Überwachungsskandale und "Rasterfahndungen" gegen Mitarbeiter durch Unternehmen sorgten in den vergangenen Wochen für Schlagzeilen. Die Öffentlichkeit übersieht dabei oft, dass Unternehmen dazu berechtigt und mitunter sogar verpflichtet sind, interne Ermittlungen anzustellen. Die vorliegende Checkliste soll eine Hilfe sein, Antworten auf die Frage nach den rechtlichen Beschränkungen bei der Mitarbeiterüberwachung zu geben.
Vorweg: Überwachungsmaßnahmen betreffen nahezu immer die Persönlichkeitsrechte der Mitarbeiter. Eine vollständige Kontrolle ist zwar stets unzulässig. Andererseits verfolgt der Arbeitgeber oftmals legitime Ziele. Im Einzelfall und durch die geschickte Setzung des rechtlichen Rahmens (beispielsweise durch Einführung einer guten IT-Policy) stehen ihm umfassende Befugnisse zur Überwachung und Kontrolle zu.
Die folgenden Checklisten enthalten Fragen, die man sich stellen muss, bevor man mit einer Untersuchung beginnen kann. Klare Ja/nein-Antworten auf die einzelnen Fragen gibt es nicht – sie wären auch gefährlich. Die Situationen sind, was das Arbeitsrecht anbelangt, zum Großteil noch nie gerichtlich geklärt worden. Was den Datenschutzteil anbelangt, hängen die Antworten zumeist vom Einzelfall ab. Kurzum: Ein IT-Leiter sollte im konkreten Fall mit diesen Listen zu seiner Rechtsabteilung gehen, um die verschiedenen Punkte durchzusprechen.
Checkliste Datenschutz
Ist es möglich, die Untersuchung auf eine Einwilligung der zu Untersuchenden zu stützen? (Achtung: Teilweise wird die Ansicht vertreten, dass Mitarbeitereinwilligungen nicht freiwillig seien, dies gilt aber grundsätzlich nicht für die Geschäftsführung und leitende Angestellte)? Wenn nein, gibt es einen Rechtfertigungstatbestand für die Untersuchungsmaßnahmen (typischerweise: Paragraf 28 Absatz 1 Nummer 2 BDSG)?
Sind die Betroffenen von der Untersuchung und insbesondere über die verantwortliche Stelle, die zu verarbeitenden Daten und mögliche Empfänger der Daten informiert worden?
Gibt es eine IT-/E-Mail-Richtlinie, die bei der Untersuchung zu befolgen ist?
Wurde diese Richtlinie in der Vergangenheit durchgesetzt? Nichtdurchsetzung des Verbots der privaten Nutzung kann zu einer betrieblichen Übung führen. In der Folge wäre die private Nutzung erlaubt, so dass das Fernmeldegeheimnis auf private E-Mails und die Umstände der Kommunikation Anwendung finden könnte.
Wird die Überprüfung ... • durch einen externen Dienstleister vorgenommen, und hat dieser einen Auftragsdatenverarbeitungsvertrag nach Paragraf 11 BDSG unterzeichnet? • von einem Mitarbeiter geleistet, und hat dieser eine Verpflichtung auf das Datengeheimnis nach Paragraf 5 BDSG unterzeichnet?
Sind für eine elektronische Durchsuchung relevante Stichwörter identifiziert worden, die helfen sollen, dass lediglich relevante und keine privaten E-Mails herausgefiltert werden?
Sind dem Dienstleister oder Mitarbeiter schriftliche Anweisungen gegeben worden, wie er die Untersuchung vornehmen soll (Stichworte, Zeitraum etc.) und wie er private oder nicht relevante E-Mails behandeln soll (zum Beispiel "sofort schließen", "nicht lesen‚Äù, "nicht kopieren‚Äù, "nicht weiterleiten", "nicht drucken")?
Werden die Ergebnisse der Untersuchung (zum Beispiel der E-Mail-Durchsuchung oder Interviewmitschriften bei Mitarbeiterbefragungen) • an Dritte übermittelt (an andere Unternehmen der Gruppe, die möglicherweise außerhalb der EU sitzen) und – sofern die Antwort "ja" ist –, • wurde die Zulässigkeit der Übermittlung überprüft (typischerweise nach Paragraf 28 Absatz 1 Nummer 2 BDSG), • und ist beim Empfänger ein angemessenes Datenschutzniveau sichergestellt (zum Beispiel durch EG-Standardvertragsklauseln, Safe-Harbor-Zertifizierung oder verbindliche Unternehmensrichtlinien)?
Werden die Ergebnisse der E-Mail-Durchsuchung oder Interviewmitschriften bei Mitarbeiterbefragungen vor der Weiterleitung anonymisiert oder pseudonymisiert?
Sind die Aufbewahrungs- und Löschungsfristen für Untersuchungsergebnisse klar, und wird die Löschung von Untersuchungsergebnissen eingehalten und kontrolliert?
Wurde dem Datenschutzbeauftragten das Recht zur Vorabkontrolle nach Paragraf 4 d, Absätze 5 und 6 BDSG eingeräumt?
Checkliste Arbeitsrecht
Besteht ein Betriebsrat?
Bestehen Betriebsvereinbarungen zu Kontrollmaßnahmen bei Mitarbeitern beziehungsweise zur Kontrolle der IT/E-Mail-Systeme?
Sind Benachrichtigungspflichten gegenüber dem Betriebsrat und/oder Mitbestimmungsrechte des Betriebsrats eingehalten worden?
Müssen Mitarbeiter zu Interviewterminen erscheinen und auf Fragen antworten?
Ist Mitarbeitern bei Interviews ein Anwalt (auf Kosten des Arbeitgebers) beizustellen?
Sind Mitarbeiter darauf hinzuweisen, dass sie sich nicht selbst belasten müssen? Wenn ja, in welcher Form?
Sind Vertreter des Betriebsrats berech-tigt, an den Interviews oder sonstigen Untersuchungsmaßnahmen teilzunehmen?
Hat der Betriebsrat ein Recht, die Untersuchungsergebnisse zu erhalten oder einzusehen?
Haben die Mitarbeiter ein Recht, die Untersuchungsergebnisse zu erhalten oder einzusehen?
Müssen die Untersuchungsergebnisse in die Personalakte?
Hat sich das Unternehmen Gedanken gemacht, dass rechtswidrig erhobene Beweise in einem späteren gerichtlichen Verfahren möglicherweise einem Beweisverwertungsverbot unterliegen und deshalb nicht nutzbar gemacht werden können?
Checkliste Strafrecht
Beziehen sich Untersuchungsmaßnahmen auf E-Mails während des Übermittlungsvorgangs (in diesem Fall wäre das Fernmeldegeheimnis berührt)?
Erstrecken sich Untersuchungsmaßnahmen auch auf E-Mail-Log-Files (in diesem Fall kann das Fernmeldegeheimnis berührt sein)?
Werden im Rahmen von Untersuchungsmaßnahmen private Daten verändert oder gelöscht?
Beziehen sich die Untersuchungsmaßnahmen auf Passwort-geschützte oder verschlüsselte private Daten?
Bestehen hinsichtlich der untersuchten Vergehen mögliche Anzeigepflichten gegenüber staatlichen Strafverfolgungsbehörden?
Auch hier gilt schließlich, dass rechtswidrig erhobene Beweise in einem gerichtlichen Verfahren unter Umständen nicht verwendet werden können, weil sie einem Beweisverwertungsverbot unterliegen. (sh)