Die Grenzen der Überwachung

Bundesarbeitsgerichtes zeigt die Grenzen auf

Mit der am 27. Juli 2017 ergangenen Keylogger-Entscheidung hat das Bundesarbeitsgericht die Grenzen nochmals aufgezeigt (Az. 2 AZR 681/16). Ein Mitarbeiter war bei einem Unternehmen als Webentwickler beschäftigt. Bei seinem Arbeitgeber war der Verdacht entstanden, dass der Arbeitnehmer während seiner Arbeitszeit privaten Interessen nachging. Daraufhin wurde allen Arbeitnehmern mitgeteilt, dass künftig der gesamte Internetverkehr und die Benutzung der entsprechenden Systeme „mitgeloggt“, also aufgezeichnet und gespeichert, werde. Mitarbeiter, die damit nicht einverstanden seien, wurden aufgefordert, innerhalb einer Woche zu widersprechen. Noch vor Ablauf der Wochenfrist wurde durch den Arbeitgeber auf dem PC des Mitarbeiters eine Software (Keylogger) installiert, die Protokolle über jede Tastatureingabe und regelmäßige Screenshots (Bildschirmfotos) anfertigte.

Bei der Auswertung der dadurch gewonnenen Daten stellte sich heraus, dass der Mitarbeiter die IT-Infrastruktur des Unternehmens umfänglich privat genutzt hatte. Vom Unternehmen dazu befragt, gab er in einer Stellungnahme die private Nutzung eines PCs in nur geringem Umfang zu. Der Arbeitgeber kündigte daraufhin das Arbeitsverhältnis fristlos und hilfsweise fristgerecht. Gegen diese Kündigung wehrte sich der betroffene Angestellte unter anderem mit der Begründung, der Arbeitgeber habe die Daten, mit denen die Privatnutzung des Dienst-PCs nachgewiesen werden solle, in unzulässiger Weise erfasst. Die umfangreiche Nutzung eines Keyloggers verstoße gegen sein grundgesetzlich geschütztes allgemeines Persönlichkeitsrecht. Außerdem habe er den PC privat überwiegend in seiner Pausenzeit und generell nicht in dem vom Arbeitgeber behaupteten Umfang genutzt.

Auch Kreditkartendaten einschließlich Passwörter und PIN wurden aufgezeichnet.

Unzulässige Erhebung – keine Nutzung

Das Bundesarbeitsgericht gab dem klagenden Beschäftigten Recht. Es hielt die Verwendung des Keyloggers für rechtswidrig. Dies hatte zur Folge, dass die vom Arbeitgeber erhobenen Daten nicht im Prozess verwertet werden durften und der Arbeitgeber weder die fristlose noch die fristgerechte Kündigung mit im Prozess verwertbaren Tatsachen begründen konnte. Der Arbeitgeber riskiert also bei einer unzulässigen Erhebung von Daten, diese überhaupt nicht für arbeitsrechtliche Sanktionsmaßnahmen gegenüber einem Mitarbeiter verwenden zu können.

Das Gericht sieht den Einsatz einer entsprechenden Überwachungssoftware als unzulässig an, wenn kein auf den Arbeitnehmer bezogener, durch konkrete Tatsachen begründeter Verdacht einer Straftat oder einer schweren Pflichtverletzung besteht und wenn der Arbeitgeber nicht anderweitig – mit milderen Mitteln – bei einem Verdacht auf schwerwiegende Pflichtverstöße für eine Aufklärung sorgen könne. Dieser Grundsatz findet sich bereits in früheren Entscheidungen des Bundesarbeitsgerichts, in denen es zum Beispiel um die Kameraüberwachung von Mitarbeitern ging, mit denen betriebsinterne Diebstähle aufgedeckt werden sollten. Bemerkenswert war außerdem, dass das Landesarbeitsgericht zu Beginn der mündlichen Verhandlung dem Mitarbeiter sogar empfahl, seine Kreditkarte auszutauschen, da durch den Keylogger nicht nur das Nutzerverhalten kontrolliert, sondern unter anderem auch Kreditkartendaten einschließlich Passwörter und PINs aufgezeichnet wurden.

