Am 19. Dezember 2024 verhängte die CNIL gegen ein Unternehmen eine Geldbuße in Höhe von 40.000 Euro wegen unverhältnismäßiger Überwachung der Aktivitäten seiner Mitarbeiter. Das Unternehmen verwendete eine Software, die so konfiguriert war, dass sie Zeiträume vermeintlicher „Inaktivität“ aufzeichnete und regelmäßig Screenshots der Computer der Mitarbeiter machte. Darüber hinaus wurden Mitarbeiter ständig gefilmt.
Der Kontext
Ein im Immobiliensektor tätiges Unternehmen hatte auf den Computern einiger seiner Mitarbeiter eine Software installiert, um deren Aktivitäten während der Telearbeit zu überwachen. Darüber hinaus verfügt das Unternehmen über eine Videoüberwachungsanlage auf seinem Gelände, um Sachschäden (Diebstahl) zu verhindern.
Nach Beschwerden führte die CNIL eine Inspektion durch. Bei ihren Untersuchungen stellte die CNIL insbesondere fest, dass das Unternehmen seine Mitarbeiter ständig filmte, Bild und Ton aufzeichnete und mithilfe der auf den Computern der Mitarbeiter installierten Software ihre Arbeitszeit maß und ihre Leistung sehr genau auswertete.
Daraufhin verhängte der Ausschuss für Innere Sicherheit – das für die Verhängung von Sanktionen zuständige Gremium der CNIL – eine Geldbuße in Höhe von 40.000 Euro gegen das Unternehmen. Angesichts der Schwere der Verstöße und um alle Personen, die von derartigen Maßnahmen betroffen sind, zu informieren, hat die Kommission beschlossen, ihre Entscheidung zu veröffentlichen. Aufgrund der geringen Größe des Unternehmens und des sofortigen Rückzugs der Software während der Prüfung wurde jedoch darauf verzichtet, den Namen zu nennen.
Die Höhe dieser Geldbuße wurde unter Berücksichtigung der festgestellten Verstöße und der finanziellen Lage des Unternehmens sowie seiner geringen Größe festgelegt, um eine abschreckende, aber verhältnismäßige Geldbuße sicherzustellen.
Geahndete Verstöße
Versäumnisse im Zusammenhang mit übermäßiger Überwachung der Mitarbeiter
Ein Versäumnis im Zusammenhang mit der Implementierung des Videoüberwachungssystems
Das aus zwei Kameras bestehende Videoüberwachungssystem erfasste kontinuierlich Bild und Ton der in den Räumlichkeiten, die sowohl als Arbeitsplatz als auch als Pausenraum dienten, anwesenden Mitarbeiter mit dem Ziel, Diebstähle zu verhindern. Diese Aufzeichnungen können von den Vorgesetzten in Echtzeit über eine mobile Anwendung angesehen werden .
Das Unternehmen begründete dies nicht mit außergewöhnlichen Umständen im Zusammenhang mit der kontinuierlichen Aufzeichnung von Ton und Bild durch das Videosystem. Derartige Maßnahmen stellen einen übermäßigen Eingriff in die Arbeitnehmerrechte dar und verstoßen daher gegen den Grundsatz der Datenminimierung (Artikel 5 Absatz 1 Buchstabe c der DSGVO).
Fehler bei der Implementierung einer Workstation-Überwachungssoftware
Das Unternehmen erklärte, es führe eine Software zur Überwachung der Aktivitäten seiner Mitarbeiter ein, um einerseits ihre Arbeitszeit und andererseits ihre Produktivität zu messen.
Was die Arbeitszeiterfassung betrifft , hatte das Unternehmen die Software so konfiguriert, dass sie neben der Zählung der Arbeitsstunden auch die Zeiten, die es als „Inaktivitätszeiten“ der Mitarbeiter betrachtete, namentlich erfassen konnte.
Die Software erkennt im Laufe des Tages automatisch, wenn der Mitarbeiter für einen festgelegten Zeitraum von 3 bis 15 Minuten nichts auf der Tastatur tippt oder die Maus bewegt. Diese aufgezeichneten Zeiten der „Inaktivität“ können, sofern sie von den Mitarbeitern nicht begründet oder nachgeholt werden, zu Gehaltskürzungen durch das Unternehmen führen.
