solcher Maßnahmen gewonnene Erkenntnisse zu verwerten, wenn der Arbeitnehmer einer entsprechenden Kontrolle nicht zuvor zugestimmt hat oder es an einer legitimierenden Betriebsvereinbarung fehlt. Wir fassen die wesentlichen Grundsätze zusammen.

Auch ohne ausdrückliches Verbot: Kein Recht zur uneingeschränkten Privatnutzung des Internet

Es gibt – für Viele überraschend – kein Recht des Arbeitnehmers auf private Nutzung des Internets am Arbeitsplatz (EGMR, 12.1.2016 – 61496/08 – Barbulescu; dazu auch unser Blog-Beitrag). Sofern der Arbeitgeber die Privatnutzung nicht ausdrücklich gestattet hat, kann der Arbeitnehmer nicht davon ausgehen, dass eine solche Nutzung toleriert werde oder gar positiv erlaubt sei.

Leicht anders liegt der Fall, wenn der Arbeitgeber von einer Privatnutzung des Internets Kenntnis hat und diese stillschweigend duldet. Eine solche in der betrieblichen Praxis häufig anzutreffende Situation begründet nach zutreffender Auffassung keine betriebliche Übung. Insbesondere darf der Arbeitnehmer nicht darauf vertrauen, er sei zur uneingeschränkten privaten Internetnutzung während der Arbeitszeit befugt. Vielmehr muss er davon ausgehen, dass er das Internet auch ohne ausdrückliches Verbot allenfalls (!) in maßvollem Umfang nutzen darf, zum Beispiel während der Arbeitspausen (LAG Nürnberg, 5 Sa 58/15 zur Duldung von Raucherpausen).

Arbeitgeber ist kein Telekommunikationsanbieter im Sinne des § 88 TKG

Soweit ersichtlich, vertreten die Datenschutzaufsichtsbehörden nach wie vor die – fehlerhafte – Auffassung, der Arbeitgeber sei im Falle der Gestattung der privaten Nutzung seiner elektronischen Ressourcen Anbieter von Telekommunikationsdiensten (§ 3 Nr. 6 TKG) und unterliege hierdurch dem Fernmeldegeheimnis. Deshalb sei eine Internetkontrolle ohne Zustimmung des Arbeitnehmers strafbar. Diese Ansicht ist nicht haltbar, wie die Entscheidungen des LAG Berlin-Brandenburg (Urteil vom 16.02.2011 und Urteil vom 14.01.2016), des LAG Niedersachsen, des LAG Hamm, des ArbG Düsseldorf, des Hessischen VGH, des VGH Baden-Württemberg und des VG Karlsruhe nachdrücklich belegen. Der Arbeitgeber erbringt keine geschäftsmäßigen Telekommunikationsleistungen im Verhältnis zu seinen Arbeitnehmern und unterliegt deshalb nicht den Beschränkungen des Fernmeldegeheimnisses. Mitarbeiterkontrollen sind ausschließlich am BDSG zu messen.

Datenschutzrechtliche Zulässigkeit eines privaten IT-Nutzungsverhaltens

Datenschutzrechtlich ist die Auswertung des privaten Nutzungsverhaltens des Arbeitnehmers gem. § 32 Abs.1 Satz 2 BDSG bei Vorliegen konkreter Anhaltspunkte für eine übermäßige und daher unzulässige private Internetnutzung während der Arbeitszeit ohne Zustimmung des Arbeitnehmers gerechtfertigt. Zwar genügen vage Anhaltspunkte und bloße Mutmaßungen für eine Kontrolle noch nicht. Allerdings ist auch ein dringender Verdacht einer Straftat gem. § 32 Abs. 1 Satz 2 BDSG nicht erforderlich. Vielmehr reicht es aus, wenn der Arbeitgeber zunächst auf anderem Wege konkrete Hinweise für einen Missbrauch durch den Arbeitnehmer erlangt hat und diese durch die anschließende Kontrolle validieren will (BAG, 2 AZR 395/15).

Verwertungsverbote im Prozess?

