Nachfolgend ein Beitrag vom 20.10.2017 von Spitz, jurisPR-ITR 21/2017 Anm. 3

Leitsatz

Der Einsatz eines Software-Keyloggers ist nicht nach § 32 Abs. 1 BDSG erlaubt, wenn kein auf den Arbeitnehmer bezogener, durch konkrete Tatsachen begründeter Verdacht einer Straftat oder anderen schwerwiegenden Pflichtverletzung besteht.

A. Problemstellung

Die nach wie vor zunehmende Digitalisierung gibt dem Arbeitgeber vielfältige Möglichkeiten der technischen Überwachung seiner Arbeitnehmer an die Hand. Häufig ziehen solche Überwachungen Fragen des Arbeitnehmerdatenschutzes und der Verletzung von Persönlichkeitsrechten der Mitarbeiter nach sich. Vorliegend geht es um die Rechtmäßigkeit der Installation und Auswertung einer Software, die die Eingaben einer Computertastatur speichert.

B. Inhalt und Gegenstand der Entscheidung

Der Kläger war bei der Beklagten als Webentwickler tätig. Zu Beginn des Arbeitsverhältnisses hatte er sich schriftlich verpflichtet, betriebliche Hard- und Software ausschließlich zur Erfüllung der vereinbarten Aufgaben zu nutzen. Im Zusammenhang mit der Anbindung eines neuen Netzwerks richtete die Beklagte am 19.04.2015 eine E-Mail folgenden Inhalts an ihre Mitarbeiter: „Hallo liebes (…) Team, es ist soweit, die Telekom hat es endlich geschafft, uns einen schnellen Internet Anschluss bereitzustellen. Dieses möchte ich Euch natürlich nicht vorenthalten, aus diesem Grund erhaltet Ihr freien Zugang zum WLAN. Da bei Missbrauch, zum Beispiel Download von illegalen Filmen, etc. der Betreiber zur Verantwortung gezogen wird, muss der Traffic mitgelogged werden. Da ein rechtlicher Missbrauch natürlich dann auch auf denjenigen zurückfallen soll, der verantwortlich dafür war. Somit: Hiermit informiere ich Euch offiziell, dass sämtlicher Internet Traffic und die Benutzung der Systeme (der Beklagten) mitgelogged und dauerhaft gespeichert wird. Solltet Ihr damit nicht einverstanden sein, bitte ich Euch, mir dieses innerhalb dieser Woche mitzuteilen. … Bitte benutzt dieses Netzwerk für alles wie Spotify, YouTube, etc. um unser Hauptnetzwerk zu entlasten. …“ .
Ein Widerspruch gegen diese Maßnahme erfolgte von keinem einzigen Arbeitnehmer. Die Beklagte installierte sodann auf dem Dienst-PC des Klägers eine Software, die ab dem 21.04.2015 alle Tastatureingaben protokollierte und regelmäßig Screenshots fertigte (Keylogger). Nachdem die Beklagte die vom Keylogger erstellten Dateien ausgewertet hatte, fand am 04.05.2015 ein Gespräch mit dem Kläger statt, in dem dieser einräumte, seinen Dienst-Rechner während der Arbeitszeit privat genutzt zu haben. Er gab an, ein Computerspiel programmiert und E-Mail-Verkehr für das Logistikunternehmen seines Vaters abgewickelt zu haben. Auf die Programmierung des Spiels habe er am Arbeitsplatz in der Zeit von Januar bis April 2015 ca. drei Stunden verwendet. Für die Firma seines Vaters sei er – vorwiegend in seiner Freizeit – höchstens etwa zehn Minuten täglich tätig gewesen. Die Beklagte kündigte das Arbeitsverhältnis des Klägers mit Schreiben vom 19.05.2015 fristlos, hilfsweise ordentlich zum nächstzulässigen Termin.
Die Kündigungen sind nach Auffassung des BAG (in Übereinstimmung mit den beiden Vorinstanzen) unwirksam.
