Treffpunkt Betriebsrat

Kontrolle durch den betrieblichen Datenschutzbeauftragten und die Aufsichtbehörde

Der Datenschutzbeauftragte

Grundsätzlich ist die Leitung der Daten verarbeitenden Stelle für den Datenschutz verantwortlich. Gemäß § 4f Abs. 1 BDSG sind private Arbeitgeber aber zur schriftlichen Bestellung eines betrieblichen Datenschutzbeauftragten verpflichtet, wenn sie personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen oder Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und in der Regel mindestens 20 Personen beschäftigt sind.

Der Arbeitgeber kann sowohl einen Beschäftigten des Unternehmens als auch einen „externen“ Datenschutzbeauftragten bestellen. Voraussetzung für die Bestellung ist die erforderliche Fachkunde und Zuverlässigkeit (§ 4f BDSG). Bei der Bestellung eines internen Datenschutzbeauftragten besteht nur dann ein Mitbestimmungsrecht des Betriebsrats, wenn die Bestellung mit einer Einstellung oder Versetzung i.S.d. § 99 BetrVG verbunden ist. In diesem Fall darf der Betriebsrat die Zustimmung zulässigerweise verweigern, wenn dem in Aussicht genommenen Datenschutzbeauftragten die erforderliche Fachkunde oder Zuverlässigkeit fehlt.

Zu den Aufgaben des Datenschutzbeauftragten gehört auch die Unterweisung der Mitarbeiter, sofern sie personenbezogene Daten verarbeiten. Da heute an fast jedem Arbeitsplatz eine Datenverarbeitung vorgenommen wird, müssen auch alle Mitarbeiter unterrichtet werden.

Die Bestellung kann nur widerrufen werden, wenn die Aufsichtsbehörde dies verlangt oder ein wichtiger Grund vorliegt. Sind Arbeitspflicht und Datenschutzaufgaben arbeitsvertraglich verknüpft, sieht das Bundesarbeitsgericht ausnahmsweise eine Teilkündigung als zulässig an.

Die Aufsichtsbehörde

Die Aufsichtsbehörde ist eine Kontrollinstanz, welche die Einhaltung des Bundesdatenschutzgesetzes beim Arbeitgeber überwacht. Nach dem Bundesdatenschutzgesetz dürfen diese Kontrollbehörden den Betrieb während der Geschäftszeiten auch gegen den Willen des Arbeitgebers betreten und Einsicht in die gespeicherten Daten nehmen (§ 38 Abs. 4 BDSG). Der betriebliche Datenschutzbeauftragte kann sich im Zweifelsfalle an die Aufsichtsbehörde wenden.

Werden Verfahren zur automatischen Verarbeitung von Daten eingeführt, so sind diese gemäß § 4d BDSG der Aufsichtsbehörde zu melden, es sei denn, es ist ein Datenschutzbeauftragter bestellt. Eine Ausnahme besteht, wenn geschäftsmäßig personenbezogene Daten zur Übermittlung gespeichert werden.

Bei den im Nachfolgenden aufgeführten technischen Kontrolleinrichtungen besteht in jedem Fall ein Mitbestimmungsrecht des Betriebsrats gemäß § 87 Abs. 6 BetrVG hinsichtlich der Einführung und Anwendung dieser Einrichtung.

Zugangskontrollen

Neben den herkömmlichen Stechuhren oder sonstigen automatischen Zeiterfassungsgeräten sind hier zu nennen die biometrischen Zugangskontrollen wie Fingerprint-Scanner-Systeme, Spracherkennung und Augen-Iris-Abgleich. Alle diese biometrischen Merkmale einer Person sind Daten von besonderer Sensibilität. Hier ist eine Kontrolle nur dann vom allgemeinen Persönlichkeitsrecht gedeckt, wenn der Arbeitnehmer jederzeit feststellen kann, dass er kontrolliert wird. Dies setzt eine Mitwirkung des Arbeitnehmers bei der Kontrolle voraus.

Kontrolle der Arbeitsvorgänge

Hierzu zählen Zeitstempler, mit denen der Beginn und das Ende einzelner Arbeitsvorgänge festgehalten werden. Auch rechnergestützte Zeitaufnahmegeräte zur Vorgabe der Zeitermittlung rechnen dazu. Mit sogenannten Produktografen können Daten über den Ablauf und die Ausnutzung von Maschinen, wie z.B. Lauf, Stillstand und Fertigungsmenge, Taktlauf, Leerlauf, Störzeiten usw. aufgezeichnet werden.