Einer Verwertung der gewonnenen Informationen bleibt auch dann zulässig, wenn der Arbeitgeber die Auswertung ohne Beteiligung des Betriebsrats gemäß § 87 Abs. 1 Nr. 6 BetrVG oder unter Verstoß gegen die Bestimmungen einer Betriebsvereinbarung durchführt. Nach der zutreffenden Auffassung des Bundesarbeitsgerichts stellt die Verletzung mitbestimmungsrechtlicher Vorgaben kein eigenständiges Verwertungsverbot dar (BAG, 2 AZR 395/16). Anders ist die Situation nur, wenn die Betriebsparteien in einer Betriebsvereinbarung ein ausdrückliches Verwertungsverbot vereinbart haben.

Einsichtnahme in den Browserverlauf

Will der Arbeitgeber unerlaubte private Internetnutzung am Arbeitsplatz überprüfen, ist er berechtigt, auch ohne Zustimmung des Arbeitnehmers den Browserverlauf des Dienst-PC auszuwerten.

Der Arbeitgeber im Falle des LAG hatte konkrete Anhaltspunkte für den Verdacht, dass der Arbeitnehmer in einem Zeitraum von zwei Monaten während seiner Arbeitszeit mindestens 40 Stunden das Internet privat genutzt hatte. Dieser Verdacht wurde durch eine Auswertung des Internetbrowsers des Computers des Arbeitnehmers bestätigt und das Arbeitsverhältnis daraufhin außerordentlich gekündigt. Der gekündigte Arbeitnehmer berief sich darauf, dass der Arbeitgeber die private Nutzung des Internets erlaubt habe.

Das LAG wies die Klage – zu Recht – ab: Zwar handelt es sich hierbei klar um personenbezogene Daten. Die Datenauswertung für die Zwecke einer Missbrauchskontrolle sei jedoch auch ohne solche Einwilligung zulässig, wenn und weil der Arbeitgeber keine andere Möglichkeit habe, den Umfang einer unerlaubten Internetnutzung nachzuweisen (LAG Berlin-Brandenburg vom 14. Januar 2016, 5 Sa 657/15 [vor dem BAG später vergleichsweise erledigt]).

Sichtung des dienstlichen Kalenders

Selbst datenschutzwidrig erlangte Informationen können im Prozess verwertbar sein, da keine notwendige Verbindung zwischen Datenschutzverstoß und Beweisverwertungsverbot besteht. Nur intensive Eingriffe in das Persönlichkeitsrecht führen zur Unverwertbarkeit. Das gilt etwa, wenn bei verbotener Privatnutzung die (heimliche) Sichtung als privat markierter Kalendereinträge im dienstlichen elektronischen Kalender erfolgt, um den Verdacht eines Arbeitszeitbetrugs aufzuklären.

Selbst wenn eine Sichtung im Beisein der Betroffenen ein milderes Mittel gewesen wäre, ist die Eingriffsintensität so gering, dass die entsprechenden Daten dennoch im Prozess verwertet werden können (LAG Rheinland-Pfalz vom 25. November 2014, 8 Sa 363/14 [Revision zugelassen, BAG 2 AZR 258/15]).

Verdeckte Videoüberwachung

Eine verdeckte Videoüberwachung von Arbeitnehmern ist zulässig, wenn zunächst der konkrete Verdacht einer strafbaren Handlung oder einer anderen schweren Verfehlung zu Lasten des Arbeitgebers besteht. Weniger einschneidende Mittel zur Sachverhaltsaufklärung müssen ausgeschöpft und die Videoüberwachung praktisch das einzige Aufklärungsmittel sein. Weiter darf die Videoüberwachung nicht unverhältnismäßig sein. Wann das BAG eine verdeckte Überwachung für zulässig hält, lesen Sie hier.

Verwertungsverbote – nur ein Problem des Arbeitgebers?

Dass die Nutzung und Verwertung von Daten nicht nur ein Problem für den Arbeitgeber darstellt, sondern auch den Betriebsrat betreffen kann, zeigt schließlich instruktiv eine Entscheidung des LAG Berlin-Brandenburg; hierzu ebenfalls unser Blog-Beitrag.

