Skip to content

BAG: Heimliche Kontrolle von Arbeitnehmern durch Keylogger und Spähsoftware nach § 32 Abs. 1 BDSG unzulässig - Verwertungsverbot

BAG
Urteil vom 17. Juni 2016
16 Sa 1711/15


Das BAG hat entschieden, dass die heimliche Kontrolle von Arbeitnehmern durch Keylogger und Spähsoftware nach § 32 Abs. 1 BDSG unzulässig ist und die gewonnen Erkenntnisse einem Verwertungsverbot unterliegen. Nur wenn der durch konkrete Tatsachen begründeter Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung besteht, kann der verdeckte Einsatz von Spähsoftware zulässig sein. Es genügt nicht, wenn lediglich die unzulässige private Internetnutzung am Arbeitsplatz aufgedeckt werden soll.

Die Pressemitteilung des BAG:

Überwachung mittels Keylogger - Verwertungsverbot

Der Einsatz eines Software-Keyloggers, mit dem alle Tastatureingaben an einem dienstlichen Computer für eine verdeckte Überwachung und Kontrolle des Arbeitnehmers aufgezeichnet werden, ist nach § 32 Abs. 1 BDSG* unzulässig, wenn kein auf den Arbeitnehmer bezogener, durch konkrete Tatsachen begründeter Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung besteht.

Der Kläger war bei der Beklagten seit 2011 als „Web-Entwickler“ beschäftigt. Im Zusammenhang mit der Freigabe eines Netzwerks teilte die Beklagte ihren Arbeitnehmern im April 2015 mit, dass der gesamte „Internet-Traffic“ und die Benutzung ihrer Systeme „mitgeloggt“ werde. Sie installierte auf dem Dienst-PC des Klägers eine Software, die sämtliche Tastatureingaben protokollierte und regelmäßig Bildschirmfotos (Screenshots) fertigte. Nach Auswertung der mit Hilfe dieses Keyloggers erstellten Dateien fand ein Gespräch mit dem Kläger statt. In diesem räumte er ein, seinen Dienst-PC während der Arbeitszeit privat genutzt zu haben. Auf schriftliche Nachfrage gab er an, nur in geringem Umfang und in der Regel in seinen Pausen ein Computerspiel programmiert und E-Mail-Verkehr für die Firma seines Vaters abgewickelt zu haben. Die Beklagte, die nach dem vom Keylogger erfassten Datenmaterial davon ausgehen konnte, der Kläger habe in erheblichem Umfang Privattätigkeiten am Arbeitsplatz erledigt, kündigte das Arbeitsverhältnis außerordentlich fristlos, hilfsweise ordentlich.

Die Vorinstanzen haben der dagegen gerichteten Kündigungsschutzklage stattgegeben. Die Revision der Beklagten hatte vor dem Zweiten Senat des Bundesarbeitsgerichts keinen Erfolg. Die durch den Keylogger gewonnenen Erkenntnisse über die Privattätigkeiten des Klägers dürfen im gerichtlichen Verfahren nicht verwertet werden. Die Beklagte hat durch dessen Einsatz das als Teil des allgemeinen Persönlichkeitsrechts gewährleistete Recht des Klägers auf informationelle Selbstbestimmung (Art. 2 Abs. 1 iVm. Art. 1 Abs. 1 GG) verletzt. Die Informationsgewinnung war nicht nach § 32 Abs. 1 BDSG zulässig. Die Beklagte hatte beim Einsatz der Software gegenüber dem Kläger keinen auf Tatsachen beruhenden Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung. Die von ihr „ins Blaue hinein“ veranlasste Maßnahme war daher unverhältnismäßig. Hinsichtlich der vom Kläger eingeräumten Privatnutzung hat das Landesarbeitsgericht ohne Rechtsfehler angenommen, diese rechtfertige die Kündigungen mangels vorheriger Abmahnung nicht.


Bundesarbeitsgericht
Urteil vom 27. Juli 2017 - 2 AZR 681/16 -


Vorinstanz: Landesarbeitsgericht Hamm
Urteil vom 17. Juni 2016 - 16 Sa 1711/15 -

§ 32 Abs. 1 BDSG lautet:

(1) Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.



LAG Hamm: Heimlicher Einsatz eines Keyloggers auf Dienst-PC zur Aufdeckung unzulässiger Internetnutzung am Arbeitsplatz rechtswidrig - Beweisverwertungsverbot

LAG Hamm
Urteil vom 17.06.2016
16 Sa 1711/15


Das LAG Hamm hat entschieden, dass der heimlicher Einsatz eines Keyloggers auf einem Dienst-PC zur Aufdeckung unzulässiger Internetnutzung am Arbeitsplatz unzulässig ist und zu einem Beweisverwertungsverbot führt.

Aus den Entscheidungsgründen:

"aa) Durch die heimliche Installation des sog. Keyloggers hat die Beklagte in massiver Weise in das durch Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG verbürgte Recht des Klägers auf informationelle Selbstbestimmung, das die Befugnis garantiert, selbst über die Preisgabe und Verwendung persönlicher Daten zu befinden, eingegriffen.

