Mitarbeiterüberwachung

Welche Kontrollen die DSGVO erlaubt

04.11.2021
Von  und
Julia Kaufmann ist Partner in der Kanzlei Baker McKenzie in München.
Christian Koops ist Senior Associate in der Kanzlei Baker McKenzie in München.
Zur Mitarbeiterüberwachung bleiben für Arbeitgeber trotz Datenschutzgrundverordnung Spielräume. In manchen Fällen besteht sogar die gesetzliche Verpflichtung zur Kontrolle.
Die Datenschutzgrundverordnung (DSGVO) gewährt dem Arbeitnehmer zwar einen hohen Grad an Datenschutz, dennoch haben Arbeitgeber Möglichkeiten - und in einigen Fällen sogar die Verpflichtung - ihre Mitarbeiter zu überwachen.
Die Datenschutzgrundverordnung (DSGVO) gewährt dem Arbeitnehmer zwar einen hohen Grad an Datenschutz, dennoch haben Arbeitgeber Möglichkeiten - und in einigen Fällen sogar die Verpflichtung - ihre Mitarbeiter zu überwachen.
Foto: Who is Danny - shutterstock.com

Die EU-Datenschutzgrundverordnung (DSGVO) hat die Bedeutung des Datenschutzes auch bei Arbeitnehmerüberwachung und -kontrollen erneut betont. Dem Arbeitgeber sind durch die DSGVO zwar in Bezug auf die Überwachung des Arbeitnehmers datenschutzrechtliche Grenzen gesetzt, gleichzeitig zwingen aber straf- und ordnungsrechtliche Vorschriften den Arbeitgeber, seine Arbeitnehmer unter gewissen Umständen zu kontrollieren. In der Praxis finden Arbeitnehmerüberwachungen und -kontrollen insbesondere im Zusammenhang mit internen Untersuchung oder IT-Sicherheitstools statt. Auch die COVID-19-Krise mit verstärkter Arbeit von zu Hause hat das Bedürfnis der Arbeitgeber gesteigert, die Arbeitszeiten und Arbeitsleistungen der Mitarbeiter genauer zu kontrollieren.

Datenschutz vs. Compliance: Next Level

Das Spannungsverhältnis zwischen Datenschutz und Compliance wird bald um eine weiter Facette reicher: Mit der geplanten Einführung des Verbandssanktionengesetzes beabsichtigt die Bundesregierung die gesetzliche Normierung eines einheitlichen "Unternehmensstrafrechts" in Deutschland. Der Entwurf der Bundesregierung enthält erstmalig auch Verfahrensvorschriften für die Durchführung von unternehmensinternen Untersuchungen.

Die Einhaltung dieser Verfahrensvorschriften ist eine Obliegenheit des Arbeitgebers, um in den Genuss von erheblichen Sanktionsmilderungen zu gelangen. Hält sich der Arbeitgeber nicht an die Vorschriften, ist es möglich, dass seine eigenen Aufklärungsbemühungen nicht sanktionsmildernd berücksichtigt werden. Ein wichtiger Grundsatz ist dabei die Einhaltung des Prinzips des "fairen Verfahrens". Dieser Grundsatz ist Einfallstor für das Datenschutzrecht, da ein Verfahren gegen Arbeitnehmer als potentiell Beschuldigte nur dann fair sein dürfte, wenn neben den arbeitsrechtlichen auch die datenschutzrechtlichen Bestimmungen eingehalten werden. Die Bedeutung des Datenschutzes im Arbeitsverhältnis wird damit in Zukunft gerade im Bereich Compliance weiter zunehmen.

Im Gegensatz zu anderen Ländern ist der Arbeitnehmer-Datenschutz in Deutschland besonders ausgeprägt. Auch im Arbeitsverhältnis gilt das verfassungsrechtlich verbürgte Recht auf informationelle Selbstbestimmung. Eine Totalüberwachung von Arbeitnehmern scheidet somit von vornherein aus. Der Ansatz "No expectation of privacy" im Arbeitsverhältnis gilt in Deutschland nicht. Vielmehr sind für die zulässige Überwachung und Kontrolle der Mitarbeiter die Einhaltung von datenschutz-, arbeits- und telekommunikationsrechtliche Vorschriften erforderlich.