Empfehlung zur praktischen Handhabung

Arbeitgebern ist die Aufstellung verhältnismäßiger und transparenter Grundsätze über die private Internetnutzung zu empfehlen, etwa in einer IT- Nutzungsrichtlinie oder Betriebsvereinbarung. Hierzu gehören insbesondere klare Regelungen zum Privatnutzungsverbot oder zur eingeschränkten Privatnutzung außerhalb der Arbeitszeit nebst Hinweisen auf mögliche Kontrollmaßnahmen.

Zudem ist anzuraten, konkrete Anhaltspunkte für eine unzulässige Internetnutzung detailliert zu protokollieren und erst anschließend, ggf. unter Hinzuziehung des Arbeitnehmers, des Betriebsrats sowie des Datenschutzbeauftragten den Browserverlauf zu untersuchen. Hierdurch wird dokumentiert, dass der Arbeitgeber bei der Aufklärung aus begründetem Anlass und mit Augenmaß im Hinblick auf das Persönlichkeitsrecht des Arbeitnehmers vorgegangen ist.

KLIEMT.Arbeitsrecht




Wir sind Deutsch­lands führende Spe­zi­al­kanz­lei für Arbeits­recht (bereits vier Mal vom JUVE-Handbuch als „Kanzlei des Jahres für Arbeitsrecht“ ausgezeichnet). Rund 70 erst­klas­sige Arbeits­rechts­exper­ten beraten Sie bundesweit von unseren Büros in Düs­sel­dorf, Berlin, Frankfurt, München und Hamburg aus. Kompetent, persönlich und mit Blick für das Wesent­li­che. Schnell und effektiv sind wir auch bei komplexen und grenz­über­schrei­ten­den Projekten: Als einziges deutsches Mitglied von Ius Laboris, der weltweiten Allianz der führenden Arbeitsrechtskanzleien bieten wir eine erstklassige globale Rechtsberatung in allen HR-relevanten Bereichen.
Verwandte Beiträge
Digitalisierung in Unternehmen Neueste Beiträge

Tipps für die Einführung komplexer IT-Systeme – Teil 1: Workday

Bei der Einführung komplexer IT-Systeme mit umfangreichen Beständen an personenbezogenen Daten ist die Wahrung der betrieblichen Mitbestimmung ein wichtiger Zeit- und Kostenfaktor. Dies gilt regelmäßig auch dann, wenn bereits eine IT-Rahmen-Betriebsvereinbarung vorhanden ist. Die Nutzungszwecke und der Umfang der Verhaltens- und Leistungskontrolle müssen hier von den Betriebsparteien regelmäßig konkret (ggf. in Abweichung von der Rahmenvereinbarung) justiert werden. Wir stellen in einer neuen Reihe von Beiträgen…
Datenschutz Digitalisierung in Unternehmen Neueste Beiträge Video

Politisches Hin und Her um den Beschäftigtendatenschutz

Seit Oktober letzten Jahres hat es diverse Stellungnahmen für und gegen spezielle Regelungen für den Beschäftigtendatenschutz gegeben, die über die jetzige, sehr knapp gefasste Norm des § 26 BDSG hinausgehen sollen. Für solche Regelungen stimmen u.a. die Koalitionsvereinbarung der Regierungsparteien, ein vom BMAS eingesetzter Beirat und der DGB. Gegen weitere Regelungen stimmen die vom BMI durchgeführte Evaluierung des BDSG sowie jüngst ein Antrag des Freistaat…
Betriebsrat Datenschutz Digitalisierung in Unternehmen Neueste Beiträge

Show me what you got? Betriebsrat und Art. 30 DSGVO

Die DSGVO verpflichtet die meisten Arbeitgeber, ein Verzeichnis über Verarbeitungstätigkeiten zu führen. Was aber, wenn der Betriebsrat in laufenden Verhandlungen unter Bezugnahme auf seine Kontrollrechte Einsicht in das Verzeichnis verlangt? Wem gegenüber müssen Unternehmen das sensible Verarbeitungsverzeichnis offenlegen? Ein Überblick. Die Pflicht zur Führung eines Verarbeitungsverzeichnisses Nach Art. 30 Abs. 1 S. 1 DSGVO muss grundsätzlich jeder Verantwortliche ein Verzeichnis aller Verarbeitungstätigkeiten, die seiner Zuständigkeit…
Abonnieren Sie den KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert