12.12.2017
Überwachung der Internetnutzung am Arbeitsplatz – Ist das zulässig?
Jacqueline Neiazy
Director Datenschutz
„Recht auf Privatleben Vs. Recht auf Kontrolle“ – Der Europäische Gerichtshof für Menschenrechte (EGMR) entscheidet zur Zulässigkeit von Überwachungsmaßnahmen der Internetnutzung am Arbeitsplatz.
Der Fall
Ein rumänischer Arbeitnehmer hatte über den zur geschäftlichen Kommunikation eingerichteten Yahoo Messenger – trotz ausdrücklichen Verbots der privaten Internetnutzung – mit seiner Verlobten und seinem Bruder persönliche Mitteilungen ausgetauscht. Wenig später wurde der Mann gekündigt. Das Unternehmen hatte die Chats des Mitarbeiters aufgezeichnet und ausgewertet. In Rumänien klagte der 38-Jährige vergeblich gegen seine Entlassung.
Das Urteil
Der Gerichtshof stellte fest, dass Anweisungen des Arbeitgebers das private soziale Leben am Arbeitsplatz nicht auf Null reduzieren dürfen. Die Achtung des Privatlebens und die Vertraulichkeit der Korrespondenz bleibt bestehen, auch wenn diese gegebenenfalls eingeschränkt werden kann.
Nach Auffassung des Gerichtshofs verstößt die Annahme, dass der Inhalt von Mitteilungen in jeder Phase des Disziplinarverfahrens zugänglich sei, gegen den Grundsatz der Transparenz. Vor Einleitung von Überwachungstätigkeiten müsse eine Warnung des Arbeitgebers erfolgen, insbesondere wenn sie auch den Zugang zu den Inhalten der Mitteilungen der Arbeitnehmer umfassen. Die Überwachungsmaßnahme müsse darüber hinaus verhältnismäßig sein.
Kostenfreie Expertise im E-Mail-Postfach
Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.
Der Arbeitgeber als Telekommunikationsanbieter / Fernmeldegeheimnis
Nach überwiegender Ansicht der deutschen Datenschutzbehörden wird der Arbeitgeber zum Telekommunikationsanbieter und unterliegt damit dem Fernmeldegeheimnis, wenn er die private Internetnutzung explizit erlaubt oder zumindest duldet. Gemäß § 88 Abs. 3 TKG ist es ihm damit untersagt, sich über das für die geschäftsmäßige Erbringung der Telekommunikationsdienste einschließlich des Schutzes seiner technischen Systeme erforderliche Maß hinaus Kenntnis vom Inhalt der Telekommunikation zu verschaffen. Ein Zugriff auf die private Kommunikation – insbesondere auf den Inhalt – ist damit grundsätzlich unzulässig. Der Arbeitgeber muss sich in jedem Fall durch den Arbeitnehmer vom Fernmeldegeheimnis befreien lassen und die Einwilligung des Arbeitnehmers in die Protokollierung und mögliche Überwachung einholen.
Auswirkungen des Urteils:
Straßburg zufolge ist die Überwachung der privaten Kommunikation – wenn überhaupt – nur unter sehr engen Grenzen möglich. Richtlinien zur privaten Internetnutzung müssen klar und transparent ausgestaltet sein. Der Arbeitgeber darf überhaupt nur dann auf den tatsächlichen Inhalt der betreffenden Mitteilungen zugreifen, wenn der Arbeitnehmer hinreichend genau davon unterrichtet worden ist, dass eine Protokollierung stattfindet und Kontrollen möglich sind. In welcher Form die Warnung erfolgen muss, geht aus dem Urteil nicht hervor. Allein schon aus Nachweisgründen sollte die Warnung jedenfalls schriftlich vor Einleitung der konkreten Überwachungsmaßnahme erfolgen.
Die konkrete Überwachungsmaßnahme an sich – insoweit in Übereinstimmung mit dem BAG – muss darüber hinaus verhältnismäßig sein. Als Grund für einen Zugriff auf den Inhalt kommen allenfalls konkrete Anhaltspunkte auf eine Straftat oder auf besonders schwere Pflichtverstöße durch den Mitarbeiter (z.B. Verrat von Betriebsgeheimnissen) in Betracht.
Empfehlung für die Praxis
Arbeitgeber sollten ihre Richtlinien zur privaten Internetnutzung eingehend prüfen. Vor allem die Kontrollrechte müssen klar definiert sein.
Folgende Punkte müssen zwingend geregelt werden:
– private Internetnutzung erlaubt / verboten
– Befreiung des Arbeitgebers vom Fernmeldegeheimnis (wenn Internetnutzung erlaubt)
– Hinweis, dass die Internetnutzung protokolliert wird
– Hinweis, dass Kontrollen durchgeführt werden können; wichtig dabei:
a) in welcher Phase
b) aus welchem Grund
c) auf welche Art
d) und in welchem Umfang auf Inhalte der Kommunikation zugegriffen werden kann
Vor Einleitung der tatsächlichen Überwachungsmaßnahme sollte eine schriftliche Warnung bzw. Abmahnung erfolgen!
Weitere Neuigkeiten
14.01.2025
Datenschutzaudit: DSGVO-Lücken erkennen & schließen – mit Selbstcheck zum Download
Die DSGVO sieht an vielen Stellen Kontrollmechanismen für Unternehmen vor, um regelmäßig zu überprüfen, ob die Vorgaben eingehalten werden und wo mögliche Risiken bestehen. Einer dieser Mechanismen ist das Datenschutzaudit. Wann und für wen ist es notwendig? Alles über Ablauf, Umfang und Notwendigkeit von Datenschutzaudits sowie einen ausführlichen Leitfaden inkl. Selbstcheck zum Download finden Sie hier.
Weiterlesen … Datenschutzaudit: DSGVO-Lücken erkennen & schließen – mit Selbstcheck zum Download
09.01.2025
Informationssicherheit im Gesundheitssektor – neue Regeln für die Cybersecurity
Mit der zunehmenden Vernetzung und der fortschreitenden Digitalisierung des Gesundheitswesens ist der Schutz informationstechnischer Systeme zu einem zentralen Anliegen der Branche geworden. Denn funktionierende IT-Systeme sind eine wesentliche Voraussetzung für die Sicherheit der Versorgung im Allgemeinen und die Patientensicherheit im Besonderen.
Weiterlesen … Informationssicherheit im Gesundheitssektor – neue Regeln für die Cybersecurity
03.01.2025
Ransomware-Prävention in Zeiten von KI – Wie Unternehmen Attacken vorbeugen können
Ransomware ist nach wie vor eine der größten Bedrohungen für Wirtschaftsunternehmen. Besonders IT-Dienstleister sind in den vergangenen Jahren in den Fokus von Cyberkriminellen gerückt. Durch präventive Maßnahmen der Cybersicherheit werden personenbezogene Daten angemessen und wirksam vor den alltäglichen Gefahren des digitalen Zeitalters geschützt.
Weiterlesen … Ransomware-Prävention in Zeiten von KI – Wie Unternehmen Attacken vorbeugen können