WISSENSWERTES | 31.07.2017

BAG: Mitarbeiter-Überwachung mittels Keylogger ist unzulässig

Mit Urteil vom 27. Juli 2017 (Az. 2 AZR 281/16, siehe Pressemitteilung) hat das Bundesarbeitsgericht (BAG) entschieden, dass der Einsatz eines sogenannten „Keyloggers“, mit dem sämtliche Tastatureingaben an einem betrieblichen PC zur verdeckten Überwachung und Kontrolle des Arbeitnehmers aufgezeichnet werden, datenschutzrechtlich unzulässig ist, wenn nicht bezogen auf einen konkreten Mitarbeiter Tatsachen den Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung begründen.

Einsatz des Keyloggers zur Erfassung des Mitarbeiter-Verhaltens

Im zugrundliegenden Fall war der Kläger seit 1. Juli 2011 bei der Beklagten als „Webentwickler“ angestellt. Zu Beginn seines Arbeitsverhältnisses unterzeichnete er eine „Richtlinie zur Informationssicherheit und Vertraulichkeitsvereinbarung für Angestellte, Freiberufler und Praktikanten“. Darin heißt es unter anderem:

„Achten Sie darauf, dass Sie nur auf vertrauenswürdigen und unbedingt für die Arbeit notwendigen Seiten surfen.“

Im Zuge der Umstellung eines Internetanschlusses im April 2015 teilte die Beklagte ihren Mitarbeitern mit, dass sämtlicher Internet-Traffic und die Benutzung der Systeme „mitgeloggt“ und dauerhaft gespeichert werden. Hiergegen konnten die Mitarbeiter innerhalb einer Woche „Einspruch“ einlegen. Nachdem sich auch in einer mündlichen Unterweisung kein Mitarbeiter gegen den Einsatz des „Log-Verfahrens“ wandte, installierte die Beklagte sodann unter anderem auf dem vom Kläger benutzten Dienst-PC den „Keylogger“, durch den sämtliche Tastatureingaben am PC protokolliert und daneben regelmäßig Screenshots (Bildschirmfotos) erstellt wurden.

Nach Auswertung der mit Hilfe des Keyloggers erstellten Log-Dateien fand bereits circa zwei Wochen nach Einführung der Software ein Gespräch zwischen dem Geschäftsführer der Beklagten und dem Kläger statt, im Rahmen dessen diesem eröffnet wurde, dass die Auswertung bei ihm neben einer ausgedehnten Privatnutzung auch Tätigkeiten für eine Drittfirma zu Tage gefördert hätten. Die zugrundeliegenden Tatsachen räumte der Kläger ein. Hinsichtlich des Ausmaßes der Tätigkeiten ging er jedoch nur von einem gering(er)en Umfang aus. Auf Grundlage der von dem Keylogger erfassten Daten kündigte die Beklagte das Arbeitsverhältnis außerordentlich fristlos, hilfsweise ordentlich.

Unzulässige Überwachung führt zu Verwertungsverbot im Kündigungsschutzprozess

Die Vorinstanzen (Arbeitsgericht Herne, Urteil vom 14. Oktober 2015, Az. 6 Ca 1789/15, sowie Landesarbeitsgericht Hamm (Westfalen), Urteil vom 17. Juni 2016, Az. 16 Sa 1711/15) haben der Kündigungsschutzklage des Klägers stattgegeben. Vor dem BAG hatte die Beklagte mit ihrer hiergegen gerichteten Revision keinen Erfolg. Das BAG führte insoweit aus, dass die durch den Keylogger gewonnenen Erkenntnisse über die Privattätigkeiten des Klägers gerichtlich nicht verwertbar seien. Durch das softwaregestützte „loggen“ der Tastatureingaben des Klägers habe die Beklagte dessen Recht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) verletzt. Diese Datenerhebung war auch nicht etwa nach § 32 Abs. 1 Bundesdatenschutzgesetz (BDSG) zulässig, denn die Beklagte hatte den Einsatz des Keyloggers nicht mit dem konkreten Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung begründet, sondern vielmehr eine generelle Verwendung „zur Verhinderung von Missbrauch des Internetzugangs“ angeordnet.

Lückenlose Mitarbeiterüberwachung nur in Ausnahmefällen

Wie Mitarbeiterkontrollen im Allgemeinen ist auch der Einsatz eines Keyloggers an dem Grundsatz der Verhältnismäßigkeit zu messen. Rechtfertigen konkrete Anhaltspunkte den Verdacht einer Straftat, ist im Einzelfall ein solcher Einsatz statthaft. Zur verdeckten anlasslosen Überwachung und Kontrolle der Mitarbeiter ist die Verwendung derartiger Software jedoch insbesondere auch aus datenschutzrechtlichen Gründen (§ 32 Abs. 1 BDSG) unzulässig. Wie wir demnächst in zwei gesonderten Beiträgen beleuchten werden, tun Arbeitgeber dennoch gut daran, ihren Mitarbeitern die Privatnutzung dienstlicher Internetzugänge und E-Mail-Accounts grundsätzlich zu untersagen.

Aktuelle Beiträge von Dr. Knut Karnapp

WISSENSWERTES | 12.11.2019

Verjährung von Datenschutzverstößen nach DSGVO

In jüngerer Vergangenheit ist die Frage nach der Verjährung von Datenschutzverstößen vermehrt in den Fokus von Unternehmen geraten. Die Datenschutzgrundverordnung (DSGVO)  selbst trifft zur Verjährung keine Regelung. Nach dem deshalb einschlägigen deutschen Recht unterliegen Verstöße gegen Datenschutzvorschriften alle...

WISSENSWERTES | 06.11.2019

DSGVO: Rekordbußgeld gegen Deutsche Wohnen – Löschbedarf bei unstrukturierten Datenbeständen

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat in einer gestern veröffentlichten Pressemitteilung (Az.: 711.412.1) den Erlass eines „Millionen-Bußgeldes“ gegen eine Immobiliengesellschaft bekannt gemacht. Die Deutsche Wohnen SE soll dem...