Zurück zur Übersicht
09.02.2024Fachbeitrag

Update Datenschutz Nr. 170

Verdeckte Kontrollen als Datenschutzverstoß im Kündigungsschutzprozess

Die Verwertung der an einem Zutrittskontrollsystem aufgrund eines personalisierten Transponders (Chip) gewonnenen Daten über das Kommen und Gehen ist unzulässig. Dies gilt jedenfalls dann, wenn die Zugangsdaten ohne Wissen der Beschäftigten erfasst werden.
Dies hat das Landesarbeitsgericht Sachsen (LAG) in seinem Urteil vom 6. Juli 2023 (Az. 4 Sa 73/23) entschieden.

Hintergrund

Die Parteien stritten über die Wirksamkeit einer außerordentlichen, hilfsweise ordentlichen Kündigung, die auf den Vorwurf des Arbeitszeitbetruges gestützt wurde. Beginn und Ende der Arbeitszeit sowie die Pausenzeiten wurden im Betrieb der Arbeitgeberin an einem festen Zeiterfassungsterminal mittels personalisiertem Transponder (Chip) erfasst. Der Transponder diente daneben als personalisierter, elektronischer Zugangsschlüssel zum Betriebsgelände für ein Drehkreuz am Gebäudeeingang. Bei der Beklagten existierte eine Betriebsvereinbarung zur Arbeitszeiterfassung. Die Betriebsvereinbarung schrieb u. a. vor, dass Beginn und Ende der Arbeitszeit sowie die Pausenzeiten an dem Zeiterfassungsterminal zu erfassen sind. Auch Arbeitszeitunterbrechungen, wie Raucherpause, waren nach den Regelungen der Betriebsvereinbarung am Zeiterfassungsterminal zu buchen. Die Geschäftsführung der Arbeitgeberin erhielt einen anonymen Hinweis, dass die Klägerin sich regelmäßig nach der Pause am Zeiterfassungsterminal einstemple, dann aber, ohne sich von der Zeiterfassung abzumelden, eine Raucherpause vor dem Gebäudeeingang mache. Die Arbeitgeberin nahm diesen Hinweis zum Anlass und zog sich mit Zustimmung des Betriebsrates einen Abgleich der Daten des Zeiterfassungsterminals mit den Zugangsdaten am Drehkreuz. Aus der Auswertung war ersichtlich, dass die Klägerin offensichtlich täglich drei bis sechs kurze Raucherpausen vor dem Gebäudeeingang gemacht, diese nicht jedoch im Zeiterfassungssystem gebucht hatte. Die Arbeitgeberin stützte ihre Kündigung sodann auf das Ergebnis der Auswertung der mittels Transponder gewonnenen Daten.

Entscheidungsgründe

Bereits das ArbG Chemnitz hatte der Kündigungsschutzklage stattgegeben. Das Urteil hatte auch im Berufungsverfahren vor dem LAG Bestand. Das Arbeitsverhältnis sei durch die streitgegenständliche Kündigung nicht wirksam beendet worden, so das LAG.

Die Verwertung der durch die Verwendung des Transponders (Chip) am Drehkreuz gewonnenen Daten zu Beweiszwecken sei unzulässig. Das LAG sah in der Erhebung der personalisierten Daten am Drehkreuz einen Verstoß gegen die Datenschutzgrundverordnung (DSGVO). Zudem liege in der Erhebung, Speicherung und Verarbeitung der Zugangsdaten am Drehkreuz ein Verstoß gegen das Recht auf informationelle Selbstbestimmung der Klägerin. Die Arbeitgeberin habe den ihr obliegenden Informationspflichten nach Art. 13 und 14 DSGVO bzw. § 32 und 33 Bundesdatenschutzgesetz (BDSG) nicht genügt. Für die Klägerin sei nicht ersichtlich gewesen, dass der ihr ausgehändigte Transponder (Chip) die Zeiten des Betretens und des Verlassens des Betriebsgeländes am Drehkreuz erfasse und auch speichere. Die Beklagte habe ihre Beschäftigten zwar darüber in Kenntnis gesetzt, dass eine Datenerhebung über den Transponder am Zeiterfassungsterminal erfolgte, sie habe jedoch nicht bekanntgegeben, dass daneben eine Datenerhebung über das Drehkreuz erfolge. Auch der Ausnahmetatbestand des § 33 Abs.2 a BDSG könne die geheime Datenerhebung nicht rechtfertigen, da zum Zeitpunkt der Datenerfassung der Verdacht des Arbeitszeitbetrugs durch die Klägerin noch nicht bestanden habe.

Das LAG vertrat zudem die Auffassung, dass eine Verarbeitung und Nutzung der Daten im vorliegenden Fall selbst bei einer rechtmäßigen, verdeckten Datenerhebung nicht zulässig gewesen wäre. Denn nach § 26 Abs.1 S.2 BDSG dürfen personenbezogene Daten von Beschäftigten bei einem konkreten Anfangsverdacht in Bezug auf eine Straftat nur dann verarbeitet werden, wenn die Datenverarbeitung und -nutzung im Einzelfall verhältnismäßig ist. Dies sei vorliegend nicht der Fall gewesen. Das LAG betonte, dass personalisierte Zugangskontrolldaten nur als „letztes verbleibendes Mittel“ ausgelesen, verarbeitet und genutzt werden dürfen. Nach Auffassung des Gerichts standen der Arbeitgeberin im vorliegenden Fall zur Aufdeckung, Ahndung und künftigen Verhinderung der im Raum stehenden Arbeitspflichtverletzung mildere Mittel zur Verfügung. Die Arbeitgeberin hätte die Klägerin nach dem Eingang des anonymen Hinweises insbesondere zunächst anhören und mit den Vorwürfen konfrontieren müssen, so das LAG.

Fazit:

Das Urteil scheint auf den ersten Blick im Widerspruch zur jüngsten Rechtsprechung des BAG zu stehen. Denn das BAG hatte erst kürzlich in seinem Urteil vom 29.06.2023 – 2 AZR 296/22 mit einem “Paukenschlag“ entschieden, dass Datenschutz kein Täterschutz sei und einem Beweisverwertungsverbot bei offener, aber nicht datenschutzkonformer Videoüberwachung eine Absage erteilt. Das BAG hat in diesem Zusammenhang aber auch klargestellt, dass das Urteil kein Freifahrtschein für Datenschutzverstöße ist, sondern es immer auf eine Einzelfallbetrachtung ankommt.

Während das BAG über die Verwertbarkeit von Daten aus einer offenen Videoüberwachung entschied, erfolgte die Datenerhebung hier verdeckt. Generell sind die Anforderungen an eine verdeckte Mitarbeiterkontrolle deutlich höher als an eine offene Überwachung, da es sich um einen massiven Eingriff in die Persönlichkeitsrechte der Beschäftigten handelt. Insofern ist die Entscheidung des LAG nachvollziehbar und folgerichtig, da sie diesen Grundsatz aufgreift und einen besonders sorgfältige Verhältnismäßigkeitsprüfung durchführt.

Für Arbeitgeber ist das Urteil vermutlich weniger erfreulich. Die außerordentliche Kündigung war vorliegend nicht wirksam, obwohl der Arbeitszeitbetrug eindeutig nachweisbar war.

Arbeitgeber sind daher weiterhin und umso mehr gehalten, den Nachweis der Gründe für eine außerordentliche Kündigung auf datenschutzrechtlich zulässige Art und Weise zu erbringen und dies auch zu dokumentieren. Allein eine ordnungsgemäße Information der Beschäftigten über die Datenverarbeitungen im Betrieb gemäß Art. 13 DSGVO hätte vorliegend vermutlich zu einer anderen Entscheidung geführt.

Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Antje Münch, LL.M.
Stuttgart
Carina Bart
Stuttgart

Ansprechpartner

Antje Münch, LL.M.
Stuttgart
Carina Bart
Stuttgart

Weitere Artikel

25.04.2024
Europäische Kommission verstößt gegen DSGVO – Wiederaufleben der Debatte um die Nutzung von Microsoft 365?
23.04.2024
Aktuelles zum Spannungsfeld zwischen Design- und Urheberschutz
27.03.2024
Die Umsetzung der NIS2-Richtlinie in Deutschland: Herausforderung bei der Bestimmung des Anwendungsbereichs bei Konzernen
20.03.2024
Achtung Online-Marketer: Neues EuGH-Urteil zum IAB TCF
13.03.2024
EU-Digitalrecht: Formelle Einigung im EU-Parlament zur KI-Verordnung, zum Cyber Resilience Act und zum European Media Freedom Act
06.03.2024
Neues OLG-Urteil: Unterliegt die private E-Mail-Nutzung dem Fernmeldegeheimnis?
28.02.2024
Änderungen im BDSG und TTDSG – Was sich ändert und worauf insbesondere Unternehmen zu achten haben
27.02.2024
Online-Coaching und das Fernunterrichtsschutzgesetz – 180-Grad Wende der Rechtsprechung
21.02.2024
Offenlegung der Identität des Bewerters bei Kununu
07.02.2024
Aktuelles zu Auskunftsansprüchen gegen Plattformen nach DSA & TTDSG
01.02.2024
Endlich mehr Kohle! – Neue Rechtsprechung zum Schadensersatz bei Patentverletzungen
30.01.2024
Arbeitnehmerüberwachung: Französische Datenschutzbehörde verhängt 32 Millionen Euro Strafe gegen großen Online-Versandhändler

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.