Darf der Arbeitgeber seine Mitarbeiter mittels sog. Keylogger überwachen? Dazu musste das Landesarbeitsgericht Hamm (LAG Hamm) (Az.: 16 Sa 1711/15) im Berufungsverfahren gegen das Urteil des Arbeitsgerichts Herne (Az.: 6 Ca 1789/15) Stellung nehmen.
Zum Sachverhalt:
Durch den Einsatz von sog. Keyloggern konnte das betroffene Unternehmen auf diverse Daten und Tätigkeiten von Arbeitnehmern während ihrer Arbeitszeiten, zugreifen. Anhand dieser Software konnte dem hier betroffenen Arbeitnehmer die private Nutzung des Dienst-PCs sowie die tägliche Verwendung von 10 min. für fremde Arbeitszwecke (Auftragstätigkeiten für das Unternehmen seines Vaters) während den Arbeitszeiten, nachgewiesen werden, woraufhin sein Arbeitgeber ihm fristlos kündigte. Vor Einsatz des Programms wurden die Mitarbeiter jedoch per E-Mail informiert:
„Da bei Missbrauch, zum Beispiel Download von illegalen Filmen, etc. der Betreiber zur Verantwortung gezogen wird, muss der Traffic mitgelogged werden. Da ein rechtlicher Missbrauch natürlich dann auch auf denjenigen zurückfallen soll, der verantwortlich dafür war.“
Somit:
Hiermit informiere ich Euch offiziell, dass sämtlicher Internet Traffic und die Benutzung der Systeme der C mitgelogged und dauerhaft gespeichert wird. Solltet Ihr damit nicht einverstanden sein, bitte ich Euch mir dieses innerhalb dieser Woche mitzuteilen.“
Weiterhin gab er bekannt, dass das neue Netzwerk versteckt sein wird. Kein Mitarbeiter lehnte das Vorgehen ab. Ab dem 21. April 2015 wurden sämtliche Tastatureingaben am PC protokolliert und daneben regelmäßig sog. Screenshots (Bildschirmfotos) erstellt.
Der Arbeitnehmer klagte gegen die Kündigung und behielt Recht in erster Instanz. Dagegen legte der Arbeitgeber Berufung ein.
Was ist ein Keylogger?
Keylogger sind sog. „Tasten-Protokollierer“ (teilweise auch Phishing genannt). Sie gibt es sowohl als Hard- als auch als Software. Wie der Name schon sagt, zeichnen diese sämtliche während ihrer Einsatzdauer am PC getätigten Tastatureingaben auf (Gercke CR 2007, 245, 252; BeckOGK/Hofmann BGB § 675l Rn. 78) und stellen daher eine besonders gefährliche Methode zur Erschleichung von Daten dar, wodurch auch Zugang zu hochsensiblen Daten wie Benutzernamen, Passwörtern, Kreditkartennummern, u.s.w. hergestellt werden kann (Borges NJW 2005, 3313). Der dauerhafte Einsatz einer solchen Software zur Totalüberwachung der Mitarbeiter ist jedoch verboten (Hauschka/Moosmayer/Lösler/Schmidl, Corporate Compliance, § 28 Rn. 372).
Insbesondere nutzen Täter Keylogging-Programme zum Ausspähen von Daten. Nach § 202a I StGB steht das unter Strafe (Gercke CR 2007, 245, 252). Die Protokollierungen können dabei komplett unbemerkt erfolgen (Pierrot in Ernst/Vassilaki/Wiebe, Hacker, Cracker & Computerviren, 2004, Rz. 48 – 50).
Eingriff in die Grundrechte
Das LAG befand, dass durch den Einsatz des Keylogging-Programms ebenso hochsensible Daten erfasst und protokolliert werden, die für Dritte, einschließlich den Arbeitgeber, unbefugtes Territorium darstellen. Das Gericht sah deshalb hierin einen massiven Eingriff in die informationelle Selbstbestimmung und damit in die Grundrechte aus Art. 2 I i.V.m. Art. 1 I GG des Arbeitnehmers, welches auch darin zum Ausdruck kam, als zu Beginn der mündlichen Verhandlung der Kläger darauf hingewiesen wurde eine neue Kreditkarte zu besorgen, um nicht in den Verdacht eines etwaigen Missbrauchs zu geraten.
Folge für die Beweisverwertung?
