Das Bundesarbeitsgericht (BAG) hat am 27.07.2017 (Az. 2 AZR 681/16 – noch nicht im Volltext veröffentlicht) entschieden, dass der Einsatz von Software-Keyloggern nach § 32 Abs. 1 BDSG unzulässig sei, wenn kein auf den Arbeitnehmer bezogener begründeter Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung besteht.
Hintergrund des Urteils
In dem Verfahren begehrte der als Web-Entwickler tätige Kläger die Feststellung der Unwirksamkeit seiner Kündigung, die auf die erhebliche Privatnutzung seines Dienst-PCs gestützt war. Die beklagte Arbeitgeberin installierte im Jahre 2015 auf den Dienst-PCs Ihrer Arbeitnehmer heimlich eine Software, die alle Tastatureingaben protokollierte und auch Screenshots anfertigte. Mithilfe dieser sog. Software-Keylogger gelang es der Beklagten nachzuweisen, dass der Kläger in erheblichem Umfang private Angelegenheiten am Arbeitsplatz erledigt hatte, während der Kläger selbst die private Nutzung nur in geringem Umfang einräumte.
Um ihre Position zu bekräftigen, wollte die beklagte Arbeitgeberin die durch den Software-Keylogger erlangten Log-Dateien als Beweis in den Prozess einbringen. Nachdem die Vorinstanzen die Datengewinnung als unverhältnismäßig einstuften und somit auch die Beweisverwertung verwehrten, hatte das BAG darüber zu entscheiden, ob der Einsatz des Software-Keyloggers durch § 32 Abs. 1 BDSG gerechtfertigt werden kann und welche Folge sich aus einer datenschutzrechtswidrigen Beweisgewinnung für die Verwertung der Beweise vor Gericht ergibt.
Was sind Software-Keylogger?
Software-Keylogger schalten sich zwischen Tastatur und Betriebssystem, lesen die Tastatureingaben aus und geben die erfassten Daten an das Betriebssystem weiter. Die ausgelesenen Daten können dann entweder auf dem überwachten PC gespeichert oder im Netzwerk bzw. über das Internet an andere Geräte und Personen übermittelt werden.
Vereinbarkeit mit dem Recht auf informationelle Selbstbestimmung?
Art. 2 Abs. 1 GG schützt das Recht auf informationelle Selbstbestimmung als Ausprägung des allgemeinen Persönlichkeitsrechts. Jeder soll selbst über die Preisgabe von Informationen entscheiden können.
Bereits das Landesarbeitsgericht (LAG) Hamm stellte mit Urteil vom 17.06.2016 (Az. 16 Sa 1711/15) fest, dass durch die Überwachung jeglicher Tastatureingaben auch hochsensible Daten wie Benutzernamen, Passwörter und PINs erfasst und gespeichert werden können. Daraus kann sich für die überwachte Person ein hohes Risiko des Datenmissbrauchs ergeben.
Die beklagte Arbeitgeberin konnte nämlich von ihrem Arbeitnehmer sämtliche Informationen, die seine Kreditkarte betreffen (wie Kreditkartennummer, Gültigkeit, Prüfnummer und auch PIN) erfassen und speichern. Die Erfassung und Speicherung dieser Daten zieht ein erhöhtes Risiko nach sich, Opfer eines Kreditkartenmissbrauchs zu werden.
Rechtfertigung durch § 32 Abs. 1 BDSG?
Die Erhebung, Verarbeitung und Speicherung der Daten ist nur zulässig, wenn das BDSG oder eine andere Rechtsvorschrift dies erlaubt; eine Einwilligung des betroffenen Beschäftigten lag hier als Erlaubnis nicht vor.
