Home / Aktuelles & Termine / it.sec blog

Der europäische Gerichtshof für Menschenrechte, im Folgenden ‚Gerichtshof‘ genannt, hat im Fall einer Kündigung eines Arbeitnehmers entschieden, dass die der Kündigung vorangegangene Aufzeichnung von dessen Online-Aktivitäten zu stark in sein Recht auf Achtung des Privat- und Familienlebens gemäß Art. 8 der Europäischen Menschenrechtskonvention (MRK) eingreife. Damit seien weder die Überwachung noch die Kündigung auf Basis der mit der Überwachung erhobenen Daten rechtens gewesen.

Der Arbeitnehmer war Angestellter in einem Unternehmen mit Sitz in Rumänien; dieses hatte den Mitarbeitern untersagt, die betrieblichen Arbeitsmittel und elektronischen Kommunikationsmedien für private Zwecke zu nutzen. Über einen Messenger-Dienst, der ausschließlich der Geschäftskorrespondenz diente, kommunizierte der Arbeitnehmer dennoch mit seinem Bruder und seiner Verlobten. Dabei wurden nicht nur die Verbindungsdaten, sondern ebenso die vollständigen Kommunikationsinhalte und damit sehr intime Gesprächsverläufe durch den Arbeitgeber aufgezeichnet. Auf Grundlage dieser Beweise für die Privatnutzung wurde dem Arbeitnehmer die Kündigung ausgesprochen.

Nachdem der Arbeitnehmer vor zwei nationalen Instanzen mit der Klage gegen seinen ehemaligen Arbeitgeber scheiterte, reichte der Arbeitnehmer Klage wegen Verletzung seines Rechts auf Achtung des Privat- und Familienlebens beim Gerichtshof ein.

Der Gerichtshof rügte in seinem Urteil, dass die Vorinstanzen in ihren Urteilen nicht ausreichend berücksichtigt hätten, inwiefern der Arbeitnehmer im Vorhinein über die Überwachungsmaßnahmen, die Art und Weise sowie den Umfang der Überwachung informiert worden war und inwieweit diese Überwachung unverhältnismäßig in das Privatleben des Arbeitnehmers eingegriffen hätte. Denn nach Feststellung des Gerichtshofs war die Überwachung unzulässig, so dass die dabei erhobenen Daten schon nicht zur Beendigung des Beschäftigungsverhältnisses hätten verarbeitet werden dürfen.

In seinem Urteil hat der Gerichtshof zugleich sechs Punkte festgelegt, welche zur Beurteilung der Zulässigkeit der Beschäftigtenüberwachung und der damit verbundenen Datenverarbeitung herangezogen werden sollen: Ausreichende Informierung der betroffenen Person (Transparenz), Rechtmäßigkeit der Datenverarbeitung, insbesondere ob ein berechtigtes Interesse des Arbeitgebers besteht, Einschränkung der Datenverarbeitung auf das erforderliche Maß (Datenminimierung), Zweckbindung und Verhältnismäßigkeit der Datenverarbeitung sowie Wahrung der Vertraulichkeit durch Schutzmaßnahmen, die den potenziellen Bedrohungen für die Rechte und Freiheiten der betroffenen Person bei einer solchen Überwachung Rechnung tragen.

Der Gerichtshof hat damit klargestellt, dass der Arbeitgeber sich auch bei der Überprüfung der Einhaltung des Privatnutzungsverbots an die Datenschutzprinzipien halten muss, so dass auch hier eine Datenverarbeitung, die zu einer anlass- und lückenlosen Beschäftigtenkontrolle führt, nicht zulässig ist.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Das heutige Urteil des Bundesarbeitsgerichts (BAG, Urteil vom 27. Juli 2017, 2 AZR 681/16) befasste sich mit der Frage, ob personenbezogene Daten, die mittels Überwachungssoftware auf einem Arbeitsplatz-Rechner erhoben wurden, auch zur Beendigung eines Beschäftigungsverhältnisses verarbeitet werden dürfen.

