Geht es um die Überwachung der Internetnutzung, so stellt sich i. d. R. schnell die Frage nach dem Datenschutz am Arbeitsplatz. Zwar lässt sich dank digitaler Datenströme jederzeit ein exaktes Bild über die Aktivitäten der Mitarbeiter abbilden, allerdings gibt es in Hinblick auf die Überwachung von Mitarbeitern klare Grenzen, die durch die Entscheidung des Europäischen Gerichtshofs für Menschenrechte (EGMR) jetzt noch etwas schärfer bzw. transparenter sein dürften.
Überwachung der Internetnutzung – Urteil des EGMR
In dem Urteil des EGMR vom 05.09.2017 (Beschwerde-Nr. 61496/08) ging es um einen rumänischen Vertriebsingenieur, der – trotz des Verbots der privaten Kommunikation – mit seiner Verlobten und seinem Bruder schrieb und aufgrund der privaten Kommunikation letztens eine Kündigung erhielt. Der Vertriebsingenieur klagte gegen seine Entlassung, verlor allerdings vor rumänischen Gerichten. Das EGMR entschied jetzt allerdings, dass das Recht auf Achtung des Privatlebens und der Korrespondenz nach Art. 8 der Europäischen Menschenrechtskonvention (EMRK) verletzt worden sei und die Überwachung zu weit ging. Dabei sei eine Überwachung grundsätzlich nicht verboten, allerdings sollte diese verhältnismäßig sein und hänge damit unter anderem von folgenden Kriterien ab:
- Der Arbeitgeber muss über die Kontrollen sowie über den Umfang der Kontrollen informieren
- Die Kontrollen müssen einen legitimen Zweck verfolgen, wobei geprüft werden sollte, ob auch mildere Kontrollmaßnahmen den Zweck erfüllen.
Bedeutung für Organisationen in Deutschland
Als Mitglied des Europarats sollte sich auch Deutschland an die Menschenrechte der EMRK und somit auch an die Vorgaben des EGMR halten, da Deutschland ansonsten eine Verurteilung riskieren könnte.
Für verantwortliche Stellen, wie Unternehmen, Vereine oder Behörden, bedeutet es, dass auch sie die Vorgaben des EGMR verinnerlichen sollten, wobei die Regelungen für die meisten nicht völlig neu sein dürfen. Denn die Interessenabwägung sowie die Überprüfung, ob mildere Mittel vorliegen, hätten bereits vor dem Urteil des EGMR berücksichtigt werden müssen.
Neu dürfte allerdings sein, dass verantwortlichen Stellen auch beim einem Verbot der Privatnutzung über stichprobenartige Kontrollen sowie über den Umfang der Kontrollen informieren müssen.
Erforderliche Maßnahmen
Um die Vorgaben des EGMR nicht zu verletzen, sollten verantwortliche Stellen unter anderem folgende Maßnahmen durchführen:
- Vorabkontrolle durch den Datenschutzbeauftragten (Auch in der Europäischen Datenschutz-Grundverordnung wird eine Datenschutz-Folgenabschätzung)
- Betriebsrat einbeziehen (Nach § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz hat der Betriebsrat bei der Einführung von technischen Einrichtungen, die zur Verhaltens- und Leistungskontrolle genutzt werden könnten, ein Mitbestimmungsrecht.)
- Mitarbeiter über die Kontrollen sowie über die Art und den Umfang der Kontrollen informieren bzw. ggf. Abschluss einer Betriebsvereinbarung
Fazit
Das Urteil dürfte, wie bereits erläutert, für die meisten verantwortlichen Stellen nicht völlig neu sein, allerdings hat der EGMR die Voraussetzungen, insbesondere die Informationspflicht auch bei Verbot der Privatnutzung, nochmals verschärft.
Verantwortliche Stellen sollten mit Blick auf das EGMR-Urteil sowie auf die Europäische Datenschutz-Grundverordnung (DS-GVO) – sofern sie Mitarbeiterkontrollen in Erwägung ziehen – geeignete Maßnahmen ergreifen, da ansonsten hohe Bußgelder sowie ggf. Schmerzensgeldzahlungen, Beweiswertungsverbote und sogar Freiheitsstrafen drohen können.
