Das BAG entschied am 27.07.2017, dass eine außerordentliche Kündigung wegen (vermeintlichen) Arbeitszeitbetruges nicht auf Daten gestützt werden kann, die der Arbeitgeber mittels einer sog. Keylogger-Software, d.h. Protokollierung aller Tastatureingaben des Mitarbeiters ermittelt hat. Das Urteil gibt uns Anlass, die Voraussetzungen und Grenzen einer Mitarbeiterüberwachung genauer zu beleuchten.

In dem zugrundeliegenden Fall hatte der Arbeitgeber auf dem dienstlichen PC des Mitarbeiters eine Software installiert, die alle Tastatureingaben des Mitarbeiters protokollierte und in regelmäßigen Abständen Screenshots (Bildschirmfotos) erstellte. Über den Einsatz einer solchen Keylogger-Software informierte der Arbeitgeber die Mitarbeiter per E-Mail. Nach Auswertung der Keylogger-Daten des Mitarbeiters kündigte der Arbeitgeber diesem außerordentlich, hilfsweise ordentlich, wegen Arbeitszeitbetruges und stützte sich dabei insbesondere auf die von ihm erfassten Keylogger-Daten, nach denen er davon ausgehen konnte, dass der Arbeitnehmer in einem erheblichen Umfang seinen Dienst-PC dafür genutzt hatte, zu privaten Zwecken ein Computerspiel zu programmieren und den E-Mail-Verkehr für das Unternehmen seines Vater zu erledigen. Das BAG befand – wie auch schon die Vorinstanzen – die Kündigung für unwirksam.

2. Wesentliche Aussagen des Urteils

Das BAG urteilte, dass die mittels der Keylogger-Software ermittelten Daten und die daraus gewonnenen Erkenntnisse über die Privattätigkeiten des Mitarbeiters im Arbeitsgerichtsprozess nicht verwertet werden dürfen. Die Informationsgewinnung war insbesondere nicht nach § 32 Abs. 1 BDSG zulässig, da der Arbeitgeber beim Einsatz der Software keinen auf den Mitarbeiter bezogenen konkreten auf Tatsachen beruhenden Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung hatte. Der Arbeitgeber hat die Daten ohne ersichtlichen Grund »ins Blaue hinein« und damit in unzulässiger Weise erfasst. Des Weiteren war die Nutzung der Keylogger-Software nicht das mildeste ihm zur Verfügung stehende Mittel, um die Pflichtverletzung festzustellen und die Nutzung damit unverhältnismäßig. Aus diesem Grund sind die Daten nicht verwertbar, so dass die Kündigungen nicht hierauf gestützt werden konnten.

3. Handlungsempfehlung

Die Entscheidung des BAG vom 27.07.2017 zeigt die Grenzen, aber zugleich auch die Voraussetzungen einer zulässigen Verwertung erfasster (Keylogger-)Daten auf. Das BAG stützt seine Begründung zum Verwertungsverbot maßgeblich auf den Verstoß gegen § 32 Abs. 1 Satz 2 BDSG. Eine Datenerhebung im Fall des Verdachts einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung ist nach § 32 Abs. 1 Satz 2 BDSG zulässig, wenn:

  • tatsächliche, d.h. auf konkrete Tatsachen gestützte, Anhaltspunkte vorliegen,
  • die den Verdacht einer Straftat oder schwerwiegenden Pflichtverletzung begründen,
  • diese Tatsachen dokumentiert sind,
  • die Erhebung, Verarbeitung und Nutzung der (Keylogger-)Daten zur Aufdeckung der Straftat bzw. schwerwiegenden Pflichtverletzung erforderlich und
  • nicht unverhältnismäßig ist.

Wenn der Arbeitgeber mittels (Keylogger-)Software eine mögliche schwerwiegende Pflichtverletzung (wie z.B. einen Arbeitszeitbetrug) nachweisen will, muss er also detailliert darlegen, aufgrund welcher konkreter Umstände er vor Einsatz der Software den Verdacht hatte, der betreffende Mitarbeiter würde mittels seines Dienst-PC bzw. durch Nutzung des Internets während der Arbeitszeit private Dinge erledigen. Dafür ist zunächst empfehlenswert, dass klare Verbotstatbestände formuliert werden, wie z.B. das Verbot der privaten Internetnutzung oder das Verbot der Nutzung des Dienst-PC für private Zwecke, um die Nutzung innerhalb dieser Schranken auch kontrollieren bzw. dokumentieren zu können.

Sofern der Arbeitgeber dokumentierte konkrete Anhaltspunkte hat, kommt eine (heimliche) Überwachung (z.B. durch Keylogger-Software) nach dem Verhältnismäßigkeitsgrundsatz trotzdem nur dann in Betracht, wenn dem Verdacht der Pflichtverletzung nicht durch andere mildere Mittel nachgegangen werden kann. Aber welche milderen Mittel kommen in Betracht? Vor einer umfassenden Kontrolle wie in dem durch das BAG entschiedenen Fall ist insbesondere an die nachfolgenden Maßnahmen zu denken:

  • Zunächst ist eine in Anwesenheit des Mitarbeiters durchgeführte Kontrolle des PC’s gegenüber einer heimlichen und permanenten Überwachung grundsätzlich das mildere Mittel, da dem Mitarbeiter hierdurch die Möglichkeit gegeben wird, auf die Art und Weise der Durchführung der Überwachungsmaßnahme Einfluss zu nehmen und sie ggf. durch freiwillige Angaben abzuwenden oder ad hoc (entlastende) Erklärungen abzugeben.
  • Ein weiteres milderes Mittel zur Aufdeckung, z.B. der verbotenen Internetnutzung, besteht auch in der Auswertung der sog. Logfiles. Die Auswertung der Logfiles sollte zunächst anonym erfolgen und erst bei der Feststellung gehäufter Aufrufe bestimmter Internetseiten durch eine bestimmte IP-Adresse sollte eine Zuordnung der IP-Adresse zu einem bestimmten Dienst-PC und damit zu einem bestimmten Mitarbeiter erfolgen.
  • Schließlich stellt eine stichprobenartige Prüfung grundsätzlich ein milderes Mittel gegenüber einer permanenten Überwachung dar und sollte deshalb immer als »erste Stufe« durchgeführt werden.