Insbesondere stellt die Ansicht der Datenschutzbehörden und einiger Gerichte zur Anwendbarkeit des Fernmeldegeheimnisses im Arbeitsverhältnis eine rechtliche Hürde für Überwachungsmaßnahmen dar, die nur im Vorhinein mit einer entsprechenden verbindlichen Regelung überwunden werden kann. Auch kann der Arbeitgeber die Durchführung möglicher Überwachungs- und Kontrollmaßnahmen im Einklang mit rechtlichen Anforderungen erleichtern, indem er generell Transparenz hinsichtlich dieser Maßnahmen schafft.

E-Mail-Überwachung: Privatnutzung geschäftlicher Systeme

Um dem Verdacht auf kartellrechtliche Absprachen oder dem Verrat/Missbrauch von Geschäftsgeheimnissen nachzugehen, möchten Unternehmen häufig die E-Mails von Mitarbeitern sichten. Im Vorfeld sollten jedoch zunächst die folgenden Aspekte bedacht werden:

Das deutsche Fernmeldegeheimnis

Wenn den Mitarbeitern die private Nutzung des E-Mail-Systems gestattet ist (entweder ausdrücklich oder durch Duldung des Arbeitgebers), ist der Arbeitgeber nach Ansicht der Datenschutzbehörden und einiger Gerichte ein TK-Diensteanbieter und unterliegt dem Fernmeldegeheimnis. Das Fernmeldegeheimnis verbietet unter Androhung von Geldstrafe oder sogar Haftstrafe insbesondere das Zugänglichmachen von Kommunikationsinhalten und Kommunikationsumständen an Dritte (also, wer hat mit wem wann über was kommuniziert), es sei denn, der Kommunikationsteilnehmer hat eingewilligt.

Teilweise wird sogar vertreten, dass das Fernmeldegeheimnis nicht nur auf rein private Kommunikation Anwendung findet, sondern auch auf gemischt beruflich-private oder sogar auch auf rein berufliche Kommunikation. Bei internen Untersuchungen kann eine Zugänglichmachung von Mitarbeiter-E-Mails an Dritte schon dann vorliegen, wenn der externe Dienstleister oder Rechtsberater oder auch die Konzernmutter Informationen zu E-Mail-Kommunikationen des Mitarbeiters erhalten.

Zwar werden die Stimmen in der juristischen Literatur und bei den Gerichten immer lauter, dass der Arbeitgeber nicht als TK-Diensteanbieter anzusehen ist und die damit verbundene Strafbarkeitsvorschriften bei Verletzung des Fernmeldegeheimnisses auch nicht gelten. Solange diese Rechtsfrage jedoch weder höchstrichterlich noch vom Gesetzgeber entschieden ist, empfiehlt es sich, Maßnahmen zu ergreifen, um die Anwendbarkeit des Fernmeldegeheimnisses zu vermeiden.

Da eine Einwilligung der Mitarbeiter bei einer akuten internen Untersuchung sowohl an praktische (unter Umständen verweigert oder widerruft der Mitarbeiter die Einwilligung) als auch an rechtliche (die Datenschutzbehörden beurteilen eine solche Einwilligung grundsätzlich als unwirksam, weil der Mitarbeiter die Einwilligung gegenüber seinem Arbeitgeber nicht frei und ohne Zwang abgeben kann) Grenzen stößt, empfehlen die Datenschutzbehörden, die Privatnutzung des beruflichen E-Mail-Accounts für alle Mitarbeiter ausdrücklich zu verbieten. Zusätzlich muss ein Kontrollsystem etabliert werden, um dieses Verbot auch durchzusetzen. Ein Verbot ohne Durchsetzung kann zu einer geduldeten Privatnutzung führen, die wiederum unter Umständen genauso behandelt wird, wie eine ausdrücklich gestattete Privatnutzung.

Wenn ein solches Totalverbot der Privatnutzung aus Gründen des Betriebsklimas und der bisherigen Praxis nicht gewünscht ist, kann der Arbeitgeber einen Mittelweg wählen: Trotz des generellen und ausdrücklichen Verbots der Privatnutzung wird dem einzelnen Mitarbeiter angeboten, dass im Einzelfall die Privatnutzung des beruflichen E-Mail-Accounts erlaubt wird, wenn er im Gegenzug auf das Fernmeldegeheimnis verzichtet.

