Urteil zur Speicherung von Videoaufnahmen

Wenn der Arbeitgeber zum Spion wird

30.08.2018 von Klaus Thönißen und Christian  Kuss  
Wie lange darf ein Arbeitgeber die Aufzeichnungen einer Videoüberwachung am Arbeitsplatz speichern? Hier trifft das alte Bundesdatenschutzgesetz auf die neue DSGVO. Das Bundesarbeitsgericht hat entschieden.

Selbst nach Monaten dürfen Arbeitgeber Aufzeichnungen aus Videoüberwachungsanlagen auswerten. Zeigt sich dann eine Pflichtverletzung des Arbeitnehmers kann darauf eine (außerordentliche) Kündigung gestützt werden. Dies hat das Bundesarbeitsgericht mit Urteil vom 23. August 2018 (AZR 133/19) entschieden.

Chefs, die die Arbeitsplätze ihrer Mitarbeiter per Videoaufzeichnung überwachen, müssen gesetzliche Vorgaben beachten.
Foto: Who is Danny - shutterstock.com

Das Urteil weicht damit erheblich von der Ansicht ab, die die Datenschutzaufsichtsbehörden bisher vertreten. Wie aus der Pressemitteilung des Gerichts hervorgeht, soll diese Einschätzung auch unter der Datenschutzgrundverordnung (DSGVO) gelten.

Videoüberwachung und Datenschutzrecht

Die Datenschutzaufsichtsbehörden haben in einer Vielzahl von Orientierungshilfen und Beschlüssen beschrieben, wie und unter welchen Voraussetzungen eine Videoüberwachung aus Sicht der Datenschützer zulässig ist. Diese Vorgaben sind in weiten Teilen durch die Gerichte bestätigt und konkretisiert worden. Dies gilt insbesondere für die Videoüberwachung im Arbeitsverhältnis.

Für die Zulässigkeit wird danach unterschieden, ob es sich um eine offene, das heißt erkennbare, oder eine verdeckte, das heißt heimliche, Videoüberwachung handelt. Die offene Videoüberwachung ist in aller Regel zulässig, wenn die überwachende Stelle ein berechtigtes Interesse an der Überwachung hat und keine anderen, gleich geeigneten Mittel zum Schutz des berechtigten Interesses zur Verfügung stehen. Folgende Fälle sind beispielsweise anerkannt:

Doch diese Interessen haben Grenzen: die Überwachung von Waschräumen und Toiletten ist beispielsweise unzulässig. Hierbei überwiegt der Schutz der Intimsphäre der überwachten Personen so sehr, dass eine Videoüberwachung per se verboten ist.

Die offene Videoüberwachung muss durch Hinweisschilder kenntlich gemacht werden. Dadurch soll sichergestellt werden, dass die überwachte Person ihr Verhalten anpassen kann.

Die verdeckte Videoüberwachung greift intensiver in die schutzwürdigen Belange der überwachten Personen ein, weil sie ihr Verhalten nicht anpassen können. Deshalb gelten hier noch einmal höhere Anforderungen als bei der offenen Videoüberwachung. Für die verdeckte Überwachung von Mitarbeitern kommt es entscheidend darauf an, ob es einen konkreten Tatverdacht gegen den Mitarbeiter gibt oder nicht. Liegt ein konkreter Tatverdacht vor, ist eine Videoüberwachung zulässig, wenn es keine alternativen Möglichkeiten gibt, durch die der Arbeitgeber prüfen kann, ob sich der verdächtige Arbeitnehmer vertrags- und gesetzestreu verhält. Die Videoüberwachung gilt als ultima ratio.

Für die Frage, ob eine Videoüberwachung datenschutzrechtlich zulässig ist, kommt es schließlich darauf an, ob die Aufnahmen gespeichert werden oder nur an einem Monitor von einer Person überwacht werden. Wenig eingriffsintensiv ist die bloße Überwachung ohne eine Speicherung, weil hier eine nachträgliche Analyse des Verhaltens der überwachten Personen nicht möglich ist.

