Interview

Überwachung am Arbeitsplatz: „Das Kontrollpotential ist riesengroß“

Der Arbeitsrechtler Peter Wedde berät seit Jahren Betriebsräte und Beschäftigte in Datenschutzfragen. Er warnt vor einer Ausbreitung der Überwachung am Arbeitsplatz. Deutschland brauche endlich ein eigenes Gesetz für den Beschäftigtendatenschutz, sagt Wedde im Interview.

Peter Wedde
Der Arbeitsrechtler Peter Wedde bei der Verleihung des Big-Brother-Awards in Bielefeld CC-BY-SA 2.0 Eleleleven

Peter Wedde ist Professor für Arbeitsrecht und Recht der Informationsgesellschaft an der Frankfurt University of Applied Sciences, wissenschaftlicher Leiter der Beratungsgesellschaft d+a consulting GbR in Eppstein und wissenschaftlicher Berater des Anwaltsbüros Steiner Mittländer Fischer in Frankfurt. Er berät Betriebsräte und Arbeitnehmer zum Thema Beschäftigtendatenschutz.

netzpolitik.org: Wir haben zuletzt berichtet, dass Behörden immer mehr Fälle von fragwürdigem GPS-Tracking im Firmenwagen und Videoüberwachung am Arbeitsplatz gemeldet werden. Man bekommt den Eindruck, dass die Möglichkeiten zur Kontrolle durch den Arbeitgeber ständig wachsen. Lässt sich das aus Ihrer Praxis bestätigen?

Peter Wedde: Ja. Die technischen Kontrollmöglichkeiten haben in einem Maß zugenommen, das vor ein paar Jahren nicht vorstellbar war. Es gibt heute fast kein Berufsfeld mehr, in dem nicht automatisch IT-mäßige Kontrollen im Hintergrund ablaufen, selbst in typischen Handwerksbetrieben. In vielen Fällen erfolgen hier allerdings keine vorsätzlichen Auswertungen durch Arbeitgeber, aber die Möglichkeit hierzu besteht. Und wenn die Möglichkeit für Kontrollen besteht, dann erfolgen sie vielfach über kurz oder lang auch.

Heute gibt es viele technische Gelegenheiten zur Kontrolle, etwa beim Auto, um zu schauen, wie schnell die Mitarbeiter gefahren sind und wo sie waren. Es ist nicht überraschend, dass Chefs dann sagen: Jetzt will ich mal gucken, ob die vom Mitarbeiter ausgefüllte Arbeitszeit mit der Realität übereinstimmt. Das Kontrollpotential ist riesengroß.

netzpolitik.org: Unsere Umfrage hat gezeigt, dass viele Firmen auf fragwürdige Kontrollmöglichkeiten setzen. Welche Formen der Überwachung sehen Sie in Ihrem Alltag am häufigsten?

Peter Wedde: Videoüberwachung ist in erschreckend vielen Firmen ein Thema. Kameras werden häufig in unzulässiger Weise zur Kontrolle eingesetzt. Das fängt an beim Bäckerladen, wo über der Kasse verdeckt eine kleine Kamera angebracht ist, um zu sehen, ob die Verkäufer mit den Kassenbeständen sauber umgehen.

Häufig ist auch das GPS-Tracking, dass Sie angesprochen haben. In vielen Autos finden sich GPS-Transponder, deren Daten ausgewertet werden können. Diese Möglichkeit nutzen Arbeitgeber.

Ein anderer „Klassiker“ ist, dass in Firmen ohne Wissen der Beschäftigten Listen dazu erstellt werden, wer etwa die besten Verkäufer sind. Solche „Rennlisten“ sollte es eigentlich gar nicht geben.

Neuerdings gibt es immer öfter auch Auswertungen in neuen Kommunikationsanwendungen. Nehmen Sie beispielsweise ein internes Soziales Netzwerk, wie es viele Firmen inzwischen nutzen. Da kann ich beispielsweise wunderschön auswerten, wer wie viel kommuniziert und wer wie viele Likes für seine internen Geschichten bekommt. Wer sind die angesehensten Leute, wen kann keiner leiden? Das sind alles Dinge, die in Auswertungen einfließen und die jetzt in letzter Zeit im Kommen sind, muss man sagen. Das ist auch eine Verhaltenskontrolle.

netzpolitik.org: Wie ist derzeit die Rechtslage bei diesen Beispielen? Darf ein Arbeitgeber einfach so seine Mitarbeiter filmen und im Auto tracken, wenn er das für notwendig hält?

