Unternehmen sind verpflichtet und berechtigt, bestimmte Daten ihrer Arbeitnehmer zu erheben, zu verarbeiten, zu speichern und irgendwann wieder zu löschen. Welche Daten dies sind, richtet sich nach den gesetzlichen Erlaubnistatbeständen der Artikel 6 und 9 der Datenschutzgrundverordnung.

So sind bestimmte Daten zu erheben und an verschiedene Behörden zu melden, also Steuerdaten, Sozialversicherungsdaten und andere mehr. Damit ist die Erhebung und gesetzeskonforme Verarbeitung durch eine gesetzliche Grundlage erlaubt. Dies gilt z.B. auch für die Erhebung von Gesundheitsdaten im Rahmen der Corona-Schutzmaßnahmen. Das Infektionsschutzgesetz (IfSG) in Verbindung mit verschiedenen Coronaschutz-Verordnungen erlaubt(e) ab dem 24.11.2021 die Kontrolle der Arbeitnehmer vor der täglichen Arbeitsaufnahme dahingehend, ob diese genesen, geimpft oder getestet sind. Die Regelung des § 36 Absatz 3 IfSG wurde dahingehend angepasst, dass Arbeitgeber in bestimmten Einrichtungen und Unternehmen zur Verhinderung der Verbreitung von COVID-19 Daten zum Impf- und Serostatus der Beschäftigten in Bezug auf COVID-19 unabhängig vom Bestehen der epidemischen Lage von nationaler Tragweite in jedem Fall bis zum Ablauf des 19. März 2022 verarbeiten können. Dies gilt allerdings nur – wegen des Gebotes der Datensparsamkeit – für die erforderlichen Daten. Erlaubt sind daher Fotos von digitalen Impfzertifikaten, Kopien von Tests und von Impfpässen (allerdings nur die Covid-Impfungen, nicht sonstige Impfungen). Der Arbeitgeber muss die erhobenen Daten sicher aufbewahren, zunächst bis zum 19.3.2022. Falls die Aufbewahrungspflicht nicht verlängert wird, sind die Daten dann unverzüglich zu löschen.

Die Erhebung von anderen Arbeitnehmerdaten, die nicht gesetzlich gefordert wird, ist nur zulässig, wenn sie entweder zur Durchführung des Arbeitsvertrages erforderlich sind oder der Arbeitnehmer freiwillig eingewilligt hat (vgl. zur Einwilligung § 26 Abs. 2 BDSG) oder wenn eine Interessenabwägung ergibt, dass keine schutzwürdigen Interessen der Verarbeitung der Daten entgegenstehen.

Eine wichtige Frage in diesem Kontext lautet: Gilt das TTDSG auch im eigenen Betrieb gegenüber den Beschäftigten?

Das Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien, kürzer: Telekommunikation-Telemedien-Datenschutz-Gesetz und noch kürzer: TTDSG gilt in Deutschland seit dem 1.12.2021. Deutschland kommt damit seiner Pflicht zur Umsetzung von EU-Richtlinien nach, vorliegend geht es um die Umsetzung der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. L 201 vom 31.7.2002, S. 37), die durch Artikel 2 der Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 (ABl. L 337 vom 18.12.2009, S. 11) geändert worden ist.

Das Gesetz ist Teil des auch eine Neufassung des Telekommunikationsgesetzes (TKG) enthaltenden Telekommunikation-Modernisierungsgesetzes (TKModG). Offen bleibt, ob das nunmehr im TTDSG verankerte Fernmeldegeheimnis (§ 3 TTDSG) auch gegenüber den eigenen Arbeitnehmern und sonstigen Beschäftigten Anwendung findet. Dies ist ein typisches Problem der Gesetzgebung: Die Gesetze werden so abstrakt formuliert, dass bei der Anwendung auf konkrete Fallgestaltungen – je nach Interpretation des Wortlautes des Gesetzes – links oder rechts abgebogen werden kann. Bei so wichtigen Fragen für die Praxis ist das eine schwache Performance des Gesetzgebers, denn die auf dem Tisch liegenden Fragen sind keinesfalls neu.