Hierzu zählen aber auch Fotokopiergeräte mit persönlicher Pin des Benutzers. Auch können Arbeitvorgänge mit Fahrtenschreibern dokumentiert werden. Hier besteht jedoch ein Mitbestimmungsrecht nur, soweit diese gesetzlich nicht bereits vorgeschrieben sind.

In Callcentern oder an anderen Arbeitsplätzen, bei denen das Telefonieren die hauptsächlich geschuldete Arbeitsleistung darstellt, kann die automatische Erfassung von Telefondaten oder -gebühren ebenfalls Rückschlüsse auf die Arbeitsleistung der betroffenen Arbeitnehmer ermöglichen.

Telefonanlagen

Erlaubnis der privaten Nutzung

Hier ist auf das Anbieter-Nutzer-Verhältnis und die direkte Anwendung des Fernmeldegeheimnisses auf das Arbeitgeber-Arbeitnehmer-Verhältnis hinzuweisen. Danach gilt das strenge Fernmeldegeheimnis des § 88 TKG:

Die dienstliche Nutzung

Die bei dienstlicher Nutzung gewonnenen Telefondaten dürfen nach der Rechtsprechung gespeichert werden. Problematisch ist jedoch die Erfassung von Zielnummern. Bei privaten Gesprächen gilt – wie bereits oben ausgeführt – § 88 TKG. Wird die komplette Zielnummer bei dienstlichen Gesprächen gespeichert, so werden auch die datenschutzrechtlichen Belange des Externen, nämlich der angerufenen Person, tangiert.

Aus diesen Gründen werden in der Praxis häufig nur die Vorwahl und die ersten Ziffern der Rufnummer gespeichert. Diese Datenerfassung ist grundsätzlich auch nicht erlaubt bei Personen mit besonderer Schweigepflicht, wie Ärzten und Psychologen. Bei eingehenden Telefonaten kann der Anrufer selbst entscheiden, ob er durch das Unterdrücken der Rufnummer eine Übermittlung verhindern will.

Kontrolldaten

Grundsätzlich darf nur eine Kostenkontrolle und Kostenabrechnung durch die gewonnenen Daten erfolgen. Eine Leistungskontrolle der Arbeitnehmer hat durch die Erfassung der Telefonate nicht zu erfolgen.

Eine Besonderheit gilt hier bei den Callcentern. Das Bundesarbeitsgericht hat in einer Entscheidung dem Arbeitgeber die Möglichkeit eingeräumt, so genannte Bedienerplatzreports zu erstellen. Eine lückenlose Dokumentation wäre aber wegen der Verletzung des allgemeinen Persönlichkeitsrechts unzulässig.

Das Mithören bei Telefongesprächen

Sowohl die Installierung von Mikrofonen als auch das Fertigen von Tonbandaufnahmen oder die Aufnahme von Telefongesprächen unterliegen der Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG. Das Mithören und Abhören von Telefongesprächen ist nur in Ausnahmefällen erlaubt, denn hier gilt nicht nur das Bundesdatenschutzgesetz, sondern auch das Recht am gesprochenen Wort, das durch § 261 StGB geschützt ist.

Nur zur Abwendung schwerer Straftaten, wie bei der Verfolgung von Erpressern, ist ein heimliches Mithören erlaubt. Hier ist eine Notwehrsituation Voraussetzung.

Optische Kontrollgeräte

Zu den optischen Kontrollgeräten gehören Multimomentfilmkameras, die in regelmäßigen Abständen Aufnahmen von Arbeitsplätzen machen oder sonstige Filmkameras, Fernsehmonitore, Videoanlagen oder auch Spiegel. In § 6 BDSG ist die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen geregelt. Danach ist eine Videoüberwachung nur zulässig, soweit sie

• zur Aufgabenerfüllung erforderlicher Stellen,
• zur Wahrung des Hausrechts oder
• zur Wahrung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Hier sind nur Fälle geregelt wie z.B. Videoüberwachungsanlagen im Eingangsbereich eines Betriebs oder im Kundenbereich eines Kaufhauses oder einer Bank.

Sofern durch die Überwachung zugleich Arbeitnehmer zwangsläufig mitgefilmt werden, ist dies als arbeitsplatzimmanent hinzunehmen. Zum Schutz von Eigenturm – vornehmlich bei Aufklärung und Verhinderung von Diebstählen – ist ein berechtigtes Interesse des Arbeitsgebers anzunehmen.