Peter Wedde: Ich halte heimliche Kontrollmaßnahmen aus verfassungs- und arbeitsrechtlichen Gründen grundsätzlich für unzulässig. Und selbst offene Kontrollmaßnahmen, etwa mit sichtbar angebrachten Kameras, sind nach der Rechtsprechung des Bundesarbeitsgerichts unzulässig, wenn sie dauerhaft ohne zwingenden Grund erfolgen. Permanent gefilmt werden darf nur, wenn es dafür ein sachliches Erfordernis gibt, zum Beispiel am Geldschalter einer Bank oder in Betriebsbereichen, in denen gefährliche Prozesse ablaufen. Dort sind dauerhafte Videokontrollen zum Schutz der Sicherheit von Beschäftigten erlaubt.

netzpolitik.org: Derzeit lesen wir häufig von Bedenken wegen Microsoft Office 365. Das schlägt ja gerade in vielen Betrieben auf. Was für Probleme sehen Sie mit Office 365?

Peter Wedde: Office 365 ist eine Sammlung von Anwendungen, die die Firma Microsoft anbietet. Dazu gehören Standardbüroarbeitsmittel wie Word und Powerpoint, Archivsysteme wie Sharepoint oder Kommunikationsanwendungen wie Skype oder Teams. Microsoft ist mit seiner Office-365-Oberfläche der geniale technische Coup gelungen, die unterschiedlichsten Anwendungen automatisch und komfortabel miteinander zu verbinden. Anwendern wird eine ständig aktualisierte und ergänzte bunte Welt von Büroanwendungen zur Verfügung gestellt, von denen Microsoft sagt, dass sie perfekt zusammenarbeiten.

Das Problem ist, dass bei der Arbeit mit allen diesen Anwendungen ständig personenbezogene Daten anfallen, die mit ebenfalls von Microsoft angebotenen Tools auswertet werden können. Damit wird zunächst einmal der persönliche Komfort erhöht. Wer mit Office 365 arbeitet, der bekommt bei einer entsprechenden Einstellung des Systems beispielsweise Vorschläge zu anderen Dateien angezeigt, die sie oder er vielleicht ebenfalls gebrauchen könnte. Das wird von vielen Menschen nicht als Kontrolle empfunden, sondern als Komfortgewinn.

Gleichzeitig sind aber auch Auswertungen dazu möglich, wer bestimmte Aufgaben wann erledigt hat oder welche Arbeiten noch offen sind. Selbst die Reihenfolge der Arbeitserledigung kann für Dritte nachvollziehbar sein.

Man kommt an der Feststellung nicht vorbei, dass Microsoft mit Office 365 eine gigantische Anwendung gebaut hat, die technisch faszinierend ist, die aber zugleich Kontrollmöglichkeiten bietet, von denen wir früher nicht zu träumen wagten.

netzpolitik.org: Bei unrechtmäßiger Überwachung von Beschäftigten sind die Datenschutzbehörden der Länder zuständig. Doch unsere Rundfrage hat ergeben, dass die Behörden kaum Strafen wegen solcher Verstöße austeilen – die Firmen kommen meist mit einer Verwarnung davon. Glauben Sie, dass die Behörden ihren Auftrag erfüllen?

Peter Wedde: Das, was die Aufsichtsbehörden in Deutschland an Arbeit machen, schätze ich sehr. Sie machen mit der knappen personellen und sachlichen Ausstattung, die sie haben, einen guten Job. Aber ich halte die Behörden für chronisch unterbesetzt. Das waren sie schon, bevor die Datenschutzgrundverordnung (DSGVO) vor eineinhalb Jahren wirksam wurde. Landesdatenschutzbeauftragte haben immer wieder und berechtigt gesagt: Wir brauchen mehr Mitarbeiter und mehr sachliche Mittel.

Was den Datenschutz von Beschäftigten angeht, ist das für die Aufsichtsbehörden allerdings nur eines von vielen wichtigen Themen. Aufgrund der notwendigen Spezialisierung kennt sich deshalb leider nicht jeder dort beschäftigte Datenschutzexperte auch im Arbeitsrecht gut aus. Das führt dazu, dass die notwendige Vernetzung der unterschiedlichen Rechtsgebiete und der dort bestehenden Probleme teilweise nur unzureichend gelingt. Das geht auf Kosten eines wirksamen Beschäftigtendatenschutzes.

