Mitarbeiterüberwachungssoftware – Definition, Rechtslage & Praxis-Tipps

Mitarbeiterüberwachungssoftware erlaubt Unternehmen, Arbeitszeiten, Computeraktivitäten oder Standorte von Mitarbeitenden digital zu erfassen. In Deutschland ist der Einsatz streng reguliert: §26 BDSG, DSGVO und §87 BetrVG setzen enge rechtliche Grenzen — heimliche Überwachung ist grundsätzlich unzulässig, und der Betriebsrat muss zwingend einbezogen werden.

Was ist Mitarbeiterüberwachungssoftware?

Mitarbeiterüberwachungssoftware (auch: Employee-Monitoring-Software) bezeichnet digitale Tools, mit denen Arbeitgeber:innen Verhalten, Aktivitäten oder Leistung von Mitarbeitenden systematisch erfassen und auswerten. Der Begriff umfasst eine breite Bandbreite an Funktionen — von der einfachen Arbeitszeiterfassung bis hin zu umfassendem Screen Monitoring oder GPS-Tracking.

Wichtig ist die Abgrenzung: Nicht jede Form der Leistungskontrolle ist automatisch eine Überwachungsmaßnahme im rechtlichen Sinne. Entscheidend ist, ob das eingesetzte Tool geeignet ist, das Verhalten oder die Leistung einzelner Mitarbeitender systematisch zu erfassen und auszuwerten. Genau daran knüpft §87 Abs. 1 Nr. 6 des Betriebsverfassungsgesetzes (BetrVG) das Mitbestimmungsrecht des Betriebsrats.

Arten der Überwachung im Überblick

Nicht alle Formen der Mitarbeiterüberwachung sind rechtlich gleich zu behandeln:

• Zeiterfassung (Stempeluhr, Software): Grundsätzlich zulässig, seit dem EuGH-Urteil von 2019 sogar gesetzlich vorgeschrieben — sofern transparent und verhältnismäßig eingesetzt.
• Aktivitätstracking (Mausbewegungen, Tastatureingaben, aktive Bildschirmzeit): Stark eingeschränkt. Das Bundesarbeitsgericht (BAG) hat 2017 entschieden, dass Keylogger ohne konkreten Verdacht rechtswidrig sind.
• Screen Monitoring / Screenshots: Nur mit klarer rechtlicher Grundlage und entsprechender Betriebsvereinbarung zulässig.
• E-Mail-Überwachung: Bei erlaubter Privatnutzung nahezu nie zulässig. Bei ausschließlich dienstlicher Nutzung nur unter engen Voraussetzungen und mit Transparenz gegenüber Mitarbeitenden.
• Videoüberwachung: Strenge Anforderungen, insbesondere in nicht-öffentlichen Bereichen. Offene Videoüberwachung kann zulässig sein, verdeckte in der Regel nicht.
• GPS-Tracking: Für Firmenwagen auf Dienstfahrten grundsätzlich möglich — permanentes Tracking auch in der Freizeit ist unzulässig.

Rechtlicher Rahmen in Deutschland

Der Einsatz von Mitarbeiterüberwachungssoftware berührt in Deutschland mehrere Rechtsgebiete gleichzeitig. Wer hier ohne ausreichende Kenntnis handelt, riskiert empfindliche Bußgelder, unwirksame Kündigungen und Betriebsratskonflikte.

§26 BDSG: Der zentrale Datenschutz-Paragraph

Die wichtigste gesetzliche Grundlage ist §26 des Bundesdatenschutzgesetzes (BDSG). Er regelt, unter welchen Voraussetzungen Arbeitgeber:innen personenbezogene Daten von Beschäftigten verarbeiten dürfen.

Daten dürfen demnach verarbeitet werden, wenn dies für die Begründung, Durchführung oder Beendigung des Arbeitsverhältnisses erforderlich ist. Der Verhältnismäßigkeitsgrundsatz ist dabei immer zu wahren: Ein Eingriff muss geeignet, erforderlich und angemessen sein. Übermäßige Kontrolle — etwa lückenloses Aktivitätstracking — ist in der Regel nicht verhältnismäßig und damit rechtswidrig.

Bei konkretem Verdacht auf Straftaten im Beschäftigungsverhältnis lässt §26 BDSG unter strengen Voraussetzungen eine erweiterte Datenerhebung zu. Diese Ausnahme ist jedoch eng auszulegen.

DSGVO: Was kommt hinzu?

