Im entschiedenen Fall hatte ein Unternehmen einem Web-Entwickler außerordentlich gekündigt, nachdem es mithilfe eines sogenannten Software-Keyloggers festgestellt hatte, dass der Mitarbeiter in seiner Arbeitszeit in erheblichem Umfang Privattätigkeiten erledigte. Keylogger sind Tools, die die Tastatureingaben eines Nutzers protokollieren. Dabei werden unter anderem regelmäßig Screenshots angefertigt. Dies ermöglicht eine weitgehende Überwachung des Nutzerverhaltens.
Zum Autor
Markus Müller ist Of Counsel im Bereich Informationstechnologie und Datenschutzrecht bei Norton Rose Fulbright in München. Er berät Mandanten bei komplexen Transaktionen im Technologiebereich sowie zu Kooperationsvereinbarungen, Softwarelizenzverträgen und im Bereich nationaler und grenzüberschreitender Business Process- und IT-Outsourcing-Projekte. Einen weiteren Schwerpunkt seiner Beratung bildet das Datenschutzrecht, insbesondere in Zusammenhang mit der Datenschutzgrundverordnung, Big-Data-Anwendungen, Datenverarbeitung für Werbezwecke und Datenübermittlungen in Drittstaaten.
Vor Installation des Keyloggers teilte der Arbeitgeber seinen Mitarbeitern mit, dass der gesamte "Internet-Traffic" und die Benutzung der Systeme künftig überwacht werde. Wer damit nicht einverstanden sei, sollte innerhalb einer bestimmten Frist widersprechen. Nach Auswertung der mithilfe des Keyloggers erlangten Informationen räumte der Mitarbeiter gegenüber seinem Arbeitgeber zwar ein, seinen dienstlichen Computer während der Arbeitszeit auch privat genutzt zu haben. Er erklärte jedoch, dies sei in nur geringem Umfang erfolgt.
Gegen die daraufhin erfolgte Kündigung wehrte sich der Entwickler mit Erfolg. Die Überwachung mittels Keylogger war datenschutzrechtlich unzulässig, stellte das Bundesarbeitsgericht (BAG) – wie auch schon alle Vorinstanzen - in einer Pressemitteilung klar (Az.: 2 AZR 681/16).
Die Erfurter Richter machten deutlich, dass der unzulässige Einsatz solcher Keylogger das verfassungsmäßig garantierte Recht auf informationelle Selbstbestimmung verletzt. Daher dürften die durch den Keylogger-Einsatz gewonnenen Erkenntnisse im gerichtlichen Verfahren nicht verwertet werden. Im Falle des Web-Entwicklers konnte der Arbeitgeber somit nicht nachweisen, dass dieser seinen Computer während der Arbeitszeit in erheblichem Umfang privat nutzte.
Unzulässigkeit der Überwachungsmaßnahme
Aus datenschutzrechtlicher Sicht ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten nur zulässig, soweit eine Rechtsvorschrift dies erlaubt oder der Betroffene eingewilligt hat. Datenschutzrechtlich kann eine Überwachung von Mitarbeitern zwar zulässig sein, wenn ein auf den jeweiligen Arbeitnehmer bezogener, durch konkrete Tatsachen begründeter Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung besteht. Solch gravierende Gründe lagen aber nicht vor, vielmehr hatte der Arbeitgeber die Überwachungsmaßnahme nach Auffassung des BAG „ins Blaue hinein“ veranlasst.
Selbst wenn man zugunsten des Arbeitgebers unterstellt, dass zum Zeitpunkt der Installation des Keyloggers ein begründeter Verdacht gegen den Mitarbeiter bestand, wäre der Einsatz unverhältnismäßig gewesen, weil dem Arbeitgeber gleichsam wirksame, jedoch weniger eingriffsintensive Mittel zur Wahl gestanden hätten. So hätte er im Beisein des Mitarbeiters die auf dem Computer gespeicherten Daten, beispielsweise den Internetverlauf und die E-Mail-Accounts, auswerten können. Eine solche in Anwesenheit des Mitarbeiters durchgeführte Überprüfung des Computers wäre gegenüber einer heimlichen und permanenten Überwachung durch Protokollierung und Auswertung sämtlicher Tastatureingaben das mildere Mittel gewesen.