Taschenkontrollen in Unternehmen – Auch unter Geltung der DSGVO zulässig?

Taschenkontrollen bei Beschäftigten erregen regelmäßig die Gemüter. Das Bundesarbeitsgericht (BAG) äußerte bisher keine Bedenken an der Zulässigkeit von Taschenkontrollen, sofern kein weniger einschneidendes, wenigstens gleich gut geeignetes Mittel zur Eindämmung von Diebstählen durch das Personal zur Verfügung stehe (BAG, Beschl. v. 15.04.2014 – 1 ABR 2/13 (B), NZA 2014, 551 (555 f.)). In dem zugrunde liegenden Fall waren in einem Unternehmen binnen eines Jahres Waren mit einem Wert von 250.000 Euro abhandengekommen. Die zentrale Frage, die das BAG zu beantworten hatte, war, ob durch die Regelung in der Betriebsvereinbarung bzw. durch die Betriebsvereinbarung selbst in unverhältnismäßiger Weise in das allgemeine Persönlichkeitsrecht eingegriffen wird bzw. eingreift. Im Ergebnis stellte das BAG fest, dass Taschenkontrollen in die Privatsphäre der betroffenen Arbeitnehmer eingreifen, diese aber zulässig sind, wenn sie den Anforderungen des Verhältnismäßigkeitsgrundsatzes genügen. Dies kann auch nochmals in einem früheren Beitrag von uns nachgelesen werden.

Die nach der alten Gesetzeslage geklärte Frage soll im Lichte der nunmehr geltenden Regelungen der Datenschutz-Grundverordnung (DSGVO) und dem neuen Bundesdatenschutzgesetz (BDSG) betrachtet werden.

Anwendung der DSGVO

Zunächst vorweg: Die DSGVO findet mit dem BDSG nach wie vor Anwendung, wenn Arbeitgeber die Taschen ihrer Beschäftigten kontrollieren möchten. Während die DSGVO grundsätzlich nur für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten Anwendung findet, hat Deutschland von seinem Recht Gebrauch gemacht, spezifischere Vorschriften hinsichtlich der Verarbeitung von Beschäftigtendaten einzuführen. Insofern gilt das deutsche Bundesdatenschutzrecht und folglich auch die darüber hinausgehenden Pflichten der DSGVO sogar dann, wenn die Überwachung nicht durch technische Einrichtungen erfolgt, sondern durch eine menschliche Person. Deshalb unterliegen Taschenkontrollen sowie auch rein tatsächliche Beobachtungen von Arbeitnehmern durch Wach- und Sicherheitspersonal einer datenschutzrechtlichen Erlaubnispflicht.

Die Kontrolle betriebsfremder Personen (z. B. Kunden oder Lieferanten) hingegen kann grundsätzlich nur im Rahmen einer Hausordnung oder der AGB ermöglicht werden. Solche Regelungen unterliegen einem abweichenden Prüfungsmaßstab (siehe etwa BGH, Urt. v. 03.07.1996 – VIII ZR 221/95, BGHZ 133, 184 (190 f.)). Zudem müsste eine datenschutzrelevante Datenverarbeitung vorliegt. Dies wäre bspw. dann der Fall, wenn die Durchsuchung dokumentiert wird. Generell sind Taschenkontrollen bei externen Personen ein unzulässiger Eingriff in das Persönlichkeitsrecht, wenn kein konkreter Verdacht einer Straftat im Raum steht (siehe etwa BGH, Urt. v. 03.07.1996 – VIII ZR 221/95, BGHZ 133, 184 (190 f.)). Die reine Sichtung einer Tasche von externen Personen ist keine datenschutzrechtliche, sondern eine rein zivilrechtliche Fragestellung im Rahmen der Prüfung der Hausordnung oder AGB.

