Auf einen Blick
Ein Arbeitgeber darf die Tätigkeit des Personals und die Nutzung der Arbeitsmittel kontrollieren, aber diese Befugnis ist begrenzt. Kontrollsysteme müssen gerechtfertigt, verhältnismäßig sein, und die Mitarbeiter müssen informiert werden. Es ist unerlässlich, die Arbeitnehmervertretungen zu konsultieren, um die Konformität zu gewährleisten.
Hintergrund
Der Artikel der CNIL (Frankreich) untersucht die Befugnis des Arbeitgebers, die Tätigkeit der Mitarbeiter und die Nutzung beruflicher Ausrüstung zu kontrollieren, und stellt fest, dass diese Befugnis nicht übermäßig ausgeübt werden darf. Diese Kontrolle zielt darauf ab, die ordnungsgemäße Ausführung der Aufgaben zu überprüfen und die Sicherheit von Gütern und Personen zu gewährleisten. Die verwendeten Geräte können IT-Ausrüstung (Telefon, Computer, Dienstwagen), Zugang zu den Räumlichkeiten und Zeiterfassung oder Videoüberwachung betreffen. Um rechtmäßig zu sein, muss ein Kontrollgerät drei kumulative Bedingungen erfüllen: es muss gerechtfertigt und verhältnismäßig zum verfolgten Ziel sein, den Arbeitnehmervertretungen vorgelegt werden (in Unternehmen mit mindestens 50 Mitarbeitern) und den Mitarbeitern bekannt gegeben werden. Die Verhältnismäßigkeit impliziert, dass das Gerät die Rechte und Freiheiten, insbesondere das Recht auf Privatsphäre, das sich gemäß dem französischen Arbeitsgesetzbuch (Art. L.1121-1) und der Rechtsprechung auch auf den Arbeitsplatz erstreckt, nicht übermäßig verletzen darf. Der Arbeitgeber muss das Ziel und den Umfang der Kontrolle klar definieren, Risiken identifizieren und sicherstellen, dass keine weniger intrusiven Mittel zur Erreichung des Ziels existieren. Eine ständige Überwachung wird im Allgemeinen als übermäßig angesehen, es sei denn, es gibt Ausnahmen wie die Geolokalisierung von Einsatzfahrzeugen zu Rettungszwecken. Werkzeuge mit versteckten Zwecken oder solche, die nicht zwischen beruflicher und privater Nutzung unterscheiden, wie ein Keylogger für Telearbeit, sind unverhältnismäßig und daher verboten. Ein Beispiel für ein verhältnismäßiges Gerät ist eine transparente Software, die die Anzahl der pro Mitarbeiter bearbeiteten Fälle vierteljährlich zählt und übermittelt, da dies keiner ständigen Überwachung gleichkommt.
Warum es wichtig ist
Dieser Artikel ist entscheidend für Organisationen, die personenbezogene Daten verarbeiten, da er die rechtlichen Grenzen und Compliance-Grundsätze für die Mitarbeiterüberwachung definiert. Die Implementierung von Überwachungssystemen beinhaltet die Verarbeitung personenbezogener Daten, wodurch die Grundsätze der Rechtfertigung, Verhältnismäßigkeit, Transparenz und Datenminimierung von grundlegender Bedeutung sind. Die Nichteinhaltung dieser Bedingungen kann zu Verletzungen der Privatsphäre der Mitarbeiter führen, mit daraus resultierenden rechtlichen Risiken, Sanktionen und Reputationsschäden. Die Anwendung dieser Grundsätze ist unerlässlich, um die Einhaltung der Datenschutzvorschriften, wie der DSGVO, zu gewährleisten, die die Notwendigkeit einer Datenschutz-Folgenabschätzung (DPIA) und der Implementierung geeigneter technischer und organisatorischer Maßnahmen (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen) betont. Auch wenn ISO 27001 nicht explizit erwähnt wird, fallen Personalmanagement sowie Zugangs- und Aktivitätskontrollen in den Bereich der Informationssicherheit, was einen strukturierten und gesetzeskonformen Ansatz erfordert.
