Nom du site

Der Arbeitgeber kann eine anonymisierte Kontrolle (zum Beispiel durch Sammlung statistischer Daten) ohne jede Einschränkung vornehmen. Wenn die gesammelten Daten jedoch die Identifizierung einer bestimmten Person erlauben, dann handelt es sich um die Verarbeitung personenbezogener Daten und genauer gesagt um eine Überwachung am Arbeitsplatz. Das Gesetz vom 2. August 2002 betreffend den Schutz von Personen hinsichtlich der Verarbeitung personenbezogener Daten (in der abgeänderten Fassung) definiert die Überwachung als „jede Tätigkeit, die unter Verwendung technischer Hilfsmittel in der Beobachtung, der Sammlung oder der Registrierung nicht bloß zufälliger Art von personenbezogenen Daten einer oder mehrerer Personen betreffend deren Verhalten, Bewegungen, Kommunikationsakte oder Verwendung elektronischer und IT-Geräte besteht“.

Vor Beginn jeder Überwachung muss die Datenverarbeitung im Vorhinein von der Nationalen Datenschutzkommission genehmigt worden sein.

In der Folge kann die Verarbeitung personenbezogener Daten zum Zweck der Überwachung am Arbeitsplatz vom Arbeitgeber nur dann eingesetzt werden, wenn sie für einen der folgenden Zwecke erforderlich ist:

  1.         für die Sicherheits- und Gesundheitserfordernisse der Arbeitnehmer; oder

2.         für die Erfordernisse des Schutzes von Gütern des Unternehmens (Beispiel: der Arbeitgeber kann Überwachungsmittel einsetzen, um sicherzustellen, dass keine Viren in das Computersystem gelangen, dass die beruflich genutzten Dateien nicht zerstört werden, dass das Netzwerk nicht  überlastet wird); oder

  3.         zur Kontrolle der Produktionsverfahren, die ausschließlich maschinell erfolgen; oder

4.         zur vorübergehenden Kontrolle der Produktion oder der Leistungen des Arbeitnehmers, wenn eine solche Maßnahme das einzige Mittel darstellt, um den genauen Lohn zu bestimmen (in diesem Fall darf kein anderes Mittel zur Verfügung stehen, um den genauen Entgeltanspruch des Arbeitnehmers zu bestimmen, zum Beispiel im Fall von Akkordarbeit);

5.         im Rahmen einer Organisation der Arbeit in Form von Gleitzeitarbeit.

Da die Zwecke einschränkend und abschließend aufgezählt sind, darf der Arbeitgeber die gesammelten Daten nicht für einen anderen Zweck verwenden, der mit dem ursprünglich beabsichtigten und den betroffenen Parteien mitgeteilten Zweck nicht vereinbar ist.

In den unter den Punkten 1, 4 und 5 angesprochenen Fällen hat der gemischte Betriebsrat, sofern er eingerichtet ist, ein Entscheidungsrecht.

Aufgrund des zwischen dem Arbeitgeber und dem Arbeitnehmer bestehenden Unterordnungsverhältnisses führt die Zustimmung des Letzteren nicht dazu, dass die vom Arbeitgeber verfügte Verarbeitung rechtmäßig wird.

Der Arbeitgeber ist auch dazu verhalten, im Vorhinein die betroffene Person (den Arbeitnehmer) sowie den gemischten Betriebsrat, oder, in Ermangelung eines solchen, den Betriebsrat, oder, wenn auch diese nicht besteht, die Gewerbeaufsicht (Inspection du travail et des mines) zu verständigen.

Die Information der Arbeitnehmer muss klar, präzise und genau sein, zum Beispiel in Form einer in den Arbeitsvertrag aufgenommenen Vereinbarung. Die Umstände, unter denen die Überwachung stattfindet, müssen genau beschrieben sein, wie zum Beispiel die Bedingungen, unter denen Firmeneigentum für private Zwecke verwendet werden kann, die Bedingungen der Überwachung (durch wen, wann und wie), die Konsequenzen, die aus den Überwachungsergebnissen gezogen werden könnten.

Unter personenbezogenen Daten versteht man alle Informationen welcher Art auch immer und unabhängig von ihrem Träger, einschließlich Klang und Bild, die eine identifizierte oder identifizierbare Person betrifft.

