2. Dezember 2019

Commercial Crime,

Corporate Crime,

Cybercrime,

Financial Crime,

Forensics & Investigation,

Wirtschaftskriminalistik,

Wirtschaftsrecht

Verhinderung von Missbräuchen durch Überwachung der Arbeitnehmer?

Verhinderung von Missbräuchen durch Überwachung der Arbeitnehmer?

Von Dr. Reto Fanger

Was müssen Unternehmen bei der Kontrolle ihrer Arbeitnehmer beachten? Welche unternehmensinternen Vorschriften müssen für eine rechtskonforme Überwachung der Arbeitnehmer erlassen werden?

Unternehmen haben ein legitimes Interesse daran, missbräuchliches Verhalten ihrer Arbeitnehmer bei der Aufgabenerfüllung zu verhindern. Um ein allfälliges regelwidriges Verhalten aufdecken zu können, führen Unternehmen interne Untersuchungen durch. Welche rechtlichen Grenzen sind der Kontrolle der Arbeitnehmer gesetzt?

Datenschutz- und Arbeitsrecht

Unabhängig davon, ob es sich nun um Produktivitätsauswertungen mittels Workforce Analytics oder die klassische Überwachung der E-Mail- oder Internetnutzung handelt: Regelmässig werden dabei Personendaten bearbeitet, da sich die Informationen auf eine bestimmte oder bestimmbare Person beziehen, was automatisch zur Anwendbarkeit des Datenschutzgesetzes (DSG) führt.

Nach der arbeitsvertraglichen Spezialbestimmung zum DSG darf der Arbeitgeber Daten über den Arbeitnehmer nur bearbeiten, soweit sie dessen Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrages erforderlich sind. Dies trifft dann zu, wenn sie vom Arbeitgeber zur Erfüllung seiner gesetzlichen oder arbeitsvertraglichen Pflichten oder für den Vertragsvollzug benötigt werden. Von legitimen betrieblichen Interessen kann man auch beim Interesse des Arbeitgebers an der Erfüllung vertraglicher und gesetzlicher Pflichten durch den Arbeitnehmer ausgehen. Die Verhinderung missbräuchlichen Verhaltens des Arbeitnehmers bei der (korrekten) Erfüllung seiner Aufgaben aus dem Arbeitsverhältnis gilt daher grundsätzlich als legitim.

Überwachungs- und Kontrollsysteme, die das Verhalten der Arbeitnehmer am Arbeitsplatz überwachen sollen, dürfen nach Art. 26 Abs. 1 der Verordnung 3 zum Arbeitsgesetz (ArGV 3) nicht eingesetzt werden. Dies gilt allerdings nicht für Leistungs– und Sicherheitskontrollen: Für diesen Zweck sind die Überwachungs- oder Kontrollsysteme aber so zu gestalten und anzuordnen, dass sie die Gesundheit und die Bewegungsfreiheit der Arbeitnehmer nicht beeinträchtigen. Generell ist die ständige und damit systematische Verhaltensüberwachung der Mitarbeitenden mit Überwachungs- und Kontrollsystemen unzulässig, während sie für den Zweck der Leistungs- und Sicherheitskontrolle den Anforderungen der ArGV3 entspricht, sofern Gesundheit und Bewegungsfreiheit der Mitarbeiter nicht beeinträchtigt werden.

Weiter dürfen Personendaten nur rechtmässig bearbeitet werden (Art. 3 lit. e DSG). Als Rechtfertigungsgrund hilft die Zustimmung der Mitarbeitenden oftmals nicht weiter, da es im Arbeitsverhältnis meist an der erforderlichen Freiwilligkeit einer solchen Einwilligung mangeln dürfte. In Branchen mit Überwachungsverpflichtungen kann sich allerdings ein Rechtfertigungsgrund bereits aus dem Arbeitsvertrag allein ergeben, während sich Arbeitgeber in Branchen ohne Überwachungsverpflichtungen oftmals auf ein überwiegendes privates Interesse berufen können.