Rechtsgrundlage

Als datenschutzrechtliche Erlaubnispflicht für die Kontrolle der Taschen der eigenen Beschäftigten findet Art. 88 DSGVO in Verbindung mit § 26 Abs. 1 BDSG Anwendung. Für die Zulässigkeit von Taschenkontrollen der Mitarbeiter ist zwischen Präventivkontrollen und anlassbezogenen Einzelkontrollen im Verdachtsfall zu unterscheiden.

Für anlassbezogene Einzelkontrollen richtet sich die Beurteilung der Zulässigkeit nach § 26 Abs. 1 Satz 2 BDSG. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht (konkreter und dokumentierter Tatverdacht) begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

Viel häufiger als anlassbezogene Einzelkontrollen sind Kontrollen zum Zwecke der Prävention von Straftaten und somit der Kontrolle vieler Beschäftigter, da es eben gerade noch keinen konkreten Tatverdacht gibt. Die Präventivkontrolle wird auf § 26 Abs. 1 Satz 1 BDSG gestützt.

Verhältnismäßigkeit der Taschenkontrolle

Wesentliches Kriterium zur Beurteilung der Zulässigkeit ist in beiden Varianten die Verhältnismäßigkeit der Datenverarbeitung. Danach müssen alle das Persönlichkeitsrecht beeinträchtigenden Maßnahmen zur Aufklärung von Verdachtsmomenten, wie der Kontrolle mitgeführter Taschen des Arbeitnehmers,

a) geeignet sein,
b) erforderlich sein, d. h. das mildeste aller gleich effektiven Mittel darstellen, und
c) angemessen sein, d. h. im Rahmen einer Interessenabwägung dürfen die Interessen der betroffenen Person am Schutz ihrer Persönlichkeitsrechte den Interessen des Verantwortlichen am Schutz seines Eigentums nicht überwiegen.

Zweifellos stellt die Taschenkontrolle eine geeignete Maßnahme zum Schutz des Unternehmenseigentums dar. Taschenkontrollen sind zudem auch erforderlich, da andere genauso wirksame und weniger einschränkende Mittel nicht bestehen – so auch die Ansicht des BAG (BAG, Beschl. v. 15.04.2014 – 1 ABR 2/13 (B), NZA 2014, 551 (555 f.)). Unter Abwägung des Persönlichkeitsrechts des Arbeitnehmers und dem Eigentumsrecht des Arbeitgebers sollten folgende Maßstäbe beachtet werden, damit der Eingriff noch als angemessen beurteilt werden kann.

Art und Umfang der Kontrolle

• Bei der Präventivkontrolle § 26 Abs. 1 Satz 1 BDSG sind nur Stichprobenkontrollen zulässig, da es einen unverhältnismäßigen Eingriff in das Persönlichkeitsrecht darstellen würde, jeden Mitarbeiter unter einen Generalverdacht zu stellen (BAG, Beschl. v. 15.04.2014 – 1 ABR 2/13 (B), NZA 2014, 551). Zur verhältnismäßigen Umsetzung der Präventivkontrolle und somit zur Wahrung des Stichprobencharakters gibt es die Möglichkeit den Beschäftigten Würfeln zu lassen. Heute kann die Stichprobenkontrolle auch durch einen automatischen Zufallsgenerator durchgeführt werden. Bei einer elektronischen Stichprobenvariante sollte allerdings sichergestellt werden, dass keine mitarbeiterspezifischen Daten verarbeitet oder gespeichert werden. Sodann wäre eine Gestaltung der Zufallsauswahl zulässig, da zum Zeitpunkt der bloßen Auswahl generell keine Daten der Mitarbeiter verarbeitet werden würden. Es muss jedoch beim Zufalls-Algorithmus darauf geachtet werden, dass nicht zu viele Mitarbeiter kontrolliert werden. Eine Kontrolle von durchschnittlich 10 % aller Mitarbeiter pro Tag kann als verhältnismäßig bewertet werden. Auch trotz des Stichprobencharakters wird der Präventivcharakter der Maßnahme unterstützt, da sich kein potenzieller Dieb dem Risiko der Zufallskontrolle stellen will.
• Anders ist dies bei einer anlassbezogenen Kontrolle zu bewerten, wenn bereits der konkrete Verdacht einer Straftat einer bestimmten Person im Raum steht, sodass hier der Maßstab des § 26 Abs. 1 S. 2 BDSG zu berücksichtigten ist.
• Die Kontrollmaßnahmen sollten von anderen Beschäftigten nicht beobachtet werden können. Die Durchsuchung muss verhältnismäßig sein und darf das Ehrgefühl der Mitarbeiter nicht verletzen. Weitergehende körperliche Durchsuchungen (z. B. Abtasten der Oberbekleidung) dürfen nur erfolgen, wenn der konkrete Tatverdacht einer (erheblichen) Straftat gegeben ist. Bei Weigerung muss die Polizei eingeschaltet werden. Deshalb ist i. d. R. nur das Öffnen mitgeführter Taschen zulässig.