Dazu kommt auch, dass den staatlichen Aufsichtsbehörden oft eine starke und nachhaltige politische Rückendeckung fehlt. Einen Verstoß bei einem großen Unternehmen zu monieren, der vielleicht zu wirtschaftlichen Konsequenzen wie Steuerausfällen oder Arbeitsplatzverlusten führt – das vermeidet der eine oder die andere Landesdatenschutzbeauftragte dann lieber doch. Zumal man dann davon ausgehen muss, dass eine Aufsichtsbehörde sich nach der öffentlichkeitswirksamen Verhängung einer hohen Geldbuße sehr schnell mit einer Phalanx von Anwälten aus international aufgestellten Anwaltsfirmen konfrontiert sieht, die alle möglichen Rechtsmittel einlegen.

Meine Erfahrung aus der Praxis ist zudem, dass die Datenschutzaufsichtsbehörden sich bei Fragen an der Schnittstelle zwischen Datenschutz- und Arbeitsrecht vielfach sehr zurückhalten. Wenn sich Beschäftigte oder Betriebsräte an die zuständige Aufsichtsbehörde wenden und einen Datenschutzverstoß melden, erleben sie immer wieder, dass versucht wird, das Thema erst einmal „runterzukochen“, um es vorsichtig zu sagen.

netzpolitik.org: Was bedeutet das für die Betroffenen?

Peter Wedde: Vertreter der Aufsichtsbehörden raten dann, das Thema erst einmal betrieblich zu klären. Wenn daraufhin der Hinweis kommt, dass das längst passiert sei und dass der Arbeitgeber nichts ändere, ist die Begeisterung von Aufsichtsbehörden, in derartige arbeitsrechtliche Konflikte reinzugehen, nicht sonderlich groß ist.

Dass da nicht mehr passiert und dass der Beschäftigtendatenschutz bei den Aufsichtsbehörden keine überragende Priorität hat, halte ich mit Blick auf die zu schützenden Rechte von mehr als 33 Millionen abhängig Beschäftigten für ein ganz grundsätzliches Problem.

Eine mögliche Lösung wäre eine unabhängige Aufsichtsbehörde für Beschäftigtendatenschutz, die sich nur um Datenschutz für abhängig tätige Arbeitnehmer kümmern. Eine solche Idee trifft aber im politischen Raum nur auf wenig Begeisterung, weil sie zunächst einmal Geld kosten würde. Die Wirtschaft lehnt sie völlig ab, wohl weil ein gesetzeskonformer Beschäftigtendatenschutz in vielen Betrieben immer noch fehlt.

netzpolitik.org: Im Koalitionsvertrag von Union und SPD steht, dass die Regierung ein eigenes Gesetz für den Beschäftigtendatenschutz zumindest prüfen möchte. Was sollte so ein Gesetz mindestens leisten?

Peter Wedde: Das „wir prüfen“ im Koalitionsvertrag verpflichtet die aktuelle Regierung nicht zum Handeln. In früheren Koalitionsverträgen gab es deutlichere Vorgaben für ein solches Gesetz, ohne dass etwas passierte. Die letzte CDU-/FDP-Regierung hatte sogar einen wenig beschäftigtenfreundlichen Entwurf auf den Weg gebracht, diesen dann aber kurz vor der Bundestagswahl zurückgenommen.

Was müsste in einem Beschäftigtendatenschutzgesetz stehen, das diesen Namen verdient? Beispielsweise verbindliche Vorgaben dazu, welche Daten bei Bewerbern erhoben werden dürfen wie etwa Informationen zur Berufsausbildung und welche Themen nicht abgefragt werden dürfen, etwa Aussagen zur Partei- oder Gewerkschaftszugehörigkeit oder zur sexuellen Orientierung.

Bezogen auf bestehende Beschäftigungsverhältnisse müsste festgelegt werden, ob und wie weit ein Arbeitgeber Beschäftigte durch heimliche oder offene Maßnahmen kontrollieren darf.

Sind Kontrollen zulässig, müsste beispielsweise geregelt werden, wie intensiv sie sein dürfen. Was gilt für den Umgang mit Gesundheitsdaten? Wie dürfen vorhandene Beschäftigtendaten verwertet oder mit anderen verknüpft werden?