Werden die Aufzeichnungen gespeichert, stellt sich die Frage, wie lange die Aufzeichnungen gespeichert werden dürfen. Sowohl nach alter Rechtslage als auch nach der DSGVO dürfen personenbezogene Daten - und damit die Videoaufzeichnungen - so lange gespeichert werden, wie dies für den Zweck erforderlich ist, für den sie erhoben wurden.

Für die Videoüberwachung halten die Datenschutzaufsichtsbehörden eine Speicherfrist von 48 Stunden für ausreichend. Innerhalb von zwei Tagen kann festgestellt werden, ob es zu Eigentumsverletzungen oder Störungen des Hausrechts gekommen ist. Unter besonderen Umständen soll auch eine längere Speicherung möglich sein. Mit dieser Frage hat sich jetzt das Bundesarbeitsgericht beschäftigt.

Was ist passiert?

Der Betreiber eines Tabak- und Zeitschriftenhandels mit angeschlossener Lottoannahmestelle hat bei einer stichprobenartigen Ermittlung in seiner Filiale im dritten Quartal 2016 Auffälligkeiten festgestellt. Deshalb hat er ab dem 1. August 2016 die Aufzeichnungen seiner Videoüberwachungsanlage - Gegenstand der Kontrolle waren Aufzeichnungen vom 1. Januar bis zum 30. Juni 2016 - analysiert.

Dabei wurden unter anderem Arbeitstage einer Mitarbeitern im Februar 2016 überprüft. Die Videoaufzeichnungen zeigten eine Mitarbeiterin, die Tabakwaren nicht ordnungsgemäß abgerechnet hat, so dass hier der konkrete Verdacht für eine Straftat gegen den Arbeitgeber nahelag. Der Arbeitgeber kündigte der Mitarbeiterin daraufhin fristlos.

Die Mitarbeitern klagte gegen diese Kündigung und bekam sowohl vor dem Arbeitsgericht Iserlohn als auch vor dem Landesarbeitsgericht Hamm Recht. Insbesondere stellte das LAG Hamm fest: die Videoaufzeichnungen hätten nicht verwertet werden dürfen. Denn diese hätten nach § 6b Abs. 5 BDSG-alt längst gelöscht werden müssen. Der Arbeitgeber brachte den Fall zum BAG.