Eine Überwachung nach § 6b BDSG ist z.B. durch ausreichende Beschilderung kenntlich zu machen.

Auf nicht öffentlich zugängliche Räume bzw. Arbeitsplätze ist § 6b BDSG nicht anwendbar.

E-Mail und Internetnutzung

Bei der dienstlichen E-Mail- und Internetnutzung bestehen keine Bedenken gegen die Erfassung der Daten der Empfänger, Versender und Sendezeiten. Diese Kontrollen unterliegen der zwingenden Mitstimmungspflicht, sobald sie auf den einzelnen Arbeitsplatz zielen.

Im Falle des Verbots privater Nutzung kann es sich bei den ein- und ausgehenden E-Mails nur um betriebliche/geschäftliche Korrespondenz handeln.

Würde man hier dem Arbeitgeber bei der ausschließlich dienstlich gestatteten E-Mail-Nutzung ein umfangreiches Kontrollrecht einräumen, könnte dies unter Umständen zu einer dauerhaften Verhaltungs- und Leistungskontrolle und damit zur Erstellung eines Persönlichkeitsprofils des Arbeitnehmers führen.

Im Gegensatz zur Erfassung der äußeren Daten ist die Kontrolle der inhaltlichen Daten eingeschränkt worden. Inhaltliche Kontrollen dürfen nur aus konkreten Anlass und stichprobenartig durchgeführt werden.

Ist die E-Mail-Nutzung erlaubt, gilt hier wiederum das Fernmeldegeheimnis. Eine erweiterte Kontrolle kann nur durch Einwilligung des Mitarbeiters erfolgen (§ 4a Abs. 1 Satz 1 BDSG).

Da es dem Arbeitnehmer freisteht, das dienstliche Telefon oder den dienstlichen E-Mail und Internetanschluss für private Zwecke zu nutzen – eine Situation, in der der Arbeitnehmer gezwungen sein sollte, diese privat zu nutzen ist unter keinen Umständen ersichtlich – bestehen keine Bedenken hinsichtlich der Freiwilligkeit der abgegebenen Einwilligungserklärung.

Werden E-Mails wegen sogenannter Spamfilter nicht weitergeleitet, so bestehen hinsichtlich dienstlicher E-Mails keinerlei Bedenken. Bei der erlaubten privaten Nutzung könnte die hier vorliegende Verletzung des Privatgeheimnisses gerechtfertigt sein durch die Gewährleistung der Datensicherheit.

Bewegungsdaten

Die Überwachung von Außendienstmitarbeitern

Durch Handyortung (GSM-Ortung), GPS (Global Positioning System) oder RFID (Radio Frequency Identification) bestehen umfangreiche Möglichkeiten einer lückenlosen Überprüfung der Bewegungsdaten externer Mitarbeiter. Die Handyortung kann zwischen Anbieter und Nutzer (hier Arbeitgeber) vereinbart werden. Dies bedeutet jedoch nicht, dass der Arbeitgeber seine mit einem firmeneigenen Handy ausgerüsteten Arbeitnehmer einer dauerhaften Kontrolle unterziehen darf.

Arbeitrechtlich sind solche Kontrollen nur unter sehr eingeschränkten Bedingungen möglich. Zunächst muss die Überwachung für den Arbeitnehmer gemäß § 4 Abs. 3 BDSG transparent sein. Des Weiteren muss der Mitarbeiter die Möglichkeit haben, die Ortung auszuschalten, ohne dass er Nachteile zu befürchten hat.

RFID im Betrieb

Mithilfe von RFID-Chips werden berührungslos und ohne Sichtkontakt,oft unbemerkt vom Arbeitnehmer, Daten erfasst und weitergeleitet. Mit diesen Chips können z.B. Waren gekennzeichnet werden, aber auch Firmenausweise von Mitarbeitern. So kann kontrolliert werden, ob sich der Arbeitnehmer zu bestimmten Zeiten an bestimmten Orten (z.B. Warenregal) aufgehalten hat und wie viele Produkte welcher Art er bewegt hat. Es können also lückenlose Bewegungsprofile erstellt werden. Im Gegensatz zur biometrischen Kontrolle, bei der der Arbeitnehmer mitwirkt, ist dies beim RFID-Einsatz nicht mehr erforderlich. Daraus ergeben sich Probleme hinsichtlich der nach § 6c BDSG erforderten Transparenz. Der Arbeitnehmer muss also beim RFID-Einsatz die Möglichkeit haben, die über ihn gespeicherten Daten abzufragen.