Im Rahmen der Europäischen Datenschutz-Grundverordnung steht dem nationalen Gesetzgeber durch die Öffnungsklauseln ein gewisser Handlungsspielraum im Beschäftigtendatenschutz zu. In der Neufassung des Bundesdatenschutzgesetzes, dem Datenschutz-Anpassungs- und Umsetzungsgesetz finden sich  konkreten Regelungen zum Beschäftigtendatenschutz in § 26 DSAnpUG-EU / BDSG n.F. (vgl. § 32 BDSG a.F.). In der Norm wird zusammengefasst unter welchen Umständen personenbezogene Daten von Mitarbeitern verarbeitet werden dürfen.

1. Welche Regelungen ergeben sich nach dem Datenschutz-Anpassungs- und Umsetzungsgesetz-EU zum Beschäftigtendatenschutz?

Grundsätzlich dürfen personenbezogene Daten für Zwecke des Beschäftigungsverhältnisses gemäß § 26 Abs. 1 S.1 DSAnpUG-EU / BDSG n.F. verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. Weiterhin kann eine Verarbeitung der Daten auch zur Wahrung der Pflichten des Arbeitgebers aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich sein, wenn kein Grund zu der Annahme besteht, dass schutzwürdige Interessen der betroffenen Person entgegenstehen.

2. Was ergibt sich aus dem aktuellen Urteil zur Keylogging-Software am Arbeitsplatz?

Grundsätzlich werden erhöhte Anforderungen im Rahmen der Europäischen Datenschutz-Grundverordnung an die Nachweis und Dokumentationspflichten gestellt. Demnach sind gemäß § 76 DSAnpUG-EU / BDSG n.F. in automatisierten Verarbeitungssystemen die allgemeinen  Verarbeitungsvorgänge von Daten (z.B. Erhebung, Löschung, Veränderung) zu protokollieren.

Ein aktuelles Urteil des Bundesarbeitsgerichts vom 27.07.2017 (Az. 2 AZR 681/16) beschäftigte sich mit Frage, ob der Einsatz von sog. Keylogging-Software zur Überwachung am Arbeitsplatz erlaubt ist. Beim sog. Keylogging werden alle Eingaben des Benutzers an einem Computer protokolliert, um eine Überwachung und Rekonstruktion zu ermöglichen. Grundsätzlich ist es nicht erlaubt, dass der Arbeitgeber den Arbeitnehmer am Arbeitsplatz überwacht. Eine Ausnahme besteht lediglich unter engen Voraussetzungen, wenn konkrete Tatsachen einen Verdacht einer Straftat oder einer anderen schweren Verfehlung zu Lasten des Arbeitgebers begründen (eine bloße Vermutung reicht aber nicht aus). Im aktuellen Urteil konnte allerdings nicht gerechtfertigt werden, dass die permanent erfassten Tastatureingaben rechtmäßig waren.

Hinsichtlich der zunehmenden Bedrohungen aus dem Internet sollte darauf geachtet werden, dass sich keine derartige Malware aus dem Internet durch Kriminelle einschleusen kann und einem etwaigen Verdacht sollte unverzüglich nachgegangen werden.