- Datenschutz PRAXIS - https://www.datenschutz-praxis.de - DatenschutzPraxis

Verwertungsverbot für Keylogger-Daten bei Kündigung

Ein Arbeitgeber gibt sich scheinbar großzügig und kündigt seinen Beschäftigten „freien Zugang zum WLAN“ an. Gleichzeitig erklärt er, „rechtlicher Missbrauch“ sei natürlich nicht erlaubt. Deshalb müsse der Traffic mitgelogged werden. Dürfen diese Log-Daten nach einer Kündigung vor Gericht verwendet werden? Das BAG setzt in seiner Begründung einige wichtige Akzente anders als die Vorinstanzen. Das Urteil bleibt auch unter der DSGVO relevant.

Nutzung der EDV nur für dienstliche Zwecke

Der Kläger ist seit 2011 in einem Medienunternehmen als Webentwickler beschäftigt. Zu Beginn des Arbeitsverhältnisses hat er sich schriftlich verpflichtet, aus Gründen der informationstechnischen Sicherheit die Hard- und Software seines Arbeitgebers ausschließlich zur Erfüllung dienstlicher Aufgaben zu nutzen.

Ein vergiftetes Geschenk

Am 19. April 2015 teilte der Arbeitgeber allen Mitarbeitern per Mail mit, es sei jetzt endlich ein schneller Internetanschluss vorhanden. Weiter erklärte er: „Dieses möchte ich Euch natürlich nicht vorenthalten, aus diesem Grund erhaltet Ihr freien Zugang zum WLAN.“

Ankündigung des Mitloggens

Sodann heißt es: „Da bei Missbrauch, zum Beispiel Download von illegalen Filmen, etc. der Betreiber zur Verantwortung gezogen wird, muss der Traffic mitgelogged werden. Somit: Hiermit informiere ich Euch offiziell, dass sämtlicher Internet Traffic … mitgelogged und dauerhaft gespeichert wird. Solltet Ihr damit nicht einverstanden sein, bitte ich Euch mir dieses innerhalb dieser Woche mitzuteilen.  Bitte benutzt dieses Netzwerk für alles wie Spotify, YouTube, etc. um unser Hauptnetzwerk zu entlasten.“

Am 20. April 2015 fand eine mündliche Unterweisung statt. Dabei erhob keiner der Mitarbeiter irgendwelche Einwendungen, auch der Kläger nicht.

Installation eines Keyloggers und Auswertung

Ab dem 21. April 2015 setzte der Arbeitgeber auf dem PC des Klägers einen sogenannten Keylogger ein. Darunter ist eine Software zu verstehen, die alle Tastatureingaben protokollierte und regelmäßig Screenshots anfertigte.

Die Logdateien wertete der Arbeitgeber aus. Bei einem Gespräch am 4. Mai 2015 warf der Geschäftsführer des Arbeitgebers dem Mitarbeiter vor, er habe seinen PC während der Arbeitszeit für private Zwecke genutzt.

Zum einen sei der Kläger für das Unternehmen seines Vaters tätig gewesen. Zum anderen habe er ein Computerspiel bearbeitet, das er selbst entwickelt hatte.

„Geständnis“ des Arbeitnehmers

Bei einer Anhörung am 5. Mai 2015 räumte der Kläger ein, im Zeitraum zwischen Januar 2015 und April 2015 insgesamt etwa drei Stunden am Computerspiel programmiert zu haben.

Außerdem gab er zu, täglich bis zu zehn Minuten Logistikaufträge für seinen Vater abgewickelt zu haben.

Außerordentliche und ordentliche Kündigung

Daraufhin kündigte der Arbeitgeber dem Kläger mit Schreiben vom 19. Mai 2015 außerordentlich und fristlos. Hilfsweise kündigte er ihm außerdem ordentlich zum nächstzulässigen Termin.

Als Beweismittel für die Pflichtverletzungen des Klägers legte der Arbeitgeber dem Arbeitsgericht Logdateien vor, die er mithilfe des Keyloggers erstellt hatte. Hinzu kamen Screenshots.

Der Arbeitgeber trägt vor, aus den Screenshots ergebe sich, dass der Kläger mit seinem Dienst-PC für das Unternehmen seines Vaters 5.221 E-Mails empfangen und 5.835 E-Mails versandt habe.

Bundesarbeitsgericht: Kündigungen unwirksam!

Das Bundesarbeitsgericht (BAG) bestätigt die schon vom Arbeitsgericht und vom Landesarbeitsgericht vertretene Auffassung, dass die gegenüber dem Kläger ausgesprochenen Kündigungen unwirksam sind und dass das Arbeitsverhältnis deshalb fortbesteht.

Zu den Vorinstanzen siehe Heimliche Totalprotokollierung mit Keylogger [1]

Beweisverwertungsverbot für Keylogger-Daten

Von zentraler Bedeutung ist dabei folgende Aussage des Gerichts: Die Daten, die der Arbeitgeber mithilfe des Keyloggers gewonnen hat, dürfen bei der Entscheidung nicht berücksichtigt werden.

Dies begründet das Gericht wie folgt:

Die Entscheidung bleibt unverändert bedeutsam, wenn ab 25. Mai 2018 die Datenschutz-Grundverordnung (DSGVO) gilt. Maßgeblich für den Datenschutz im Arbeitsverhältnis ist dann zunächst Art. 88 DSGVO.