Ergänzend zu §26 BDSG gilt die europäische Datenschutz-Grundverordnung (DSGVO), insbesondere:

• Art. 5 DSGVO definiert die Grundsätze der Datenverarbeitung: Zweckbindung, Datenminimierung, Richtigkeit und Speicherbegrenzung.
• Art. 6 DSGVO regelt die Rechtmäßigkeit: Jede Datenverarbeitung braucht eine Rechtsgrundlage.
• Art. 13 DSGVO verpflichtet Arbeitgeber:innen, Mitarbeitende transparent über Art, Umfang und Zweck der Datenerhebung zu informieren.

Bei umfangreichem Einsatz von Überwachungssoftware ist zudem eine Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO durchzuführen. Eine DSFA ist eine Pflichtprüfung vor dem Einsatz von Technologien, die sensible Daten verarbeiten — sie dokumentiert Risiken und die getroffenen Schutzmaßnahmen.

§87 BetrVG: Mitbestimmungsrecht des Betriebsrats

Besteht im Unternehmen ein Betriebsrat, greift §87 Abs. 1 Nr. 6 BetrVG: Dieser gibt dem Betriebsrat ein zwingendes Mitbestimmungsrecht bei der Einführung und Anwendung technischer Einrichtungen, die geeignet sind, das Verhalten oder die Leistung der Mitarbeitenden zu überwachen.

Das bedeutet: Ohne Einigung mit dem Betriebsrat darf keine entsprechende Software eingeführt werden. Bei fehlender Einigung kann die Einigungsstelle angerufen werden.

Was ist erlaubt — was ist verboten?

Die folgende Übersicht gibt eine erste Orientierung. Sie ersetzt keine Rechtsberatung im Einzelfall.

Grundsätzlich zulässig (unter Voraussetzungen):

• Transparente Zeiterfassung und Anwesenheitskontrolle
• Zugriffsprotokolle auf IT-Systeme (zur Sicherheit)
• Überwachung bei konkretem, dokumentiertem Verdacht auf Straftaten
• GPS-Tracking bei Dienstfahrten (nicht Privatfahrten)
• Offene Videoüberwachung in bestimmten Bereichen (z.B. Eingangsbereiche, Kassenzone)

In der Regel nicht zulässig:

• Heimliche Überwachung jeglicher Art (BAG 2 AZR 681/16)
• Keylogger ohne konkreten Verdacht (BAG 2 AZR 133/18)
• Permanentes Screen Monitoring ohne ausreichende Rechtsgrundlage
• E-Mail-Überwachung bei erlaubter Privatnutzung
• Webcam-Überwachung im Homeoffice
• GPS-Tracking außerhalb der Arbeitszeit

Besonderheiten im Homeoffice

Remote Work hat das Thema Mitarbeiterüberwachung neu aufgeheizt. Viele Unternehmen fragen sich: Was darf ich kontrollieren, wenn Mitarbeitende von zuhause arbeiten?

Was darf kontrolliert werden?

Im Homeoffice gilt grundsätzlich dasselbe Recht wie im Büro — mit einer entscheidenden Einschränkung: Die Wohnung der Mitarbeitenden genießt besonderen verfassungsrechtlichen Schutz (Art. 13 GG, Unverletzlichkeit der Wohnung).

Zulässig im Homeoffice sind:

• Zeiterfassung (Start- und Endzeiten der Arbeitszeit)
• Überprüfung der Erreichbarkeit während vereinbarter Kernzeiten
• Nutzungsprotokolle auf Firmen-IT-Systemen

Nicht zulässig — auch nicht im Homeoffice:

• Permanente Webcam-Überwachung während der Arbeitszeit
• Screen Monitoring ohne explizite Rechtsgrundlage und Betriebsvereinbarung
• Aktivitätstracking (Mausbewegungen, Tastatureingaben) zur Leistungskontrolle

Betriebsvereinbarung muss Homeoffice-Spezifika regeln

Bestehende Betriebsvereinbarungen zur IT-Nutzung oder Zeiterfassung berücksichtigen das Homeoffice oft nicht ausreichend. HR-Verantwortliche sollten prüfen, ob die eigene Betriebsvereinbarung explizite Regelungen für Remote-Work-Situationen enthält.

Eine dauerhaft überwachende Kontrollkultur wirkt sich auch negativ auf das Employer Branding aus: Mitarbeitende, die sich permanent überwacht fühlen, weisen eine signifikant niedrigere Arbeitszufriedenheit und höhere Fluktuation auf.

