Keyloggereinsatz am Arbeitsplatz

- Wenn überhaupt nur bei konkretem Verdacht einer Straftat oder anderen schwerwiegenden Pflichtverletzung

Mit einem sog. Keylogger können sämtliche Tastatureingaben an einem PC aufgezeichnet werden. Eine solche Software ermöglicht damit eine besonders intensive Überwachung der Aktivitäten eines Arbeitnehmers an seinem dienstlichen Rechner. Stellt der Arbeitgeber bei der Ausweitung der gesammelten Daten des Keyloggers etwaige Pflichtverletzungen des Arbeitnehmers fest, etwa eine exzessive Nutzung des Internets während der Arbeitszeit, wird er hierauf möglicherweise ein Kündigung stützen wollen. Das BAG hat in einem Urteil vom heutigen Tag (Urt. v. 27.07.2017 - 2 AZR 681/11) nochmals aufgezeigt, dass die Verwertung der durch den Keylogger erhobenen Daten gem. § 32 Abs. 1 BDSG nur zulässig ist, wenn ein auf den Arbeitnehmer bezogener Verdacht einer Straftat oder einer ähnlich schwerwiegenden Pflichtverletzung besteht, und zudem der Verhältnismäßigkeitsgrundsatz gewahrt ist.

Im konkreten Fall hatte der Arbeitgeber seine Mitarbeiter im Zusammenhang mit der Bereitstellung einer leistungsfähigeren Internetverbindung im Betrieb durch den Provider darüber informiert, dass der gesamte Internetverkehr und die Benutzung seiner Systeme mitgeloggt werde. Zudem bat er um Mitteilung, falls ein Arbeitnehmer damit nicht einverstanden sei. Keiner der in einer Unterweisung anwesenden Mitarbeiter widersprach. Der Arbeitgeber installierte den Keylogger und erhob entsprechende Log-Daten. Außerdem wurden regelmäßig Screenshots erstellt. In der Folge wertete der Arbeitgeber die gesammelten Daten aus und stellte bei einem Arbeitnehmer eine, aus seiner Sicht, zu weitgehende Privatnutzung des dienstlichen Internetzugangs fest. Dies nahm der Arbeitgeber zum Anlass für eine fristlose, hilfsweise ordentliche Kündigung.

In dem daraufhin eingeleiteten Kündigungsschutzprozess war im Kern die Verwertung der vom Keylogger erhobenen Daten strittig. Das BAG bestätigte nun die Entscheidung der Vorinstanz, des LAG Hamm (Urt. v. 17.06.2016 - 16 Sa 1711/15), und geht ebenfalls von einem Verwertungsverbot aus. Der Einsatz des Keyloggers verletzte den Arbeitnehmer gravierend seinem allgemeinen Persönlichkeitsrecht in Form des Rechts auf informationelle Selbstbestimmung. Eine Rechtsgrundlage für die Datenerhebung bestand nicht. Das Datenschutzrecht erlaubt gem. § 4 BDSG eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur, wenn das BDSG oder andere Rechtsvorschriften diese zulassen oder anordnen oder der Betroffene darin eingewilligt hat. Eine Einwilligung lag im entschiedenen Fall nicht bereits in der widerspruchslosen Nutzung des betrieblichen Internetzugangs durch den Arbeitnehmer trotz Kenntnis von der Überwachung des Internettraffics. Eine Einwilligung im Sinne des § 4a BDSG bedarf grundsätzlich der Schriftform. Das Schweigen des Arbeitnehmers auf die Information über die Überwachung des Internetzugangs und der Systeme reicht nicht aus.

Als Rechtsgrundlage kommt allenfalls § 32 Abs. 1 BDSG in Betracht. Die Rechtsprechung hält Eingriffe in das allgemeine Persönlichkeitsrecht des Arbeitnehmers nur dann für zulässig, wenn im Sinne von § 32 Abs. 1 S. 2 BDSG ein konkreter Verdacht einer strafbaren Handlung  oder einer anderweitigen schwerwiegenden Verfehlung zu Lasten des Arbeitgebers bestand. Zudem müssen vorangig alle weniger einschneidenden Mittel zur Aufklärung des Sachverhalts ausgeschöpft werden und die Maßnahme insgesamt verhältnismäßig sein. Das LAG Hamm hatte in seinem Urteil die Maßnahme als unverhältnismäßig, so dass die Überwachung - unabhängig davon, ob ein konkreter Verdacht bestand, rechtswidrig war. Insbesondere verweist das LAG darauf, eine Überprüfung des PCs des Arbeitnehmers und der darauf gespeicherten Daten ohne Vorankündigung aber in dessen Beisein, sei als milderes Mittel im Vergleich zur heimlichen Überwachung in Betracht gekommen.

Wie sich aus der heutigen Pressemitteilung schließen lässt, geht auch das BAG von der Unverhältnismäßigkeit der "ins Blaue hinein" veranlassten Maßnahme aus.