Gratis
20. November 2017 - Arbeitnehmerdatenschutz

Verwertungsverbot für Keylogger-Daten bei Kündigung

Ein Arbeitgeber gibt sich scheinbar großzügig und kündigt seinen Beschäftigten „freien Zugang zum WLAN“ an. Gleichzeitig erklärt er, „rechtlicher Missbrauch“ sei natürlich nicht erlaubt. Deshalb müsse der Traffic mitgelogged werden. Dürfen diese Log-Daten nach einer Kündigung vor Gericht verwendet werden? Das BAG setzt in seiner Begründung einige wichtige Akzente anders als die Vorinstanzen. Das Urteil bleibt auch unter der DSGVO relevant.

Urteil des BAG zum Einsatz eines Keyloggers Der Keylogger griff hier zu tief in das Persönlichkeitsrecht des Mitarbeiters ein (Bild: 8vFanI / iStock / Thinkstock)

Nutzung der EDV nur für dienstliche Zwecke

Der Kläger ist seit 2011 in einem Medienunternehmen als Webentwickler beschäftigt. Zu Beginn des Arbeitsverhältnisses hat er sich schriftlich verpflichtet, aus Gründen der informationstechnischen Sicherheit die Hard- und Software seines Arbeitgebers ausschließlich zur Erfüllung dienstlicher Aufgaben zu nutzen.

Ein vergiftetes Geschenk

Am 19. April 2015 teilte der Arbeitgeber allen Mitarbeitern per Mail mit, es sei jetzt endlich ein schneller Internetanschluss vorhanden. Weiter erklärte er: „Dieses möchte ich Euch natürlich nicht vorenthalten, aus diesem Grund erhaltet Ihr freien Zugang zum WLAN.“

Ankündigung des Mitloggens

Sodann heißt es: „Da bei Missbrauch, zum Beispiel Download von illegalen Filmen, etc. der Betreiber zur Verantwortung gezogen wird, muss der Traffic mitgelogged werden. Somit: Hiermit informiere ich Euch offiziell, dass sämtlicher Internet Traffic … mitgelogged und dauerhaft gespeichert wird. Solltet Ihr damit nicht einverstanden sein, bitte ich Euch mir dieses innerhalb dieser Woche mitzuteilen.  Bitte benutzt dieses Netzwerk für alles wie Spotify, YouTube, etc. um unser Hauptnetzwerk zu entlasten.“

Am 20. April 2015 fand eine mündliche Unterweisung statt. Dabei erhob keiner der Mitarbeiter irgendwelche Einwendungen, auch der Kläger nicht.

Installation eines Keyloggers und Auswertung

Ab dem 21. April 2015 setzte der Arbeitgeber auf dem PC des Klägers einen sogenannten Keylogger ein. Darunter ist eine Software zu verstehen, die alle Tastatureingaben protokollierte und regelmäßig Screenshots anfertigte.

Die Logdateien wertete der Arbeitgeber aus. Bei einem Gespräch am 4. Mai 2015 warf der Geschäftsführer des Arbeitgebers dem Mitarbeiter vor, er habe seinen PC während der Arbeitszeit für private Zwecke genutzt.

Zum einen sei der Kläger für das Unternehmen seines Vaters tätig gewesen. Zum anderen habe er ein Computerspiel bearbeitet, das er selbst entwickelt hatte.

„Geständnis“ des Arbeitnehmers

Bei einer Anhörung am 5. Mai 2015 räumte der Kläger ein, im Zeitraum zwischen Januar 2015 und April 2015 insgesamt etwa drei Stunden am Computerspiel programmiert zu haben.

Außerdem gab er zu, täglich bis zu zehn Minuten Logistikaufträge für seinen Vater abgewickelt zu haben.

Außerordentliche und ordentliche Kündigung

Daraufhin kündigte der Arbeitgeber dem Kläger mit Schreiben vom 19. Mai 2015 außerordentlich und fristlos. Hilfsweise kündigte er ihm außerdem ordentlich zum nächstzulässigen Termin.

Als Beweismittel für die Pflichtverletzungen des Klägers legte der Arbeitgeber dem Arbeitsgericht Logdateien vor, die er mithilfe des Keyloggers erstellt hatte. Hinzu kamen Screenshots.

Der Arbeitgeber trägt vor, aus den Screenshots ergebe sich, dass der Kläger mit seinem Dienst-PC für das Unternehmen seines Vaters 5.221 E-Mails empfangen und 5.835 E-Mails versandt habe.

Bundesarbeitsgericht: Kündigungen unwirksam!

Das Bundesarbeitsgericht (BAG) bestätigt die schon vom Arbeitsgericht und vom Landesarbeitsgericht vertretene Auffassung, dass die gegenüber dem Kläger ausgesprochenen Kündigungen unwirksam sind und dass das Arbeitsverhältnis deshalb fortbesteht.

Zu den Vorinstanzen siehe Heimliche Totalprotokollierung mit Keylogger

Beweisverwertungsverbot für Keylogger-Daten

Von zentraler Bedeutung ist dabei folgende Aussage des Gerichts: Die Daten, die der Arbeitgeber mithilfe des Keyloggers gewonnen hat, dürfen bei der Entscheidung nicht berücksichtigt werden.