Eine natürliche Person gilt als identifizierbar, wenn sie direkt oder indirekt identifiziert werden kann, insbesondere durch eine Kennnummer oder ein oder mehrere spezifische Elemente, die zu ihrer physischen, physiologischen, genetischen, psychischen, kulturellen, sozialen oder wirtschaftlichen Identität gehören.

Anonyme Daten sind dem gegenüber vom Anwendungsbereich des Gesetzes ausgenommen. Das gilt erst ab dem Augenblick, ab dem die Daten anonymisiert wurden.

Um als anonym oder anonymisiert zu gelten, muss es sich um Daten handeln, für die beim Verarbeitungsverantwortlichen und auch bei einem Dritten kein technisches Hilfsmittel vorhanden ist, das es erlauben würde, diese Daten einem Individuum zuzuordnen. Es obliegt dem Datenverarbeitungsverantwortlichen (dem Arbeitgeber), den Beweis dafür zu erbringen, dass die von ihm verarbeiteten Daten als anonyme Daten einzustufen sind.

Unter einer Datei mit personenbezogenen Daten versteht man jede strukturierte Gesamtheit von nach bestimmten Kriterien zugänglichen Daten, sei es, dass diese Gesamtheit zentralisiert, dezentralisiert oder nach Funktions- oder geographischen Kriterien aufgeteilt vorliegt.

Auf die Struktur, die auf eine solche Datei angewendet wird kommt es nicht an.

Laut Artikel 8 der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten hat jedermann Anspruch auf Schutz seines Privat- und Familienlebens, seiner Wohnstätte und seiner Kommunikation.

Laut der Arbeitsgruppe „Artikel 29“ zum Datenschutz (Arbeitsunterlage vom  29. Mai 2002, 5401/01/WP55) können folgende drei Prinzipien aus der Rechtsprechung zu dem zitierten Artikel 8 abgeleitet werden:

„a) Die Arbeitnehmer dürfen zu Recht den Schutz ihres Privatlebens an ihrem Arbeitsplatz erwarten, und dieses Recht wird nicht dadurch außer Kraft gesetzt, dass sie Kommunikationsmittel oder andere betriebliche Einrichtungen des Arbeitgebers verwenden.

Nichtsdestoweniger erscheint es, dass die Lieferung angemessener Informationen durch den Arbeitgeber an den Arbeitnehmer die Wohlbegründetheit dieser Erwartung einschränken kann.

b) Das allgemeine Prinzip des Briefgeheimnisses ist auf die Kommunikation am Arbeitsplatz anzuwenden, was sehr wahrscheinlich auch den E-Mail-Verkehr samt der angefügten Dateien einschließt.

c) Das Recht auf Schutz der Privatsphäre umfasst bis zu einem gewissen Grad auch das Recht für den Einzelnen, Beziehungen zu seinen Mitmenschen anzuknüpfen und zu pflegen. Die Tatsache, dass diese Beziehungen in hohem Maße am Arbeitsplatz erfolgen, schränkt die legitime Notwendigkeit zur Einrichtung von Überwachungsmaßnahmen für den Arbeitgeber ein.

Laut Artikel 7 der Charta der Grundrechte der Europäischen Union hat jedermann Anspruch auf Schutz seines Privat- und Familienlebens, seiner Wohnstätte und seiner Kommunikation.

Die Arbeitsgruppe „Artikel 29“ zum Datenschutz (Arbeitsunterlage vom  29. Mai 2002, 5401/01/WP55) ist der Ansicht, dass „das Konzept des Briefgeheimnisses ausgeweitet wurde, um sich den neuen Gegebenheiten anzupassen: die Charta spricht vom  „Geheimnis der Kommunikation“, um elektronischen Mitteilungen dasselbe Ausmaß an Schutz zuzubilligen wie es die traditionelle briefliche Korrespondenz aufgrund langjähriger Übung genießt".

Die Arbeitsgruppe „Artikel 29“ zum Datenschutz ist ein unabhängiges Beratungsgremium, zusammengesetzt aus Vertretern der Behörden der Mitgliedsstaaten, in deren Zuständigkeit der Datenschutz fällt, die insbesondere die Aufgabe haben, alle Fragen im Zusammenhang mit der Anwendung der aufgrund der Richtlinie 95/46/CE über den Datenschutz eingeführten nationalen Maßnahmen zu prüfen, um zur einheitlichen Umsetzung derselben beizutragen.

