Die Zulässigkeit der Leistungskontrolle

Unter welchen Voraussetzungen ist eine Leistungskontrolle durch Arbeitgeber gegenüber ihren Beschäftigten zulässig? Diese Frage wird in datenschutzrechtlichen Diskussionen recht unterschiedlich beantwortet. Arbeitnehmer und Betriebsräte vertreten häufig, dass eine Leistungskontrolle datenschutzrechtlich unzulässig sei. Arbeitgeber gehen hingegen häufig vom Gegenteil aus und nehmen eine weitgehende Zulässigkeit an. Zum Teil werden Maßnahmen, die der Leistungskontrolle dienen, auch bewusst oder aufgrund fehlender Sensibilisierung etwas beschönigend als nur der „Qualitätskontrolle“ dienend dargestellt.

Im Folgenden soll aufgrund dieser Unklarheiten und unterschiedlichen Sichtweisen die datenschutzrechtliche Zulässigkeit von Maßnahmen zur Leistungskontrolle beleuchtet werden.

Formen der Leistungskontrolle

Leistungskontrolle kann im Beschäftigungsverhältnis in verschiedenen Formen durchgeführt werden. Meist wird sie als solche erkennbar sein. Doch auch, wenn als Zweck einer Maßnahme bspw. nur die Ermittlung von Schulungsbedarf genannt wird, geht es letztlich um eine Kontrolle der Leistung oder Fähigkeiten der Beschäftigten.

Allgemeine Beispiele für Maßnahmen zur Leistungskontrolle sind:

• Messung der Kassiergeschwindigkeit im Einzelhandel und Überprüfung der Kundenfreundlichkeit des Kassenpersonals.
• Messung der Bearbeitungsgeschwindigkeit und Servicequalität im Kundenservice u. a. durch das Mithören, Mitlesen und Aufzeichnen von Anfragen und Durchführung sog. Mystery Calls.
• Messung der Bearbeitungsgeschwindigkeit und Servicequalität im IT-Support (auch unternehmensintern).
• Messung der Kommissioniergeschwindigkeit und Qualität der Kommissionierung in Warenlagern.
• GPS-Ortung bei Liederdiensten und Speditionen zur Prüfung der Einhaltung bestimmter Routen, Pausenzeiten etc.

Aufgrund von § 26 Abs. 7 BDSG sind auch Datenverarbeitungen rechtlich relevant, die außerhalb einer EDV verarbeitet werden. Dies kann etwa Beobachtungen betreffen, die handschriftlich in Protokollen vermerkt werden.

Datenschutzrechtlich unproblematisch sind Maßnahmen, die sich nicht auf konkrete Einzelpersonen beziehen, sondern auf größere Teams ab sieben Personen oder die Belegschaft im Ganzen. Hier geht es um die Teamleistung als anonymes Datum, das nicht unter das Datenschutzrecht fällt. Beachtet werden muss jedoch, ob eine Angabe zur Leistung eines Teams nicht vielleicht eine personenbezogene Information bezogen auf den Teamleiter darstellt und in dieser Hinsicht dann doch datenschutzrechtlich relevant wird.

Keine konkrete gesetzliche Regelung

Eine konkrete gesetzliche Regelung zum Thema Leistungskontrolle existiert im deutschen Datenschutzrecht nicht.

Stellt man allein auf die DSGVO ab, so regelt Art. 6 Abs. 1 lit. b DSGVO lediglich erforderliche Datenverarbeitungen für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist. Vertrag ist hier der Arbeitsvertrag und die betroffene Person der Arbeitnehmer.

Das BDSG beschäftigt sich in seinem § 26 , welcher über die Öffnungsklausel des Art. 88 DSGVO Anwendung findet, allgemein mit Datenverarbeitungen für Zwecke des Beschäftigungsverhältnisses.

Im Grundsatz zulässig

Maßnahmen zur Leistungskontrolle im Beschäftigungsverhältnis können grundsätzlich datenschutzkonform gestaltet werden. Sie sind nicht generell unzulässig.

• 26 Abs. 1 Satz 1 BDSG besagt, dass personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden dürfen, wenn dies […] für dessen Durchführung […] erforderlich ist. Die Tatbestandsvoraussetzung der Erforderlichkeit ist dabei als „erforderlich und verhältnismäßig“ zu lesen.

Der Arbeitsvertrag ist ein vertragliches Schuldverhältnis. Der Arbeitnehmer wird zur Erbringung der Arbeitsleistung verpflichtet, der Arbeitgeber zur Zahlung der vereinbarten Vergütung. Innerhalb dieses Schuldverhältnisses hat der Arbeitgeber grundsätzlich das Recht, sich von der ordnungsgemäßen Erbringung der Arbeitsleistung zu überzeugen. Eine Leistungskontrolle ist somit eine Datenverarbeitung, bei der Durchführung des Beschäftigungsverhältnisses und kann im Rahmen von § 26 Abs. 1 Satz 1 BDSG gestaltet werden.

Der Entwurf für ein Gesetz zur Regelung des Beschäftigtendatenschutzes aus dem Jahr 2010 bezeichnete in seinem § 32c Abs. 1 Nr. 3 BDSG Leistungs- und Verhaltenskontrolle als Recht des Arbeitgebers gegenüber den Beschäftigten.

