Mit Urteil vom 26. Juli 2017 (Az. 2 AZR 681/16) hat das Bundesarbeitsgericht zur Frage der Verwertbarkeit des durch sog. Keylogger-Software gesammelten Datenmaterials bei einer außerordentlichen Kündigung entschieden. Auch der Europäische Gerichtshof für Menschenrechte hat vor kurzem Kriterien für eine zulässige Überwachung der Internetkommunikation am Arbeitsplatz festgelegt. Anlass dafür war die Kündigung eines Vertriebsingenieurs wegen privater Nutzung eines Messenger-Dienstes (EGMR, Urteil vom 5. September 2017 – 61496/08).
Der Ausgangsfall des BAG
Der klagende Arbeitnehmer war seit 2011 als Webentwickler beschäftigt. Zu Beginn des Arbeitsverhältnisses verpflichtete er sich schriftlich, Hard- und Software der Arbeitgeberin aus Gründen der informationstechnischen Sicherheit ausschließlich zur Erfüllung seiner Arbeitsaufgaben zu nutzen. In einer E-Mail teilte die Arbeitgeberin ihrer Belegschaft im April 2015 mit, dass ihnen nunmehr ein freier Zugang zum WLAN zustehe, der gesamte Internet-Traffic und die Benutzung ihrer Systeme jedoch „mitgeloggt“ werde, um Missbrauch z.B. durch Download von illegalen Filmen vorzubeugen. Die Arbeitgeberin installierte auf dem Dienst-PC des Arbeitnehmers eine Software, die sämtliche Tastatureingaben protokollierte und regelmäßig Bildschirmfotos (Screenshots) fertigte, sog. Keylogger-Software. Nach Auswertung der mit Hilfe dieser Keylogger-Software erstellten Dateien fand ein Gespräch mit dem Arbeitnehmer statt. In diesem räumte er ein, seinen Dienst-Rechner während der Arbeitszeit privat genutzt zu haben. Er habe nur im sehr geringen Umfang und in der Regel in seinen Pausen ein Computerspiel programmiert und E-Mail-Verkehr für das Logistikunternehmen seines Vaters abgewickelt. Die Arbeitgeberin kündigte das Arbeitsverhältnis außerordentlich fristlos, hilfsweise ordentlich, da sich aus dem von der Keylogger-Software erfassten Datenmaterial eine deutliche längere Privatnutzung des Dienst-PCs ergab. Beide Kündigungen wurden in allen Instanzen für unwirksam erklärt.
BAG: Keine Verwertbarkeit der Keylogger-Ergebnisse bei anlassloser Überwachung
Die durch die Keylogger-Software gewonnenen Erkenntnisse über die privaten Verrichtungen des Arbeitnehmers durften nicht verwertet werden. Die Arbeitgeberin hat durch den Einsatz der Überwachungssoftware das Recht auf informationelle Selbstbestimmung verletzt. Die Datenerhebung durch den Keylogger hat zudem gegen das Bundesdatenschutzgesetz verstoßen. Der Arbeitnehmer hat in die Maßnahme nicht eingewilligt. Der Eingriff war nicht aufgrund überwiegender Interessen der Arbeitgeberin gerechtfertigt. Denn die Arbeitgeberin hatte beim Einsatz der Software gegenüber dem Arbeitnehmer keinen auf Tatsachen beruhenden Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung, der eine solche Überwachungsmaßnahme rechtfertigen könnte. Eine solche „ins Blaue hinein“ veranlasste Ausspähmaßnahme ist daher unverhältnismäßig.
