Das Bundesarbeitsgericht hat in seinem heutigen Urteil zum Keylogger Einsatz klargestellt, dass eine anlasslose Dauerüberwachung der Mitarbeiter durch den Arbeitgeber unzulässig ist. Unter Umständen kann sie aber erlaubt sein.
Der Inhalt im Überblick
Was sind Keylogger?
Keylogger (dt.: „Tasten-Protokollierer“) können Hard- und Software-Tools sein, die sämtliche Tastatureingaben des Nutzers protokollieren – inkl. aller sensibler Daten wie Kreditkartennummern, Prüfziffern oder privater Nachrichten. Mithilfe der so gewonnenen Dateien können komplette Profile erstellt und die Nutzer überwacht werden.
Aber auch die exakte Arbeitszeit und Produktivität des einzelnen Mitarbeiters lässt sich so auswerten. Klar, dass auch Arbeitgeber ein großes Interesse an diesen technischen Möglichkeiten haben.
Was war passiert?
Im heute entschiedenen Fall wehrte sich ein 2015 gekündigter Programmierer aus Nordrhein-Westfalen erfolgreich gegen eine außerordentliche, fristlose sowie hilfsweise ordentliche Kündigung. Sein Arbeitgeber hatte ihm gekündigt, da er mithilfe eines Keyloggers festgestellt hatte, dass der Kläger einen Großteil seiner Arbeitszeit mit der Programmierung eines privaten Computerspiels verbrachte und Aufgaben für das Unternehmen seines Vaters erledigte.
Der Keylogger Einsatz war unverhältnismäßig, die so gewonnenen Beweise daher nicht verwertbar. Die Kündigung war somit unwirksam, urteilte nun das Gericht. In seiner mündlichen Urteilsbegründung stellte es fest, dass die Nutzung des Keyloggers eine verdeckte Überwachung darstellte. Die so erhobenen Daten seien unrechtmäßig gewonnen worden und durften im Prozess daher nicht berücksichtigt werden. Der Einsatz habe den Kläger in seinem Grundrecht auf informationelle Selbstbestimmung verletzt.
Wieso war der Einsatz unzulässig?
Bereits die Vorinstanzen – Arbeits- und Landesarbeitsgericht – hatten dem Kläger Recht gegeben. So kam das heutige Urteil auch aus datenschutzrechtlicher Sicht wenig überraschend.
Die Vorgaben des Bundesdatenschutzgesetzes (BDSG) stellen eine Konkretisierung des Rechts auf informationelle Selbstbestimmung dar. Das heißt, liegt keine Einwilligung des Betroffenen vor, ist die Datenerhebung, -nutzung oder -verarbeitung nur zulässig, wenn das BDSG oder eine andere Rechtsvorschrift dies erlaubt, § 4 Abs. 1 BDSG.
§ 32 BDSG konkretisiert dabei die Nutzung von Beschäftigtendaten:
Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses
(1) Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.
(2) Absatz 1 ist auch anzuwenden, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ohne dass sie automatisiert verarbeitet oder in oder aus einer nicht automatisierten Datei verarbeitet, genutzt oder für die Verarbeitung oder Nutzung in einer solchen Datei erhoben werden.
(…)
Ein Eingriff in das Persönlichkeitsrecht des Beschäftigten ist danach nur dann zulässig, wenn:
- der konkrete Verdacht einer strafbaren Handlung oder einer anderen schweren Verfehlung zu Lasten des Arbeitgebers bestand,
- weniger einschneidende Mittel zur Aufklärung des Verdachts ergebnislos ausgeschöpft waren,
- die angedachte Maßnahme damit praktisch das einzig verbleibende Mittel darstellte und
- die Maßnahme insgesamt nicht unverhältnismäßig war.
Was hat der Arbeitgeber falsch gemacht?
Im vorliegenden Fall fehlte es bereits am konkreten Verdacht einer Verfehlung vor Einsatz des Keyloggers. So hatte der Arbeitgeber zwar behauptet, dass er und Kollegen des Klägers den Verdacht hätten, dieser ginge privaten Tätigkeiten nach. Konkrete Tatsachen konnte er aber nicht nennen.
Aber auch wenn man solche Anhaltspunkte unterstellen würde, wäre der Keylogger Einsatz unverhältnismäßig. So hätte der Arbeitgeber beispielsweise den Browserverlauf speichern und im Beisein des Arbeitnehmers kontrollieren und diesen bei Unregelmäßigkeiten zur Rede stellen können. Dies war nicht geschehen.
Auch eine Einwilligung des Klägers lag nicht vor. Der Arbeitgeber hatte zwar vor Einsatz des Keyloggers die Arbeitnehmer in einer Mail aufgefordert, innerhalb von einer Woche zu widersprechen, wenn sie mit dem Einsatz nicht einverstanden seien. Diese Frist wartete er aber nicht einmal ab. Zudem stellt auch das Schweigen von Arbeitnehmern regelmäßig keine formgerechte Einwilligung dar. Auch der in der Mail genannte Zweck stimmte nicht mit dem Überwachungsvorhaben des Arbeitgebers überein.
Zwar räumte der Kläger vor seiner Kündigung ein, einige Stunden seiner Arbeitszeit mit privaten Tätigkeiten verbracht zu haben. Dies sei jedoch noch kein Kündigungsgrund, befand auch das Bundesarbeitsgericht. Der Arbeitgeber hätte den Kläger bei Kenntniserlangung nämlich zunächst abmahnen müssen.
Wann darf der Arbeitgeber Keylogger nutzen?
Dies ist ein erfreuliches Urteil für alle Arbeitnehmer, die eine Dauerüberwachung durch ihren Arbeitgeber fürchten. Allerdings ist der Einsatz von Keyloggern nicht per se unzulässig. So kann die Nutzung potentiell gerechtfertigt sein.
Dies gilt jedenfalls dann, wenn das Interesse des Arbeitgebers, Beweismittel zu sichern (geloggte Tastatureingaben) das Grundrecht des Arbeitnehmers auf informationelle Selbstbestimmung überwiegt und zusätzlich weitere Aspekte hinzutreten – bspw. mangelnde alternative Informationsmöglichkeiten oder eine Notwehrsituation.
Aber auch dann darf nur der betreffende Beschäftigte und nicht die ganze Belegschaft heimlich ausgeforscht werden. Der flächendeckende Einsatz von Überwachungstools bleibt unzulässig. Spätestens bei der Beobachtung mehrerer Verdächtigter ist zudem das Mitbestimmungsrecht des Betriebsrats zu beachten, § 87 Abs. 1 Nr. 6 BetrVG.
