Im Oktober 2016 hatten wir über das Keylogger-Urteil des Landesarbeitsgerichts (LAG) Hamm berichtet (LAG Hamm, Urteil vom 17.6.2016, AZ: 16 Sa 1711/15), mit dem das LAG den Einsatz eines Keyloggers für unzulässig erklärte.
Etwas über ein Jahr nach dem Urteil hat das Bundesarbeitsgericht (BAG) (Urt. v. 27.07.2017, Az.2 AZR 681/16), zunächst nur in einer Pressemitteilung, über die Revision entschieden und bestätigt die Vorinstanz:
Ein „ins Blaue hinein“ veranlasster Einsatz von Keyloggern ohne konkrete Verdachtsmomente einer Straftat oder schwerwiegender Pflichtverletzungen durch eine Person führt zu einem Beweisverwertungsverbot!
Der Sachverhalt
In dem durch die Gerichte zu entscheidenden Fall ging es um einen „Web-Entwickler“, der in erheblichem Umfang über seinen Dienst-PC privaten Angelegenheiten und Tätigkeiten nachgekommen war . Die beklagte Arbeitgeberin kündigte dem Kläger daraufhin.
Ermittelt werden konnte die erhebliche Privatnutzung durch die Installation eines sog. Keyloggers. Bei einem Keylogger („Tasten-Protokollierer“) handelt es sich um eine Hard- oder Software, die dazu verwendet wird, sämtliche Eingaben des Benutzers an der Tastatur eines Computers zu protokollieren und damit zu überwachen oder zu rekonstruieren. Sogar Screenshots werden durch einen Keylogger in regelmäßigen Abständen angefertigt. Durch die Protokollierung jeder Tastatureingabe werden auch hochsensible Daten – wie z. B. Benutzername und Passwörter für geschützte Bereiche, PINs pp. – erfasst und protokolliert.
Die Klägerin hatte die Belegschaft via E-Mail über die Installation einer Auswertungssoftware mit folgendem Wortlaut informiert:
„Hiermit informiere ich Euch offiziell, dass sämtlicher Internet Traffic und die Benutzung der Systeme der C mitgelogged und dauerhaft gespeichert wird. Solltet Ihr damit nicht einverstanden sein, bitte ich Euch mir dieses innerhalb dieser Woche mitzuteilen.“
Ein Widerspruch erfolgte auch durch den Kläger nicht, gleichwohl bestätigt nunmehr das BAG die Rechtswidrigkeit des Einsatzes des Keyloggers im konkreten Falle:
„Die durch den Keylogger gewonnenen Erkenntnisse über die Privattätigkeiten des Klägers dürfen im gerichtlichen Verfahren nicht verwertet werden. Die Beklagte hat durch dessen Einsatz das als Teil des allgemeinen Persönlichkeitsrechts gewährleistete Recht des Klägers auf informationelle Selbstbestimmung (Art. 2 Abs. 1 iVm. Art. 1 Abs. 1 GG) verletzt. Die Informationsgewinnung war nicht nach § 32 Abs. 1 BDSG zulässig. Die Beklagte hatte beim Einsatz der Software gegenüber dem Kläger keinen auf Tatsachen beruhenden Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung. Die von ihr „ins Blaue hinein“ veranlasste Maßnahme war daher unverhältnismäßig.“
Warum war die Kündigung unwirksam obwohl der Arbeitnehmer wohl in erheblichem Maße gegen seine arbeitsvertraglichen Pflichten verstoßen hat?
Aufgrund der erheblichen Pflichtverletzung durch den Kläger, lagen die Voraussetzungen für eine Kündigung wohl vor. Allerdings war es Aufgabe der Beklagten, den gesamten Vorwurf beweisen zu können.
Die Arbeitgeberin konnte vorliegend die Pflichtverletzungen jedoch nicht rechtswirksam beweisen. Der einzige Nachweis, den die Beklagte in diesem Fall hatte, waren die Daten die sie unter Verwendung des Keyloggers erhoben hat.
