Eine verdeckte Überwachung eines Arbeitnehmers durch sog. Keylogger, die Tastatureingaben am Computer erfassen, ist ohne einen begründeten Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung nach Datenschutzrecht unzulässig. Entsprechende Erkenntnisse können in einem Kündigungsschutzprozess einem Verwertungsverbot unterliegen. Das hat das BAG entschieden.
Sachverhalt
Einem Arbeitnehmer, der seit 2011 als „Web-Entwickler“ beschäftigt war, wurde ausschließlich die dienstliche Nutzung von Hardware, Software und Informationen erlaubt. Im Zusammenhang mit der Freigabe eines zweiten Netzwerks teilte die Arbeitgeberin ihren Arbeitnehmern im April 2015 mit, dass der gesamte „Internet-Traffic“ und die Benutzung ihrer Systeme „mitgeloggt“ werden. Sie installierte auf dem Dienst-PC u.a. des WEB-Entwicklers eine Software, die sämtliche Tastatureingaben protokollierte und regelmäßig Bildschirmfotos (Screenshots) fertigte. Der Arbeitnehmer hat in die Erhebung der Daten nicht eingewilligt.
Nach Auswertung der mit Hilfe dieses Keyloggers erstellten Dateien kam es zu einem Gespräch und zu schriftlicher Korrespondenz zwischen der Arbeitgeberin und dem Web-Entwickler. Der Arbeitnehmer räumte die private Nutzung seines Dienst-PC während der Arbeitszeit ein und gab auf schriftliche Nachfrage an, nur in geringem Umfang und i.d.R. in seinen Pausen ein Computerspiel programmiert und E-Mail-Verkehr für die Firma seines Vaters abgewickelt zu haben.
Die Arbeitgeberin konnte aufgrund des erfassten Datenmaterials davon ausgehen, dass der Arbeitnehmer in erheblichem Umfang Privattätigkeiten am Arbeitsplatz erledigt habe. Sie kündigte das Arbeitsverhältnis außerordentlich fristlos, hilfsweise ordentlich. Das ArbG Herne hat der Klage mit Urteil vom 14.10.2015(6 Ca 1789/15) stattgegeben, das LAG Hamm hat die dagegen gerichtete Berufung der Beklagten mit Urteil vom 17.06.2016 (16 Sa 1711/15) zurückgewiesen. Das BAG hat die Revision der Beklagten zurückgewiesen.
Wesentliche Aussagen der Entscheidung
Die Informationsgewinnung mittels eines Software-Keyloggers, mit dem alle Tastatureingaben an einem dienstlichen Computer aufgezeichnet werden, ist nicht zulässig. Nach § 32 Abs. 1 BDSG sind die Erhebung, die Verarbeitung und die Nutzung personenbezogener Daten des Arbeitnehmers nur zulässig, wenn ein auf den Arbeitnehmer bezogener, durch konkrete Tatsachen begründeter Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung besteht.
Die Arbeitgeberin hatte beim Einsatz der Software gegenüber dem Arbeitnehmer keinen auf Tatsachen beruhenden Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung. Die von ihr „ins Blaue hinein“ veranlasste Maßnahme war daher unverhältnismäßig. Damit hat die Arbeitgeberin das Recht des Arbeitnehmers auf informationelle Selbstbestimmung verletzt.
Infolgedessen dürfen die durch den Keylogger gewonnenen Erkenntnisse über die Privattätigkeiten des Softwareentwicklers im gerichtlichen Verfahren nicht verwertet werden. Hinsichtlich der vom Arbeitnehmer eingeräumten Privatnutzung hat das LAG ohne Rechtsfehler angenommen, dass diese die Kündigungen mangels vorheriger Abmahnung nicht rechtfertige.
Folgerungen aus der Entscheidung
Das BAG bestätigt mit der vorliegenden Entscheidung seine bisherige Rechtsprechung zur Verwertung rechtswidrig erlangter Daten (vgl. zuletzt BAG, Urt. v. 21.11.2013, 2 AZR 797/11; Urt. v. 21.06.2012 – 2 AZR 153/11). Danach konkretisieren die Bestimmungen des BDSG den Schutz des Rechts auf informationelle Selbstbestimmung. Sie regeln, in welchem Umfang im Anwendungsbereich des Gesetzes Eingriffe in diese Rechtspositionen zulässig sind.
Nach dem Grundsatz des § 4 Abs. 1 BDSG sind die Erhebung, die Verarbeitung und die Nutzung personenbezogener Daten nur bei Einwilligung des Betroffenen oder bei Vorliegen eines Erlaubnistatbestands zulässig. Einen solchen Erlaubnistatbestand stellt die Vorschrift des § 32 Abs. 1 BDSG dar.
Das BAG bestätigt die verfassungsrechtlichen Anforderungen der Vorschrift für die Zulässigkeit einer verdeckten Überwachung der Arbeitnehmer und stellt heraus, dass unter Verletzung datenschutzrechtlicher Bestimmungen rechtswidrig erlangte Kenntnisse einem gerichtlichen Verwertungsverbot unterliegen. Wegen offensichtlichen Fehlens des Verdachts einer Straftat vor Datenerhebung lässt das Gericht die Frage der rechtlichen Konsequenz eines Verstoßes gegen § 32 Abs. 1 S. 2 BDSG, nach dem die verdachtsbegründenden Umstände zu protokollieren sind, offen.
Praxishinweis
Bei einem Keylogger („Tasten-Protokollierer“) handelt es sich um eine Hard- oder Software, die dazu verwendet wird, sämtliche Eingaben des Benutzers an der Tastatur eines Computers zu protokollieren. Durch die Protokollierung jeder (!) Tastatureingabe werden auch hochsensible Daten erfasst und protokolliert. Hierzu zählen u.a. Benutzernamen und Passwörter für geschützte Bereiche, PINs oder auch die Kreditkartendaten, z. B. deren dreistellige Prüfnummer und Gültigkeitsdauer etc.. Hinzu kommt, dass die Beklagte mit dem heimlich installierten Keylogger regelmäßige „Screenshots“ (Bildschirmfotos/Bildschirmkopien) erstellt hatte. Sämtliche Informationen waren dauerhaft protokolliert.
Angesichts dieses massiven Eingriffs in das Grundrecht auf informationelle Selbstbestimmung überrascht die Abwägungsentscheidung des BAG nicht. Für Arbeitgeber bedeutet dies, sich strikt an die Vorgaben des § 32 BDSG zu halten. Der Verdacht einer Straftat oder zumindet einer schwerwiegenden Pflichtverletzung muss vor dem Eingriff in das Persönlichkeitsrecht des Arbeitnehmers vorliegen. Die Verdachtsmomente müssen dokumentiert werden. Für den Arbeitnehmer gilt, Verstöße nicht oder nur in minimalem Umfang einzuräumen.
BAG, Urt. v. 27.07.2017 - 2 AZR 681/16
Rechtsanwalt und FA für Arbeitsrecht Dr. Martin Kolmhuber