Eine solche Verzichtserklärung wird von den Datenschutzbehörden als freiwilliger Akt und somit als wirksam angesehen. Unklar ist in diesem Fall allerdings, ob bei einem Widerruf der Verzichtserklärung das Fernmeldegeheimnis für bereits empfangene und gesendete E-Mails wiederauflebt und somit Durchsuchungen dieser Bestands-E-Mails zu einer Verletzung des Fernmeldegeheimnisses führen oder auch, ob und wie das Fernmeldegeheimnis für den externen Kommunikationspartner gilt.

Andere Optionen sind die Nutzung der privaten Webmail-Dienste über das Firmen-Internet zu erlauben, sodass die berufliche E-Mail-Korrespondenz im beruflichen E-Mail-Account von der privaten Korrespondenz im Webmail-Dienst getrennt ist. Diese Erlaubnis zur Privatnutzung des Firmen-Internet hat allerdings zur Folge, dass die Nutzungsdaten des Firmen-Internets dem Fernmeldegeheimnis unterliegen soll, etwa die Logfiles als Informationen über die Umstände der Kommunikation über das Internet.

Die vorgenannten Optionen werden typischerweise durch eine Betriebsvereinbarung, durch eine interne Richtlinie zur Nutzung der IT-Systeme oder auch durch Regelungen im Arbeitsvertrag implementiert. Einen Königsweg zum Umgang mit dem Fernmeldegeheimnis in Deutschland gibt es derzeit nicht. Unternehmen sollten unter Abwägung der konkreten Arbeitsumstände mit den möglichen rechtlichen Implikationen die für sie beste Lösung ermitteln.

Datenschutzrechte

Selbst wenn die Anwendbarkeit des Fernmeldegeheimnisses ausgeschlossen worden ist, müssen bei einer Durchsuchung auch von rein geschäftlichen E-Mails die Datenschutzprinzipien, wie Erforderlichkeit, Verhältnismäßigkeit, Datenminimierung, Erlaubnis durch eine Rechtsgrundlage und Transparenz beachtet werden. Diese Datenschutzprinzipien erfordern insbesondere Maßnahmen zur Beschränkung der Durchsuchung auf das absolut erforderliche, Dokumentation der datenschutzrechtlichen Rechtsgrundlage für die Durchsuchung, Beschränkung der Zugriffsrechte, transparente Information an die Mitarbeiter über den Zweck der Durchsuchung, sowie gegebenenfalls die Durchführung einer Datenschutzfolgenabschätzung.

Insbesondere die Bestimmung der richtigen datenschutzrechtlichen Rechtsgrundlage erfordert eine sorgfältige Analyse. Soweit die Durchsuchung der E-Mails zur Aufdeckung von Straftaten oder von schwerwiegenden Pflichtverletzungen des Arbeitnehmers durchgeführt wird, besteht eine datenschutzrechtliche Rechtsgrundlage, vorausgesetzt,

  • dokumentierte tatsächliche Anhaltspunkte begründen den Verdacht, dass der betroffenen Arbeitnehmer im Beschäftigungsverhältnis eine Straftat oder schwerwiegende Pflichtverletzung begangen hat,

  • die Durchsuchung ist zur Aufdeckung erforderlich und

  • das schutzwürdige Interesse des Arbeitnehmers gegen die Durchsuchung der E-Mails überwiegt nicht (insbesondere dürfen Art und Ausmaß der Durchsuchung im Hinblick auf den Anlass nicht unverhältnismäßig sein).

In der Praxis wird typischerweise stufenweise vorgegangen, um dem Grundsatz der Erforderlichkeit und Verhältnismäßigkeit gerecht zu werden, beispielsweise Gespräche mit dem Arbeitnehmer zur Aufdeckung des Sachverhalts auf der ersten Stufe, automatisierte Durchsuchung der E-Mails nach Stichworten und begrenzt auf einen möglichst kurzen Zeitraum auf der zweiten Stufe, und eine manuelle Durchsicht von möglicherweise relevanten E-Mails erst auf der dritten Stufe.

Betriebsrat

Sofern es sich nicht um anlassunabhängige Kontrollen beziehungsweise Stichproben, sondern um die Aufklärung konkreter individueller Pflichtverletzungen handelt, unterliegen solche Untersuchungsmaßnahmen mangels kollektiven Bezugs und - da es sich regelmäßig um das Arbeitsverhalten des Arbeitnehmers handelt - nicht der betrieblichen Mitbestimmung. Gleichwohl unterliegt die Einführung und Nutzung der technischen Einrichtung (hier: das E-Mail-Postfach beziehungsweise das E-Mail-Programm, welches Gegenstand der Untersuchung ist oder auch das E-Discovery-Tool zur automatischen Durchsuchung des beruflichen E-Mail-Accounts) der betrieblichen Mitbestimmung.