Schritt-für-Schritt: Rechtskonforme Einführung

Die Einführung von Mitarbeiterüberwachungssoftware ist kein reines IT-Projekt — sie erfordert rechtliche Sorgfalt, interne Kommunikation und die Einbindung aller relevanten Stakeholder:innen.

Schritt 1: Zweck definieren und dokumentierenLege schriftlich fest, welchen konkreten Zweck die Software erfüllen soll (z.B. Zeiterfassung, IT-Sicherheit). Prüfe, ob dieser Zweck verhältnismäßig ist. Führe bei Bedarf eine Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO durch.

Schritt 2: Betriebsrat einbindenInformiere den Betriebsrat frühzeitig und vollständig (§87 BetrVG). Ohne Einigung darf die Software nicht eingesetzt werden. Plane ausreichend Zeit für Verhandlungen ein.

Schritt 3: Betriebsvereinbarung abschließenDie Betriebsvereinbarung muss mindestens regeln:

• Zweck und Umfang der Überwachung
• Zugriffsrechte (wer darf die Daten sehen?)
• Speicher- und Löschfristen
• Verfahren bei Verdacht auf Missbrauch
• Besondere Regelungen für Homeoffice

Schritt 4: Mitarbeitende transparent informierenGemäß Art. 13 DSGVO müssen Mitarbeitende vor Beginn der Datenerhebung umfassend informiert werden — über Art, Umfang, Zweck und ihre Rechte. Eine einfache E-Mail reicht in der Regel nicht aus; dokumentierbare Nachweise sind empfehlenswert.

Schritt 5: Technische und organisatorische Maßnahmen (TOMs) umsetzenStell sicher, dass nur autorisierte Personen Zugriff auf die erhobenen Daten haben. Verschlüsselung, Zugangsbeschränkungen und Protokollierung des Datenzugriffs sind typische TOMs.

Schritt 6: Datenschutzbeauftragte:n einschaltenStimme dein Vorhaben mit dem:der betrieblichen Datenschutzbeauftragten ab — insbesondere bei umfangreicher Datenverarbeitung.

Häufige Fragen zur Mitarbeiterüberwachungssoftware

Ist Mitarbeiterüberwachung in Deutschland legal?

Grundsätzlich ja — aber nur unter strengen Bedingungen. §26 BDSG, Art. 5 und 6 DSGVO sowie §87 Abs. 1 Nr. 6 BetrVG bilden den rechtlichen Rahmen. Der Verhältnismäßigkeitsgrundsatz muss gewahrt sein. Heimliche Überwachung ist in der Regel unzulässig, wie das Bundesarbeitsgericht in seinem Urteil vom 27.07.2017 (Az. 2 AZR 681/16) bestätigt hat. Liegt ein Betriebsrat vor, ist dessen Zustimmung zwingend erforderlich.

Was darf der Arbeitgeber im Homeoffice kontrollieren?

Zulässig sind Zeiterfassung sowie die Überprüfung der Erreichbarkeit während vereinbarter Arbeitszeiten. Nicht zulässig sind permanentes Screen Monitoring, Webcam-Überwachung ohne Einwilligung sowie Aktivitätstracking zur Leistungskontrolle. Die private Wohnung der Mitarbeitenden genießt besonderen Schutz gemäß Art. 13 GG. Eine aktuelle Betriebsvereinbarung sollte Homeoffice-Spezifika ausdrücklich regeln.

Brauche ich für Mitarbeiterüberwachungssoftware eine Betriebsvereinbarung?

Wenn ein Betriebsrat vorhanden ist: Ja — §87 Abs. 1 Nr. 6 BetrVG schreibt das zwingend vor. Fehlt ein Betriebsrat, benötigst du entweder die informierte Einwilligung der Mitarbeitenden oder eine kollektive Regelung (z.B. Individualvereinbarung). Die Betriebsvereinbarung muss Zweck, Umfang, Zugriffsrechte und Löschfristen regeln. Kommt keine Einigung zustande, kann die Einigungsstelle eingeschaltet werden.

Darf der Arbeitgeber Keylogger einsetzen?

In der Regel nein. Das Bundesarbeitsgericht hat in seinem Urteil vom 27.07.2017 (Az. 2 AZR 681/16) klargestellt, dass der Einsatz eines Keyloggers ohne konkreten Verdacht auf eine Straftat unverhältnismäßig ist und das Recht auf informationelle Selbstbestimmung verletzt. Selbst mit einer Betriebsvereinbarung ist der Einsatz von Keyloggern kaum rechtssicher möglich — die Anforderungen sind sehr eng.