Zum Zweck des Schutzes der Güter des Unternehmens können Kameras an den Ein- und Ausgängen der Niederlassung, einschließlich der Personaleingänge, montiert werden.

Der gemischte Betriebsrat, sofern er eingerichtet ist, hat ein Entscheidungsrecht darüber.

Aufgrund des zwischen dem Arbeitgeber und dem Arbeitnehmer bestehenden Unterordnungsverhältnisses führt die Zustimmung des Letzteren nicht dazu, dass die vom Arbeitgeber verfügte Verarbeitung rechtmäßig ist.

Der Arbeitgeber ist auch dazu verhalten, im Vorhinein die betroffene Person (den Arbeitnehmer oder Dritten) sowie den gemischten Betriebsrat, oder, in Ermangelung eines solchen, den Betriebsrat, oder, wenn auch diese nicht besteht, die Gewerbeaufsicht (Inspection du travail et des mines) zu verständigen.

Die Information der betroffenen Personen kann zum Beispiel durch  Hinweisschilder / Piktogramme erfolgen.

Außerdem ist für die Videoüberwachung die vorherige Genehmigung seitens der Commission Nationale pour la protection des données (Nationale Datenschutzkommission - CNPD) erforderlich.

Der Berufungsgerichtshof hat entschieden, dass die Verwendung einer Videoaufzeichnung als Beweis im strafrechtlichen Verfahren nicht zulässig ist, wenn der, der dieses Beweismittel vorlegt, nicht über die erforderliche Genehmigung verfügt, weil es sich dann um ein rechtswidrig erworbenes Beweismittel handelt.

Mit anderen Worten, die Unternehmen, die keine Genehmigung besitzen und eine Videoüberwachung installiert haben, können diese nicht nutzen, selbst wenn der Täter eines Delikts gegen sie identifiziert wird, da die Gerichte sich weigern, einen unter diesen Bedingungen erworbenen Beweis zu berücksichtigen.

Ja, unter der Bedingung, dass er zuvor die entsprechende Genehmigung durch die CNPD erhalten hat, und dass die betroffene Person (der Arbeitnehmer sowie der gemischte Betriebsrat oder, in Ermangelung eines solchen, der Betriebsrat, oder, falls auch dieser nicht eingerichtet ist, die Gewerbeaufsicht von der Überwachung verständigt wurden.

Die CNPD unterscheidet zwischen persönlichen E-Mails und beruflichen E-Mails (wobei für beide Kategorien das Briefgeheimnis gilt).

Bezüglich der beruflichen E-Mails ist die CNPD (Musterentscheidung der CNPD im Bereich der Überwachung der IT-Werkzeuge) der Ansicht, „dass Arbeitgeber selbst als Adressat oder Absender des beruflichen E-Mails zu betrachten ist und dieser daher eine Kontrolle vornehmen kann“. In diesem Zusammenhang geht die CNPD davon aus, dass „die Vermutung, dass die am Arbeitsplatz ausgetauschten E-Mails beruflicher Natur sind, widerlegbar ist“.

Die persönlichen E-Mails hingegen (die einen Hinweis enthalten, der ihren privaten Charakter anzeigt, oder jene, deren private Natur sich aus den Umständen ergibt) müssen als privat und persönlich betrachtet werden und unterliegen keiner Kontrolle.

Der französische Oberste Gerichtshof (Cour de cassation) (Cass. Soc. vom 2. Oktober 2001) hat geurteilt, dass ein Arbeitnehmer sogar während der Arbeitszeit und am Arbeitsplatz Recht auf Schutz seiner privaten Intimsphäre hat; (...) dass ein Arbeitgeber daher nicht ohne Verletzung dieser Grundfreiheit, die das Briefgeheimnis darstellt, die vom Arbeitnehmer über ein Informatikgerät, das ihm für seine Arbeit zur Verfügung gestellt hat, geschickten und empfangenen persönlichen Nachrichten einsehen darf, und dies selbst dann nicht, wenn der Arbeitgeber eine nichtberufliche Nutzung des Computers untersagt hat.