Problem war: Diese Daten durfte die Beklagte nicht haben und deshalb darf sie diese auch nicht als Beweis für einen Kündigungsgrund verwenden!
In einem arbeitsrechtlichen Prozess ist das Gericht von den Beweismitteln abhängig, die die Parteien in den Prozess einbringen. Als hoheitliche Stelle ist das Gericht dazu verpflichtet zu prüfen, wie die Parteien die Beweismittel erlangt haben und ob dies rechtmäßig war. Das prüft es bei heimlichen Überwachungen von Beschäftigten indem es im Einzelfall abwägt, ob das „Interesse an der Verwertung und der Funktionstüchtigkeit der Rechtspflege“ oder das allgemeine Persönlichkeitsrecht überwiegt (BAG, Urteil vom 20.10.2016, 2 AZR 395/15, zum Thema Verdeckte Videoüberwachung).
Ein wesentlicher Indikator für eine Verwertbarkeit der Daten als Beweismittel im Prozess ist hierbei die Rechtmäßigkeit der Datenerhebung nach dem BDSG (ab dem 25.05.2018 der EU DSGVO), da dort eine solche Interessenabwägung durchgeführt werden muss.
Den Umfang der Datenverarbeitung in einem Beschäftigtenverhältnis regelt § 32 BDSG. Danach darf eine heimliche Datenerhebung (verdeckte Kameraüberwachung oder Einsatz eines Keyloggers) zwar durch den Arbeitgeber stattfinden, es muss jedoch eine gewisse Verhältnismäßigkeit gewahrt bleiben. Im Leitsatz der Pressemitteilung verlangt das BAG:
„Der Einsatz eines Software-Keyloggers, mit dem alle Tastatureingaben an einem dienstlichen Computer für eine verdeckte Überwachung und Kontrolle des Arbeitnehmers aufgezeichnet werden, ist nach § 32 Abs. 1 BDSG unzulässig, wenn kein auf den Arbeitnehmer bezogener, durch konkrete Tatsachen begründeter Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung besteht.“
Fazit
Dem Leitsatz ist zu entnehmen, dass das BAG das LAG Hamm vollumfänglich bestätigt und damit seiner Rechtsprechen bezüglich der heimlichen Überwachung von Beschäftigten treu bleibt. Die bisher ergangenen Urteile beziehen sich zum Großteil auf die verdeckte Videoüberwachung. Die dort entwickelten Voraussetzungen wurden nunmehr auf den Einsatz von Keyloggern übertragen.
Das BAG verbietet nicht grundsätzlich den Einsatz von Keyloggern bzw. Überwachungssoftware. Allerdings muss auf Grund der Schwere des Eingriffs in das Recht auf informationelle Selbstbestimmung durch einen Keylogger und den Umfang der Daten die dadurch gesammelt werden, der tatsächliche Verdacht einer Straftat oder einer schwerwiegenden Pflichtverletzung durch konkrete, belastbare Hinweise gegen eine Person oder zumindest einen engen Personenkreis gegeben sein. Es muss eine bestimmte Schwelle der Gewissheit, dass tatsächlich ein solcher Verdacht vorliegt, überschritten sein.
Egal bei welcher verdeckten Überwachung im Beschäftigungsverhältnis, § 32 BDSG, kann man sich als Richtschnur merken:
Man schießt nicht mit Kanonen auf Spatzen!
Die Verhältnismäßigkeit ist stets das zu beachtende Korrektiv von Überwachungsmaßnahmen.
Bei Überwachungsmaßnahmen sollte stets der Datenschutzbeauftragte hinzugezogen werden. Regelmäßig sind die Maßnahmen aufgrund der Eingriffsintensität einer Vorabkontrolle zu unterziehen.
Exkurs: Ab dem 25.05.2018 wird nach Art. 35 EU DSGVO eine Datenschutz-Folgenabschätzung wohl verpflichtend für einen solchen Einsatz sein.