Auch die Datenschutz Aufsichtsbehörde aus Baden-Württemberg schreibt in ihrem Ratgeber Beschäftigtendatenschutz:

„Alles, was zur Ausübung von Weisungsrechten eines Arbeitgebers oder einer Kontrolle der Leistung oder des Verhaltens seiner Beschäftigten notwendig ist und nach den Grundsätzen des Arbeitsrechts erlaubt ist, muss aus datenschutzrechtlicher Sicht als erforderlich eingestuft werden.“

Wahrung der Erforderlichkeit und Verhältnismäßigkeit

Auch wenn Maßnahmen zur Leistungskontrolle grundsätzlich zulässig sind, gilt dies natürlich nicht grenzenlos. § 26 Abs. 1 Satz 1 BDSG enthält die bereits genannten Einschränkungen, nach denen die Maßnahmen erforderlich und verhältnismäßig sein müssen.

Als eindeutig unzulässig werden in der Regel Maßnahmen angesehen, die zu einer Vollkontrolle oder Totalüberwachung der Beschäftigten führen. Beschäftigte sollen nicht bei jedem Handgriff und auf Schritt und Tritt überwacht werden. Dieser Kontrolldruck wäre nicht mit dem Recht auf informationelle Selbstbestimmung zu vereinbaren.

Es gilt also, ein gesundes Mittelmaß bei der Ausgestaltung von Kontrollmaßnahmen zu finden. Durch einzelne Stellschrauben können das Interesse des Arbeitgebers an der Durchführung von Kontrollmaßnahmen und das Interesse der Beschäftigten an einem Schutz vor einer Vollkontrolle ins Gleichgewicht gebracht werden.

Solche Stellschrauben zur Wahrung der Erforderlichkeit und für eine verhältnismäßige Ausgestaltung können bspw. die folgenden Punkte sein:

• Zentrales Mittel für eine verhältnismäßige Ausgestaltung ist der Stichprobencharakter von Kontrollmaßnahmen, anstelle einer permanenten Überwachung.
• Zwischen Beschäftigten in der Einarbeitungszeit und erfahrenen Beschäftigten sollte differenziert werden. In der Einarbeitungszeit besteht in der Regel ein höherer Schulungsbedarf und ein gesteigertes Interesse an der Überwachung der Entwicklung des neuen Mitarbeiters.
• Die Belegschaft sollte generell vorab transparente Informationen über das geplante Vorgehen, die Zwecke und die Häufigkeit der Kontrollmaßnahmen erhalten.
• Je nach Einzelfall kann sich auch eine konkrete vorherige Ankündigung zur Wahrung der Verhältnismäßigkeit anbieten. Der Belegschaft kann mitgeteilt werden, welche Maßnahmen in einem bestimmten Zeitraum oder zu einem bestimmten Zeitpunkt geplant sind.
• Die Speicherdauer der bei der Kontrolle erhobenen Informationen sollte auf das erforderliche Maß beschränkt werden. Ggf. genügt es, die erhobenen Informationen bis zum nächsten Feedbackgespräch aufzubewahren, oder bis zum übernächsten, um eine Entwicklung der Ergebnisse nachhalten zu können.
• Die erhobenen Informationen sollten nur solchen Personen zugänglich gemacht werden, die diesen Zugriff auch benötigen. Häufig kann eine Beschränkung auf den Vorgesetzten und vielleicht noch dessen Vorgesetzten ausreichen.
• Personelle Maßnahmen auf Grundlage der erhobenen Informationen könnten ausgeschlossen werden. Dies bietet sich an, wenn mit der Kontrolle wirklich nur der Schulungsbedarf zu einem bestimmten Thema in der Belegschaft ermittelt werden soll.
• Es ist stets verhältnismäßiger, personenbezogene Daten beim Betroffenen selbst zu erheben und nicht bei Dritten.

Allgemeine datenschutzrechtliche Vorgaben

Neben den konkreten Anforderungen bei der Ausgestaltung von Maßnahmen zur Leistungskontrolle, gelten natürlich auch die sonstigen Vorgaben aus der DSGVO. So sind Informationspflichten nach Art. 13 DSGVO zu erfüllen, Dokumentationen im Verarbeitungsverzeichnis nach Art. 30 Abs. 1 DSGVO sind vorzunehmen, Löschfristen sind zu definieren und einzuhalten, es sind angemessene Maßnahmen zum Schutz der personenbezogenen Daten zu treffen und das Verbot der automatisierten Entscheidungen im Einzelfall aus Art. 22 DSGVO ist zu beachten. Unter Umständen kann auch eine Datenschutz-Folgenabschätzung erforderlich sein.

Soweit in einem Unternehmen ein Betriebsrat besteht, sind auch dessen Mitbestimmungsrechte zu beachten.

Fazit

Weder ist eine Leistungskontrolle generell unzulässig, noch ist jede Form der Kontrolle erlaubt. Anhand der Ausgestaltung der Maßnahmen ist ein gesundes Mittelmaß zu finden, bei dem die Erforderlichkeit und Verhältnismäßigkeit gewahrt wird.