Allerdings können auch Zeiten, in denen der Arbeitnehmer seinen Computer nicht nutzt, tatsächlicher Arbeitszeit im Rahmen seiner Aufgaben entsprechen (beispielsweise Besprechungen oder Telefonate). Ein solches Gerät ermöglicht entgegen seiner Zweckbestimmung keine zuverlässige Erfassung der Arbeitszeit. Darüber hinaus sei der Eingriff in die Rechte der Arbeitnehmer durch das derart ausgestaltete System jedenfalls unverhältnismäßig. Daher gibt es für diese Behandlungen keine Rechtsgrundlage .
Im Hinblick auf die Messung der Mitarbeiterleistung ermöglichte die Software es, auf Grundlage einer Liste von Websites und Programmen, die zuvor vom Unternehmen als „produktiv“ oder „nicht“ identifiziert und konfiguriert wurden, die Zeit zu ermitteln, die diese während ihrer Arbeitszeit auf als unproduktiv erachteten Websites verbrachten.
Darüber hinaus wurde die Software vom Unternehmen so konfiguriert, dass sie regelmäßig Bildschirmaufnahmen („ Screencasts “) von den Computern der Mitarbeiter machte, in einer vom Unternehmen individuell festgelegten Häufigkeit zwischen 3 und 15 Minuten.
Dieses Gerät stellt in dieser Konfiguration eine besonders aufdringliche Überwachung dar, insbesondere weil es zur Erfassung privater Elemente (beispielsweise persönlicher E-Mails, Instant-Messaging-Unterhaltungen oder vertraulicher Passwörter) führen kann. Daher stellt dieses System einen unverhältnismäßigen Eingriff in die Privatsphäre, Interessen und Grundrechte der Arbeitnehmer dar und hat keine gesetzliche Grundlage (Artikel 6 der DSGVO).
Verstoß gegen die Informationspflicht gegenüber betroffenen Personen (Art. 12 und 13 DSGVO)
Im Hinblick auf die schriftliche Unterrichtung der Arbeitnehmer wurde weder in den unternehmensinternen Informationsunterlagen noch in den Arbeits- und Werkstudentenverträgen der Arbeitnehmer ausreichend über die durch die Arbeitsplatzüberwachungssoftware durchgeführte Verarbeitung informiert, was einen Verstoß gegen Artikel 13 der DSGVO darstellt.
Um diese Lücken zu schließen, setzte das Unternehmen auf die mündliche Information der Mitarbeiter. Sofern das Unternehmen hierüber jedoch keine schriftlichen Aufzeichnungen führt, ist die Vollständigkeit der Informationen nicht gewährleistet. In jedem Fall erfüllen diese mündlichen Informationen aufgrund ihrer Art nicht die Bedingungen der zeitlichen Zugänglichkeit gemäß den Bestimmungen des Artikels 12 der DSGVO.
Nichtbeachtung der Verpflichtung zur Gewährleistung der Datensicherheit (Artikel 32 der DSGVO)
Das Unternehmen erlaubte einem Administratorkonto den gemeinsamen Zugriff, um Daten der Workstation-Überwachungssoftware anzuzeigen. Allerdings ermöglichen nur Einzelkonten eine gute Nachvollziehbarkeit der Zugriffe und der auf dem System durchgeführten Aktionen, insbesondere bei Untersuchungen im Falle eines Sicherheitsvorfalls oder einer Datenpanne.
Dieses Erfordernis der Individualisierung ist umso wichtiger, wenn es um Administratorkonten geht, die über sehr weitreichende Rechte an den vom System verarbeiteten personenbezogenen Daten verfügen und daher ein bevorzugtes Ziel von Computerangriffen sind. Es liegt daher ein Verstoß gegen Art. 32 DSGVO vor.
Nichterfüllung der Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung (Artikel 35 der DSGVO)
Das Unternehmen hat für die Verarbeitungen, die es über die Software zur Arbeitsplatzüberwachung durchgeführt hat, keine Datenschutz-Folgenabschätzung (DSFA) durchgeführt . Diese ermöglicht jedoch gemäß den vom Unternehmen festgelegten Parametern eine systematische Überwachung seiner Mitarbeiter und birgt daher wahrscheinlich ein hohes Risiko für deren Rechte und Freiheiten. Aus diesen Gründen war es erforderlich, vor der Implementierung dieser Behandlungen über diese Software eine AIPD durchzuführen.