Verwertungsverbot bei Überwachung mittels Keylogger

BAG, Urteil vom 27. Juli 2017 – 2 AZR 681/16

§ 32 Abs. 1 BDSG; Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG

Der Software-Keylogger-Einsatz ist nach § 32 Abs. 1 BDSG nur dann erlaubt, wenn ein auf den Mitarbeiter bezogener, durch konkrete Tatsachen begründeter Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung besteht. Wurden Daten unter Verstoß gegen diese zwingenden Voraussetzungen gewonnen, unterliegen sie arbeitsgerichtlich einem Beweisverwertungsverbot.

(Leitsätze des Bearbeiters)

Problempunkt: 

Der Kläger war bei der Beklagten als Web-Entwickler beschäftigt. Die Beklagte hat der Belegschaft später mitgeteilt, dass der gesamte „Internet- Traffic“ und die Benutzung ihrer Systeme im Rahmen einer Netzwerkumstellung „mitgeloggt“ werde. Zur technischen Umsetzung installierte die Arbeitgeberin auf dem Dienst-PC des Klägers einen sog. Keylogger. Das ist eine Software, die sämtliche Tastatureingaben protokolliert und regelmäßig Bildschirmfotos (Screenshots) fertigt. Nach Auswertung der so erstellten Dateien fand ein Gespräch mit dem Beschäftigten statt, in welchem ihm eine erhebliche Privatnutzung des Dienst-PCs vorgeworfen wurde.
Der Kläger räumte daraufhin auch ein, seinen Dienst-PC während der Arbeitszeit privat genutzt zu haben. Auf schriftliche Nachfrage gab er weiter an, nur in geringem Umfang und i. d. R. in seinen Pausen ein Computerspiel programmiert und E-Mail-Verkehr für die Firma seines Vaters abgewickelt zu haben.
Die Beklagte konnte dagegen nach dem vom Keylogger erfassten Datenmaterial davon ausgehen, dass er in erheblichem Umfang Privattätigkeiten am Arbeitsplatz erledigt hatte. Sie kündigte daher das Arbeitsverhältnis außerordentlich fristlos, hilfsweise ordentlich. Der Klägererhob daraufhin Kündigungsschutzklage. Die Vorinstanzen gaben der Klage statt.

Entscheidung: 

Die Revision der Beklagten hatte vor dem 2. Senat des BAG keinen Erfolg. Die mittels des Keyloggers erlangten Daten sind unverwertbar. Die dadurch gewonnenen Erkenntnisse über die Privattätigkeiten des Mitarbeiters können deshalb die Kündigung nicht begründen. Die Beklagte hat durch den Einsatz des Keyloggers das als Teil des allgemeinen Persönlichkeitsrechts gewährleistete Recht des Klägers auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG) verletzt.
Die Informationsgewinnung ist nicht nach § 32 Abs. 1 BDSG zulässig gewesen. Beim Einsatz der Software hätte gegenüber dem Kläger ein auf Tatsachen beruhender Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung vorliegen müssen. Dies war nicht der Fall. Die von ihr „ins Blaue hinein“ veranlasste Maßnahme ist daher unverhältnismäßig. Hinsichtlich der vom Kläger eingeräumten Privatnutzung hat das LAG ohne Rechtsfehler angenommen, dass diese die Kündigungen mangels vorheriger Abmahnung nicht rechtfertigt.

Konsequenzen: 

§ 32 BDSG ist die zentrale Norm für den Arbeitnehmerdatenschutz. Nach dessen Wortlaut dürfen zur Aufdeckung von Straftaten personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat. Zudem muss die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich sein. Schließlich darf das schutzwürdige Interesse des Beschäftigten nicht überwiegen. Insbesondere dürfen Art und Ausmaß der Datenerhebung im Hinblick auf den Anlass nicht unverhältnismäßig sein.
Hieraus leitet das BAG zutreffend ab, dass der Einsatz eines Software-Keyloggers unzulässig ist, wenn kein auf den Arbeitnehmer bezogener, durch konkrete Tatsachen begründeter Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung besteht. Dafür müssen jedenfalls tatsächliche Anhaltspunkte vorgelegen haben.
Eine Verhältnismäßigkeit kann sich nur ergeben, wenn das Recht auf informationelle Selbstbestimmung als Ausprägung des allgemeinen Persönlichkeitsrechts gewahrt bleibt (dazu BVerfG, Urt. v. 27.2.2008 – 1 BvR 370/07 und 1 BvR 595/07). Ist das nicht der Fall, folgt daraus ein Verwertungsverbot der erhobenen Daten. Diese Rechtsfolge ist so konsequent wie zwingend, wenn dem Normgehalt Rechnung getragen werden soll.

Praxistipp: 

Der Einsatz eines Keyloggers stellt einen sehr weit gehenden Eingriff in das Recht auf informationelle Selbstbestimmung eines Arbeitnehmers dar. Er gewährleistet eine lückenlose und vollständige Überwachung des Mitarbeiters hinsichtlich seiner PC-Tätigkeit. Ein solcher Eingriff ist daher grundsätzlich unzulässig. Nur ausnahmsweise kann er gerechtfertigt sein. § 32 Abs. 1 Satz 2 BDSG formuliert diesen Ausnahmetatbestand. Arbeitgeber sollten daher sehr zurückhaltend im Einsatz von Keyloggern sein. Nur beim Vorliegen von Tatsachen, die den Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung begründen, sollte eine solche Maßnahme überhaupt in Betracht gezogen werden.
Schließlich ist auch das Mitbestimmungsrecht des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG zu beachten, da durch eine entsprechende Datenerhebung jedenfalls die Möglichkeit zur Kontrolle von Leistung und Verhalten der Beschäftigten besteht. Ob eine Arbeitnehmervertretung einer solch weitgehenden Überwachung seine Zustimmung gibt, dürfte sehr einzelfallabhängig sein.

RA und FA für Arbeitsrecht Prof. Dr. Tim Jesgarzewski, FOM Hochschule Bremen, Direktor KompetenzCentrum für Wirtschaftsrecht, Hamburg

AuA 01/18