Die Arbeitsgruppe „Artikel 29“ zum Datenschutz (Arbeitsunterlage vom 29. Mai 2002, 5401/01/WP55) ist der Ansicht, dass „es darauf ankommt, dass der Arbeitgeber den Arbeitnehmer über das Vorhandensein, die Verwendung und das Ziel jedweder aktivierten Einrichtungen und/oder Geräte zur Überwachung seines Arbeitsorts und über jedweden entdeckten Missbrauch der elektronischen Verbindung (E-Mail oder Internet) informiert.

Schnelle Informationen können leicht über ein Programm erfolgen, z. B. sich öffnende Warnfenster, die den Arbeitnehmer darüber informieren, dass das System eine unzulässige Verwendung des Netzes entdeckt und/oder unterbunden hat.

Als praktische Empfehlung können Arbeitgeber den Arbeitnehmern zwei E-Mail-Konten zur Verfügung stellen:

a) ein Konto zur ausschließlich beruflichen Verwendung, das im Rahmen der im vorliegenden Arbeitsdokument enthaltenen Einschränkungen der Kontrolle unterliegt,

b) ein zum strikt privaten Gebrauch bestimmtes Konto (oder eine Ermächtigung zur Verwendung des Internet-Nachrichtenübermittlungsdiensts), die keinen Sicherheitsmaßnahmen unterliegt, und die in außerordentlichen Fällen entsprechend auf Missbrauch überprüft wird.“

Die Arbeitsgruppe „Artikel 29“ zum Datenschutz (Arbeitsunterlage vom  29. Mai 2002, 5401/01/WP55) ist der Ansicht, dass „Missbrauchsrisiken bestehen, und dass für die Arbeitnehmer, die aufgrund einer unbedachten Verwendung des Internets oder einer solchen Versendung von elektronischen Nachrichten, mit den solchen Kommunikationsmitteln innewohnenden Gefahren (Viren, Verstopfung der Netze, Blockierung des Computerspeichers, Abrufen pornographischer oder kinderpornographischer Websites) von ihren beruflichen Aufgaben abgelenkt werden, der Arbeitgeber das Recht hat, über die vom Arbeitnehmer hinterlassenen Spuren (cookies, Festplatte, Telefonaufzeichnungen, verborgene Kameras) in die Intimsphäre des Arbeitnehmers einzudringen.

Die Überwachung muss jedoch dem verfolgten legitimen Zweck angemessen sein. Der Arbeitgeber muss jene Überwachungsmaßnahmen einsetzen, die am schonendsten für die Privatsphäre des Arbeitnehmers sind. Die Einhaltung dieses Prinzips der Angemessenheit verlangt zum Beispiel die Vermeidung automatischer und ununterbrochener Überwachung der Arbeitnehmer.

Ebenso kann die Überwachung des Inhalts der E-Mails unangemessen sein, wenn der Arbeitgeber sich darauf beschränken kann, die Nutzungszeiten, die Zahl der E-Mails oder die Größe der Anhänge zu überprüfen.

Die CNPD ist der Ansicht, dass die Geolokalisierung durch GPS (zum Beispiel in Fahrzeugen der Gesellschaft) als Überwachung der Arbeitnehmer zu werten ist.

Ein Geolokalisationssystem würde es dem Arbeitgeber erlauben, permanent den Standort der Fahrzeuge eines Fuhrparks festzustellen, um deren Verwendung zu optimieren, zum Beispiel, um das freie Taxi zu finden, das am nächsten zu dem anrufenden Besteller ist.

Der Verantwortliche für die Datenverarbeitung (Arbeitgeber), der unter diese Definition fallende technische Einrichtungen installieren möchte, muss zuvor eine Genehmigung bei der CNPD beantragen.

Die Arbeitsgruppe „Artikel 29“ zum Datenschutz (Arbeitsunterlage vom  29. Mai 2002, 5401/01/WP55) führt dazu genauer aus, dass „hinsichtlich der Arbeitskräfte die Arbeitgeber diese Technologie nur dann einsetzen dürfen, wenn der Nachweis geführt werden kann, dass sie für einen legitimen Zweck erforderlich ist, und dass dieselben Ziele nicht mit weniger die Privatsphäre beeinträchtigenden Mitteln erreicht werden können“.

