Aus menschenrechtlicher Sicht beeinflussen der Besitz und der Gebrauch unserer Daten durch andere unser Privatleben. Dennoch wurde der Datenschutz in Bezug auf unser Privatleben in bestimmtem Ausmaß begrenzt. Mit anderen Worten, unser Recht auf Privatsphäre wurde beschränkt.
Zwar darf der Arbeitgeber keine persönlichen Benutzerkonten des Arbeitnehmers überwachen oder abrufen, er kann allerdings nach wie vor kontrollieren und dokumentieren, dass der Arbeitnehmer auf seine privaten Benutzerkonten zugreift und, dass er während der Arbeitszeit Privatangelegenheiten nachgeht. Zu diesem Zweck kann der Arbeitgeber Überwachungsmaßnahmen ergreifen, um herauszufinden, ob der Arbeitnehmer in nicht erlaubter Weise das Internet nutzt, Freizeitangelegenheiten nachgeht, oder seine Pflichten verletzt. Dies ist jedoch nur dann zulässig, wenn dementsprechende Regelungen hinsichtlich der Überwachung des Internetzugangs in internen Vorschriften enthalten und veröffentlicht sind. Arbeitnehmer müssen des Weiteren eine Bestätigung darüber, dass sie sich mit diesen internen Vorschriften bekannt gemacht haben, unterschreiben.
All dies ergibt sich aus der aktuellen Rechtsprechung des europäischen Gerichtshofs für Menschenrechte (EGMR) im Fall Barbulescu v Romania (2016). Die Leitsätze dieser Entscheidung können als Grundsätze in Bezug auf die Nutzung von sozialen Medien und Internet durch Arbeitnehmer am Arbeitsplatz angesehen werden.
Im Jahr 2007 wurde Herr Barbulescu von seinem rumänischen Arbeitgeber wegen Verletzung innerbetrieblicher Vorschriften gekündigt. Seine Arbeitspflichtverletzung bestand in der privaten Nutzung seines Yahoo-Messenger-Accounts, welches der Arbeitnehmer auf Wunsch des Arbeitgebers für den Fall, dass Kundenanfragen eingehen, angelegt hatte.
Vermutet ein Arbeitgeber einen Verstoß, hat er gemäß dem EGMR das Recht zur Überprüfung von Benutzerkonten, die Arbeitnehmern zur Verfügung gestellt werden, oder die von Arbeitnehmern für Berufszwecke genutzt werden (z.B. gewerblich betriebene E-Mail-Acounts), um herauszufinden, ob der Arbeitnehmer tatsächlich seine Pflichten verletzt. Wichtig ist, dass der Arbeitgeber nur dann Kontrollen durchführen und gewonnene Informationen nutzen kann, wenn er zur Überprüfung vermuteter Pflichtverletzungen berechtigt ist. Zudem darf der Arbeitgeber die Überwachung der Arbeitnehmer nur insoweit aufrecht erhalten sowie private Nachrichten des Arbeitnehmers nur in dem Umfang nutzen, wie dies zur Überprüfung von Arbeitspflichtverletzungen erforderlich ist. Anderenfalls wäre dies als Verletzung des Rechts auf Privatsphäre des Arbeitnehmers anzusehen. Ziel der Überwachung darf es nicht sein, persönliche Informationen des Arbeitnehmers zu sammeln, zu offenbaren oder in irgendeiner anderen Form zu nutzen. Das Recht, den E-Mail-Account des Arbeitnehmers, den Gebrauch von Inventar, betrieblichen Handlungsmethoden und Werkzeugen zu überwachen, muss deutlich aus betriebsinternen Vorschriften hervorgehen. Das Überwachungsziel sollte in der folgenden Weise definiert werden: „Feststellung einer möglichen Pflichtverletzung desArbeitnehmers“.
Wir empfehlen Ihre innerbetrieblichen Vorschriften bezüglich des Arbeitsablaufs, wie beispielsweise Arbeitsbeschreibungen, Orientierungshilfen, Handbücher, Richtlinien und Arbeitsverträgen unter Einbeziehung:
- einer klaren Verpflichtung, den betrieblichen Internetzugang, Inventar, Arbeitsmittel und Werkzeug nur zu Arbeitszwecken zu nutzen,
- eines ausdrücklichen Verbots, während der Arbeitszeit Privatangelegenheiten nachzugehen,
- einer genauen Verfahrensweise bei der Überwachung: wie der Arbeitnehmer von einer bevorstehenden Kontrolle erfährt, den Umfang und die Ziele der Kontrolle, wie mit dem Arbeitnehmer Kontakt aufzunehmen ist, wenn Pflichtverletzungen vermutet werden, wie der Arbeitnehmer diese erklären kann, u.s.w.
zu ergänzen-.