Diese Regelung lässt es zu, dass die Mitgliedstaaten auf der Basis der DSGVO spezifischere Vorschriften für den Arbeitnehmerdatenschutz erlassen. Von dieser Möglichkeit hat der deutsche Gesetzgeber Gebrauch gemacht und § 26 BDSG-neu geschaffen. Das BDSG-neu [3] ist ab 25. Mai 2018 anwendbar, also zeitgleich mit der DSGVO.

In § 26 BDSG neu finden sich dieselben Formulierungen wie in § 32 BDSG, auf den das Gericht vorliegend seine Entscheidung teilweise gestützt hat.

Die verfassungsrechtlichen Überlegungen, die letztlich für die Entscheidung ausschlaggebend waren, gelten unverändert fort. Sie sind auch im EU-Recht verankert.

Die Einzelheiten hierzu sind vorliegend nicht näher dargestellt, weil sie eher für Spezialisten von Bedeutung sind.

Recht auf informationelle Selbstbestimmung berührt

Zunächst hebt das Gericht hervor, dass das Recht des Klägers auf informationelle Selbstbestimmung berührt ist:

Keine wirksame Einwilligung

Dann betont das Gericht, dass der Kläger in den Einsatz des Keyloggers nicht eingewilligt hat:

Massiver Verstoß gegen das Recht auf informationelle Selbstbestimmung

Der Einsatz des Keyloggers war auch nicht aufgrund der gesetzlichen Regelung über den Datenschutz im Beschäftigungsverhältnis (§ 32 Abs. 1 BDSG) erlaubt. Dies ergibt sich daraus, dass der Einsatz eines Keyloggers besonders massiv in das Recht auf informationelle Selbstbestimmung eingreift:

Keine gesetzliche Erlaubnis für das Mitloggen

Wegen der Intensität des Eingriffs dürfte ein Keylogger nur eingesetzt werden, wenn zumindest der Anfangsverdacht einer Pflichtverletzung vorgelegen hätte.

Dabei interpretiert das Gericht die einschlägige Vorschrift des § 32 BDSG wie folgt:

Keine Kontrollen „ins Blaue hinein“

Dies führt aber nicht dazu, dass Kontrollen einfach „ins Blaue hinein“ erfolgen dürfen. Erlaubt sind auf der Basis von § 32 Abs. 1 BDSG Stichproben und vergleichbare Maßnahmen. Ohne Stichproben wäre es nicht möglich, Pflichtverletzungen aufzudecken und zu ahnden.

Nicht erlaubt sind auf der Basis dieser Vorschrift dagegen intensive dauerhafte Kontrollmaßnahmen ohne besonderen Anlass, die möglicherweise sogar noch heimlich erfolgen.

Intensive Kontrollen nur bei vorliegendem Verdacht

Solche Maßnahmen sind nur auf der Basis von § 32 Abs. 2 BDSG zulässig, also vor allem, wenn der Verdacht von Straftaten im Raum steht. Als Straftat in diesem Sinn kommt beispielsweise auch ein Arbeitszeitbetrug in Betracht.

Zulässig ist eine eingriffsintensive Kontrollmaßnahmen nur dann, wenn konkrete Tatsachen dafür vorliegen, dass der Verdacht einer schwerwiegenden Pflichtverletzung vorliegt. Diese Pflichtverletzung muss entgegen dem Wortlaut von § 32 Abs. 2 BDSG nicht unbedingt strafbar sein.

Folgen im konkreten Fall: Verwertungsverbot

Aus der Anwendung dieser Grundsätze ergibt sich, dass der Einsatz eines Keyloggers im vorliegenden Fall unzulässig war.

Es gab keinerlei Anzeichen dafür, dass der Kläger seine Pflichten aus dem Arbeitsvertrag in erheblicher Weise verletzt. Es handelte es sich um eine Kontrollmaßnahme rein „ins Blaue hinein“.

Der Schutz des Rechts auf informationelle Selbstbestimmung gebietet es in einem solchen Fall, die gewonnenen Daten im Prozess nicht als Beweismittel zuzulassen. Dies bedeutet ein Verwertungsverbot im Hinblick auf diese Daten.

Ob sich aus ihnen ergeben würde, dass der Kläger seine Pflichten schwerwiegend verletzt hat, ist daher irrelevant.

Seltener Fall

Es ist ausgesprochen selten, dass deutsche Gerichte zu einem Beweisverwertungsverbot kommen. Im vorliegenden Fall waren sich jedoch alle drei Instanzen einig.

Entscheidend war dabei nicht, dass die Überwachung heimlich stattgefunden hätte. Immerhin wusste der Kläger ja davon, dass ein Keylogger zum Einsatz kommt. Dieses Wissen allein beseitigt den Eingriff in das Recht auf informationelle Selbstbestimmung nicht. Ganz im Gegenteil begründet es einen solchen Eingriff, weil dadurch ein erheblicher Kontrolldruck entsteht.

Das Urteil des Bundesarbeitsgerichts vom 27.7.2017 – AZR 681/16 ist abrufbar unter http://juris.bundesarbeitsgericht.de/cgi-bin/rechtsprechung/document.py?Gericht=bag&Art=en&nr=19516 [4].

Dr. Eugen Ehmann
Dr. Eugen Ehmann ist Regierungsvizepräsident von Mittelfranken (Bayern). Er befasst sich seit vielen Jahren intensiv mit Fragen des Datenschutzes in Unternehmen und Behörden.