Es geht im Kontext der eigenen Belegschaft um die Frage, ob und inwieweit hier das Fernmeldegeheimnis greift. § 3 Abs. 1 TTDSG definiert den Inhalt hierzu wie folgt:

„Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Das Fernmeldegeheimnis erstreckt sich auch auf die näheren Umstände erfolgloser Verbindungsversuche.“

Zur Wahrung des Fernmeldegeheimnisses sind nach § 3 Abs. 2 TTDSG u.a. verpflichtet:

„Anbieter von ganz oder teilweise geschäftsmäßig angebotenen Telekommunikationsdiensten sowie natürliche und juristische Personen, die an der Erbringung solcher Dienste mitwirken,“

Dies trifft z.B. auf einen Hotelbetreiber zu, dessen Gäste die Telefone des Hotels auf den Zimmern nutzen können. Ob dies hingegen auch für die Hotelmitarbeiter gilt, ist eine ganz andere Frage. Die herrschende Meinung unter den Juristen verneint diese Frage, wenn die Beschäftigten die Kommunikationsinfrastruktur nur zu dienstlichen Zwecken nutzen darf. In diesem Fall wird der Rahmen der erlaubten Kontrolle durch den Arbeitgeber über § 26 BDSG gesteckt: Soweit erforderlich und verhältnismäßig, darf der Arbeitgeber die Nutzung der Kommunikation durch die eigenen Beschäftigten überprüfen.

Danach darf der Arbeitgeber bei Telefonaten die Rahmendaten erfassen, also kontaktiere Rufnummern, Dauer und Zeitraum des Telefonates, Kosten der Verbindung. Nicht erfasst und nicht aufgezeichnet werden dürfen die Inhalte von Telefonaten, es sei denn, beide (bzw. alle) Teilnehmer haben dem zugestimmt („… werden zu Ausbildungszwecken aufgezeichnet…“).

Anders bei E-Mails: Rein dienstliche E-Mails darf der Arbeitgeber – auch inhaltlich – auswerten. In Betrieben mit Betriebsrat gibt es zu diesen Überwachungsmöglichkeiten allerdings häufig Betriebsvereinbarungen, die diese Rechte des Arbeitgebers einschränken.

Ungemütlich wird es für den Arbeitgeber, wenn er die private Nutzung von dienstlichen Kommunikationseinrichtungen (also Telefon, E-Mails, Internet, sonstige) erlaubt oder duldet. Die Duldung gilt als stillschweigende Zustimmung; dies gilt auch dann, wenn im Arbeitsvertrag oder einer „Arbeitsordnung“ das Gegenteil geregelt ist. Immer wenn die tatsächliche Vertragsdurchführung von der Papierform abweicht, gilt der Grundsatz „substance over form“, also Realität geht vor geschriebenem Text.

Ist die private Nutzung erlaubt, ist die Überwachung oder Auswertung der privaten Nutzung aus Sicht der Datenschutz-Aufsichtsbehörden Tabu (vgl. DSK, Orientierungshilfe der Datenschutzaufsichtsbehörden zur datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz, S. 8) und bedarf grundsätzli ch der vorherigen Einwilligung des Arbeitnehmers. Einige Gerichte (z.B. LG Erfurt, Urt. v. 28.04.2021 – 1 HK O 43/20) – bis hin zum Europäischen Gerichtshof für Menschenrechte (vgl. EGMR vom 05.09.2017 Beschwerde-Nr. 61496/08) – sehen das anders. Für die Praxis bleibt aber klar festzuhalten: Bei erlaubter Privatnutzung bewegt sich der Arbeitgeber bei der Überwachung auf sehr dünnem Eis und muss im Fall einer Anzeige mit Bußgeldern seitens der Aufsichtsbehörden rechnen.

Geschützt werden zugunsten der Arbeitnehmer deren Grundrechte auf Achtung des Fernmeldegeheimnisses sowie dem Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.