Die Kontrolle der E-Mail- und Internetnutzung hat sodann dem Grundsatz der Verhältnismässigkeit zu entsprechen und darf nur nach Treu und Glauben erfolgen (Art. 4 Abs. 2 DSG). Die Auswertung der Daten solcher Kontrollen darf daher nur soweit vorgenommen werden, als sie zur Missbrauchsaufdeckung geeignet ist. Dabei ist immer das mildestmögliche Vorgehen aus Sicht des Arbeitnehmers zu wählen.

Nach dem Grundsatz der Zweckbindung darf das Unternehmen Personendaten nur für diejenigen Zwecke verwenden, welche bei der Beschaffung den Mitarbeitern bekanntgegeben wurden (Art. 4 Abs. 3 DSG). Dem kommt der Arbeitgeber mit dem Erlass eines Überwachungsreglements und durch darauf basierender regelkonformer Datenbearbeitung nach. In diesem Reglement wird festgehalten, welche Auswertungen für welche Zwecke mit welchen Daten durchgeführt werden.

Die Kontrolle der E-Mail- und Internetnutzung und deren Zweck müssen schliesslich für die Mitarbeiter nach dem Grundsatz der Transparenz erkennbar sein (Art. 4 Abs. 4 DSG), weshalb sie der Arbeitgeber vorgängig über Art, Umfang und Zweck der Überwachung informieren muss.

Unternehmensinterne Vorschriften und Massnahmen

Arbeitgeber können somit mit unternehmensspezifischen betrieblichen Reglementen klare Verhältnisse schaffen. Abgesehen von der Festlegung der betriebsspezifisch zulässigen E-Mail- und Internetnutzung sind in diesen Reglementen auch Vorgehen und Art der Überwachung sowie die daraus sich ergebenden Sanktionen bei Missbrauch zu beschreiben. Werden die Arbeitnehmer im Reglement aufgefordert, ihre privaten und geschäftlichen Daten zu trennen, können künftige Überwachungsmassnahmen allenfalls zureichend gerechtfertigt werden. Gleichzeitig kann so den datenschutzrechtlichen Anforderungen bezüglich Treu und Glauben, Transparenz sowie der Vorhersehbarkeit der Datenerhebung Rechnung getragen werden.

Neben diesen Vorschriften hat der Arbeitgeber weitere organisatorische sowie technische Massnahmen gegen eine missbräuchliche Nutzung zu treffen (Information und Sensibilisierung der Arbeitnehmenden, Einsatz aktueller Firewalls sowie Nutzungsfilter, Zugriffs- und Antivirenschutz sowie Backups).

Vorgehen bei internen Untersuchungen

Erweist sich eine Überwachung aufgrund festgestellter technischer Unregelmässigkeiten als erforderlich, ist diese nach der Vorgabe des Eidgenössischen Datenschutz und Öffentlichkeitsbeauftragten (EDÖB) zunächst anonymisiert und nach weitere Eingrenzung des Kreises möglicher Verdächtiger pseudonymisiert durchzuführen. Erst bei klaren Hinweisen auf Missbrauch oder ein Risikoverhalten darf personenbezogen überwacht werden. Dabei kann der Arbeitgeber wie folgt vorgehen:

  • Analyse der Verdachtsmomente
  • Planung der internen Untersuchungen
  • Durchführung der internen Untersuchungen
  • Berichterstellung
  • Bedarfsweiser Beizug sowie Berichterstattung an die zuständigen Strafverfolgungsbehörden

Autor: RA Dr. Reto Fanger

RA Dr. Reto Fanger ist Rechtsanwalt (ADVOKATUR FANGER – Anwaltsboutique für ICT-, Daten-, Medien- und Arbeitsrecht, Luzern; www.advokatur-fanger.ch) sowie Founding Partner der Swiss Business Protection AG (www.swissbp.ch). Daneben wirkt er als Lehrbeauftragter an der Universität Luzern, als Dozent an der Hochschule Luzern sowie als Co-Organisator und -Tagungsleiter des Lucerne LAW & IT Summit (LITS) der Universität Luzern.

Kommentare

0 Kommentare

Kommentar verfassen

Danke für Ihren Kommentar, wir prüfen dies gerne.