Werden die oben aufgeführten Verbote und Klauseln eindeutig und ordnungsgemäß dokumentiert, steht eine Arbeitspflichtenverletzung fest, wenn der Arbeitnehmer seinen betrieblichen Internetzugang oder andere ausschließlich mit der Arbeit in Zusammenhang stehende Mittel zu privaten Zwecken (z.B. Surfen im Internet zu Unterhaltungszwecken, Versenden von Nachrichten in privaten Portalen) nutzt. Dementsprechend ist der Arbeitgeber dann im neuen Arbeitsgesetzbuch vom 1. Juli 2017 in Kraft sind die Rechte der Arbeitnehmer auf Wahrung ihrer privaten Kommunikation auch in Litauen umgesetzt.
Gemäß dem neuen Arbeitsrecht muss der Arbeitgeber bei der Umsetzung seiner Eigentums- und Verwaltungsrechte an Informations- und Kommunikationsmedien am Arbeitsplatz das Recht auf Privatsphäre im Rahmen privater Kommunikation respektieren.
Ein Arbeitgeber mit durchschnittlich mehr als 50 Arbeitnehmern muss eine Richtlinie zum Schutz privater Daten sowie Pläne, wie diese umgesetzt werden soll, erarbeiten und den Arbeitnehmern bekanntgeben. Das bedeutet, dass ein Arbeitgeber über die allgemeinen Regelungen zur Verarbeitung von personenbezogenen Daten hinaus, die Pflicht zur gesonderten Dokumentation bei der Verarbeitung der personenbezogenen Daten der Arbeitnehmer haben wird.
Nach den neuen Bestimmungen des Arbeitsrechts gehen die folgenden Pflichten mit der Verarbeitung persönlicher Daten der Arbeitnehmer einher:
- die Einführung einer Richtlinie hinsichtlich des Gebrauchs von Informations- und Kommunikationsmedien und Information an die Arbeitnehmer hierüber;
- die Einführung einer Richltlinie hinsichtlich dre Überwachung und Kontrolle des Arbeitsplatzes der Arbeitnehmer, sowie Information der Arbeitnehmer hierüber (sollte eine solche Überwachung durchgeführt wird);
- die Einführung einer Richtlinie hinsichtlich des Schutzes von personenbezogenen Daten der Arbeitnehmer, sowie Maßnahmen um diesen sicherzustellen.
Jeder Arbeitgeber mit durchschnittlich mehr als 20 Arbeitnehmern wird auch verpflichtet sein, den Betriebsrat über die oben aufgeführten Regelungen zu informieren, dessen Zustimmung zu erlangen und hinsichtlich eventueller Ergänzungen anzuhören.
Das neue Arbeitsrecht ist somit mit der Auffassung des EGMR vereinbar. Jedoch ist weder die genaue Ausgestaltung der Durchsetzung der Arbeitnehmerrechte geregelt, noch sind Regeln zur Beschränkung der Rechte der Arbeitgeber enthalten. Das Arbeitsgesetzbuch bezieht sich auf andere gesetzliche Regelungen, in denen besondere Bestimmungen zum Schutz von personenbezogenen Daten der Arbeitnehmer und die Umsetzung ihres Rechts auf Privatsphäre geregelt sind. Dementsprechend finden die allgemeinen Bestimmungen betreffend den Schutz personenbezogener Daten und die Regelungen zur Privatsphäre bei der Verarbeitung von Arbeitnehmerdaten auch weiter Anwendung, sofern im Arbeitsgesetzbuch keine speziellen Regelungenvorhanden sind.
Folglich ist auch die neue Datenschutz-Grundverordnung für Arbeitgeber und Arbeitnehmer relevant. Deren Bestimmungen verpflichten Unternehmen nicht nur mit den Daten der Arbeitnehmer, sondern auch mit den personenbezogenen Daten jeder anderen Person, sorgfältiger und verantwortungsbewusster umzugehen. Nur noch 10 Monate verbleiben bis zu ihrer Umsetzung. Daher sollten diejenigen, die rechtzeitig hierauf vorbereitet sein wollen, überprüfen, wie innerbetrieblich mit personenbezogenen Daten umgegangen wird. Es sollte eine Überprüfung der internen Grundsätze zum Schutz personenbezogener Daten erfolgen, wobei Arbeitnehmer über alle Vorgänge mit ihren Daten informiert werden sollten. Entsprechend dem Ergebnis der Überprüfung sollten alle übrigen Maßnahmen ergriffen werden, um den neuen Anforderungen gerecht zu werden. Aktuell wird von Unternehmen bereits verlangt, gespeicherte Daten zu verschlüsseln, Sicherheitskopien anzufertigen, Antivirenprogramme zu installieren, Regeln zur Erneuerung von Passwörtern einzuführen, sowie alle Datenverarbeitungsvorgänge ordentlich und einheitlich auszugestalten. Das Nichterfüllen dieser aufgeführten Pflichten kann zu erheblichen Geldstrafen von bis zu 20 Mio Euro oder 4 % des weltweiten Jahresumsatzes führen.