Dauer und Ausmaß der Kontrolle

• Als angemessen zu bewerten sind ausschließlich Taschenkontrollen am Eingang/Ausgang des Unternehmens – sog. Werkstorkontrolle.
• Die Dauer der Kontrolle hängt grundsätzlich vom jeweiligen Einzelfall ab. Die Dauer sowie die Häufigkeit der Durchführung von Kontrollen sind an Faktoren gebunden wie die Häufigkeit von Diebstählen oder die Höhe des Schadens. Diebstähle kommen überall vor, aber sie sind nicht überall gleich häufig und wirtschaftlich nicht überall gleichermaßen schädigend. Die Dauer der Taschenkontrollen sollte daher konkret daran gemessen werden, ob und wie häufig es noch zu Diebstählen kommt und wie hoch der Schaden für das Unternehmen ist.

Zwischenfazit

Mit zunehmender Kontrollintensität wird auch das Persönlichkeitsrecht der kontrollierten Mitarbeiter zunehmend tangiert, sodass die inhaltlichen Anforderungen an eine verhältnismäßige Ausgestaltung solcher Kontrollen steigen.

Einhaltung der Grundsätze der DSGVO

Mit der DSGVO kam auch die Pflicht der Einhaltung der Grundsätze der DSGVO. Darin inbegriffen und für die folgende Datenverarbeitung relevant sind u. a. folgende Pflichten:

Die Pflicht, die betroffene Person vorab gem. Art. 13 Abs. 1 und 2 DSGVO zu informieren. Dies kann über einen entsprechenden Aushang am Eingang zum Gebäude sowie in direkter Nähe zur „Kontrollstelle“ geschehen, sodass vor Betreten des Gebäudes Einsicht genommen werden könnte. Insbesondere sollten folgende Informationen im Aushang enthalten sein:

• Verantwortlich für die Taschenkontrolle (Arbeitgeber)
• Rechtsgrundlage und Zweck der Datenverarbeitung
  – Datenverarbeitung im Rahmen der Taschenkontrolle
  – Datenverarbeitung im Falle des Verdachts einer Straftat
  – Datenverarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
• Empfänger der Daten, sofern Dokumentationen erfolgen
• Dauer der Speicherung der Daten, sofern Dokumentationen erfolgen
• Betroffenenrechte

Die Pflicht, die personenbezogenen Daten zu löschen, wenn sie nicht mehr erforderlich sind gem. Art. 17 DSGVO, Art. 5 Abs. 1 lit. e DSGVO. Vorliegend sollten daher nur Daten von überführten Beschäftigten gespeichert werden und auch nur so lange, bis die Tat rechtskräftig arbeitsrechtlich und/oder strafrechtlich geklärt werden konnte.

Fazit

Taschenkontrollen der eigenen Beschäftigen sind auch nach DSGVO weiterhin zulässig. Hinsichtlich der konkreten Ausgestaltung sowie der Einhaltung der Pflichten der DSGVO sollten sich Verantwortliche vorab mit ihrem Datenschutzbeauftragten abstimmen.