Folgen und Konsequenzen für Arbeitgeber

Aus datenschutzrechtlicher Sicht werfen die neuen technischen Möglichkeiten der Überwachung verschiedene Fragen auf. Gemäß Bundesdatenschutzgesetz dürfen Arbeitnehmerdaten grundsätzlich dann verwendet werden, wenn dies für die Begründung, Durchführung oder Beendigung des jeweiligen Arbeitsverhältnisses erforderlich ist. Bei jeder einzelnen Maßnahme, bei der personenbezogene Daten erhoben und verarbeitet werden, muss daher genau geprüft werden, ob die Datenerhebung diesem Zweck auch wirklich dient und verhältnismäßig ist. Aber auch, ob der Arbeitnehmer überhaupt damit einverstanden ist und eingewilligt hat.

Diese Rechtslage verschärft sich nochmals durch die Verabschiedung der Datenschutzgrundverordnung der Europäischen Union. Diese tritt am 25. Mai 2018 in Kraft und vereinheitlicht das Datenschutzrecht europaweit. In Zukunft werden Datenschutzverstöße der Unternehmen überdies mit drastischen Bußgeldern geahndet. So wird die aktuell lediglich bei 300 000 Euro liegende Höchstgrenze auf satte 20 Millionen beziehungsweise vier Prozent des Jahresumsatzes der Unternehmen erhöht.

Festzuhalten bleibt jedenfalls: Die Installation eines Keyloggers wie im zugrundeliegenden Fall stellt einen erheblichen Eingriff in die Rechte des Arbeitnehmers dar. Sein Recht auf informationelle Selbstbestimmung wurde verletzt. Denn der Arbeitgeber überwachte den Arbeitnehmer heimlich und ohne dessen Einwilligung, ohne dass der Verdacht einer Straftat oder schwerwiegenden Pflichtverletzung vorlag. Hinzu kam, dass der Arbeitgeber durch den Keylogger unter anderem auch Passwörter, Benutzernamen, PINs und weitere persönliche, äußerst sensible Daten überprüft und festgehalten hat. Damit wurde in die Rechte des Arbeitnehmers drastisch eingegriffen.

Um personenbezogene Daten als Arbeitgeber nutzen oder verarbeiten zu können, muss klar erkennbar sein, dass dies auch wirklich erforderlich ist. Außerdem muss die Verhältnismäßigkeit der Art und des Ausmaßes der Datenüberwachung und -auswertung gewährleistet sein. Weiterhin muss ein begründeter Verdacht mit stichhaltigen Anhaltspunkten dafür vorliegen, dass der Beschäftigte während der Ausübung seiner Arbeit eine Straftat begangen hat. Der im konkreten Fall erfolgte Eingriff durch den Arbeitgeber kann nicht allein durch ein Beweissicherungsinteresse gerechtfertigt werden. Denn nach dem Bundesdatenschutzgesetz dürfen personenbezogene Daten eines Arbeitnehmers durch den Arbeitgeber nur unter bestimmten Voraussetzungen erhoben werden.

Im vorliegenden Fall sei aber, so das Bundesarbeitsgericht, weder der Verdacht eines strafbaren Verhaltens noch eine schwere Pflichtverletzung des Arbeitnehmers zu erkennen. Insofern sei die Installation des Keyloggers aus Sicht des Gerichts nicht zu rechtfertigen gewesen. Und die obersten deutschen Arbeitsrichter gehen sogar noch einen Schritt weiter: Der Einsatz des Keyloggers wäre sogar bei konkreten Anhaltspunkten für eine Straftat als unverhältnismäßig zu beurteilen. Eine weniger in die Rechte des Mitarbeiters eingreifende Maßnahme für den Arbeitgeber wäre gewesen, die Daten des Beschäftigten einfach direkt, in seinem Beisein am PC und ohne vorherige Ankündigung auszuwerten. So wäre eine genaue Kontrolle des Browserverlaufs sowie der eingegangenen und versendeten E-Mails ohne großen Aufwand möglich und rechtlich weniger problematisch gewesen. Hinzu kommt, dass der Arbeitgeber aufgrund seiner profunden PC-Kenntnisse nicht nachweisen konnte, dass eine derartige direkte Kontrolle nicht erfolgversprechend gewesen wäre.

Um personenbezogene Daten als Arbeitgeber nutzen oder verarbeiten zu können, muss klar erkennbar sein, dass dies auch wirklich erforderlich ist.