Videoüberwachung vor Hackern schützen
Passwort-Sicherheit
Die meisten IP-basierten Überwachungs-Systeme werden mit voreingestellten Passwörtern und Settings ausgeliefert. Diese Passwörter sind dann meistens nicht gerade schwer zu knacken, weswegen dies für Hacker der beliebteste Weg ist, sich in Ihr CCTV-System einzuschleichen. Die effektivsten Maßnahmen, um sich davor zu schützen, sind die Verwendung starker Passwörter, ein gutes Passwort-Management oder auch die Verwendung von Zertifikaten anstelle von Passwörtern.
Deployment
Ein Videoüberwachungssystem, das nach der Einrichtung weiter auf solche Services zugreift, die nicht genutzt werden, ist anfällig für Hacker-Attacken. Ein Cyberkrimineller könnte beispielsweise schadhafte Applikationen und Scripts via FTP oder gleich eine nicht vertrauenswürdige Applikations-Plattform installieren. Die Abschaltung ungenutzter Services und die ausnahmslose Installation vertrauenswürdiger Applikationen reduziert die Gefahr, dass Hacker diese Schwachstelle in ihrem Überwachungssystem ausnutzen können.
Zugriffsrechte & Zuständigkeiten
In vielen Unternehmen kommt es nur deshalb zu IT-Sicherheitsvorfällen, weil es keine klaren Regularien und Prozesse gibt - etwa wenn es um bestimmte Zugriffsrechte geht. Auch wenn es darum geht, wer für die Überprüfung von IT-Sicherheits-Maßnahmen hinsichtlich des Überwachungssystems zuständig ist, sollte Klarheit herrschen. Es ist empfehlenswert, dass die IT-Abteilung nach dem Grundsatz des "kleinstmöglichen Privilegs" verfährt: Nutzer erhalten genau die Zugriffsrechte, die sie für die Ausübung ihres Jobs benötigen.
Software Updates
Erinnern Sie sich noch an Heartbleed? Die Security-Schwachstelle in der OpenSSL-Software sorgte dank großangelegtem Diebstahl von Login-Daten für Schlagzeilen. Ein Bug oder Schadcode in der Software der Überwachungskameras kann diese einem erheblichen Risiko aussetzen. Insbesondere, wenn solche Systeme nicht regelmäßig per Soft- oder Fiormware-Update auf den aktuellen Stand gebracht werden, werden sie zum Einfallstor für Hacker. Viele Hersteller informieren ihre Kunden inzwischen öffentlich über bekanntgewordene Schwachstellen und entsprechende Lösungen oder Workarounds.
Installation
Auch eine nicht fachgerechte, physische Installation von Kameras, Kabeln oder anderer Infrastruktur kann für IT-Security-Probleme sorgen. Wird eine Überwachungskamera beispielsweise zu niedrig montiert, könnte sie leichter manipuliert werden. Ein Videoüberwachungssystem und seine Komponenten sollten also so installiert werden, dass sich die Devices außerhalb der physischen Reichweite möglicher Angreifer befinden. Dabei sollte natürlich auch möglichst günstiger Blickwinkel gewählt werden.
Physischer Schutz
Wo wir schon bei physischem Schutz sind: Wenn Kabel, Server oder anderes Netzwerk-Zubehör nicht ausreichend geschützt werden, besteht das Risiko eines Totalausfalls. Eine kleine Beschädigung an einem Kabel kann dafür unter Umständen bereits ausreichen. Insbesondere wenn Ihre Überwachungskameras und deren Verkabelung extremen Temperaturen oder Wind und Wetter ausgesetzt sind, sollten Sie auf einen entsprechenden, physischen Schutz Wert legen.
Wartung
Werden Überwachungssysteme nicht regelmäßig gewartet, drohen Ausfall oder schlechte Performance. Sie sollten daher auf ein präventives Wartungs-Programm setzen, bei dem eine Checkliste zum Einsatz kommt. Nur so stellen Sie sicher, dass kleine Probleme nicht zu großen werden. Beschädigte oder verschmutzte Kameras und Kabel bleiben Ihnen so erspart. Zudem können Sie durch eine regelmäßige Sichtung der Systeme auch ausschließen, dass diese auf irgendeine Art und Weise manipuliert wurde.
Netzwerküberwachung
Die meisten IP-basierten Videoüberwachungssysteme nutzen Standard-Netzwerkprotokolle wie FTP oder TCP/IP, um Daten wie beispielsweise Videoaufnahmen innerhalb des Netzwerks von einem Host zum anderen zu schieben. Bestehen in Schwachstellen in diesen Netzwerk-Protokollen, könnten die Daten von Hackern und sonstigen Angreifern abgegriffen werden. Ihre IT-Abteilung sollte also stets aktuelle und sichere Verschlüsselungsmethoden anwenden, wenn Video-Streams über das Netzwerk gesendet werden.
Sicherheitsrichtlinien
Soft- und Hardware, die nicht den Netzwerk-Sicherheitsrichtlinien der IT-Abteilung entspricht, kann ebenfalls Security-Sorgen bereiten. Insbesondere Software und Applikationen von Drittanbietern werden oft nicht hinreichend gewartet und mit Updates versorgt, was sie extrem anfällig für Angriffe von außen macht. Deshalb ist es für Unternehmen unabdingbar, klare, aussagekräftige IT-Richtlinien zu erstellen und durchzusetzen.