Offen ist auch: Wie können sich von ihrem Arbeitgeber abhängige Arbeitnehmer gegen unzulässige Datenverarbeitung wehren? Wie müssen sie informiert werden? Wer hilft ihnen bei Unklarheiten? Das müsste alles in einem Beschäftigtendatenschutzgesetz geregelt werden.

Und dann ein ganz wichtiger Punkt: Wie ist es eigentlich mit spezifischen Mitbestimmungsrechten von Betriebs- und Personalräten zum Datenschutz? Sie können zwar bei der Einführung und Änderung von technischen Einrichtungen mitbestimmen, die zur Verwaltung von Verhaltens- und Leistungskontrollen bestimmt sind. Da haben die ein starkes Recht. Aber wenn es um Datenschutz selber geht, fehlt ein gesetzliches Mitbestimmungsrecht. Hierauf weisen Arbeitgeber im Streitfall regelmäßig hin.

netzpolitik.org: Welche Fragen sollte ein neues Gesetz beantworten, um auch in Zeiten von maschinellem Lernen und sogenannter Künstlicher Intelligenz zukunftsfähig zu sein?

Peter Wedde: Auch auf neue Fragen müsste ein Beschäftigtendatenschutzgesetz eine Antwort finden. Die DSGVO gibt beispielsweise vor, dass Datenverarbeitung für die betroffenen Personen transparent erfolgen muss. Wie das bei durch Algorithmen gesteuerten KI-Systemen funktionieren soll, deren genaue Funktionsweise oft ein Firmengeheimnis ist? Das weiß kein Mensch.

Wenn tatsächlich irgendwann das längst überfällige Beschäftigtendatenschutzgesetz verkündet würde, werden mir einzelne Regelungen darin wahrscheinlich nicht gefallen. Aber wir hätten dann immerhin mal Rechtsklarheit. Ich glaube, auch die Arbeitgeberseite wünscht sich, dass der Gesetzgeber zu bestimmten Themen klare Vorgaben schafft. Dann kann man sich je nach Position ärgern oder freuen, aber es würde viel, viel Energie frei, die im Moment durch Rechtsstreitigkeiten bezüglich des Umgangs mit personenbezogenen Beschäftigtendaten gebunden ist.

2 Ergänzungen
  1. Danke – sehr guter Bericht, aber wahrscheinlich nur die „Spitze des Eisbergs“.
    In der Realität kommen mMn. – zumindest in Teilen – noch ganz andere Dimensionen zum tragen…
    Anlaßlose Rundum-Überwachungen können einen Menschen auf Dauer zerstören und ausgrenzen.
    Der kriminelle Charakter derartiger Motivationen ist mMn. bezüglich einer breiten Diskussion in der Gesellschaft längst überfällig und gewiß auch dringend geboten.

  2. Marina Menzer: Richtig! Und an diesen äußerst bedenklichen Entwicklungen trägt die derzeit amtierende Regierung eine erhebliche Mitschuld, denn sie zerstört durch den Überwachungswahn jegliche vertrauensbildende Elemente in der Gesellschaft. Vertrauen und Unbeobachtetsein sind aber essentielle Grundlagen für Demokratie und Menschlichkeit. Wenn dieses Vertrauen immer weiter demontiert wird, weil der Angstgedanke (wovor eigentlich?) zum dominanten Überwachungsgrund hochstilisiert und gleichzeitig jeder negative Aspekt der „Digitalisierung“ zugunsten eines naiven Fortschrittsglaubens ignoriert wird, dann brauchen wir uns über wieder wachsende autoritäre Strukturen wie Ende der 20er Jahre nicht zu wundern! Und genau die waren (und sind leider) Nährboden für totalitäre Auffassungen jeder Art und damit auch von genau dem Extremismus, den doch hoffentlich alle bekämpfen möchten…! Demokratie heisst auch Infragestellen des Status Quo – und wenn das nicht mehr möglich ist, weil jeder aus Angst vor Kontrolle kein Vertrauen in sich selbst hat sowie darin, seine Meinung kundzutun, dann schaffen wir uns mittelfristig selbst ab! Aber das wird beratungsresistente Politiker wie die derzeit agierenden nicht interessieren…

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.