Der Abschluss einer entsprechenden Betriebsvereinbarung über die Einführung und Nutzung der Einrichtung, die das Recht des Arbeitgebers auf die Vornahme von Auswertungen im Fall eines dringenden Verdachts von schweren Pflichtverletzungen und Straftaten eines Mitarbeiters normiert, ist in jedem Fall geboten. Dies gilt auch für die nachfolgend geschilderten Konstellationen (mit Ausnahme Ziff. 7), die - da es sich um Zugriffsrecht auf technische Einrichtungen handelt - ebenfalls der betrieblichen Mitbestimmung unterliegen.

Ist ein Arbeitnehmer vorübergehend (wegen Urlaub oder Krankheit) oder dauerhaft wegen Ausscheidens aus dem Unternehmen abwesend, besteht häufig das Bedürfnis die geschäftlichen E-Mails (und andere Dateien) des Arbeitnehmers, sowohl in den Archiven als auch neu im Posteingang, zur Fortsetzung des Geschäftsbetriebs einzusehen. Auch hier ist zunächst eine Regelung erforderlich, die eine Verletzung des Fernmeldegeheimnisses bei Zugriff auf die E-Mails vermeidet (siehe oben). Zusätzlich sollte eine transparente, die Interessen der Mitarbeiter angemessen berücksichtigende Regelung, sei es als interne Richtlinie, als Betriebsvereinbarung oder als Teil des Arbeitsvertrags, die Umstände und Bedingungen eines Zugriffs festlegen.

Mitarbeiterüberwachung: DLP Tools, Keylogger und Ortung

Um vertrauliche Informationen, Geschäftsgeheimnisse und personenbezogene Daten vor unberechtigtem Zugriff zu schützen, setzen Arbeitgeber regelmäßig IT-Tools ein, wie Data Loss Prevention Tools, Virenfilter oder SSL-Entschlüsselungs-Systeme. Soweit diese Tools den Zweck verfolgen, den Zugriff auf personenbezogene Daten zu verhindern, werden diese grundsätzlich als geeignete und erforderliche Sicherheitsmaßnahmen zum Schutz der personenbezogenen Daten (Art. 32 DSGVO) angesehen. Allerdings sind bei der Implementierung dieser Tools wiederum die Beschränkungen des Fernmeldegeheimnisses und des Datenschutzes zu beachten.

Sollte die Privatnutzung des beruflichen E-Mail-Accounts und des Firmen-Internets nicht ausdrücklich und wirksam verboten sein, führen diese Tools regelmäßig - der Ansicht der Datenschutzbehörden und einiger Gerichte folgend - zur Verletzung des Fernmeldegeheimnisses und somit zu einer möglichen Strafbarkeit. Zudem müssen diese Werkzeuge so konfiguriert und implementiert werden, dass sie die oben erwähnten Datenschutzprinzipien beachten.

Insbesondere die Prinzipien von Erforderlichkeit, Verhältnismäßigkeit und Datensparsamkeit erfordern typischerweise ein stufenweises Vorgehen. Auf der ersten Stufe sollten die Tools - soweit möglich - mit Pseudonymen statt mit vollständigen Namen der Mitarbeiter arbeiten. Auf der zweiten Stufe sollte der Mitarbeiter, soweit möglich, durch automatisierte Warnmeldungen auf ein mögliches Fehlverhalten hingewiesen werden. Auf der dritten Stufe sollten - soweit möglich - pseudonymisierte Protokolle ausgewertet werden, bevor bei einem tatsächlich festgestellten Verstoß, das Pseudonym dem Mitarbeiter zugeordnet wird.

Eine Software, mit der sämtliche Tastatureingabe zum Zweck der Mitarbeiterkontrolle protokolliert werden, ist grundsätzlich datenschutzrechtlich unzulässig. Nur im Einzelfall und bei einem konkreten dokumentierten Verdacht, dass der Mitarbeiter im Beschäftigungsverhältnis im Zusammenhang mit der Nutzung des Computers eine Straftat oder einen anderen schwerwiegenden Pflichtverstoß begangen hat, und wenn es kein milderes Mittel zur Aufdeckung gibt, kann eine solche Keylogger-Software zulässig sein. Weiters müssen die Beschränkungen des Fernmeldegeheimnisses (siehe oben) beachtet werden.