So hat das BAG entschieden

Das Bundesarbeitsgericht musste sich mit der Frage auseinandersetzen, ob der Arbeitgeber auch nach einigen Monaten noch berechtigt gewesen ist, die Aufzeichnungen der Videoüberwachung zu analysieren. Diese Frage ist insoweit relevant, weil im Arbeitsgerichtsprozess Informationen, die unter Verstoß gegen dasDatenschutzrecht erlangt wurden, einem Beweisverwertungsverbot unterliegen können. Nämlich regelmäßig dann, wenn die Verwertung unter Verstoß gegen das Datenschutzrecht beschaffter Daten beziehungsweise der aus diesen Daten gewonnenen Erkenntnisse mit dem allgemeinen Persönlichkeitsrecht des Betroffenen nicht vereinbar ist. Ein Gericht berücksichtigt diese Informationen bei der Entscheidungsfindung dann nicht.

Würde ein solches Beweisverwertungsverbot für den vorliegenden Fall greifen, könnte der Arbeitgeber nicht auf die Videoaufzeichnungen zurückgreifen, um seinen Tatverdacht zu belegen. Denn außer den Videoaufzeichnungen hatte er keine anderen Anhaltspunkte dafür, dass seine Mitarbeiterin Tabakwaren falsch abgerechnet hatte. Es kam also entscheidend darauf an, ob die Aufzeichnungen rechtmäßig über Monate gespeichert und ausgewertet werden durften.

Das Bundesarbeitsgericht hat zu Gunsten des Betreibers entschieden: der Arbeitgeber musste das Bildmaterial nicht sofort auswerten. Er durfte hiermit solange warten, bis er dafür einen berechtigten Anlass sah. Diese Grundsätze sollen auch unter der DSGVO gelten.

Bewertung und Praxishinweis

Für die Interessen der Arbeitgeber ist das Urteil des Bundesarbeitsgerichts begrüßenswert: es stellt klar, dass das Datenschutzrecht nicht herangezogen werden kann, um strafbares Verhalten zu verdecken. Allerdings scheint das Urteil mit den allgemeinen Vorgaben des Datenschutzrechts zu brechen. Danach müssen personenbezogene Daten unverzüglich gelöscht werden, wenn diese für den Zweck, für den sie erhoben wurden, nicht mehr benötigt werden.

Nach der Pressemitteilung des BAG liegt es nun in der Hand der Arbeitgeber, die Speicherdauer festzulegen: solange sie keine Inventuren durchführen, werden Sie nicht zu einem berechtigten Anlass für eine Auswertung gelangen und könnten die Aufzeichnungen entsprechend lange aufbewahren.

Allerdings wird man das Urteil des Bundesarbeitsgerichts - zumindest solange bis das Urteil im Volltext veröffentlich wird - nicht so verstehen können, dass Arbeitgeber nunmehr einen Freibrief für die unbeschränkte Speicherung von Videoaufzeichnungen erhalten haben.

Vielmehr wird man es so interpretieren müssen, dass die von den Datenschutzaufsichtsbehörden vertretenen Aufsicht der Speicherfrist von 48 Stunden flexibilisiert werden muss. Danach wird es für Arbeitgeber umso wichtiger sein, das berechtigte Interesse der Speicherung beziehungsweise deren Dauer gemäß Art. 6 Abs. 1 f DSGVO konkret darzulegen. Ein solches Interesse kann unserer Einschätzung nach - jedenfalls mit Blick auf die aktuelle BAG-Entscheidung - dann gegeben sein, wenn es für bestimmte Vorgänge einen festgelegten Kontrollmechanismus gibt (hier: quartalsweise Inventur). Ein solcher quartalsweiser Prüf-Rhythmus (beispielsweise im Handel) dürfte nach dieser BAG-Entscheidung möglich sein.