Mit dem Eingriff in das Recht auf informationelle Selbstbestimmung muss unter Abwägung aller Umstände des Einzelfalls das Beweisinteresse gegenüber dem Interesse auf das Grundrecht überwiegen, um vor Gericht als Beweismittel verwertbar zu sein. Das ist nur dann der Fall, wenn sich der Beweisführer in einer Notwehrsituation oder notwehrähnlichen Lage befindet. Lediglich das Interesse auf Beweissicherung genügt für die Art der Informationsbeschaffung jedoch nicht (LAG Hamm a.a.O. Rn. 94).
Erlaubnis nach § 4 I BDSG
Das BDSG konkretisiert das Recht auf informationelle Selbstbestimmung. Der Grundsatz der Direkterhebung aus § 4 I BDSG verlangt, dass die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig sind, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Liegen diese Voraussetzungen nicht vor, so ist die Datenverarbeitung i.w.S. verboten (LAG a.a.O. Rn. 95). Da hier keine Erlaubnis der betroffenen Person vorlag und es sich um die Überwachung der Mitarbeiter handelt, kommt der dafür vorgesehene § 32 I BDSG als Rechtsgrundlage in Betracht, konkret der strengere Maßstab nach § 32 I 2 BDSG.
Erlaubnistatbestand: § 32 I 2 BDSG
Danach dürfen zur Aufdeckung von Straftaten personenbezogene Daten eines Beschäftigen nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, wenn die Datenverarbeitung zur Aufdeckung erforderlich und nicht unverhältnismäßig ist.
Vorliegend gab es keinen konkreten Tatverdacht auf eine strafbare Handlung des Arbeitnehmers. Selbst wenn man den Verdacht bejahen würde, hätte der Browserverlauf und die E-Mail-Aktivität des Arbeitnehmers in seinem Beisein, als milderes Mittel ausgewertet werden können. Die heimliche und permanente Überwachung durch Protokollierung sämtlicher Tastatureingaben war gerade in Anbetracht der Intensität des Eingriffs nicht notwendig und unverhältnismäßig und für den Betroffenen aufgrund der Heimlichkeit besonders freiheitsbeeinträchtigend (LAG Hamm a.a.O. Rn. 100).
Überwachungsmaßnahmen bedürfen eines konkreten Anhaltspunktes. Ohne ein solches sind sie unzulässig. Für eine Umgehung des Datenschutzes auf der Grundlage eines Arbeitsverhältnisses besteht keine Rechtsgrundlage. Wer aus diesem Grund meint wie selbstverständlich aus eigener Initiative in das Recht der Mitarbeiter eingreifen zu dürfen, bewegt sich außerhalb des Rechtsraums (Prantl DuD 6/2016, 347, 348). Dennoch, nicht jede Mitarbeiterkontrolle aufgrund fehlenden Verdachts, ist unzulässig. Dafür finden die milderen Voraussetzungen des § 32 I 1 BDSG Anwendung (Hümmerich/Reufels/Mengel, Gestaltung von Arbeitsverträgen, § 1 Rn. 3636). Im konkreten Fall war dieser nicht einschlägig.
Folge
Wenn durch die Verwertung von Tatsachen rechtswidrig in das Grundrecht des Arbeitnehmers auf informationelle Selbstbestimmung eingegriffen wird, so ist die Verwertung dieser Tatsachen als Beweismittel vor Gericht unzulässig (ArbG Cottbus ZD 06/2016, 301(Leitsatz)).
Eine anlasslose Datenverarbeitung greift in unverhältnismäßiger Weise in die Grundrechte der Arbeitnehmer ein und ist weder durch die Vorschriften des BDSG noch anderer Gesetze gedeckt (ArbG Cottbus ZD 06/2016, 301(Leitsatz)).
Die mittels Keylogger gewonnen Daten und Informationen sind rechtswidrig erlangt und damit für die Verwertung vor Gericht unzulässig.
Ergebnis
Unter Berücksichtigung der Angaben des Klägers lag hier keine erhebliche Pflichtverletzung in Anbetracht aller Umstände und Abwägung des Einzelfalls vor. Sowohl eine außerordentliche als auch eine ordentliche, durch das Verhalten des Klägers bedingte, Kündigung kam nicht wirksam zustande. Denn bereits eine Abmahnung wäre geeignet gewesen die künftige Vertragstreue beim Arbeitnehmer zu bewirken.
Beide Gerichte kamen zu dem Entschluss, dass das Arbeitsverhältnis, aufgrund unwirksamer Kündigung, weiterhin fortbesteht und dem Arbeitnehmer folglich ein Anspruch auf Weiterbeschäftigung zusteht (LAG Hamm a.a.O. Rn. 108 – 114).
Haben Sie Fragen? Kontaktieren Sie gerne: RA Nicole Schmidt, LL.M.
Leistung: Anwaltliche Beratung