Corona hat es beschleunigt und die Arbeit im Homeoffice ist für Mitarbeiter heute alltäglich und auch wenn Unternehmen Mitarbeiter wieder bitten, in den Präsenzbetrieb zurückzukommen, wird der Beschäftigungsort Homeoffice nicht gänzlich verschwinden und der Ort der Arbeitsleistung wird hybrider werden. Unser Bundesarbeitsminister hat da schon etwas vorbereitet… Aber überwachen Sie schon ohne es zu wissen?
Beim Thema Homeoffice stellen sich nicht nur arbeitsrechtliche Fragen im Beschäftigtendatenschutz, sondern es bestehen für den Arbeitgeber datenschutzrechtliche Herausforderungen, die es zu meistern gilt.
Neben der Frage der Sicherung personenbezogener Daten, auf die Mitarbeiter aus dem Homeoffice zugreifen, und der Frage, wo Videokonferenzsysteme oder Kollaborationsplattformen gehostet werden und ob nicht eine unzulässige Verlagerung in Drittländer erfolgt, steigt bei manchem Arbeitgeber der Wunsch, nicht nur die Arbeitszeit von Mitarbeitern zu erfassen, sondern auch die Effizienz und die tatsächlich erbrachte Leistung – ob das zeitgemäß ist oder die Probleme in solchen Fällen nicht doch tiefer liegen, blenden wir hier mal aus… Und was, wenn die eingesetzte Software mehr kann als von ihr gefordert?
Bei jedweder Kontrolle von Mitarbeitern stellen sich besondere datenschutzrechtliche Herausforderungen.
Auch wenn bisher noch kein eigenes Beschäftigtendatenschutzgesetz vorliegt, wurde der Beirat zum Beschäftigtendatenschutz beauftragt, Thesen und Empfehlungen aufzustellen. Dies kann hier abgerufen werden. Die neue Bundesregierung hat mitgeteilt, neue Regelungen zum Beschäftigtendatenschutz treffen zu wollen – schaun mer mal.
Die durch Arbeitgeber vorgeschriebene Nutzung von Software muss sich an den Prinzipien des allgemeinen Datenschutzes und insbesondere des bisher nur rudimentär geregelten Beschäftigtendatenschutzes messen lassen. Teilweise wird Software eingesetzt, die den Arbeitgebern ermöglicht, die Kontrolle von Leistung und Verhalten der Mitarbeiter zu erfassen, auszuwerten und zu nutzen. Dies beginnt bei Daten zur normalen Nutzung von IT-Geräten, z. B., wann sich ein Mitarbeiter einloggt oder ein Bildschirmschoner wegen Inaktivität eingeschaltet wird, bis hin zu der Erfassung der Anzahl der Anschläge auf Tastaturen, Dauer der im Vordergrund genutzten Anwendungen, aufgerufene Websites und die Dauer der Nutzung bis hin zu regelmäßigen Screenshots der Geräte der Mitarbeiter. Bei mobilen Geräten kommen Geolokalisationsdaten wie GPS-Positionen und Bewegungsdaten hinzu. Verschärft wird das datenschutzrechtliche Problem in dem Moment, in dem die Software als SaaS-Dienst (Software-as-a-Service) genutzt werden, da in solchen Fällen Arbeitgeber sogar direkt und unmittelbar Zugriff auf die erhobenen Kontrolldaten haben. Nach § 26 Abs. 1 Satz 1 des Bundesdatenschutzgesetztes (BDSG) dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn sie zur Durchführung des Beschäftigtenverhältnisses erforderlich sind. Eine solche Erforderlichkeit wird z. B. für die Arbeitszeiterfassung an sich angenommen. Dies auch unter Berücksichtigung, dass Arbeitgeber dazu verpflichtet sind, die Arbeitszeit ihrer Beschäftigten zu erfassen. Eine Arbeitszeiterfassung im Homeoffice der Mitarbeiter, die keine weiteren personenbezogenen Daten erfasst, ist damit datenschutzrechtlich völlig unproblematisch und zulässig.
Soweit eine solche Software zur Arbeitszeiterfassung jedoch weitere Daten erhebt, wie oben beispielhaft aufgezählt, wird regelmäßig in das informationelle Selbstbestimmungsrecht von Mitarbeitern eingegriffen. Ein solcher Überwachungszweck wird regelmäßig als nicht gerechtfertigt angesehen und der Einsatz solcher Software ist unzulässig.
Auch wenn Arbeitgeber in Beratungsgesprächen oft einwenden, dass die Kontrollmöglichkeiten der Verhinderung von Straftaten zum Nachteil des Arbeitgebers dienen, müssen wir regelmäßig darauf hinweisen, dass die Verhinderung von Straftaten nicht „allgemein“ als Zweck einen solchen Eingriff rechtfertigt, vielmehr müssten ganz konkrete Verdachtsmomente vorliegen, die erst eine Kontrolle ermöglichen würden. Eine Ermittlung „ins Blaue hinein“ wird von der Rechtsprechung unter keinen Umständen akzeptiert! Selbst bei dem Vorliegen von einzelnen Verdachtsmomenten, muss die konkrete Datenverarbeitung dann auch immer für die Aufdeckung dieser möglichen Straftat erforderlich sein und es ist eine Interessenabwägung durchzuführen.
Arbeitgeber dürfen Arbeitnehmer nicht unter einen Generalverdacht stellen.
Da jedoch ein solcher Generalverdacht bei der hier beispielhaft angeführten Software vorläge, liegt eine datenschutzrechtliche Unzulässigkeit zum Einsatz dieser Software vor. Selbst wenn sich der Verdacht auf z. B. Arbeitszeitbetrug verdichtet, wäre eine solche umfassende und lückenlose Überwachung, wie hier beispielhaft aufgezählt, regelmäßig nicht das mildeste Mittel und somit datenschutzrechtlich unzulässig.
Daneben ist auch immer zu berücksichtigen, dass der Einsatz solcher Software bei datenschutzrechtlicher Unzulässigkeit durchaus Bußgeldverfahren seitens der Datenschutzbehörden nach sich ziehen kann. Ebenfalls sollte berücksichtigt werden, dass im Falle eines bestehenden Betriebsrats dann auch tatsächlich dieser bereits bei der Einführung solcher Software zwingend eingebunden werden muss, da in der Regel Mitbestimmungsrechte tangiert sind. Da Kollektivvereinbarungen zulässig sind, sollten Arbeitgeber in solchen Fällen ausdrücklich über den Abschluss von Betriebsvereinbarungen nachdenken.
Zusammenfassend lässt sich feststellen, dass, auch wenn Arbeitgeber den großen Wunsch zur Kontrolle der Arbeitnehmer hegen, entsprechende Software kaum datenschutzrechtlich zulässig eingesetzt werden kann.
Sollten Sie Beratungsbedarf zum Einsatz bestimmter Softwarelösungen im Homeoffice haben, Bußgeldverfahren bereits eingeleitet worden sind oder möchten Sie, dass wir den Einsatz von Software rechtlich überprüfen und/oder bei dem Abschluss von Betriebsvereinbarungen helfen, stehen wir gerne zur Verfügung.