Bei außerhalb des Betriebs tätigen Mitarbeitern kann der Arbeitgeber ein Interesse an der Ortung der Mitarbeiter haben, beispielsweise mittels GPS, WLAN oder über das Mobilfunknetz des Firmenhandys. Mit einer Ortung könnte einerseits die Einhaltung der Arbeitszeit überprüft werden. Zum anderen kann die Ortung der wirtschaftlichen Optimierung von Geschäftsabläufen (zum Beispiel Routenplanung, Auslastungsmanagement, Treibstoffverbrauch, etc.) dienen. Im Zuge der COVID-19-Pandemie ist des Öfteren auch der Vorschlag der dauerhaften Echtzeitortung von Mitarbeitern zur Nachverfolgung von Infektionsketten gemacht worden.

Bei einer Ortung über Telekommunikationsgeräte, wie dem Firmen-Handy, können hierbei zum einen die rechtlichen Anforderungen des Fernmeldegeheimnisses relevant werden. Zum anderen ist eine ununterbrochene und präzise Ortung des einzelnen Mitarbeiters grundsätzlich unzulässig. Die vereinzelte und grobe Ortung kann hingegen zulässig sein, wenn sie der Durchführung des Beschäftigungsverhältnisses dient. Ob die Ortung von Außendienstmitarbeitern zum Zwecke des Flottenmanagements und der Einsatzkoordinierung zulässig ist, hängt von der konkreten Umsetzung ab, insbesondere Häufigkeit und Genauigkeit der Ortung, transparente Information und ortungsfreie Zeiträume. Grundsätzlich kann auch die Kontrolle der Arbeitszeit des Mitarbeiters ein zulässiger Verarbeitungszweck sein, wenn dies nicht zu einer Totalüberwachung führt.

In jedem Fall muss die Ortung entsprechend der allgemeinen Datenschutzprinzipien durchgeführt werden, das heißt zulässiger Verarbeitungszweck, transparente Information an die Mitarbeiter, Ortung nur im absolut erforderlichen Rahmen (wenn möglich nur Ortung eines Gebiets statt Ortung des exakten Standorts), konkrete Festlegung des Zwecks, sehr begrenzte Speicherung der Daten und sehr begrenzter Zugriff auf die Daten.

Auch kann das Telekommunikationsgesetz insbesondere bei der Ortung über Handys, die auf "Bring your own device" beruhen, eine Einwilligung des Mitarbeiters erfordern, welche wegen des Arbeitnehmer-Arbeitgeber-Verhältnisses aber meist unwirksam sein wird. Erfolgt die Ortung über das Mobilfunknetz des TK-Anbieters, müsste bei jeder Ortung eine SMS an das Handy versandt werden, soweit die Ortung nicht nur auf dem Handy angezeigt wird. Bei einer Ortung via Internet und GPS vertritt der Bundesbeauftragte für den Datenschutz und Informationsfreiheit die Auffassung, dass das Telekommunikationsgesetz nicht gilt, und somit "nur" die datenschutzrechtlichen Grundprinzipien eingehalten werden müssen.

Zufällige, anlasslose und verdachtsunabhängige Kontrollen von Taschen (zum Beispiel am Ausgang, um Diebstähle zu verhindern) oder Schubläden (zum Beispiel bei Call-Center-Mitarbeitern, um Kreditkartenbetrug zu verhindern) in Anwesenheit des Mitarbeiters sind regelmäßig datenschutzrechtlich zulässig, wenn die Grundprinzipien des Datenschutzrechts beachtet werden. Das Fernmeldegeheimnis spielt in diesem Kontext keine Rolle. Zwar ist in diesem Fall Gegenstand der Untersuchung keine technische Einrichtung, allerdings unterliegen allgemeine Kontrollen dem Mitbestimmungsrecht des Betriebsrats, da ein kollektiver Bezug vorliegt und solche Maßnahmen das Verhalten der Arbeitnehmer im Betrieb tangiert, nämlich die Kontrolle des Arbeitgebers zu dulden.

