BAG: Überwachung mittels Keylogger

IT-Sicherheit Datenschutz
DSGVO Umsetzung

Der Einsatz eines Software-Keyloggers, mit dem alle Tastatureingaben an einem dienstlichen Computer für eine verdeckte Überwachung und Kontrolle des Arbeitnehmers aufgezeichnet werden, ist nach § 32 Abs. 1 BDSG* unzulässig, wenn kein auf den Arbeitnehmer bezogener, durch konkrete Tatsachen begründeter Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung besteht.

Der Kläger war bei der Beklagten seit 2011 als „Web-Entwickler“ beschäftigt. Im Zusammenhang mit der Freigabe eines Netzwerks teilte die Beklagte ihren Arbeitnehmern im April 2015 mit, dass der gesamte „Internet-Traffic“ und die Benutzung ihrer Systeme „mitgeloggt“ werde. Sie installierte auf dem Dienst-PC des Klägers eine Software, die sämtliche Tastatureingaben protokollierte und regelmäßig Bildschirmfotos (Screenshots) fertigte. Nach Auswertung der mit Hilfe dieses Keyloggers erstellten Dateien fand ein Gespräch mit dem Kläger statt. In diesem räumte er ein, seinen Dienst-PC während der Arbeitszeit privat genutzt zu haben. Auf schriftliche Nachfrage gab er an, nur in geringem Umfang und in der Regel in seinen Pausen ein Computerspiel programmiert und E-Mail-Verkehr für die Firma seines Vaters abgewickelt zu haben. Die Beklagte, die nach dem vom Keylogger erfassten Datenmaterial davon ausgehen konnte, der Kläger habe in erheblichem Umfang Privattätigkeiten am Arbeitsplatz erledigt, kündigte das Arbeitsverhältnis außerordentlich fristlos, hilfsweise ordentlich.

Die Vorinstanzen haben der dagegen gerichteten Kündigungsschutzklage stattgegeben. Die Revision der Beklagten hatte vor dem Zweiten Senat des Bundesarbeitsgerichts keinen Erfolg. Die durch den Keylogger gewonnenen Erkenntnisse über die Privattätigkeiten des Klägers dürfen im gerichtlichen Verfahren nicht verwertet werden. Die Beklagte hat durch dessen Einsatz das als Teil des allgemeinen Persönlichkeitsrechts gewährleistete Recht des Klägers auf informationelle Selbstbestimmung (Art. 2 Abs. 1 iVm. Art. 1 Abs. 1 GG) verletzt. Die Informationsgewinnung war nicht nach § 32 Abs. 1 BDSG zulässig. Die Beklagte hatte beim Einsatz der Software gegenüber dem Kläger keinen auf Tatsachen beruhenden Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung. Die von ihr „ins Blaue hinein“ veranlasste Maßnahme war daher unverhältnismäßig. Hinsichtlich der vom Kläger eingeräumten Privatnutzung hat das Landesarbeitsgericht ohne Rechtsfehler angenommen, diese rechtfertige die Kündigungen mangels vorheriger Abmahnung nicht.

Bereits die Vorinstanz des LAG Hamm hatte in der Verwendung eines Key-Loggers einen massiven Eingriff in das Grundrecht des Klägers auf informationelle Selbstbestimmung gesehen. Die Bestimmungen des Bundesdatenschutzgesetzes (BDSG) konkretisieren den Schutz des Rechts auf informationelle Selbstbestimmung. Sie regeln, in welchem Umfang im Anwendungsbereich des Gesetzes Eingriffe in diese Rechtsposition zulässig sind. Liegt keine Einwilligung des Betroffenen vor, ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, wenn das BDSG oder eine andere Rechtsvorschrift sie erlaubt. Fehlt es an der erforderlichen Ermächtigungsgrundlage oder liegen deren Voraussetzungen nicht vor, ist die Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten verboten. Eingriffe in das allgemeine Persönlichkeitsrecht des Arbeitnehmers sind nach der Rechtsprechung des Bundesarbeitsgerichts schon bislang nur zulässig, wenn der konkrete Verdacht einer strafbaren Handlung oder einer anderen schweren Verfehlung zu Lasten des Arbeitgebers bestand, weniger einschneidende Mittel zur Aufklärung des Verdachts ergebnislos ausgeschöpft waren, die angedachte Maßnahme damit praktisch das einzig verbleibende Mittel darstellte und die Maßnahme insgesamt nicht unverhältnismäßig war.

Bundesarbeitsgericht
Urteil vom 27. Juli 2017 – 2 AZR 681/16 –
Quelle: Pressemitteilung BAG

Das könnte dich auch interessieren …