Private E-Mail- und Internetnutzung

Ungeachtet dessen besteht für den Arbeitgeber die Möglichkeit, dem Arbeitnehmer die private Internet- und E-Mail-Nutzung im Betrieb nicht nur rechtlich zu beschränken, sondern sie ihm vollständig zu untersagen. Dies wäre arbeits- und datenschutzrechtlich die einfachste und sicherste Herangehensweise. Allerdings wird in den meisten Betrieben die private Internet- und E-Mail-Nutzung häufig seit Jahren geduldet. Denn viele Arbeitgeber scheuen davor zurück, diese jahrelange Praxis wieder rückgängig zu machen, da dies zu massivem Unmut in der Belegschaft führen kann. Außerdem steht einer solchen betrieblichen Übung eine einseitige Änderung der unternehmensinternen IT-Richtlinien für die private IT-Nutzung entgegen. Für eine solche Maßnahme benötigt der Arbeitgeber daher das Einverständnis der Mitarbeiter. Diese kann individuell oder im Rahmen einer Betriebsvereinbarung erfolgen.

Die gesetzlichen Anforderungen an eine wirksame Einwilligung im Arbeitsverhältnis sind jedoch hoch. Insbesondere wird oft die Freiwilligkeit dieser Erklärung in Frage gestellt, weil ein Arbeitnehmer angesichts potenziell drohender Konsequenzen für das Arbeitsverhältnis unter dem Druck stehen könnte, einwilligen zu müssen. Außerdem muss der Arbeitnehmer über alle Umstände der Verarbeitung der Daten, die bei der Internet- und E-Mail-Nutzung anfallen, umfassend informiert werden.

Aufgrund des Aufwands und der rechtlichen Risiken einer individuellen Einwilligung entscheiden sich viele Unternehmen, diese Fragen im Rahmen der bereits angesprochenen Betriebsvereinbarung zu regeln. Dies ist rechtlich nicht nur zulässig, sondern sogar geboten. Denn in Betrieben, in denen ein Betriebsrat existiert, ist dieser zwingend bei entsprechenden betriebseinheitlichen Regelungen zu beteiligen. Ihm steht gemäß § 87 Abs. 1 Ziff. 6 BetrVG ein Mitbestimmungsrecht bei solchen Maßnahmen zu, mit denen das Verhalten oder die Leistung der Arbeitnehmer überwacht werden kann. Mithilfe von Internet und E-Mail kann das Verhalten oder die Leistung der Mitarbeiter überprüft werden, da zum Beispiel festgestellt werden kann, ob sie beruflich oder privat surfen.

Häufig findet sich eine einvernehmliche Regelungsmöglichkeit dahingehend, dass den Mitarbeitern gestattet wird, in den Pausen das Internet privat zu nutzen und sich währenddessen über das Internet in ihren privaten E-Mail-Account einzuloggen. Diese Methode stellt sicher, dass der Arbeitgeber bei der Kontrolle der betrieblichen E-Mails nicht die privaten E-Mail-Nachrichten des Mitarbeiters (versehentlich) lesen kann. Stellt der Arbeitgeber bei der Auswertung des dienstlichen E-Mail-Programms Arbeitspflichtverletzungen fest, dann kann er diese Daten nutzen, und zwar auch im Falle einer gerichtlichen Auseinandersetzung mit dem Arbeitnehmer.

Belässt es der Arbeitgeber jedoch bei der erlaubten oder einer verbotenen, aber nicht kontrollierten privaten Internet- und E-Mail-Nutzung, wird er aufgrund gesetzlicher Regelungen zu einem Anbieter von Telekommunikationsdienstleistungen und ist damit nach Ansicht einiger Datenschützer an das Fernmeldegeheimnis gebunden. Dies schränkt den Arbeitgeber ein, wenn er auf das dienstliche E-Mail-Postfach zugreifen will – sei es zu Kontrollzwecken oder weil er aufgrund einer Abwesenheit des Arbeitnehmers dringend auf E-Mails des Mitarbeiters zugreifen muss. Denn der Arbeitgeber muss sicherstellen, keinen Einblick in die privaten E-Mails zu nehmen. Dies verursacht häufig praktische Probleme. In der Regel kann der Arbeitgeber bei seinem Zugriff auf das E-Mail-Postfach nicht sicherstellen, keine private E-Mail des Mitarbeiters zu öffnen.