Bereits Ende Juli hat das Bundesarbeitsgericht (BAG) in einer vielbeachteten Entscheidung festgestellt, dass der Einsatz eines Software-Keyloggers durch den Arbeitgeber rechtswidrig ist, wenn kein durch konkrete Tatsachen begründeter Verdacht einer Straftat oder anderen schwerwiegenden Pflichtverletzung besteht (2 AZR 681/16). Jetzt hat das BAG die vollständigen Urteilsgründe veröffentlicht, die Sie hier abrufen können. In den lesenswerten Urteilsgründen stellt der 2. Senat des BAG nun gut verständlich die von der Rechtsprechung entwickelten Kriterien zu rechtmäßigen Kontrollen am Arbeitsplatz und zu Beweisverwertungsverboten in arbeitsgerichtlichen Verfahren dar. Diese Grundsätze werden voraussichtlich auch nach dem 25. Mai 2018 unter der Datenschutzgrundverordnung und dem neuen Bundesdatenschutzgesetz ihre Gültigkeit behalten. Sachverhalt In dem vom BAG entschiedenen Fall ging es, kurz zusammengefasst, um einen Web-Entwickler, dem die Arbeitgeberin umfassenden Arbeitszeitbetrug vorwarf. Diesen Vorwurf hätte die Arbeitgeberin im Prozess jedoch nur durch Log-Dateien beweisen können, welche ein heimlich am Dienst-PC des Mitarbeiters installierter Software-Keylogger aufgezeichnet hatte. Die Software zeichnete nicht nur dauerhaft die Tastatureingaben des Arbeitnehmers auf, sondern erstellte zusätzlich regelmäßig Screenshots vom Bildschirm des Arbeitnehmers. Eine ausführliche Darstellung des Sachverhalts können Sie unserem Beitrag zur Verkündung des Urteils entnehmen.

Arbeitsrechtliche Beweisverwertungsverbote

Das BAG betont in den Entscheidungsgründen, dass sich ein Beweisverwertungsverbot im arbeitsgerichtlichen Verfahren lediglich aus einer Verletzung von Grundrechten, in diesem Fall dem informationellen Selbstbestimmungsrecht, ergeben kann. Das Bundesdatenschutzgesetz (BDSG) konkretisiert die Reichweite des informationellen Selbstbestimmungsrechts. Unter Verstoß gegen das BDSG gewonnene Informationen sind somit in der Regel in arbeitsgerichtlichen Verfahren unverwertbar.

Dies bedeutet jedoch nicht, dass unter Missachtung des BDSG gewonnene Beweismittel vor dem Arbeitsgericht in keinem Fall berücksichtigt werden dürften. Ausnahmsweise kommt eine Beweisverwertung in Betracht, wenn über das reine Beweisinteresse einer Partei hinausgehende Aspekte hinzutreten, welche die fragliche Datenerhebung rechtfertigen. Ist eine Datenverarbeitung gegenüber dem Arbeitnehmer jedoch nach dem BDSG zulässig, so liegt schon keine Verletzung des Rechts auf informationelle Selbstbestimmung vor. Insofern ist das BDSG und die hierzu ergangene Rechtsprechung des BAG für Arbeitgeber eine wichtige Richtschnur, an der sie ihre Kontrollmaßnahmen ausrichten sollten.

Unzulässigkeit des Keylogger-Einsatzes in dem entschiedenen Fall

Die Kontrolle mittels der Keylogger-Software verstieß in dem vorliegenden Fall gegen das BDSG. Der überwachte Mitarbeiter hatte nicht in die Maßnahme eingewilligt. Auch eine zuvor von der Arbeitgeberin erteilte Mitteilung, dass „sämtlicher Internet Traffic und die Benutzung der Systeme mitgelogged und dauerhaft gespeichert“ werden, genügte zusammen mit der Möglichkeit eines Widerspruchs innerhalb von einer Woche nicht als rechtmäßige Einwilligung des Arbeitnehmers. Das Fehlen eines Protests kann laut dem BAG nicht mit einer Einwilligung gleichgesetzt werden. Auch auf eine andere Rechtsgrundlage konnte die Arbeitgeberin den Keylogger-Einsatz nicht stützen. Der Einsatz eines Keyloggers hätte als besonders eingriffsintensive Maßnahme den konkreten Anfangsverdacht einer Straftat oder einer anderen schweren Pflichtverletzung erfordert. Diesen konnte die Arbeitgeberin vorliegend nicht nachweisen.

Beweisverwertungsverbot wegen Verstoßes gegen das BDSG

Eine Verwertbarkeit der gewonnenen Informationen trotz Verstoß gegen das BDSG kam im vorliegenden Fall für das BAG nicht in Betracht. Hierfür hätten über das reine Beweisinteresse hinausgehende Aspekte hinzutreten müssen, welche die fragliche Maßnahme rechtfertigen. Dies kann beispielsweise dann der Fall sein, wenn sich ein Arbeitgeber in einer Notwehr- oder notwehrähnlichen Situation befindet und die rechtswidrige Kontrollmaßnahme die einzig verbleibende Möglichkeit ist, seine Rechte zu verteidigen. Dies lehnte das BAG in diesem Fall jedoch eindeutig ab. Ein anlasslos gegen einen Arbeitnehmer ermittelnder Arbeitgeber könne in keinem Fall in einer Notwehr- oder notwehrähnlichen Situation sein.

In den Urteilsgründen bestätigte das BAG zudem insbesondere folgende wesentlichen Grundsätze für datenschutzrechtlich zulässige Überwachungsmaßnahmen. Diese sollten Arbeitgeber kennen und ihr Handeln danach ausrichten.

Verdachtsabhängige Kontrollen zur Aufklärung einer Straftat gem. § 32 Abs. 1 Satz 2 BDSG

Maßnahmen eines Arbeitgebers zur Aufklärung des Verdachts einer Straftat greifen in besonderem Maß in das Grundrecht des verdächtigen Arbeitnehmers ein. Dies gilt erst recht, wenn die Ermittlungsmaßnahme verdeckt erfolgt. Solche besonders eingriffsintensiven Maßnahmen sind nur unter den besonderen Voraussetzungen des § 32 Abs. 1 Satz 2 BDSG zulässig. Nach der klaren Rechtsprechung der Arbeitsgerichte ist hierfür ein durch konkrete Tatsachen begründeter Verdacht einer im Beschäftigungsverhältnis begangenen Straftat notwendig.

Verdachtsabhängige, verhältnismäßige Kontrollen zur Aufklärung sonstiger Pflichtverletzungen gem. § 32 Abs. 1 Satz 1 BDSG

Das BAG bestätigte zudem seine bisherige Linie, dass die Aufklärung des Verdachts einer Pflichtverletzung, die nicht den Schweregrad einer Straftat erreicht, trotzdem unter den Voraussetzungen des § 32 Abs. 1 Satz 1 BDSG gerechtfertigt sein kann. § 32 Abs. 1 Satz 2 BDSG schließt derartige Ermittlungsmaßnahmen nicht von vornherein aus. Nach § 32 Abs. 1 Satz 1 kann ein Arbeitgeber Daten speichern und verwenden, die er benötigt, um seiner Darlegungs- und Beweislast in einem potentiellen Kündigungsschutzprozess nachkommen zu können.

Eine Rechtfertigung nach § 32 Abs. 1 Satz 1 BDSG muss sich aber am Grundsatz der Verhältnismäßigkeit messen lassen. Entsprechend muss die Kontrolle geeignet, erforderlich und angemessen zur Erreichung des erstrebten Zwecks sein. Besonders eingriffsintensive Maßnahmen, wie der heimliche Einsatz eines Keyloggers oder verdeckte Videoüberwachung, erfordern dabei den Verdacht einer schwerwiegenden, jedoch nicht strafbaren Pflichtverletzung.

Nach dem BAG kam es in dem hier entschiedenen Fall gar nicht darauf an, ob dem Arbeitgeber mildere Mittel zur Verfügung gestanden hätten (dies bejahte die Vorinstanz). Eine verdeckte Ermittlung des Arbeitgebers “ins Blaue hinein” sei in jedem Fall unverhältnismäßig und damit nicht angemessen gewesen.

Verdachtsunabhängige stichprobenartige Kontrollen können zulässig sein

In diesem Zusammenhang betont das BAG jedoch auch, dass Mitarbeiterkontrollen gegebenenfalls auch ohne Vorliegen eines durch Tatsachen begründeten Anfangsverdachts zulässig sein können. Dies gelte vor allem für allgemeine Überwachungsmaßnahmen, die sich nicht gegen einen bestimmten Arbeitnehmer richten. Ob präventive Kontrollen verhältnismäßig sind, hängt nach dem BAG insbesondere davon ab, wie sehr der psychische Anpassungsdruck, der von der Maßnahme ausgeht, die betroffenen Arbeitnehmer in ihrem Verhalten beeinflusst. Entsprechend kann beispielsweise die vorübergehende Speicherung und stichprobenartige Kontrolle des Browser-Verlaufs von Arbeitnehmern zulässig sein, um die Einhaltung eines Verbots der Privatnutzung von IT-Einrichtungen zu kontrollieren.

Fazit

Die klar strukturierte und verständlich dargestellte Urteilsbegründung des 2. Senats gibt Unternehmen wichtige Hinweise, welche Kontrollmaßnahmen rechtmäßig sein können. Mit der Urteilsbegründung befindet sich das BAG auf einer Linie mit der europäischen Rechtsprechung. Der Europäische Gerichtshof für Menschenrechte hatte in der kürzlich veröffentlichten Bărbulescu-Entscheidung (Az. 61496/08) ganz ähnliche Maßstäbe aufgestellt. Diese Rechtsprechung behält auch dann ihre Gültigkeit, wenn ab dem 25. Mai 2018 die EU-Datenschutz-Grundverordnung gilt. Der neue § 26 Bundesdatenschutzgesetz, welcher künftig den Beschäftigtendatenschutz in Deutschland regeln wird, orientiert sich an dieser aktuell geltenden Rechtsprechung und wird hier keine substantiellen Veränderungen nach sich ziehen.

Arbeitgeber sollten genau prüfen, welche Kontrollmaßnahmen diesen Anforderungen genügen und welche Maßnahmen gegen das BDSG verstoßen und somit gegebenenfalls unverwertbare Ergebnisse bringen würden.