Was zu tun ist
- Die Notwendigkeit und Verhältnismäßigkeit jedes Kontrollsystems bewerten und stets die am wenigsten invasive Alternative suchen.
- Die Ziele der Kontrolle, die erforderlichen Daten sowie die Aufbewahrungs- und Zugriffsmodalitäten klar definieren.
- Die Arbeitnehmervertretungen vor der Einführung neuer Überwachungsgeräte konsultieren.
- Mitarbeiter transparent über die Existenz, Zwecke und Modalitäten der Kontrollen informieren.
- Sicherstellen, dass die Geräte keine ständige oder wahllose Überwachung ermöglichen.
Was zu vermeiden ist
- Kontrollgeräte ohne klare Rechtfertigung und Verhältnismäßigkeitsprüfung implementieren.
- Werkzeuge verwenden, die wahllos persönliche und berufliche Daten erfassen (z.B. Keylogger).
- Ständige oder dauerhafte Überwachungssysteme für Mitarbeiter einführen.
- Zwecke von Kontrollgeräten verbergen oder sie für andere als die angegebenen Zwecke nutzen.
- Die Konsultation der Arbeitnehmervertretungen oder die Kommunikation an die Mitarbeiter unterlassen.
Praktische Auswirkungen
Organisationen müssen bei der Verwaltung von Kontrollsystemen für Mitarbeiter einen proaktiven und risikobasierten Ansatz verfolgen. Es ist unerlässlich, die Management- und Sicherheitsanforderungen mit der Achtung der Grundrechte der Arbeitnehmer, insbesondere des Rechts auf Privatsphäre, in Einklang zu bringen. Die Nichteinhaltung setzt nicht nur rechtlichen Risiken und Sanktionen aus, sondern kann auch das Vertrauen der Mitarbeiter untergraben und die Unternehmenskultur schädigen.
Empfohlene Maßnahmen
- Eine Datenschutz-Folgenabschätzung (DPIA) für alle Mitarbeiterüberwachungsgeräte durchführen.
- Klare und detaillierte Datenschutzinformationen für Mitarbeiter erstellen oder aktualisieren, die die Kontrollen erläutern.
- Verfahren für die Verwaltung der gesammelten Daten implementieren, einschließlich Aufbewahrungsfristen und Zugriffsrechte.
- Führungskräften und Mitarbeitern kontinuierliche Schulungen zum ethischen und rechtlichen Einsatz von Kontrollsystemen anbieten.
Zu vermeidende Fehler
- Kontrollgeräte als Universallösungen betrachten, ohne eine spezifische Analyse des Unternehmenskontexts durchzuführen.
- Die Wirksamkeit und Konformität der Kontrollsysteme nicht regelmäßig im Hinblick auf normative und technologische Entwicklungen überprüfen.
- Durch übermäßige Überwachung eine Unternehmenskultur des Misstrauens schaffen.
Fragen zur Selbsteinschätzung
- Ist jedes implementierte Kontrollsystem tatsächlich notwendig und nicht übermäßig?
- Haben wir die Rechtfertigung und die Verhältnismäßigkeitsprüfung für jedes Gerät dokumentiert?
- Sind unsere Mitarbeiter vollständig über die Kontrollsysteme und deren Zwecke informiert?
- Können wir nachweisen, dass die gesammelten Daten minimal sind und sicher und konform verarbeitet werden?
- Wurden die Arbeitnehmervertretungen vor der Einführung oder Änderung der Kontrollsysteme konsultiert?
Verweise
Nationales Recht: GDPR (principi di minimizzazione, proporzionalità, liceità, trasparenza) · Codice del Lavoro francese Art. L.1121-1 · Giurisprudenza della Corte di Cassazione francese (2001)
Zum Originalartikel auf CNIL (Francia) ↗
Lesen Sie auch
- PL Consulting und Studio Pfeifer & Partners: Pioniererfolg mit ISO 9001 und BIM 11 Jul 2026
- Die Rolle des DSB: Wann er Pflicht ist und warum er strategisch für Ihr Unternehmen ist 11 Jul 2026
- Chatkontrolle in Europa: Vorschlag, Debatte und Implikationen für Datenschutz und Cybersicherheit 10 Jul 2026
