Mitarbeiterdaten in der IT-Compliance: Wie weit darf Kontrolle gehen?

Problemstellung

Unter Compliance versteht man den Grundsatz, dass ein Unternehmen geeignete Maßnahmen treffen muss, damit Geschäftsleitung und Belegschaft geltende Gesetze und selbst auferlegte Kodizes einhalten. Um dies sicherzustellen, haben zahlreiche Unternehmen Kontroll- und Untersuchungsmaßnahmen eingeführt.

So kann beispielsweise durch die Implementierung spezieller Software das IT-System eines Unternehmens vor Viren und Hacker-Angriffen geschützt werden. Dabei ist es in der Regel notwendig, nicht nur die Daten von externen Kommunikationspartnern, sondern auch die Internet- und E-Mail-Nutzung der Mitarbeiter am Arbeitsplatz zu kontrollieren, um rechtswidrige Vorgänge rasch aufdecken zu können und zu eliminieren.

Im Rahmen der Compliance-Grundsätze müssen Maßnahmen zur Kontrolle und Überprüfung der Mitarbeiter rechtskonform durchgeführt werden. Dies gilt vor allem dann, wenn bei der Ausführung solcher Kontroll- und Untersuchungsmaßnahmen Daten von Mitarbeitern verarbeitet werden: hier ergeben sich datenschutzrechtliche Fragestellungen.

Der Datenschutz setzt Kontrollmaßnahmen Grenzen

Das Grundrecht auf Datenschutz gewährt jedermann Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Unter personenbezogenen Daten sind Angaben über Betroffene zu verstehen, deren Identität bestimmt oder bestimmbar ist.

Bei der Nutzung von E-Mail-Programmen und des Internets am Arbeitsplatz können personenbezogene Daten anfallen, wenn sie einem bestimmten Mitarbeiter zuordenbar sind. Dies wird regelmäßig dann der Fall sein, wenn sich Mitarbeiter am Computer mit Benutzernamen und Passwort im Netzwerk des Unternehmens anmelden.

Grundsätzlich verfügt ein Unternehmen über eine Vielzahl von persönlichen Daten seiner Mitarbeiter. Nicht jede Verwendung dieser Daten ist allerdings rechtswidrig. Eine Datenverarbeitung wird erst dann rechtswidrig, wenn schutzwürdige Interessen der Mitarbeiter verletzt werden. Um festzustellen, ob die Verwendung personenbezogener Daten zulässig ist oder nicht, sind die schützenswerten Interessen des Mitarbeiters auf der einen gegen die ebenso beachtlichen Interessen des Unternehmens auf der anderen Seite abzuwägen.

Ist ein überwiegendes berechtigtes Interesse des Unternehmens an der Verwendung der Daten zu bejahen, dürfen diese dennoch nur im erforderlichen Ausmaß und in der gelindesten zum Ziel führenden Art verarbeitet werden.

Wann darf die Internet- und E-Mail-Nutzung der Mitarbeiter überwacht werden?

Im Rahmen der Compliance haben Unternehmen dafür zu sorgen, dass die Funktionsfähigkeit des betrieblichen IT-Systems gewährleistet ist. In der Praxis ist hier insbesondere an die Abwehr von Viren und Spam-Mails sowie von Trojanern oder sonstigen Hacker-Angriffen auf das Unternehmensnetzwerk zu denken.

Da Unternehmen in der Regel an einer Datenverwendung in diesem Zusammenhang ein im Vergleich zu ihren Mitarbeitern überwiegendes berechtigtes Interesse haben, ist die Verwendung von Daten, die für die Gewährleistung der Sicherheit des Systems technisch unerlässlich bzw. unvermeidbar sind, zulässig.

Zusammenfassend bedeutet dies, dass Unternehmen Kontroll- und Sicherheitsmaßnahmen im Rahmen der Compliance nach den Grundsätzen des Datenschutzes dann rechtmäßig durchführen, wenn die Daten von Mitarbeitern lediglich zu Zwecken der Aufrechterhaltung der Funktionalität des IT-Systems im dafür technisch unbedingt erforderlichen Umfang verwendet werden und hierbei nur Routinekontrollen ohne personenbezogene Auswertungen durchgeführt werden.

Autoren

Mag. Anja Greiner

Mag. Anja Greiner ist Rechtsanwaltsanwärterin bei Brandl & Talos Rechtsanwälte GmbH.