Die Definition der Überwachung ist sehr weit gefasst und umfasst auch die Zugangskontrolle durch Badge-Leser insoweit, als diese die Nachverfolgung der Handlungen der Arbeitnehmer ermöglichen.

Für elektronische Zugangskontrollen (sowie die elektronische Überwachung der Arbeitszeiten) kann der Arbeitgeber ein vereinfachtes Genehmigungsverfahren durchführen. Unter der Bedingung, dass die Datenverarbeitungen den in den einheitlichen Genehmigungen der CNPD enthaltenen Auflagen entspricht, kann der Arbeitgeber durch Unterzeichnung einer von der CNPD ausgearbeiteten formellen Erklärung der Einhaltung derselben seine Maßnahmen legitimieren.

Der Arbeitgeber ist auch dazu verhalten, im Vorhinein die betroffene Person (den Arbeitnehmer) sowie den gemischten Betriebsrat, oder, in Ermangelung eines solchen, den Betriebsrat, oder, wenn auch diese nicht besteht, die Gewerbeaufsicht (Inspection du travail et des mines) zu verständigen.

Eine derartige Datenverarbeitung ist nur dann möglich, wenn sie für einen der folgenden Zwecke erforderlich ist:

- für Zwecke der Sicherheit und Gesundheit der Arbeitskräfte (vorbehaltlich der vorherigen Einholung der Zustimmung des gemischten Betriebsrats, falls ein solcher eingerichtet ist),

oder

- für die Zwecke des Schutzes der Güter des Unternehmens.

Die Aufzeichnung und Abhörung von Telefongesprächen sind gemäß Artikel 4.(3)(d) des Gesetzes vom 30. Mai 2005 betreffend den Schutz der Privatsphäre im Bereich der elektronischen Kommunikation insofern legitim, wenn Gespräche aufgezeichnet werden, um einen Nachweis für eine Transaktion und kaufmännische Kommunikationen zwischen dem Arbeitgeber und seinen Kunden zu erbringen.

Der Kunde muss aber zu einer solchen Aufzeichnung sein Einverständnis gegeben haben und informiert worden sein, dass die über dieses Telefon geführten Gespräche aufgezeichnet werden.

Für französische Gerichte hat der Arbeitgeber, auch wenn die Arbeitnehmer nicht vorher darüber informiert wurden, das Recht, einen Nachweis für eine bedeutende Nutzung des Telefons für Privatgespräche über die Gesprächsabrechnung der Telefongesellschaft zu erbringen (Cass. vom 11. März 1998).

Sofern die Daten nicht ihrem ursprünglichen Zweck entfremdet werden, können sie vor Gericht verwendet werden.

Wenn zum Beispiel Überwachungsgeräte zum Schutz der Güter des Unternehmens installiert wurden und sich aus den Daten ergibt, dass ein Arbeitnehmer in das Eigentum des Unternehmens eingegriffen hat, zum Beispiel durch Begehen eines Diebstahls, dann sind die Daten nicht zweckentfremdet worden. Diese Antwort betrifft freilich nur die Zulässigkeit des Beweismittels, nicht seine Glaubwürdigkeit oder Richtigkeit.

Ja.

Die Arbeitsgruppe „Artikel 29“ zum Datenschutz (Arbeitsunterlage vom  29. Mai 2002, 5401/01/WP55) „empfiehlt dem Arbeitgeber, den Arbeitnehmer unverzüglich über die nicht autorisierte Verwendung von Telekommunikationsmitteln zu informieren und insbesondere festzulegen, ob es den Arbeitnehmern gestattet ist, im Internet zu privaten Zwecken zu surfen sowie, falls dies der Fall ist, in welchem Ausmaß eine solche private Nutzung geduldet wird.

Der Arbeitgeber kann technische Mittel zur Begrenzung oder Sperrung des Internetzugangs einsetzen.