Welche Konsequenzen drohen bei illegaler Überwachung?

Die Konsequenzen sind erheblich: Gemäß DSGVO können Bußgelder von bis zu 4 % des weltweiten Jahresumsatzes verhängt werden. Rechtswidrig gewonnene Daten unterliegen einem Verwertungsverbot — Kündigungen, die auf solcher Basis ausgesprochen werden, können unwirksam sein. Zusätzlich können betroffene Mitarbeitende Schadensersatz nach Art. 82 DSGVO geltend machen, und der Betriebsrat kann eine Unterlassungsklage erwirken.

Muss ich Mitarbeitenden sagen, dass sie überwacht werden?

Ja, immer. Art. 13 DSGVO verpflichtet Arbeitgeber:innen zur transparenten Information über Art, Umfang, Zweck und Rechtsgrundlage der Datenerhebung — und zwar bevor die Überwachung beginnt. Heimliche Überwachung ist in Deutschland grundsätzlich rechtswidrig.

Wie führe ich Mitarbeiterüberwachungssoftware rechtskonform ein?

Die Einführung folgt sechs Schritten: Zweck definieren und DSFA durchführen, Betriebsrat einbinden (§87 BetrVG), Betriebsvereinbarung abschließen, Mitarbeitende transparent informieren (Art. 13 DSGVO), Technische und Organisatorische Maßnahmen (TOMs) umsetzen und den:die Datenschutzbeauftragte:n einschalten.

Fazit

Mitarbeiterüberwachungssoftware bewegt sich in Deutschland in einem engen rechtlichen Korridor. §26 BDSG, die DSGVO und §87 BetrVG schützen die informationelle Selbstbestimmung der Mitarbeitenden — und das zu Recht. HR-Verantwortliche, die Monitoring-Tools einsetzen möchten, kommen um Transparenz, Verhältnismäßigkeit und die Einbindung des Betriebsrats nicht herum.

Entscheidend ist: Kontrolle ist kein Ersatz für Vertrauen. Unternehmen, die auf nachhaltige Mitarbeiterbindung und eine starke Arbeitgebermarke setzen, sollten den kulturellen Effekt von Überwachungsmaßnahmen nicht unterschätzen. Eine transparente, wertschätzende Zusammenarbeit — beginnend mit einer fairen und objektiven Personalauswahl — ist langfristig wirksamer als lückenloses Tracking.

Wer faire Personalauswahl bereits im Recruiting-Prozess verankern möchte, findet mit der digitalen Plattform Aivy wissenschaftlich validierte Eignungsdiagnostik, die Unconscious Bias reduziert und auf objektiven Daten statt subjektiven Eindrücken basiert: Faire Personalauswahl mit Aivy kennenlernen.

Quellen

• §26 BDSG — Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses. Bundesministerium der Justiz, 2018 (letzte Änderung 2022). https://www.gesetze-im-internet.de/bdsg_2018/__26.html
• DSGVO Art. 5 — Grundsätze für die Verarbeitung personenbezogener Daten. Europäische Union, 2018. https://dsgvo-gesetz.de/art-5-dsgvo/
• DSGVO Art. 6 — Rechtmäßigkeit der Verarbeitung. Europäische Union, 2018. https://dsgvo-gesetz.de/art-6-dsgvo/
• §87 Abs. 1 Nr. 6 BetrVG — Mitbestimmung des Betriebsrats bei technischen Überwachungseinrichtungen. Bundesministerium der Justiz. https://www.gesetze-im-internet.de/betrvg/__87.html
• BAG-Urteil 2 AZR 681/16 — Heimliche Videoüberwachung. Bundesarbeitsgericht, 27.07.2017. https://www.bundesarbeitsgericht.de/entscheidung/2-azr-681-16/
• BAG-Urteil 2 AZR 133/18 — Keylogger-Einsatz. Bundesarbeitsgericht, 23.08.2018. https://www.bundesarbeitsgericht.de/entscheidung/2-azr-133-18/
• Datenschutz im Beschäftigungskontext. Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI), 2023. https://www.bfdi.bund.de/DE/Buerger/Inhalte/Arbeit/Arbeit_node.html
• Digitale Arbeit — Remote Work und Überwachung. Bitkom e.V., 2023. https://www.bitkom.org