Dies begründet das Gericht wie folgt:

  • Die Verwertung dieser Daten würde gegen das Recht des Klägers auf informationelle Selbstbestimmung verstoßen.
  • Deshalb würde die Verwertung der Daten durch ein Gericht diese Grundrechtsverletzung perpetuieren (also fortsetzen) und vertiefen.
  • Der Kläger hat in den Einsatz des Keylogger nicht eingewilligt. Sein Einsatz war auch nicht aufgrund überwiegender Interessen des Arbeitgebers gerechtfertigt.
  • Damit gilt für die Daten, die auf diese Weise gewonnen wurden, ein Beweisverwertungsverbot.

Die Entscheidung bleibt unverändert bedeutsam, wenn ab 25. Mai 2018 die Datenschutz-Grundverordnung (DSGVO) gilt. Maßgeblich für den Datenschutz im Arbeitsverhältnis ist dann zunächst Art. 88 DSGVO.

Diese Regelung lässt es zu, dass die Mitgliedstaaten auf der Basis der DSGVO spezifischere Vorschriften für den Arbeitnehmerdatenschutz erlassen. Von dieser Möglichkeit hat der deutsche Gesetzgeber Gebrauch gemacht und § 26 BDSG-neu geschaffen. Das BDSG-neu ist ab 25. Mai 2018 anwendbar, also zeitgleich mit der DSGVO.

In § 26 BDSG neu finden sich dieselben Formulierungen wie in § 32 BDSG, auf den das Gericht vorliegend seine Entscheidung teilweise gestützt hat.

Die verfassungsrechtlichen Überlegungen, die letztlich für die Entscheidung ausschlaggebend waren, gelten unverändert fort. Sie sind auch im EU-Recht verankert.

Die Einzelheiten hierzu sind vorliegend nicht näher dargestellt, weil sie eher für Spezialisten von Bedeutung sind.

Recht auf informationelle Selbstbestimmung berührt

Zunächst hebt das Gericht hervor, dass das Recht des Klägers auf informationelle Selbstbestimmung berührt ist:

  • Dafür, ob ein Eingriff in das Recht auf informationelle Selbstbestimmung vorliegt, kommt es nicht darauf an, ob die Datenerhebung in verdeckter Form oder in einer für den Arbeitnehmer erkennbaren Form erfolgt. Bei beiden Situationen ist ein Eingriff gegeben.
  • Bei einer verdeckten Erhebung wird der Arbeitnehmer zum Ziel einer für ihn nicht erkennbaren Beobachtung durch den Arbeitgeber gemacht. Er gibt dann Daten über sein Verhalten preis, ohne dass er die Überwachung oder den mit ihr verfolgten Verwendungszweck erkennen kann. Diese Aspekte begründen den Eingriff in sein Grundrecht.
  • Aber auch bei einer offenen Erhebung liegt ein Eingriff in das Grundrecht vor. Die Aufzeichnung und Speicherung soll nämlich der Vorbereitung möglicher belastender Maßnahmen wie Ermahnung, Abmahnung und Kündigung dienen und zugleich abschreckend wirken. Sie beabsichtigen, das Verhalten des Betroffenen zu lenken.
  • Auch wenn lediglich Verhaltensweisen am Arbeitsplatz erfasst werden, liegt bei beiden Varianten der Erhebung ein Eingriff in das Recht auf informationelle Selbstbestimmung vor.

Keine wirksame Einwilligung

Dann betont das Gericht, dass der Kläger in den Einsatz des Keyloggers nicht eingewilligt hat:

  • Die Aufzeichnung und Speicherung der Tastatureingaben und das Fertigen von Screenshots stellen Datenerhebungen dar. Tastatureingaben und Screenshots zeigen, wie der Kläger den Rechner genutzt hat.
  • Der Kläger hat nicht in die Nutzung des Keyloggers eingewilligt. Dazu das Gericht wörtlich: „Allein in der Tatsache, dass ein Arbeitnehmer einer ihm mitgeteilten Maßnahmen nicht entgegentritt, liegt keine Einverständniserklärung in die Informationserhebung. Das Unterlassen eines Protests kann nicht mit einer Einwilligung gleichgesetzt werden.“
  • Außerdem habe der Kläger noch nicht einmal erkennen können, zu welchem Zweck er überwacht werden sollte. Nach dem Wortlaut der E-Mail habe der Schluss nahe gelegen, dass es nur um etwaige Internetaktivitäten über das neue Netzwerk gehe und dass auch nur die abgerufenen Inhalte kontrolliert werden sollten. Auch dies spricht gegen eine Einwilligung.