Homeoffice-Kontrollen: Das ist zulässig

Bei Arbeitgebern, deren Mitarbeiter im Homeoffice arbeiten, kann das Bedürfnis nach einer technischen Überwachung hinsichtlich der Arbeitszeit bestehen. Hierzu sind eine Vielzahl unterschiedlicher Überwachungs- und Kontrollmittel denkbar, etwa das Protokollieren des Ein- und Ausloggens am Computer, der Aktivitäten im Firmennetzwerk bis hin zu einzelnen Tastenanschlägen am Rechner des Mitarbeiters.

Die Aufzeichnung der Häufigkeit der Tastenanschläge wird grundsätzlich wegen des Charakters der Dauerüberwachung unzulässig sein (siehe oben zu Keylogger-Software). Die Überprüfung der Login-Daten könnte mit dem analogen Einstempeln verglichen werden und als zulässig angesehen werden, wenn die sonstigen Grundprinzipien des Datenschutzrechts beachtet werden. Auswertungen des Aktivitätsstatus bei Instant-Messenger-Diensten werden auch nur in Einzelfällen zulässig sein, weil der Zweck des Aktivitätsstatus typischerweise nicht die Arbeitszeitkontrolle, sondern die Echtzeit-Kommunikation ist und deshalb eine Aufzeichnung des Aktivitätsstatus grundsätzlich nicht erforderlich sein dürfte. Umfassende oder gar lückenlose Kontrollmaßnahmen des Arbeitgebers sind aber auch im Homeoffice grundsätzlich unzulässig.

Mitarbeiterüberwachung: Checklisten für interne Untersuchungen

Die folgenden Checklisten sind Leitfäden für die vielen rechtlichen Fragen, die sich stellen, bevor man mit einer internen Untersuchung beginnen kann und können in ähnlicher Weise auch für sonstige Überwachungsmaßnahmen angewendet werden. Klare Ja/nein-Antworten auf die einzelnen Fragen gibt es nicht - sie wären auch irreführend. Die Situationen sind teilweise noch nie gerichtlich, jedenfalls nicht höchstrichterlich geklärt worden. Was den Datenschutzteil anbelangt, hängen die Antworten zumeist vom Einzelfall ab. Kurzum: Ein IT-Leiter sollte im konkreten Fall mit dieser Liste zu seiner Rechtsabteilung gehen, um die verschiedenen Punkte durchzusprechen. (pg)

Datenschutz und Strafrecht

  1. Was ist der konkrete Gegenstand und Umfang der internen Untersuchung? Wie lassen sich Gegenstand und Umfang bestmöglich eingrenzen? Gibt es schon konkrete Stichworte und einen Zeitraum für die zu durchsuchenden Dokumente? - je weniger Daten durchsucht werden, desto besser.

  2. Was soll durchsucht werden? E-Mails, Dokumentenarchive, Instant-Messenger-Nachrichten, SMS-Nachrichten, Kommunikations-Log-Files? Sollen auch Interviews durchgeführt werden?

  3. Welche Mitarbeiter sind Gegenstand der internen Untersuchung und warum? (Beschuldigte, mögliche Mitwisser, mögliche Zeugen, mögliche Inhaber von relevanten Dokumenten?)

  4. In welchen Systemen sind diese Dokumente gespeichert und wer hat Zugriff auf diese Dokumente?

  5. Ist die Privatnutzung für diese Systeme entweder ausdrücklich erlaubt oder geduldet? Gibt es hierzu eine IT-Richtlinie, Nutzungsrichtlinie, Nutzungsvereinbarung, arbeitsvertragliche Regelung und/oder Betriebsvereinbarung?

  6. Wird im Rahmen der internen Untersuchung auf Daten zugegriffen, die gegen unberechtigten Zugriff besonders gesichert sind und deren Zugangssicherung besonders überwunden werden muss?

  7. Werden im Rahmen von Untersuchungsmaßnahmen private Daten verändert oder gelöscht?

  8. Haben die Mitarbeiter im Vorfeld eine Einwilligung bezüglich der Privatnutzung der Systeme erteilt?

  9. Wurden die Mitarbeiter entsprechend der Informationspflicht gemäß Art. 13 bzw. Art. 14 DSGVO über die Durchführung von internen Untersuchungs/Überwachungs- und Kontrollmaßnahmen ausreichend und transparent informiert?

  10. Auf welcher Rechtsgrundlage der DSGVO und des BDSG dürfen die personenbezogenen Daten der Mitarbeiter für den Zweck der internen Untersuchung verarbeitet werden (typischerweise § 26 Abs. 1 Satz 1 BDSG, § 26 Abs. 1 Satz 2 BDSG oder Art. 6 Abs. 1 lit. f DSGVO)?

  11. Ist es möglich, die Untersuchung auf eine Einwilligung der betroffenen Mitarbeiter zu stützen (Achtung: Mitarbeitereinwilligungen sind grundsätzlich nicht freiwillig, es sei denn, die betroffenen Mitarbeiter sind leitende Angestellte oder gehören zur Geschäftsführung)?

  12. Wird die Untersuchung oder Ermittlung in Zusammenarbeit mit einem externen Dienstleister durchgeführt (z.B. forensischer Dienstleister, E-Discovery-Dienstleister) und wurde mit diesem Dienstleister ein Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO geschlossen?

  13. Sind dem Dienstleister schriftliche Anweisungen gegeben worden, wie er die Untersuchung vornehmen soll (Stichworte, Zeitraum etc.) und wie er private oder nicht relevante E-Mails behandeln soll (zum Beispiel "sofort schließen" "nicht lesen", "nicht kopieren", "nicht weiterleiten", "nicht drucken")?

  14. Werden die Ergebnisse der Untersuchung (zum Beispiel die Ergebnisse der E-Mail-Durchsuchung oder Interview-Mitschriften bei Mitarbeiterbefragungen) an Dritte übermittelt (an andere Unternehmen der Gruppe, die möglicherweise außerhalb der EU sitzen oder an externe Rechtsberater) und - sofern die Antwort "ja" ist - ist die Zulässigkeit der Übermittlung überprüft worden und ist beim Empfänger, soweit erforderlich, ein angemessenes Datenschutzniveau sichergestellt (Art. 44 ff. DSGVO)?

  15. Werden die Ergebnisse der Dokumenten-Durchsuchung oder Interview-Mitschriften bei Mitarbeiterbefragungen vor Weiterleitung anonymisiert oder pseudonymisiert?

  16. Sind die Aufbewahrungs- und Löschungsfristen für Untersuchungsergebnisse klar, und wird die Löschung von Untersuchungsergebnissen eingehalten und kontrolliert?

  17. Hat sich das Unternehmen Gedanken darüber gemacht, dass rechtswidrig erhobene Beweise in einem späteren gerichtlichen Verfahren möglicherweise einem Beweisverwertungsverbot unterliegen und deshalb nicht nutzbar gemacht werden können?

  18. Bestehen bei den untersuchten Vergehen mögliche Anzeigepflichten gegenüber staatlichen Strafverfolgungsbehörden?

Arbeitsrecht

  1. Besteht ein Betriebsrat ?

  2. Bestehen Betriebsvereinbarungen zu Kontrollmaßnahmen bei Mitarbeitern beziehungsweise zur Kontrolle der IT/E-Mail-Systeme?

  3. Sind Benachrichtigungspflichten gegenüber dem Betriebsrat und/oder Mitbestimmungsrechte des Betriebsrats eingehalten worden?

  4. Handelt es sich bei dem zu befragenden Mitarbeiter um einen Verdächten oder einen Beschuldigten?

  5. Müssen Mitarbeiter zu Interview-Terminen erscheinen und auf Fragen antworten?

  6. Ist Mitarbeitern bei Interviews ein Anwalt (auf Kosten des Arbeitgebers) beizustellen?

  7. Sind Mitarbeiter darauf hinzuweisen, dass sie sich nicht selbst belasten müssen? Wenn ja, in welcher Form?

  8. Sind Vertreter des Betriebsrats berechtigt, an den Interviews oder sonstigen Untersuchungsmaßnahmen teilzunehmen?

  9. Hat der Betriebsrat ein Recht, die Untersuchungsergebnisse zu erhalten oder einzusehen?

  10. Haben die Mitarbeiter ein Recht, die Untersuchungsergebnisse zu erhalten oder einzusehen?

  11. Müssen die Untersuchungsergebnisse in die Personalakte?

  12. Hat sich das Unternehmen Gedanken gemacht, dass rechtswidrig erhobene Beweise in einem späteren gerichtlichen Verfahren möglicherweise einem Beweisverwertungsverbot unterliegen und deshalb nicht nutzbar gemacht werden können?