Bei einem Keylogger („Tasten-Protokollierer“) handelt es sich um eine Hard- oder Software, die dazu verwendet wird, sämtliche Eingaben des Benutzers an der Tastatur eines Computers zu protokollieren und damit zu überwachen oder zu rekonstruieren. Durch die Protokollierung jeder Tastatureingabe werden auch hochsensible Daten – wie z. B. Benutzername und Passwörter für geschützte Bereiche, PINs pp. – erfasst und protokolliert. Wie massiv der Eingriff in das Grundrecht des Klägers auf informationelle Selbstbestimmung ist, wird vorliegend bereits daran deutlich, dass sich die Kammer zu Beginn der mündlichen Verhandlung zu dem Hinweis genötigt sah, der Kläger möge sich eine neue Kreditkarte besorgen, damit die Prozessbeteiligten bei einem etwaigen Missbrauch seiner Kreditkarte nicht in einen unberechtigten Verdacht geraten. Aufgrund der protokollierten Tastatureingaben und Vorlage der LOG-Dateien im Verfahren waren nämlich nicht nur der Beklagten als Arbeitgeberin, sondern allen Prozessbeteiligten sämtliche Informationen über die Kreditkarte des Klägers, wie Kreditkartennummer, dreistellige Prüfnummer, Gültigkeitsdauer pp. zugänglich. All diese Daten waren protokolliert und hätten ohne Weiteres Käufe im Internet zu Lasten der Kreditkarte des Klägers ermöglicht. Zusätzlich zur Protokollierung jeder Tastatureingabe hat der von der Beklagten heimlich installierte Keylogger auch regelmäßige „Sreenshots“ (Bildschirmfotos / Bildschirmkopien) erstellt.

bb) Der massive Eingriff in das Grundrecht des Klägers auf informationelle Selbstbestimmung führt vorliegend zu dem Ergebnis, dass die Verwertung der heimlich beschafften Daten und Erkenntnisse zu Beweiszwecken nicht zulässig ist.

(1) Greift die prozessuale Verwertung heimlich beschaffter, persönlicher Daten in das Recht auf informationelle Selbstbestimmung ein, ist im Einzelfall zu prüfen, ob die Verwertung dieser Daten mit dem Recht auf informationelle Selbstbestimmung vereinbar ist. Bei der erforderlichen Abwägung überwiegen das Interesse an einer materiell richtigen Entscheidung und das Interesse, sich ein Beweismittel für zivilrechtliche Ansprüche zu sichern, das Interesse am Schutz dieses Grundrechts nur dann, wenn weitere, über das schlichte Beweisinteresse hinausgehende Aspekte hinzutreten. Diese können etwa darin liegen, dass sich der Beweisführer mangels anderer Erkenntnisquellen in einer Notwehrsituation oder einer notwehrähnlichen Lage befindet. Das Interesse, sich ein Beweismittel zu sichern, reicht demgegenüber für sich allein nicht aus. Vielmehr müssen die besonderen Umstände gerade die in Frage stehende Art der Informationsbeschaffung und Beweiserhebung als gerechtfertigt ausweisen (Bundesarbeitsgericht, Urteil vom 21. November 2013 – 2 AZR 797/11 -; Bundesarbeitsgericht, Urteil vom 20. Juni 2013 – 2 AZR 546/12 -; Bundesgerichtshof, Beschluss vom 15. Mai 2013 – XII ZB 107/08 -).

(2) Die Bestimmungen des Bundesdatenschutzgesetzes (BDSG) konkretisieren den Schutz des Rechts auf informationelle Selbstbestimmung. Sie regeln, in welchem Umfang im Anwendungsbereich des Gesetzes Eingriffe in diese Rechtsposition zulässig sind. Liegt keine Einwilligung des Betroffenen vor, ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, wenn das BDSG oder eine andere Rechtsvorschrift sie erlaubt. Fehlt es an der erforderlichen Ermächtigungsgrundlage oder liegen deren Voraussetzungen nicht vor, ist die Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten verboten. Dieser Grundsatz des § 4 Absatz 1 BDSG prägt das deutsche Datenschutzrecht (Bundesarbeitsgericht, Urteil vom 21. November 2013 – 2 AZR 797/11).

Nach § 32 Absatz 1 Satz 1 BDSG dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach dessen Begründung für seine Durchführung oder Beendigung erforderlich ist. Nach Absatz 1 Satz 2 dieser Vorschrift dürfen zur Aufdeckung von Straftaten personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zu deren Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten am Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

Die Regelung des § 32 BDSG baut nach der Gesetzesbegründung auf den von der Rechtsprechung entwickelten allgemeinen Grundsätzen auf. So waren Eingriffe in das allgemeine Persönlichkeitsrecht des Arbeitnehmers nach der Rechtsprechung des Bundesarbeitsgerichts schon bislang nur zulässig, wenn der konkrete Verdacht einer strafbaren Handlung oder einer anderen schweren Verfehlung zu Lasten des Arbeitgebers bestand, weniger einschneidende Mittel zur Aufklärung des Verdachts ergebnislos ausgeschöpft waren, die angedachte Maßnahme damit praktisch das einzig verbleibende Mittel darstellte und die Maßnahme insgesamt nicht unverhältnismäßig war (Bundesarbeitsgericht, Urteil vom 21. November 2013 – 2 AZR 797/11; Franzen in: Erfurter Kommentar zum Arbeitsrecht, 15. Auflage 2015, § 32 BDSGRn. 31, 32).

(3) Bei Anwendung dieser Grundsätze kommt die Kammer zum Ergebnis, dass das von der Beklagten durch die heimliche Installation des Keyloggers gewonnene Material im vorliegenden Verfahren nicht als Beweismittel verwertbar ist. Die Erhebung, Speicherung und Auswertung der Computernutzung durch den Kläger mit Hilfe des Keyloggers ist weder durch die Vorschriften des Bundesdatenschutzgesetzes noch nach den von der Rechtsprechung entwickelten, allgemeinen Grundsätzen gedeckt."



Den Volltext der Entscheidung finden Sie hier: