Im entschiedenen Fall hatte ein Unternehmen einem Web-Entwickler außerordentlich gekündigt, nachdem es mithilfe eines sogenannten Software-Keyloggers festgestellt hatte, dass der Mitarbeiter in seiner Arbeitszeit in erheblichem Umfang Privattätigkeiten erledigte. Keylogger sind Tools, die die Tastatureingaben eines Nutzers protokollieren. Dabei werden unter anderem regelmäßig Screenshots angefertigt. Dies ermöglicht eine weitgehende Überwachung des Nutzerverhaltens.
Zum Autor
Markus Müller ist Of Counsel im Bereich Informationstechnologie und Datenschutzrecht bei Norton Rose Fulbright in München. Er berät Mandanten bei komplexen Transaktionen im Technologiebereich sowie zu Kooperationsvereinbarungen, Softwarelizenzverträgen und im Bereich nationaler und grenzüberschreitender Business Process- und IT-Outsourcing-Projekte. Einen weiteren Schwerpunkt seiner Beratung bildet das Datenschutzrecht, insbesondere in Zusammenhang mit der Datenschutzgrundverordnung, Big-Data-Anwendungen, Datenverarbeitung für Werbezwecke und Datenübermittlungen in Drittstaaten.
Vor Installation des Keyloggers teilte der Arbeitgeber seinen Mitarbeitern mit, dass der gesamte "Internet-Traffic" und die Benutzung der Systeme künftig überwacht werde. Wer damit nicht einverstanden sei, sollte innerhalb einer bestimmten Frist widersprechen. Nach Auswertung der mithilfe des Keyloggers erlangten Informationen räumte der Mitarbeiter gegenüber seinem Arbeitgeber zwar ein, seinen dienstlichen Computer während der Arbeitszeit auch privat genutzt zu haben. Er erklärte jedoch, dies sei in nur geringem Umfang erfolgt.
Gegen die daraufhin erfolgte Kündigung wehrte sich der Entwickler mit Erfolg. Die Überwachung mittels Keylogger war datenschutzrechtlich unzulässig, stellte das Bundesarbeitsgericht (BAG) – wie auch schon alle Vorinstanzen - in einer Pressemitteilung klar (Az.: 2 AZR 681/16).
Die Erfurter Richter machten deutlich, dass der unzulässige Einsatz solcher Keylogger das verfassungsmäßig garantierte Recht auf informationelle Selbstbestimmung verletzt. Daher dürften die durch den Keylogger-Einsatz gewonnenen Erkenntnisse im gerichtlichen Verfahren nicht verwertet werden. Im Falle des Web-Entwicklers konnte der Arbeitgeber somit nicht nachweisen, dass dieser seinen Computer während der Arbeitszeit in erheblichem Umfang privat nutzte.
Unzulässigkeit der Überwachungsmaßnahme
Aus datenschutzrechtlicher Sicht ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten nur zulässig, soweit eine Rechtsvorschrift dies erlaubt oder der Betroffene eingewilligt hat. Datenschutzrechtlich kann eine Überwachung von Mitarbeitern zwar zulässig sein, wenn ein auf den jeweiligen Arbeitnehmer bezogener, durch konkrete Tatsachen begründeter Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung besteht. Solch gravierende Gründe lagen aber nicht vor, vielmehr hatte der Arbeitgeber die Überwachungsmaßnahme nach Auffassung des BAG „ins Blaue hinein“ veranlasst.
Selbst wenn man zugunsten des Arbeitgebers unterstellt, dass zum Zeitpunkt der Installation des Keyloggers ein begründeter Verdacht gegen den Mitarbeiter bestand, wäre der Einsatz unverhältnismäßig gewesen, weil dem Arbeitgeber gleichsam wirksame, jedoch weniger eingriffsintensive Mittel zur Wahl gestanden hätten. So hätte er im Beisein des Mitarbeiters die auf dem Computer gespeicherten Daten, beispielsweise den Internetverlauf und die E-Mail-Accounts, auswerten können. Eine solche in Anwesenheit des Mitarbeiters durchgeführte Überprüfung des Computers wäre gegenüber einer heimlichen und permanenten Überwachung durch Protokollierung und Auswertung sämtlicher Tastatureingaben das mildere Mittel gewesen.
Ausdrückliches Einverständnis und Abmahnung erforderlich
Eine Einwilligung des Mitarbeiters als Erlaubnis für die Datenverarbeitung scheidet ebenfalls aus, da eine solche stets ausdrücklich zu erfolgen hat. Dass der Mitarbeiter auf die Ankündigung des Arbeitgebers, dieser wolle den "Internet-Traffic" und die Benutzung der Systeme überwachen, nicht widersprochen hat, ist daher unerheblich. Bloßes Schweigen von Arbeitnehmern stellt keine formgerechte Einwilligung dar.
Beweisverwertungsverbot
Datenschutzrechtswidrig erhobene Daten sind im arbeitsgerichtlichen Verfahren nicht per se unverwertbar. Vielmehr ist die gerichtliche Verwertbarkeit im Rahmen einer Interessensabwägung im Einzelfall zu beurteilen, die am Maßstab des Verfassungsrechts zu erfolgen hat, urteilte das BAG im September 2016 (Az.: 2 AZR 848/15).
Hier kam das BAG ebenso wie die Vorinstanzen zum Ergebnis, dass die Überwachungsmaßnahme den Mitarbeiter in seinem verfassungsmäßig gewährten Recht auf informationelle Selbstbestimmung verletzt, welches die Befugnis garantiert, selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu entscheiden. Dies entspricht der bisherigen höchstrichterlichen Rechtsprechung, nach der das Recht auf informationelle Selbstbestimmung den Arbeitnehmer vor einer lückenlosen technischen Überwachung am Arbeitsplatz schützt. Die im Rahmen der unzulässigen Überwachungsmaßnahme gewonnenen Erkenntnisse über die Privattätigkeiten des Mitarbeiters durften also im gerichtlichen Verfahren nicht verwertet werden.
Dass der Mitarbeiter selbst einräumte, in geringerem Umfang seine Arbeitszeit mit privaten Tätigkeiten verbracht zu haben, rechtfertigte die Kündigung nicht. Eine hierauf gestützte Kündigung hätte einer vorherigen Abmahnung bedurft, die der Arbeitgeber jedoch nicht erteilt hatte.
Das Urteil zeigt, dass die verdeckte Überwachung von Mitarbeitern nur in engen Grenzen zulässig ist und in Hinblick auf eine prozessuale Verwertbarkeit der gewonnenen Erkenntnisse erhebliche Risiken birgt. Dies gilt nicht nur für die verwendeten Keylogger sondern betrifft alle heimlichen und dauerhaften Überwachungsmaßnahmen, etwa durch Videokameras. Überwachungsmaßnahmen bedürfen im Übrigen der Zustimmung des Betriebsrates.