In den meisten Fällen kann die missbräuchliche Verwendung des Internets festgestellt werden, ohne dass man den Inhalt der besuchten Websites analysieren müsste. Zum Beispiel könnte die Überprüfung der für das Surfen aufgewendeten Zeit oder die Erstellung einer Liste der am häufigsten besuchten Websites durch einen entsprechenden Dienst ausreichen, um dem Arbeitgeber Gewissheit darüber zu verschaffen, dass seine Systeme nicht missbräuchlich verwendet werden. Sollten diese allgemeinen Überprüfungen auf eine mögliche missbräuchliche Verwendung des Internets hindeuten, dann könnte der Arbeitgeber neue, auf den Risikobereich konzentrierte Kontrollen ins Auge fassen.

Bei ihrer Analyse der Internetnutzung durch Arbeitnehmer sollten sich Arbeitgeber vor voreiligen Schlüssen hüten, da es sehr leicht ist, aufgrund unerwarteter Antworten der Suchmaschinen, zweideutiger Hypertext-Links, irreführender Werbefenster oder irrtümlicher Bedienungsschritte ungewollt auf gewissen Websites zu landen. In jedem Fall müssen dem betroffenen Arbeitnehmer alle ihm vorgeworfenen Sachverhaltselemente vorgelegt werden und er muss über alle erforderlichen Mittel zur Bestreitung der ihm vom Arbeitgeber vorgeworfenen missbräuchlichen Nutzung verfügen.“

Festzuhalten ist, dass der CNPD zufolge die Überwachung der Internetnutzung zunächst auf eine statistische Analyse gegründet werden muss, um missbräuchliche Verwendungen (z. B. den Zugriff auf Websites mit suspekten Adressen) festzustellen.

Erst dann, wenn die statistischen Kontrollen Hinweise auf Missbrauch, unerlaubte oder gefährliche Nutzungen der IT-Infrastruktur des Arbeitgebers ergeben, kann die Überwachung intensiviert werden (und die Identifizierung des betreffenden Arbeitnehmers erlauben).

Die CNPD empfiehlt den Einsatz von vorbeugenden Schutzmaßnahmen, wie zum Beispiel Filter gegen nicht zulässige Websites, die Unterbindung des Herunterladens von Programmen oder das Verbot des Zugriffs auf bestimmte Websites.

Der Arbeitgeber kann auch Telefonanrufe in bestimmte Länder sperren.

Zunächst hat der Datenverarbeitungsverantwortliche die Verpflichtung, der CNPD vor dem Einsatz einer Verarbeitung personenbezogener Daten diese anzuzeigen (außer in den Fällen, in denen das Gesetz eine vorherige Genehmigung vorsieht). Das erlaubt es, die Transparenz sicherzustellen, indem der Arbeitnehmer jederzeit in den Datenschutzregistern zum Beispiel die Kategorien der Daten, die Zwecke und die Empfänger, für die seinen Angaben zufolge der Arbeitgeber die personenbezogenen Daten seiner Arbeitnehmer verarbeitet, überprüfen kann.

Laut der Arbeitsgruppe „Artikel 29“ zum Datenschutz (Arbeitsunterlage vom 29. Mai 2002, 5401/01/WP55) „hat der Arbeitnehmer das Recht des Zugangs zu den ihn betreffenden personenbezogenen Daten, die von seinem Arbeitgeber verarbeitet werden, sowie gegebenenfalls den Anspruch, die Berichtigung, Löschung oder Sperrung der Daten zu verlangen, deren Verarbeitung nicht gesetzeskonform ist, insbesondere aufgrund ihres unvollständigen oder unrichtigen Charakters.

Der Zugang der Arbeitnehmer zu den Dateien des Arbeitgebers ohne Einschränkung, in angemessenen Intervallen, und ohne Verzögerung oder Kosten [...] stellt ein wesentliches Werkzeug dar, das die Arbeitnehmer individuell einsetzen können, um sicherzustellen, dass die an ihrem Arbeitsplatz eingesetzten Überwachungsmaßnahmen zulässig und ihnen gegenüber angemessen bleiben.

Der Zugang zu den Dateien des Arbeitgebers kann sich jedoch in Ausnahmefällen als problematisch erweisen, zum Beispiel bei Zugang zu den sogenannten Beurteilungsdaten.“

Dem Arbeitgeber, der die Bestimmungen über den Datenschutz nicht einhält, drohen Verwaltungsstrafen durch die CNPD sowie strafrechtliche Konsequenzen.