Mitarbeiterüberwachung
Welche Kontrollen die DSGVO erlaubt
Mitarbeiterüberwachung: Checklisten für interne Untersuchungen
Die folgenden Checklisten sind Leitfäden für die vielen rechtlichen Fragen, die sich stellen, bevor man mit einer internen Untersuchung beginnen kann und können in ähnlicher Weise auch für sonstige Überwachungsmaßnahmen angewendet werden. Klare Ja/nein-Antworten auf die einzelnen Fragen gibt es nicht - sie wären auch irreführend. Die Situationen sind teilweise noch nie gerichtlich, jedenfalls nicht höchstrichterlich geklärt worden. Was den Datenschutzteil anbelangt, hängen die Antworten zumeist vom Einzelfall ab. Kurzum: Ein IT-Leiter sollte im konkreten Fall mit dieser Liste zu seiner Rechtsabteilung gehen, um die verschiedenen Punkte durchzusprechen.
Datenschutz und Strafrecht
Was ist der konkrete Gegenstand und Umfang der internen Untersuchung? Wie lassen sich Gegenstand und Umfang bestmöglich eingrenzen? Gibt es schon konkrete Stichworte und einen Zeitraum für die zu durchsuchenden Dokumente? - je weniger Daten durchsucht werden, desto besser.
Was soll durchsucht werden? E-Mails, Dokumentenarchive, Instant-Messenger-Nachrichten, SMS-Nachrichten, Kommunikations-Log-Files? Sollen auch Interviews durchgeführt werden?
Welche Mitarbeiter sind Gegenstand der internen Untersuchung und warum? (Beschuldigte, mögliche Mitwisser, mögliche Zeugen, mögliche Inhaber von relevanten Dokumenten?)
In welchen Systemen sind diese Dokumente gespeichert und wer hat Zugriff auf diese Dokumente?
Ist die Privatnutzung für diese Systeme entweder ausdrücklich erlaubt oder geduldet? Gibt es hierzu eine IT-Richtlinie, Nutzungsrichtlinie, Nutzungsvereinbarung, arbeitsvertragliche Regelung und/oder Betriebsvereinbarung?
Wird im Rahmen der internen Untersuchung auf Daten zugegriffen, die gegen unberechtigten Zugriff besonders gesichert sind und deren Zugangssicherung besonders überwunden werden muss?
Werden im Rahmen von Untersuchungsmaßnahmen private Daten verändert oder gelöscht?
Haben die Mitarbeiter im Vorfeld eine Einwilligung bezüglich der Privatnutzung der Systeme erteilt?
Wurden die Mitarbeiter entsprechend der Informationspflicht gemäß Art. 13 bzw. Art. 14 DSGVO über die Durchführung von internen Untersuchungs/Überwachungs- und Kontrollmaßnahmen ausreichend und transparent informiert?
Auf welcher Rechtsgrundlage der DSGVO und des BDSG dürfen die personenbezogenen Daten der Mitarbeiter für den Zweck der internen Untersuchung verarbeitet werden (typischerweise § 26 Abs. 1 Satz 1 BDSG, § 26 Abs. 1 Satz 2 BDSG oder Art. 6 Abs. 1 lit. f DSGVO)?
Ist es möglich, die Untersuchung auf eine Einwilligung der betroffenen Mitarbeiter zu stützen (Achtung: Mitarbeitereinwilligungen sind grundsätzlich nicht freiwillig, es sei denn, die betroffenen Mitarbeiter sind leitende Angestellte oder gehören zur Geschäftsführung)?
Wird die Untersuchung oder Ermittlung in Zusammenarbeit mit einem externen Dienstleister durchgeführt (z.B. forensischer Dienstleister, E-Discovery-Dienstleister) und wurde mit diesem Dienstleister ein Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO geschlossen?
Sind dem Dienstleister schriftliche Anweisungen gegeben worden, wie er die Untersuchung vornehmen soll (Stichworte, Zeitraum etc.) und wie er private oder nicht relevante E-Mails behandeln soll (zum Beispiel "sofort schließen" "nicht lesen", "nicht kopieren", "nicht weiterleiten", "nicht drucken")?
Werden die Ergebnisse der Untersuchung (zum Beispiel die Ergebnisse der E-Mail-Durchsuchung oder Interview-Mitschriften bei Mitarbeiterbefragungen) an Dritte übermittelt (an andere Unternehmen der Gruppe, die möglicherweise außerhalb der EU sitzen oder an externe Rechtsberater) und - sofern die Antwort "ja" ist - ist die Zulässigkeit der Übermittlung überprüft worden und ist beim Empfänger, soweit erforderlich, ein angemessenes Datenschutzniveau sichergestellt (Art. 44 ff. DSGVO)?
Werden die Ergebnisse der Dokumenten-Durchsuchung oder Interview-Mitschriften bei Mitarbeiterbefragungen vor Weiterleitung anonymisiert oder pseudonymisiert?
Sind die Aufbewahrungs- und Löschungsfristen für Untersuchungsergebnisse klar, und wird die Löschung von Untersuchungsergebnissen eingehalten und kontrolliert?
Hat sich das Unternehmen Gedanken darüber gemacht, dass rechtswidrig erhobene Beweise in einem späteren gerichtlichen Verfahren möglicherweise einem Beweisverwertungsverbot unterliegen und deshalb nicht nutzbar gemacht werden können?
Bestehen bei den untersuchten Vergehen mögliche Anzeigepflichten gegenüber staatlichen Strafverfolgungsbehörden?
Arbeitsrecht
Besteht ein Betriebsrat ?
Bestehen Betriebsvereinbarungen zu Kontrollmaßnahmen bei Mitarbeitern beziehungsweise zur Kontrolle der IT/E-Mail-Systeme?
Sind Benachrichtigungspflichten gegenüber dem Betriebsrat und/oder Mitbestimmungsrechte des Betriebsrats eingehalten worden?
Handelt es sich bei dem zu befragenden Mitarbeiter um einen Verdächten oder einen Beschuldigten?
Müssen Mitarbeiter zu Interview-Terminen erscheinen und auf Fragen antworten?
Ist Mitarbeitern bei Interviews ein Anwalt (auf Kosten des Arbeitgebers) beizustellen?
Sind Mitarbeiter darauf hinzuweisen, dass sie sich nicht selbst belasten müssen? Wenn ja, in welcher Form?
Sind Vertreter des Betriebsrats berechtigt, an den Interviews oder sonstigen Untersuchungsmaßnahmen teilzunehmen?
Hat der Betriebsrat ein Recht, die Untersuchungsergebnisse zu erhalten oder einzusehen?
Haben die Mitarbeiter ein Recht, die Untersuchungsergebnisse zu erhalten oder einzusehen?
Müssen die Untersuchungsergebnisse in die Personalakte?
Hat sich das Unternehmen Gedanken gemacht, dass rechtswidrig erhobene Beweise in einem späteren gerichtlichen Verfahren möglicherweise einem Beweisverwertungsverbot unterliegen und deshalb nicht nutzbar gemacht werden können?