Über einen Software-Keylogger, der auf dem vom Arbeitgeber zur Verfügung gestellten PC eines Mitarbeiters installiert wurde, wurden die Tastatureingaben des Mitarbeiters protokolliert sowie in regelmäßigen Abständen Screenshots vom Bildschirm angefertigt. Diese Maßnahme des Arbeitgebers erfolgte wohl heimlich oder zumindest gab der Arbeitgeber einen anderen Zweck für eine solche Datenverarbeitung an.

Anschließend wurden die Daten jedoch zum Zwecke der Verhaltenskontrolle des Mitarbeiters verwendet und das dadurch aufgedeckte Fehlverhalten des Mitarbeiters als Anlass zur Kündigung genommen.

Zwar besteht grundsätzlich ein berechtigtes Interesse des Arbeitgebers, die Begehung von Vertragsverletzungen zu seinen Lasten oder gar Straftaten durch den Mitarbeiter im Arbeitsverhältnis aufzudecken. Nach Sicht des Bundesarbeitsgerichts hatte der Arbeitgeber jedoch vor Einsatz der Überwachungssoftware keinen „auf Tatsachen beruhenden Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung“ (Pressemitteilung Nr. 31/17 des Bundesarbeitsgerichts). Das Bundesarbeitsgericht hat daher bereits die mit dieser anlass- und lückenlosen Überwachung einhergehende Datenerhebung als unzulässig erachtet, da dies gegen das Datenschutzprinzip der Verhältnismäßigkeit verstoße.

Somit dürfen die in unzulässiger Weise erhobenen Daten nicht zur Beendigung des Beschäftigungsverhältnisses verarbeitet werden. Und ohne die Daten lässt sich die Kündigung des Mitarbeiters nicht rechtfertigen.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

ADCERT Angemessenheitsbeschluss Anwendbarkeit Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Audit Aufsichtsbehörde Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch BAG BDSG-Neu Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betrieblicher E-Mail-Account betrieblicher Internetzugang Betroffenenrechte BfDI BGH biometrische Daten Biometrische und genetische Daten Bitkom Bonitätsprüfung Brexit Bundesarbeitsgericht Bußgeld BVG Cloud CNIL Compliance Cookie Datenlöschung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutzgrundverordnung Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSAnpUG-EU DSGVO dynamische IP-Adresse eCall-Technologie Einwilligung Einwilligungserklärung Entsorgung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative EU-Datenschutz-Grundverordnung EuGH Facebook Fahrzeugdaten Fahrzeuge Fernmeldegeheimnis Fluggastdaten Gemeinsam Verantwortliche Home Office Informationspflichten Informationssicherheit IP-Adresse Irland IT-Forensik IT-forensische Untersuchung IT-Sicherheit Joint Control Kanada Konzern konzerninterner Datentransfer Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Marktortprinzip Meldepflicht Meldescheine Microsoft NIST One Stop Shop Passwort Passwörter Passwörter. 2016 Passwortregeln Passwortschutz Personalausweiskopien personenbezogene Daten Privacy by Default Privacy by Design Privacy Shield Privatnutzung Privatnutzungsverbot Profiling Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte der betroffenen Person Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Siegel Skype Sony PSN Standardvertragsklauseln Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telemediendienst Telemediengesetz TKG TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe USA Vereinbarung Vernichtung von Datenträgern Verordnung (EU) 2015/758 Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Vorteile Webseite Webseiten Webtrecking Werbung Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 42a BDSG § 42b BDSG § 88 TKG

An dieser Stelle wollen wir von Zeit zu Zeit unsere Web-Logs ("blogs") pflegen und unsere Meinung zu bestimmten Themen kundtun.

Die einzelnen Posts stellen jeweils die Meinung des Autors dar und nicht zwangsläufig jene der it.sec. Die Inhalte sind stellen keine Beratung dar und übernehmen für die Inhalte keine Haftung.

Tags

Mo Di Mi Do Fr Sa So
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31