Massiver Verstoß gegen das Recht auf informationelle Selbstbestimmung

Der Einsatz des Keyloggers war auch nicht aufgrund der gesetzlichen Regelung über den Datenschutz im Beschäftigungsverhältnis (§ 32 Abs. 1 BDSG) erlaubt. Dies ergibt sich daraus, dass der Einsatz eines Keyloggers besonders massiv in das Recht auf informationelle Selbstbestimmung eingreift:

  • Die Software erfasst alle Eingaben über die Tastatur eines Computers, einschließlich des Zeitpunkts der Eingaben sowie des zeitlichen Abstands zwischen zwei Eingaben.
  • Diese Daten ermöglichen es, ein umfassendes und nahezu lückenloses Profil der Nutzung des Computers durch den Betroffenen zu erstellen.
  • Jeder einzelne Schritt in der Arbeitsweise des Benutzers lässt sich nachvollziehen.
  • Dabei werden auch hochsensible Daten wie Benutzernamen, Passwörter für geschützte Bereiche und PIN-Nummern protokolliert.

Keine gesetzliche Erlaubnis für das Mitloggen

Wegen der Intensität des Eingriffs dürfte ein Keylogger nur eingesetzt werden, wenn zumindest der Anfangsverdacht einer Pflichtverletzung vorgelegen hätte.

Dabei interpretiert das Gericht die einschlägige Vorschrift des § 32 BDSG wie folgt:

  • Abs. 1 der Vorschrift erlaubt die Erhebung personenbezogener Daten im Beschäftigungsverhältnis unter anderem dann, wenn es für die Durchführung oder die Beendigung des Beschäftigungsverhältnisses erforderlich ist.
  • Zur Durchführung gehört auch die Kontrolle, ob der Arbeitgeber seinen Pflichten nachkommt. Zur Beendigung gehört auch die Aufdeckung von möglichen Pflichtverletzungen, welche die Kündigung des Arbeitsverhältnisses rechtfertigen können.
  • Der Arbeitgeber darf deshalb alle Daten speichern, die er benötigt, um in einem möglichen Kündigungsschutz-Prozess eine Kündigung zu begründen.

Keine Kontrollen „ins Blaue hinein“

Dies führt aber nicht dazu, dass Kontrollen einfach „ins Blaue hinein“ erfolgen dürfen. Erlaubt sind auf der Basis von § 32 Abs. 1 BDSG Stichproben und vergleichbare Maßnahmen. Ohne Stichproben wäre es nicht möglich, Pflichtverletzungen aufzudecken und zu ahnden.

Nicht erlaubt sind auf der Basis dieser Vorschrift dagegen intensive dauerhafte Kontrollmaßnahmen ohne besonderen Anlass, die möglicherweise sogar noch heimlich erfolgen.

Intensive Kontrollen nur bei vorliegendem Verdacht

Solche Maßnahmen sind nur auf der Basis von § 32 Abs. 2 BDSG zulässig, also vor allem, wenn der Verdacht von Straftaten im Raum steht. Als Straftat in diesem Sinn kommt beispielsweise auch ein Arbeitszeitbetrug in Betracht.

Zulässig ist eine eingriffsintensive Kontrollmaßnahmen nur dann, wenn konkrete Tatsachen dafür vorliegen, dass der Verdacht einer schwerwiegenden Pflichtverletzung vorliegt. Diese Pflichtverletzung muss entgegen dem Wortlaut von § 32 Abs. 2 BDSG nicht unbedingt strafbar sein.

Folgen im konkreten Fall: Verwertungsverbot

Aus der Anwendung dieser Grundsätze ergibt sich, dass der Einsatz eines Keyloggers im vorliegenden Fall unzulässig war.

Es gab keinerlei Anzeichen dafür, dass der Kläger seine Pflichten aus dem Arbeitsvertrag in erheblicher Weise verletzt. Es handelte es sich um eine Kontrollmaßnahme rein „ins Blaue hinein“.

Der Schutz des Rechts auf informationelle Selbstbestimmung gebietet es in einem solchen Fall, die gewonnenen Daten im Prozess nicht als Beweismittel zuzulassen. Dies bedeutet ein Verwertungsverbot im Hinblick auf diese Daten.

Ob sich aus ihnen ergeben würde, dass der Kläger seine Pflichten schwerwiegend verletzt hat, ist daher irrelevant.

Seltener Fall

Es ist ausgesprochen selten, dass deutsche Gerichte zu einem Beweisverwertungsverbot kommen. Im vorliegenden Fall waren sich jedoch alle drei Instanzen einig.

Entscheidend war dabei nicht, dass die Überwachung heimlich stattgefunden hätte. Immerhin wusste der Kläger ja davon, dass ein Keylogger zum Einsatz kommt. Dieses Wissen allein beseitigt den Eingriff in das Recht auf informationelle Selbstbestimmung nicht. Ganz im Gegenteil begründet es einen solchen Eingriff, weil dadurch ein erheblicher Kontrolldruck entsteht.

Das Urteil des Bundesarbeitsgerichts vom 27.7.2017 – AZR 681/16 ist abrufbar unter http://juris.bundesarbeitsgericht.de/cgi-bin/rechtsprechung/document.py?Gericht=bag&Art=en&nr=19516.

Dr. Eugen Ehmann
Dr. Eugen Ehmann ist Regierungsvizepräsident von Mittelfranken (Bayern). Er befasst sich seit vielen Jahren intensiv mit Fragen des Datenschutzes in Unternehmen und Behörden.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln