20. März 2017 - Der Arbeitgeber als Big Brother

Heimliche Totalprotokollierung mit Keylogger

Ein Arbeitgeber gewährt seinen Mitarbeitern ausdrücklich „freien Zugang zum WLAN“. Dabei erklärt er, dass „der Traffic mitgelogged“ werden müsse, um den Download von illegalen Filmen zu verhindern. Einige Zeit später wirft er einem Mitarbeiter vor, während der Arbeitszeit ständig private Dinge erledigt zu haben. Als Beweis legt er Protokolle eines „Keyloggers“ vor sowie regelmäßige Screenshots. Wie wird das Arbeitsgericht mit diesen Beweisen umgehen? Die Entscheidung bleibt auch unter der Datenschutz-Grundverordnung aktuell.

Keylogger protokollieren auch sensible Daten mit Setzt der Arbeitgeber einen Keylogger ein, protokolliert der auch höchst kritische Daten (Bild: opolja / iStock / Thinkstock)

Der Kläger ist seit 2011 in einem Medienunternehmen als Webentwickler beschäftigt. Am 19. April 2015 teilte der Arbeitgeber seinen Mitarbeitern per Mail mit, es sei jetzt endlich ein schneller Internetanschluss vorhanden.

Weiter erklärte er, dass alle Mitarbeiter freien Zugang zum WLAN erhalten. Sodann heißt es wörtlich:

„Da bei Missbrauch, zum Beispiel Download von illegalen Filmen, etc. der Betreiber zur Verantwortung gezogen wird, muss der Traffic mitgelogged werden. …

Somit: Hiermit informiere ich Euch offiziell, dass sämtlicher Internet Traffic … mitgelogged und dauerhaft gespeichert wird. Solltet Ihr damit nicht einverstanden sein, bitte ich Euch mir dieses innerhalb dieser Woche mitzuteilen.

Das neue Netzwerk wird versteckt sein…Bitte benutzt dieses Netzwerk für alles wie Spotify, YouTube, etc. um unser Hauptnetzwerk zu entlasten.“

Bereits einige Zeit zuvor hatte der Arbeitgeber für alle Mitarbeiter Kopfhörer angeschafft und ihnen erlaubt, während der Arbeitszeit Musik zu hören.

Am 20. April 2015 fand eine mündliche Unterweisung statt. Dabei erhob keiner der Mitarbeiter irgendwelche Einwendungen, auch der Kläger nicht.

Installation eines Keyloggers

Noch am selben Tag installierte der Arbeitgeber auf dem PC des Klägers einen sogenannten Keylogger.

Diese Software protokollierte ab dem 21. April 2015 sämtliche Tastatureingaben an den PCs der Mitarbeiter. Außerdem wurden regelmäßig Screenshots erstellt.

Auswertung der Logdateien

Die Logdateien wertete der Arbeitgeber aus. Bei einem Gespräch am 4. Mai 2015 warf der Geschäftsführer des Arbeitgebers dem Mitarbeiter vor, er habe seinen PC während der Arbeitszeit für private Zwecke genutzt.

Zum einen sei der Kläger für das Unternehmen seines Vaters tätig gewesen. Zum anderen habe er ein Computerspiel bearbeitet, das er selbst entwickelt hatte.

„Geständnis“ des Arbeitnehmers

Bei einer Anhörung am 5. Mai 2015 räumte der Kläger ein, im Zeitraum zwischen Januar 2015 und April 2015 insgesamt etwa drei Stunden am Computerspiel programmiert zu haben. Außerdem gab er zu, täglich bis zu zehn Minuten Logistikaufträge für seinen Vater abgewickelt zu haben.

Außerordentliche und ordentliche Kündigung

Daraufhin kündigte der Arbeitgeber dem Kläger mit Schreiben vom 19. Mai 2015 außerordentlich und fristlos. Hilfsweise kündigte er ihm außerdem ordentlich zum nächstzulässigen Termin.

Als Beweismittel für die Pflichtverletzungen des Klägers legte der Arbeitgeber dem Arbeitsgericht Logdateien vor, die er mithilfe des Keyloggers erstellt hatte. Hinzu kamen Screenshots.

Kündigungen unwirksam

Das Arbeitsgericht als erste Instanz und das Landesarbeitsgericht als zweite Instanz sind sich darin einig, dass weder die außerordentliche Kündigung noch die ordentliche Kündigung wirksam sind.

Das Landesarbeitsgericht begründet dies für die außerordentliche Kündigung wie folgt:

An sich schwere Pflichtverletzungen

  • Falls der Kläger tatsächlich über Monate hinweg während der Arbeitszeit in erheblichem Umfang private Angelegenheiten erledigt hätte, wäre dieser Vorwurf an sich geeignet, eine außerordentliche Kündigung zu rechtfertigen.
  • Diesen Vorwurf muss der Arbeitgeber jedoch mithilfe zulässiger Beweismittel nachweisen. Das kann er im vorliegenden Fall nicht.

Aber: keine zulässigen Beweismittel vorhanden

  • Die Logdateien des Keyloggers sind genauso wenig zulässige Beweismittel wie die Screenshots.
  • Durch die heimliche Installation des Keyloggers hat der Arbeitgeber in massiver Weise unzulässig in das Persönlichkeitsrecht des Klägers eingegriffen.
  • Ein Keylogger ist ein „Tasten-Protokollierer“, der sämtliche Eingaben an der Tastatur mitschreibt. Er erfasst alle Tastatureingaben. Damit protokolliert er auch hochsensible Daten wie Passwörter, PINs und dergleichen. Darin liegt ein schwerer Eingriff in das Persönlichkeitsrecht.

Persönlichkeitsrecht gravierend verletzt

Wie gravierend ein solcher Eingriff zu werten ist, hat sich im vorliegenden Verfahren deutlich gezeigt.

Das Gericht wies den Kläger zu Beginn der mündlichen Verhandlung darauf hin, er möge sich eine neue Kreditkarte besorgen. Die Logdateien lagen nämlich allen Prozessbeteiligten als Beweismittel vor. Damit waren auch allen Prozessbeteiligten sämtliche Informationen über die Kreditkarte des Klägers zugänglich. Der Kläger hatte die Kreditkarte am PC benutzt.

Der Keylogger zeichnete die Kreditkartennummer ebenso auf wie die Gültigkeitsdauer und den dreistelligen Sicherheitscode.

Ebenso unzulässig war die heimliche Anfertigung von Screenshots. Auch diese Screenshots enthielten zahlreiche personenbezogene Daten des Klägers.

Unzulässige heimliche Überwachung

Wegen des erheblichen Eingriffs in das Recht des Klägers auf informationelle Selbstbestimmung sind weder die Logdateien noch die Screenshots zulässige Beweismittel.

Beide Methoden der heimlichen Überwachung verstoßen gegen das Datenschutzrecht:

  • Die heimliche Überwachung diente der Erhebung personenbezogener Daten. Sie war deshalb nur zulässig, wenn entweder eine gesetzliche Erlaubnis vorhanden ist oder wenn der Kläger in die Erhebung eingewilligt hat (siehe § 4 Abs. 1 BDSG).
  • Als gesetzliche Erlaubnis käme allenfalls § 32 Abs. 1 Satz BDSG in Betracht. § 32 BDSG regelt die Erhebung, Verarbeitung und Nutzung von Daten in ein Beschäftigungsverhältnis.
  • Im vorliegenden Fall steht der Vorwurf des Arbeitszeitbetrugs im Raum. Soweit es um die Aufdeckung von Straftaten eines Beschäftigten geht, ist eine Erhebung nur zulässig, wenn bereits vorher hinreichende Anhaltspunkte dafür dokumentiert worden sind, dass eine Straftat vorliegen kann (siehe § 32 Abs. 1 Satz 2 BDSG).
  • Diese Voraussetzungen sind im vorliegenden Fall nicht erfüllt. Der Arbeitgeber hat hier ohne hinreichenden Grund damit begonnen, umfangreiche Protokollierungen vorzunehmen. Er konnte keinen Vorfall schildern, der hierfür einen hinreichenden Anlass gegeben hatte.
  • Zusätzlich ist zu berücksichtigen, dass eine dauernde heimliche Überwachung generell nur in ganz besonderen Situationen zulässig ist. Im Regelfall ist es nämlich stattdessen möglich, den PC in Anwesenheit des Arbeitnehmers zu überprüfen. Damit steht im Normalfall ein milderes Mittel als die heimliche Überwachung zur Verfügung.

Keine Einwilligung des Klägers

Von einer Einwilligung des Klägers in die Überwachung kann ebenfalls nicht die Rede sein. Dabei ist Folgendes zu beachten:

  • Nach den Vorgaben des BDSG bedarf eine Einwilligung grundsätzlich der Schriftform (§ 4a Abs. 1 Satz 2 BDSG). Dass eine schriftliche Einwilligung vorliegen würde, behauptet noch nicht einmal der Arbeitgeber selbst.
  • Der Arbeitgeber kann sich auch nicht darauf berufen, dass der Kläger bei der Besprechung am 20. April 2015 keine Einwendungen gegen ein „Mitloggen“ erhoben hat.
  • Selbst wenn man dieses Schweigen als Einwilligung interpretiere wollte, wäre darauf hinzuweisen, dass der Arbeitgeber die Einwilligung durch falsche Angaben erschlichen hat. Aus der E-Mail, die der Arbeitgeber am 19. April 2014 versandt hatte, konnte der Kläger nicht entnehmen, dass es um eine Totalprotokollierung aller Tastatureingaben gehen sollte.

Abmahnung wäre erforderlich gewesen

Der Kläger hat zwar eingeräumt, in relativ geringem Umfang private Angelegenheiten während der Arbeitszeit erledigt zu haben. Der Umfang dieser Tätigkeiten genügt jedoch nicht, um eine außerordentliche Kündigung zu rechtfertigen.

Zunächst einmal hätte der Arbeitgeber eine Abmahnung aussprechen müssen. Der Kläger hat schwerwiegende Pflichtverletzung begangen. Geht man von seinen Zeitangaben aus, dann hat er zehn Minuten am Tag für das Unternehmen seines Vaters gearbeitet. Daraus ergibt sich bei durchschnittlich 220 Arbeitstagen pro Jahr eine Gesamtdauer von über 36 Stunden.

Sie ist aber ins Verhältnis zur Gesamtarbeitsdauer eines Jahres zu setzen. Wenn man von acht Stunden Arbeitszeit pro Tag ausgeht, entsprechen 36 Stunden 2,08 %. Dies ist nicht so gravierend, dass eine Abmahnung von vornherein sinnlos und entbehrlich wäre.

Ordentliche Kündigung ebenfalls unwirksam

Hilfsweise wurde auch noch eine ordentliche Kündigung ausgesprochen. Sie ist ebenfalls nicht wirksam. Hier ist ebenfalls darauf hinzuweisen, dass zunächst eine Abmahnung erforderlich gewesen wäre.

Ein Extremfall – hoffentlich!

Der Fall ist ausgesprochen extrem. Dass ein Arbeitgeber heimlich Protokollierungen dieses Umfangs durchführt, ist schon für sich gesehen ein grober Verstoß.

Dass er aber darüber hinaus die Mitarbeiter auch noch täuscht und so tut, als würde er lediglich „normale Protokollierungen“ durchführen (also das Auflisten aufgerufener Internetseiten), macht das Ganze wohl einzigartig.

Strafanzeige wäre denkbar gewesen

Der Arbeitgeber kann von Glück reden, dass er nicht auch noch angezeigt wurde. Hier wäre durchaus an ein strafbares Ausspähen von Daten zu denken. Der Hinweis des Gerichts auf die Daten der Kreditkarte des Klägers zeigt das sehr deutlich.

Das Urteil des Landesarbeitsgerichts Hamm vom 17.6.2016 – 16 Sa 1711/15 ist abrufbar unter https://www.justiz.nrw.de/nrwe/arbgs/hamm/lag_hamm/j2016/16_Sa_1711_15_Urteil_20160617.html.

Die Entscheidung bleibt auch dann noch aktuell, wenn ab 25. Mai 2018 die Datenschutz-Grundverordnung gilt.

Sie erlaubt es den Mitgliedstaaten, für die Datenverarbeitung in Beschäftigungsverhältnissen weiterhin eigene Regelungen zu treffen (siehe Art. 88 DSGVO „Datenverarbeitung im Beschäftigungskontext“). Deutschland könnte also den jetzt einschlägigen § 32 BDSG im Prinzip weiter gelten lassen. Kleinere Korrekturen, die notwendig wären, würden den vorliegenden Fall nicht berühren.

Generell verlangt die Datenschutz-Grundverordnung, dass personenbezogene Daten nach Treu und Glauben verarbeitet werden (siehe Art. 5 Abs. 1 Buchstabe a DSGVO). Damit ist es nicht zu vereinbaren, wenn Daten heimlich hinter dem Rücken des Betroffenen aufgezeichnet werden.

Dr. Eugen Ehmann
Dr. Eugen Ehmann ist Regierungsvizepräsident von Mittelfranken (Bayern). Er befasst sich seit vielen Jahren intensiv mit Fragen des Datenschutzes in Unternehmen und Behörden.

 

Anzeige

Fit für die Datenschutz-Grundverordnung Setzen Sie jetzt schon die Datenschutz-Grundverordnung soweit wie möglich um – mit „Fit für die Datenschutz-Grundverordnung“.

Lesen Sie gleich den 1. Teil gratis.


Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln