15. August 2017
Keylogger
Arbeitsrecht

Beweisverwertungsverbot von Daten, die durch einen Keylogger erlangt wurden

Überwachung von Arbeitnehmern durch technische Einrichtungen – dürfen die erlangten Daten gegen den Arbeitnehmer verwendet werden?

Das BAG entschied (Urteil vom 27. Juli 2017 – 2 AZR 681/16), dass der Einsatz von Keyloggern im Arbeitsverhältnis erheblichen Bedenken gegenübersteht. Die durch einen Keylogger ermittelten Erkenntnisse über die Privattätigkeiten eines Arbeitnehmers dürfen daher im gerichtlichen Verfahren nicht verwertet werden.

Keylogger widerlegt Aussage des Arbeitnehmers

In dem Verfahren ging es um die außerordentliche – hilfsweise ordentliche – Kündigung eines Web-Entwicklers, der in erheblichem Umfang Privattätigkeiten am Arbeitsplatz erledigte.

Der Web-Entwickler gab an, nur in geringem Umfang und in der Regel in seinen Pausen ein Computerspiel programmiert und E-Mail-Verkehr für das Unternehmen seines Vaters abgewickelt zu haben. Der Arbeitgeber hatte durch den Einsatz eines Keyloggers allerdings Kenntnis darüber, dass die Privatnutzung zum Teil die Hälfte der regulären Arbeitszeit ausmachte.

Ein Keylogger ist eine Software, die dazu verwendet wird, sämtliche Eingaben des Benutzers über die Tastatur zu protokollieren und damit eine lückenlose Überwachung durchzuführen.

BAG: Beweisverwertungsverbot von Daten, die durch den Keylogger erlangt wurden

Beweisverwertungsverbote sind im Arbeitsrecht gesetzlich nicht normiert. Ähnlich wie im Strafrecht erfolgt eine Einzelfallabwägung, in der die widerstreitenden Grundrechtspositionen gegeneinander abgewogen werden.

Die Installation eines Keyloggers kann einen Eingriff in das Recht auf informationelle Selbstbestimmung als Unterfall des Allgemeinen Persönlichkeitsrechts (Art. 2 Abs.1 i.V.m. Art. 1 Abs. 1 GG) des Arbeitnehmers begründen. Im Rahmen der Abwägung ist insbesondere zu berücksichtigen, ob die Überwachungsmaßnahme datenschutzrechtlich zulässig ist.

Stellt sich die Maßnahme als datenschutzrechtlich zulässig heraus, kann bereits kein Beweisverwertungsverbot zugunsten des Arbeitnehmers eingreifen. Ist die Maßnahme aber unzulässig, findet eine Abwägung statt.

Zulässigkeit nach § 32 BDSG a.F.

Heimliche und das Persönlichkeitsrecht beeinträchtigende Überwachungsmethoden und die anschließende Verwertung der Erkenntnisse vor Gericht sind nur dann zulässig:

  • wenn der konkrete Verdacht einer strafbaren Handlung oder einer anderen schweren Verfehlung zulasten des Arbeitgebers besteht,
  • weniger einschneidende Maßnahmen zur Aufklärung des Verdachts ausgeschöpft sind und
  • sich die Maßnahme insgesamt als nicht unverhältnismäßig herausstellt (BAG, Urteil vom 27. März 2003 – 2 AZR 51/02).

Die Heimlichkeit einer Maßnahme erhöht dabei das Gewicht der Freiheitsbeeinträchtigung, da vorbeugender Rechtsschutz unmöglich ist und nachträglicher Rechtsschutz erschwert wird.

Bei den aufgezeichneten und ausgewerteten Daten, zu denen im konkreten Fall auch private Passwörter und Kreditkartendaten gehörten, handelt es sich um besonders sensible Daten nach § 3 IX BDSG, für die besonders strenge Maßnahmen gelten. Diese sind dem Kernbereich der Persönlichkeit des Arbeitnehmers zuzuordnen und damit grundsätzlich für den Arbeitgeber tabu. Ob solche Daten preisgegeben werden, muss der Arbeitnehmer selbst entscheiden.

Anders als vom Bundesverfassungsgericht zum sog. „großen Lauschangriff″ gefordert, schaltet sich der Keylogger nicht automatisch ab und berücksichtigt auch keine Pausenzeiten, in denen der Arbeitnehmer grundsätzlich private Dinge erledigen kann. Es liegt daher ein besonders massiver Eingriff in das Allgemeine Persönlichkeitsrecht des Arbeitnehmers vor.

Kein konkreter Verdacht einer schweren Verfehlung

Der Einsatz von Keyloggern ist bereits wegen ihres erheblichen Grundrechtseingriffs im Hinblick auf § 32 Abs. Satz 1 BDSG problematisch. Unabhängig davon hatte der Arbeitgeber keinen Verdacht gegenüber dem betroffenen Arbeitnehmer, die eine heimliche Überwachung gerechtfertigt hätte. Ein solcher Verdacht muss vom Arbeitgeber substantiiert dargelegt und dokumentiert werden.

Dazu gehört u.a., welcher Arbeitnehmer dem Arbeitgeber wann und was genau mitgeteilt hat, welche Schlüsse der Arbeitgeber daraus gezogen hat und welche milderen Mittel der Arbeitgeber in Erwägung gezogen hat. Vom Arbeitgeber „ins Blaue hinein“ veranlasste Überwachungsmaßnahme sind grundsätzlich unverhältnismäßig.

Davon zu unterscheiden sind Zufallsfunde. Deren Verwertung kann nach § 32 Abs. 1 Satz 1 BDSG zulässig sein, wenn die ursprüngliche Anordnung der Maßnahme nach § 32 Abs. 1 Satz 2 BDSG zulässig war.

Keylogger nicht das mildeste Mittel

Das BAG hat schon häufig zur Videoüberwachung (zuletzt mit Urteil vom 22. September 2016 – 2 AZR 848/15) entschieden, dass ein in der Intensität vergleichbarer massiver Grundrechtseingriff nur zulässig ist, wenn kein milderes Mittel ersichtlich ist.

Selbst wenn ein konkreter Verdacht vorgelegen hätte, wäre als milderes Mittel eine Auswertung der E-Mails oder die Auswertung des PCs im Beisein des Arbeitnehmers in Frage gekommen. Der Einsatz des Keyloggers war daher nicht erforderlich.

Die Wirksamkeit der Kündigung

Die durch den Keylogger gewonnenen Erkenntnisse über die Privattätigkeiten des Klägers dürfen im gerichtlichen Verfahren nicht verwertet werden. Darüber hinaus handelt es sich bei der Privatnutzung des Dienstrechners um ein steuerbares Verhalten, sodass vor dem Ausspruch der Kündigung eine Abmahnung erforderlich gewesen wäre.

Praxishinweise: Einsatz von Keyloggern ist keine Option

Die Entscheidung des Bundesarbeitsgerichts konnte nicht anders ausfallen. Arbeitgeber können zwar die private Nutzung des Internets während der Arbeitszeit grundsätzlich verbieten. Von einem Einsatz von Keyloggern zur Kontrolle des Verbots ist allerdings abzuraten.

Selbst wenn konkrete Hinweise vorliegen, die einen Arbeitszeitbetrug nahe legen, sollte mit äußerster Vorsicht vorgegangen werden. Zum einen ist zu beachten, dass derartige IT-Applikationen nach § 87 I Nr.6 BetrVG nur mit Zustimmung des Betriebsrats eingesetzt werden dürfen, der sich einem solchen Eingriff verschließen wird. Zum anderen muss trotz Vorliegens eines an sich wichtigen Kündigungsgrundes immer eine Abwägung im Einzelfall vorgenommen werden, bei der der Unvereinbarkeit mit § 32 BDSG a.F. besonderes Gewicht zukommt.

An der Unzulässigkeit eines Keyloggers wird sich auch in Zukunft nichts ändern, da § 26 BDSG n.F. den Wortlaut des § 32 BDSG a.F. übernommen hat und die Rechtsprechung zur Vorgängerregelung daher übertragbar bleibt.

Tags: Arbeitsrecht Keylogger