Der Jahresbeginn brachte für einen deutschen Arbeitgeber (AG) eine Rekord-Geldbuße (10,4 Mio Euro) wegen unrechtmäßiger Videoüberwachung seiner Arbeitnehmer (AN). Selbst wenn in Rumänien die verhängten Sanktionen in diesem Bereich deutlich niedriger sind, ist die Tendenz ähnlich: angesichts der neuen Technologien ist es immer schwerer, das Gleichgewicht zwischen den wirtschaftlichen Interessen des AG und dem Schutz der Privatsphäre der AN zu erreichen. Die Pandemie und die damit verbundene Heim- und Telearbeit haben dies nicht vereinfacht. Es folgt eine Zusammenfassung der wichtigsten Regelungen zur Datenverarbeitung am Arbeitsplatz.

Rechtsgrundlage bei Datenverarbeitung im Beschäftigungsverhältnis

Es besteht Einigkeit darüber, dass die Einwilligung der AN zur Datenverarbeitung durch den AG keine gültige Rechtsgrundlage darstellt. Hintergrund ist derjenige, dass sich der AN in einer abhängigen Lage befindet und keine freie Einwilligung erteilen kann.

Daher gilt es, für jede einzelne Datenverarbeitung (inkl. Videoüberwachung) ein berechtigtes Interesse nachweisen zu können, das gegenüber den Schutzrechten der betroffenen AN überwiegt.

Überprüfung der Social-Media-Profile vor und nach der Einstellung

Die Profile potenzieller AN werden regelmäßig nicht nur mittels der übersandten Lebensläufe, sondern auch über Social Media geprüft. Dies ist laut EU-Regelungen nur dann zulässig, wenn dies für die angebotene Stelle erforderlich und relevant ist und der Betroffene hierüber z.B. durch die Stellenanzeige informiert wurde. Kommt es zu keiner Beschäftigung, sind die Daten unverzüglich zu löschen.

Nach der Einstellung kann die Prüfung der Profile der Mitarbeiter nicht generell erfolgen. Für bestimmte Positionen (z.B. Sprecher) kann dies dennoch gerechtfertigt sein. Nach Ausscheiden des AN kann eine solche Überwachung der Profile z.B. für die Laufzeit von Wettbewerbsverboten aufrechterhalten werden.

Zugriff auf E-Mails

Es mag erstaunlich klingen, dass der AG nur in Ausnahmefällen Zugriff auf die berufliche E-Mailadresse des AN hat, selbst wenn die Mails nur zu beruflichen Zwecken genutzt werden dürfen. Rumänien ist 2017 vom EGMR im Fall Barbulescu verurteilt worden, in dem ein AG die Internetkommunikation des AN unrechtmäßig verfolgt hatte.
Eine persönliche Überwachung der E-Mails kann für den Schutz des geistigen Eigentums des AG oder für die Verhinderung der Preisgabe von personenbezogenen Daten durch AN erfolgen. Dies allerdings nur, wenn der AG keine weniger eingreifende spezielle App einsetzen kann, die sämtliche E-Mails nach Schlagwörtern filtert, und den Absender über eine potenzielle Verletzung informiert.

Nach Ausscheiden eines AN darf die E-Mailadresse nicht weitergeführt bzw. weitergeleitet werden. Die Adresse ist, sofern möglich, gleich zu deaktivieren, und der relevante Inhalt (am besten in Anwesenheit des AN) zu filtern. Geschäftspartner müssen automatisch darüber informiert werden, dass der AN das Unternehmen verlassen hat.

Videoüberwachung inkl. Zugang

Dass Videoüberwachung nicht immer und überall im Unternehmen erlaubt ist, zeigt u.a. die eingangs erwähnte Geldbuße in Deutschland. Hier wurde sogar das Argument abgelehnt, die Videokameras seien zur Verhinderung von Straftaten erforderlich, da kein begründeter Verdacht bestand.

In Rumänien wurde ein AG u.a. auch dafür ähnlich sanktioniert, dass er den Zugang zum Gebäude über biometrische Daten (Fingerabdruck) geregelt hatte. Solch sensible Daten sind nur in Ausnahmefällen, z.B. für den Zugang zu Sicherheitsräumen, und nur als ultima ratio zu verarbeiten. Art. 5 des Gesetzes Nr. 190/2018, das in Rumänien zur Anwendung der DSGVO (GDPR) erlassen wurde, schreibt für die Videoüberwachung vor, dass (i) die AN im Vorfeld umfassend über die Form und Dauer informiert werden; (ii) die Gewerkschaft / AN-Vertreter vor Einführung befragt werden; (iii) keine weniger eingreifende Mittel zu dem Zweck möglich sind, und (iv) die Aufbewahrungsdauer der personenbezogenen Daten grundsätzlich 30 Tage nicht überschreiten darf.

Überwachung durch GPS-Geräte

Jeder AG kann sicherlich argumentieren, es sei sinnvoll, die Tätigkeit der AN über bestimmte Softwarepakete zu überwachen, die z.B.Tastatureingaben oder Mausbewegungen aufzeichnen oder Videoaufnahmen erstellen. Dies gestaltet sich indes kompliziert, v.a. derzeit, da die Trennlinie zwischen Privat- und Berufsleben noch dünner ist. Auch GPS-Trackinggeräte sollten eher zum Schutz der AN und nicht zur Überwachung deren Verhaltens genutzt werden.

Fazit und Ausblick

In der Praxis tauchen immer mehr Fälle auf, in denen AN unrechtmäßige Datenverarbeitungen der AG anzeigen. Es bleibt weiterhin eine Herausforderung, die im Einzelfall eingesetzte Verarbeitung im Einklang mit den Grundsätzen der Verhältnismäßigkeit und der Datenminimierung zu gestalten.

Kontakt und weitere Informationen:

STALFORT Legal. Tax. Audit.

Bukarest – Sibiu – Bistrița
Büro  Sibiu:
Tel.:       +40 – 269 – 244 996
Fax.:       +40 – 269 – 244 997
E-Mail:  sibiu@stalfort.ro
www.stalfort.ro