Das Landesarbeitsgericht Hamm musste sich als Berufungsinstanz mit dem Urteil vom 17.6.2016, AZ: 16 Sa 1711/15 zur heimlichen Mitarbeiterüberwachung mittels Keylogger auseinandersetzen. Die Revision beim Bundesarbeitsgericht wurde unter dem Aktenzeichen 2 AZR 681/16 eingelegt.

Sachverhalt

Der Arbeitgeber hatte per E-Mail seine Mitarbeiter zur Nutzung des dienstlich bereitgestellten Internetzugangs instruiert:

„…Da bei Missbrauch, zum Beispiel Download von illegalen Filmen, etc. der Betreiber zur Verantwortung gezogen wird, muss der Traffic mitgelogged werden. Da ein rechtlicher Missbrauch natürlich dann auch auf denjenigen zurückfallen soll, der verantwortlich dafür war.

Somit:

Hiermit informiere ich Euch offiziell, dass sämtlicher Internet Traffic und die Benutzung der Systeme der C mitgelogged und dauerhaft gespeichert wird. Solltet Ihr damit nicht einverstanden sein, bitte ich Euch mir dieses innerhalb dieser Woche mitzuteilen.“

Kein Mitarbeiter erklärte im Weiteren, dass er mit dem „mitloggen“ nicht einverstanden sei. Auf dem Computer eines Mitarbeiters wurde ein Keylogger installiert, durch den sämtliche Tastatureingaben protokolliert und daneben regelmäßig Screenshots erstellt wurden. Nach der Auswertung der Log-Dateien räumte der Beschäftigte den Vorwurf einer Privatnutzung des Dienst-PC während der Arbeitszeit ein. Er wurde sodann noch am gleichen Tag von der Arbeitsleistung freigestellt.

Insgesamt hatte der Beschäftigte während der Arbeitszeit 3 Stunden lang ein Computerspiel programmiert und täglich ca. 10 Minuten Arbeitszeit für private Zwecke (Auftragsbearbeitung für das Unternehmen seines Vaters) aufgewandt.

Entscheidung

Das LAG Hamm als Berufungsinstanz bestätigt, dass die Kündigung des Beschäftigten sowohl als außerordentliche wie auch als ordentliche Kündigung unwirksam ist. Hauptursächlich hierfür war, dass der Arbeitgeber keinen verwertbaren Beweis erbracht hat, dass der Gekündigte tatsächlich in dem behaupteten zeitlichen Umfang während seiner Arbeitszeit privaten Aktivitäten nachgegangen ist.

Die heimliche Verwendung des Keyloggers stellt einen massiven Eingriff in das Grundrecht auf informationelle Selbstbestimmung dar, mit dem Ergebnis, dass die Verwertung der heimlich beschafften Daten und Erkenntnisse zu Beweiszwecken nicht zulässig ist.

Die Nutzung des Keyloggers ist nur dann zulässig, wenn dies von einer datenschutzrechtlichen Regelung, die den Schutz des Rechts auf informationelle Selbstbestimmung konkretisieren, erfasst ist oder eine Einwilligung des Betroffen vorliegt. Vorliegend kann ausschließlich auf § 32 BDSG zurückgegriffen werden:

„Die Regelung des § 32 BDSG baut nach der Gesetzesbegründung auf den von der Rechtsprechung entwickelten allgemeinen Grundsätzen auf. So waren Eingriffe in das allgemeine Persönlichkeitsrecht des Arbeitnehmers nach der Rechtsprechung des Bundesarbeitsgerichts schon bislang nur zulässig, wenn der konkrete Verdacht einer strafbaren Handlung oder einer anderen schweren Verfehlung zu Lasten des Arbeitgebers bestand, weniger einschneidende Mittel zur Aufklärung des Verdachts ergebnislos ausgeschöpft waren, die angedachte Maßnahme damit praktisch das einzig verbleibende Mittel darstellte und die Maßnahme insgesamt nicht unverhältnismäßig war.“

Für die Annahme eines Fehlverhaltens lagen keine hinreichenden, tatsächlichen Anhaltspunkte vor. Zwar habe dieser einmal eine stark bebilderte Website aufgerufen und hastig „weggeklickt“, als ein andere Beschäftigter vorbeiging. Ein solch einmaliger Vorfall genügt aber nicht, den erforderlichen hinreichend konkreten Verdacht eines strafbaren Verhaltens oder einer sonstigen schweren Pflichtverletzung zu begründen. Unterstellt, die erforderlichen Anhaltspunkte lägen vor, wäre das Vorgehen des Arbeitgebers gleichwohl unzulässig gewesen, da es mildere ebenso effektive Mittel gab. Der Einsatz des Keyloggers war daher unverhältnismäßig.

Auch eine Einwilligung des Betroffenen lag nicht vor. Durch das Rundschreiben, in dem das Mitloggen angekündigt wurde, wenn die Beschäftigten sich nicht binnen Wochenfrist dagegen aussprachen, konnte keine wirksame Einwilligung begründen. Durch die Formulierung machte der Arbeitgeber deutlich, dass er ein Schweigen als Einwilligung werten wollte und gewertet hat, obwohl Schweigen grundsätzlich keine Zustimmung bedeutet. Zudem wurden die Beschäftigten nicht über den Zweck der Datenerhebung (Überwachung des Arbeitsverhaltens) und -verarbeitung sowie den Umfang (Protokollierung der Tastaturanschläge und Screenshots-Erstellung) informiert.

Fazit

Soll eine zielgerichtete Überwachung eines Beschäftigten erfolgen, bedarf es hinreichender konkreter Anhaltspunkte. Bloße Vermutungen oder unkonkrete Wahrnehmungen von Kollegen sind nicht ausreichend. Vielmehr müssen die Feststellungen derart konkretisiert sein, dass sich aus Ihnen die Straftat oder Pflichtverletzung förmlich aufdrängt.

Sofern die Maßnahme heimlich erfolgen soll, sind die Anforderungen, wegen der Beschneidung des Persönlichkeitsrechts des Betroffenen, wesentlich höher.

In jedem Fall sollte der Datenschutzbeauftragte hinzugezogen werden. Unter Umständen ist die geplante Maßnahme einer Vorabkontrolle zu unterziehen.

Ferner ist immer zu prüfen, ob die Umsetzung einer konkreten Maßnahme Mitbestimmungsrechte der Mitarbeitervertretung auslösen.