Nach Ansicht des BAG ist derjenige Sachvortrag der Beklagten unberücksichtigt zu lassen, den sie nur aufgrund des von ihr eingesetzten Keyloggers in das Verfahren einführen konnte. Denn die Verwertung dieses Vorbringens bei der Urteilsfindung wäre mit dem Recht des Klägers auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) unvereinbar. Zwar existiere kein ausdrückliches gesetzliches Sachvortrags- oder Beweisverwertungsverbot. Ein solches Verbot ergebe sich aber aus der Bindung der Gerichte an die Grundrechte und der Verpflichtung zu einer rechtsstaatlichen Verfahrensgestaltung (BVerfG, Urt. v. 13.02.2007 – 1 BvR 421/05) Demnach habe das Gericht zu prüfen, ob die Verwertung von heimlich beschafften persönlichen Daten und Erkenntnissen, die sich aus diesen Daten ergeben, mit dem allgemeinen Persönlichkeitsrecht des Betroffenen vereinbar sei (BAG, Urt. v. 29.06.2017 – 2 AZR 597/16). Die Bestimmungen des Bundesdatenschutzgesetzes (BDSG) über die Anforderungen an eine zulässige Datenverarbeitung konkretisierten und aktualisierten den Schutz des Rechts auf informationelle Selbstbestimmung. Sie regelten, in welchem Umfang Eingriffe durch öffentliche oder nicht-öffentliche Stellen in diese Rechtspositionen zulässig seien. Erlaube das BDSG eine Erhebung und Verarbeitung persönlicher Daten eines Arbeitnehmers nicht, würden die Arbeitsgerichte eine durch den Arbeitgeber begangene Grundrechtsverletzung perpetuieren und vertiefen.
Die Datenerhebung durch den Keylogger greife in das Recht des Klägers auf informationelle Selbstbestimmung ein. Eine Rechtfertigung dieses Eingriffs in Form einer Einwilligung (§ 4a BDSG) sei nicht gegeben. Allein in der Tatsache, dass ein Arbeitnehmer einer ihm mitgeteilten Maßnahme nicht entgegentrete, liege keine Einverständniserklärung in die Informationserhebung. Das Unterlassen eines Protests könne nicht mit einer Einwilligung gleichgesetzt werden. Im Übrigen habe die Beklagte dem Kläger nicht eröffnet, es sollten alle Tastatureingaben an seinem Dienst-PC „mitgeloggt“ und regelmäßig Screenshots gefertigt werden. Auch konnte der Kläger nach Ansicht des BAG nicht erkennen, zu welchem Zweck er überwacht wurde. Die E-Mail der Beklagten vom 19.04.2015 legte den Schluss nahe, dass allein eine etwaige Internetaktivität über das neue Netzwerk und nicht jede Aktivität am Dienstrechner kontrolliert werden sollten. Für den Eingriff in den Schutzbereich des allgemeinen Persönlichkeitsrechts sei es ohne Bedeutung, ob die Datenerhebung in verdeckter Form oder für den Arbeitnehmer erkennbar erfolgte. Denn beim Einsatz eines Keyloggers werde der betroffene Arbeitnehmer in der Befugnis, selbst über die Preisgabe und Verwendung persönlicher Daten zu befinden, beschränkt. Der Arbeitnehmer werde zum Ziel einer systematischen Beobachtung durch den Arbeitgeber gemacht. Die offene Keyloggerüberwachung diene der Vorbereitung möglicher belastender Maßnahmen (Ermahnung, Abmahnung, Kündigung). Sie wirke zugleich abschreckend und versuche, das Verhalten des Betroffenen zu lenken.
Eine Rechtfertigung der Keyloggerüberwachung aus § 32 Abs. 1 BDSG sei nicht gegeben. § 32 Abs. 1 Satz 2 BDSG, der die Datenerhebung und -verarbeitung bei Straftaten regele, setze voraus, dass konkrete Tatsachen für einen Straftatverdacht bestünden. Diese Norm sei vorliegend nicht einschlägig, da ein solcher Verdacht zulasten des Klägers zuvor nie bestanden habe. Allerdings sei auch bei § 32 Abs. 1 Satz 1 BDSG der Verhältnismäßigkeitsgrundsatz zu beachten. Käme eine mildere Maßnahme (z.B. stichprobenartige Kontrollen) in Betracht, dann sei eine Dauerüberwachung jedenfalls dann unzulässig, wenn keine konkreten Tatsachen für das Bestehen eines Pflichtverstoßes bestünden. Da es an solchen konkreten Tatsachen fehlte, war die Überwachung nach Auffassung des BAG nicht von § 32 Abs. 1 Satz 1 BDSG gedeckt und damit aufgrund der einhergehenden Persönlichkeitsrechtsverletzung rechtswidrig.

C. Kontext der Entscheidung

Das BAG arbeitet in seiner Entscheidungsbegründung die Rechtsprobleme des Arbeitnehmerdatenschutzes gründlich auf. Der insoweit einschlägige § 32 Abs. 1 BDSG ist gesetzgeberisch schlecht gelungen. Ziel der Regelung war es, die Rechtsprechung des BAG zum Arbeitnehmerdatenschutz in Gesetzesform zu gießen. Liest man Satz 1 und Satz 2 dieser Vorschrift, entstehen prima vista mehr Fragen als Antworten. Das BAG versucht in der vorliegenden Entscheidung, wieder Ordnung in die Problematik zu bringen. Kritisch anzumerken ist, dass das BAG auf das Tatbestandsmerkmal der „Erforderlichkeit“ in § 32 Abs. 1 Satz 1 BDSG nicht maßgeblich abstellt. Dies wäre dogmatisch sauberer gewesen. Stattdessen wird das gefundene Ergebnis vor allem aus einer Gesamtschau der beiden Sätze des § 32 BDSG hergeleitet.

D. Auswirkungen für die Praxis

Die Entscheidung ist für die Praxis von großer Bedeutung. Es steht jetzt höchstrichterlich fest, dass eine die Persönlichkeitsrechte von Arbeitnehmern berührende Dauerüberwachung nicht nur bei Straftaten, sondern auch bei anderen erheblichen Pflichtverletzungen stets das Vorliegen konkreter Verdachtstatsachen voraussetzt. Eine rechtfertigende wirksame Zustimmung zur Überwachung seitens der Arbeitnehmer setzt voraus, dass umfassend über Art, Umfang und Zweck der Überwachung aufgeklärt wurde und dass die Einwilligung ausdrücklich erfolgt.

E. Weitere Themenschwerpunkte der Entscheidung

Obwohl nicht unmittelbar fallrelevant, hat das BAG zur Frage Stellung genommen, ob bei einer Überwachung nach § 32 Abs. 1 Satz 2 BDSG (Bestehen eines Straftatsverdachts) die konkreten Verdachtstatsachen vorab zu dokumentieren sind. Das BAG verneint dies. Es reiche aus, wenn die den Verdacht begründenden Tatsachen auch im Nachhinein noch dokumentiert werden können. Diese Ansicht überzeugt nicht. Der Wortlaut des § 36 Abs. 1 Satz 2 BDSG verlangt ausdrücklich eine solche der Überwachung vorausgehende Dokumentationspflicht. Diese Dokumentationspflicht ist dem Umstand geschuldet, dass die Überwachung in erheblichem Maße in das Recht auf informationelle Selbstbestimmung des Arbeitnehmers eingreift. Richtigerweise wird man deshalb zur Bejahung der Rechtmäßigkeit eine vorige Dokumentation der Verdachtstatsachen fordern müssen (so auch ArbG Gelsenkirchen, Urt. v. 21.02.2017 – 5 Ca 1708/16 m. Anm. Spitz, jurisPR-ITR 19/2017 Anm. 6.).

Verwertungsverbot bei Computerüberwachung mittels Keylogger
Thomas HansenRechtsanwalt
  • Fachanwalt für Steuerrecht
  • Fachanwalt für Handels- und Gesellschaftsrecht

Mühlhausen
Telefon: 03601 48 32 0

Leinefelde
Telefon: 03605 544 330

Gotha
Telefon: 03621 510 180 0

oder schreiben Sie hier eine Mail:





    Felder mit * sind Pflichtangaben.