Bundesarbeitsgericht zu von Keyloggern gesammelte Daten


BAG, Urteil vom 27.07.2017, 2 AZR 681/16

Das BAG untersagt die Verwertung von Daten, die anhand einer dauerhaften Speicherung von Internetaktivitäten durch sog. Keylogger gesammelt werden.

Der Fall:

Der Mitarbeiter darf Hard- und Software aus Gründen der Sicherheit ausschließlich dienstlich nutzen. Der Arbeitgeber teilte per E-Mail mit, künftig werde der Internet-Traffic erfasst und dauerhaft gespeichert, um einen Missbrauch der Internetnutzung zu verhindern. Wer damit nicht einverstanden sei, solle dies innerhalb einer Woche mitteilen. Der Arbeitgeber installierte daraufhin auf dem PC des Mitarbeiters eine Software, die alle Tastatureingaben protokolliert und regelmäßig Screenshots fertigt (Keylogger). Aufgrund der vom Keylogger erstellten Dateien stellte der Arbeitgeber fest, dass der Mitarbeiter während der Arbeitszeit ein Computerspiel programmiert und E-Mail-Verkehr für das Unternehmen seines Vaters abgewickelt hatte. Die daraufhin ausgesprochene fristlose Kündigung des Arbeitgebers hatte keinen Bestand.

Die Entscheidung:

Nach Ansicht des BAG dürfen die über den Keylogger gesammelten Daten vom Arbeitgeber nicht im Kündigungsschutzverfahren verwertet werden. Dies ist mit dem Grundrecht des Klägers auf informationelle Selbstbestimmung unvereinbar. Die Datenerhebung durch den Keylogger ist nicht gerechtfertigt und der Arbeitnehmer hat nicht in die Datenerhebungen eingewilligt. Personenbezogene Daten eines Beschäftigten dürfen gem. § 32 BDSG zwar erhoben werden um zu kontrollieren, ob der Arbeitnehmer seinen Pflichten nachkommt. Sofern zulässig erhobene Daten den Verdacht einer Pflichtverletzung begründen, darf der Arbeitgeber auch alle Daten speichern und verwenden, die er in einem potentiellen Kündigungsschutzprozess benötigt. Darüber hinaus ist die Datenerhebung zulässig, wenn Anhaltspunkte für den Verdacht einer im Beschäftigungsverhältnis begangenen Straftat bestehen. Vorliegend wurden allerdings verdeckte Ermittlungen „ins Blaue hinein“ durchgeführt. Zwar ist die vorübergehende Speicherung und stichprobenartige Kontrolle der Verlaufsdaten eines Internetbrowsers zulässig, um das Verbot oder die Beschränkung der Privatnutzung von IT-Einrichtungen zu kontrollieren. Dabei werden stichprobenartig Adressen, Titel und Zeitpunkt der aufgerufenen Seiten protokolliert. Ein zeitlich nicht begrenzter verdeckter Einsatz eines Keyloggers greift jedoch massiv in das Recht auf informationelle Selbstbestimmung ein. Alle Eingaben über die Tastatur eines Computers werden erfasst und gespeichert. Mit den gewonnenen Daten kann ein nahezu umfassendes und lückenloses Profil sowohl von der privaten als auch von der dienstlichen Nutzung des PCs erstellt werden. Darüber hinaus können hochsensible Daten wie z. B. Benutzernamen, Passwörter für geschützte Bereiche, Kreditkartendaten, PIN-Nummern etc. protokolliert werden. Auch hat der betroffene Arbeitnehmer keine Möglichkeit, bestimmte Inhalte als privat oder gar höchstpersönlich zu kennzeichnen und damit ggf. dem Zugriff des Arbeitgebers zu entziehen. Dies wird noch verstärkt, wenn regelmäßig Screenshots angefertigt werden. Daher sind diese Daten unzulässig gewonnen und der Arbeitgeber darf sie nicht verwerten.

Praxistipp:

Der Einsatz von Computern und mobilen Endgeräten ist aus der täglichen Arbeitswelt nicht mehr wegzudenken. Damit geht ein berechtigtes Interesse des Arbeitgebers einher, einen etwaigen Missbrauch oder verbotenes Verhalten festzustellen. Der vorliegende Fall macht die Relevanz von zulässigen Vereinbarungen hierfür deutlich. Diese Regelungen rechtssicher zu gestalten wird Arbeitgeber auch in Hinsicht auf die bald in Kraft tretende EU-weite Neuordnung des Datenschutzes vor noch mehr Herausforderungen stellen. Anderenfalls besteht die Gefahr, Pflichtverletzungen arbeitsrechtlich nicht sanktionieren zu können.

Seite als PDF sichern

Tags: #Newsletter AR 4/17

Artikel versenden