Die Erlaubnisnorm des § 32 BDSG
Mangels einer Einwilligung des klagenden Arbeitnehmers (§ 4a BDSG) kam einzig 32 Abs. 1 BDSG (zukünftig § 26 Abs. 1 BDSG-neu, Art. 88 DS-GVO) als Rechtfertigungsmöglichkeit in Betracht. § 32 Abs. 1 S. 1 BDSG erlaubt, Beschäftigtendaten zum Zwecke der Beendigung des Beschäftigtenverhältnisses zu erfassen und verarbeiten, sofern dies erforderlich ist. Nach § 32 Abs. 1 S. 2 BDSG dürfen zur Aufdeckung von Straftaten die Daten nur dann erhoben werden, wenn der Beschäftigte im Beschäftigtenverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung und Nutzung erforderlich ist und Art und Ausmaß der Erhebung, Verarbeitung und Nutzung insbesondere nicht unverhältnismäßig sind. Die Erhebung, Verarbeitung und Nutzung der Daten muss demnach dem Verhältnismäßigkeitsgrundsatz standhalten. Es darf kein milderes, gleich geeignetes und gleich wirksames Mittel zur Erreichung des verfolgten Ziels zur Verfügung stehen. Dabei sind sowohl die Interessen des Arbeitgebers als auch die schutzwürdigen Belange des Beschäftigten gegeneinander abzuwägen.
Unverhältnismäßige, verdeckte Überwachung
Das BAG stellte heraus, dass der Einsatz eines Software-Keyloggers unverhältnismäßig ist, sofern kein begründeter Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung besteht. Die Überwachung des Beschäftigten ohne einen ersichtlichen Grund, und damit eine „ins Blaue hinein getroffene Maßnahme“, ist demnach nicht möglich. Damit bestätigte das BAG die Entscheidungen der Vorinstanzen (ArbG Herne v. 14.10.2015 – 6 Ca 1789/15 und LAG Hamm v. 17.06.2016 – 16 Sa 1711/15).
Schon mit Urteil vom 21.11.2013 (Az. 2 AZR 797/11) stellte das BAG heraus, dass Eingriffe in das allgemeine Persönlichkeitsrecht des Arbeitnehmers nur dann gerechtfertigt sind, wenn der Verdacht einer strafbaren Handlung oder eine andere schwere Verfehlung zu Lasten des Arbeitgebers vorliegen und weniger einschneidende Mittel ausgeschöpft worden sind.
Die Unverhältnismäßigkeit ebenso feststellend wertete die Vorinstanz den Einsatz von einem Software-Keylogger als eine verdeckte Überwachung des Arbeitnehmers. Als milderes Mittel hätte die Auswertung von vorhandenen Daten (wie E-Mail oder Browserverlauf) offen und im Beisein des Arbeitnehmers in Betracht gezogen werden können.
Folge der datenschutzwidrigen Beweisgewinnung
Sowie die Vorinstanzen stellte auch das BAG das gerichtliche Verwertungsverbot der in unzulässiger Weise gewonnenen Log-Files fest.
Das LAG Hamm führte bereits aus, dass allein das Interesse, sich ein Beweismittel zu sichern, noch nicht das Interesse am Schutz des Rechts auf informationelle Selbstbestimmung überwiegen kann. Damit bestätigte das LAG Hamm die vom BAG bisher getroffene Rechtsprechung zur Verwertung von Beweismitteln, die durch Eingriff in das allgemeine Persönlichkeitsrecht erlangt worden sind (BAG v. 20.06.2013 – 2 AZR 546/12, BAG v. 21.11.2013 – 2 AZR 797/11).
Fazit
Durch die stetig wachsenden technischen Überwachungsmöglichkeiten von Arbeitnehmern kommt auf Arbeitgeber auch die Pflicht zu, vor Einsatz jeder Überwachungsmaßnahme zu prüfen, ob der hierfür erforderliche begründete Verdacht einer Straftat oder einer schweren Pflichtverletzung vorliegt. Ist dies nicht der Fall und erweist sich die getroffene Maßnahme als unverhältnismäßig, hat dies nicht nur für die Beweisverwertung Folgen. Die Erhebung, Verarbeitung und Nutzung von Daten, die in unzulässiger Weise erhoben worden sind, zieht ebenso eine deliktische Verantwortlichkeit des Arbeitgebers nach sich und kann ihn schadensersatzpflichtig machen. Zu beachten sind in mitbestimmten Unternehmen auch die Informations- und Beteiligungsrechte des Betriebsrats.
Haben Sie Fragen? Hier finden Sie unsere Ansprechpartner.