Entscheidung des Europäische Gerichtshof für Menschenrechte (EGMR)
Ein rumänischer Vertriebsingenieur nutzte auf Bitten seines Arbeitgebers einen Messenger-Dienst, um Anfragen von Kunden zu beantworten. Im Jahr 2007 wurde ihm gekündigt, weil er den Messenger-Dienst auch für private Unterhaltungen genutzt hatte, obwohl eine interne Unternehmensregel die private Nutzung von Unternehmensressourcen verbot. Zum Beweis der privaten Nutzung legte der Arbeitgeber ein 45-seitiges Protokoll der privaten Chats des Arbeitnehmers vor. Nach gescheiterter Klage vor den nationalen Gerichten legte der Arbeitnehmer Beschwerde beim EGMR ein. Der EGMR stellte eine Verletzung des Rechts auf Achtung des Privatlebens und der Korrespondenz (Art. 8 der Europäischen Menschenrechtskonvention) fest. Wenn Unternehmen die Kommunikation ihrer Mitarbeiter überwachen wollen, müssen sie sich an folgende Regeln halten: Der Arbeitgeber muss über die Möglichkeit und das Ausmaß der Überwachung vorab informieren. Außerdem braucht er einen legitimen Grund dafür und muss mildere Kontrollmittel sowie weniger beeinträchtigende Konsequenzen als eine Kündigung prüfen.
Was gilt bei erlaubter Privatnutzung?
Beide Urteile behandeln Fälle, in denen die private Nutzung der Unternehmensressourcen verboten war. Gestattet der Arbeitgeber die Privatnutzung von betrieblicher IT und Smartphones sind den Kontroll- und Zugriffsmöglichkeiten noch engere Grenzen gesetzt. Das bedeutet nicht, dass dem Arbeitgeber jede Kontrollmöglichkeit im Hinblick auf einen Missbrauch betrieblicher Kommunikationseinrichtungen genommen wäre. Die dahingehende Auffassung vieler Datenschutzbehörden, ein Zugriff sei generell unzulässig, da die erlaubte Privatnutzung den Arbeitgeber zum TK-Anbieter mache, hat sich in der Rechtsprechung nicht durchgesetzt (LAG Berlin-Brandenburg vom 14. Januar 2016, 5 Sa 657/15; LAG Niedersachsen vom 31. Mai 2010, 12 Sa 875/09; VGH Hessen vom 19. Mai 2009, 6 A 2672/08.Z; ausführlich Thüsing in Beschäftigtendatenschutz und Compliance, § 3 VII 3.).
Das BAG hält sich mit der Frage des Diensteanbieters nicht auf und stellt ausschließlich auf die Beschränkungen der Arbeitgeberbefugnisse im Lichte des Rechts des Arbeitnehmers auf informationelle Selbstbestimmung ab. Es kommt daher stets im Einzelfall darauf an, welche Kontrollen mit welcher Eingriffsintensität erfolgen können. Am Ende ist es auch bei gestatteter Privatnutzung eine Frage der Verhältnismäßigkeit und allgemeinen Interessenabwägung, was die Sache für betroffene Arbeitgeber nicht leichter macht.
Praxistipp und Ausblick
Im Ergebnis sind präventive Überwachungsmaßnahmen ohne einen konkreten Anlass nur verhältnismäßig, wenn sie keinen psychischen Anpassungsdruck erzeugen, wie z.B. die vorübergehende Speicherung und stichprobenartige Kontrolle der Verlaufsdaten eines Internetbrowsers (hierzu auch LAG Berlin-Brandenburg vom 14. Januar 2016, 5 Sa 657/15). Anlassbezogene Kontrollen, die auf einem konkreten Verdacht einer Pflichtverletzung oder Straftat beruhen, sind ebenfalls zulässig. Unzulässig ist die anlasslose und dauerhafte Kontrolle.
Maßgebliche weitere Voraussetzung von arbeitgeberseitigen Kontrollmaßnahmen im Verdachtsfall sind vor allem deren Vorhersehbarkeit und Erkennbarkeit für die Arbeitnehmer. Die Regeln des Erlaubten und Verbotenen klar zu benennen und durch verhältnismäßige und transparente Kontrollmaßnahmen sicherzustellen, stellt in der Praxis die größte Herausforderung dar. Wenn im Betrieb ein Betriebsrat existiert, ist eine E-Mail- und Internetüberwachung ohnehin mitbestimmungspflichtig. Der in Form einer Betriebsvereinbarung ausgeübten Mitbestimmung wird zukünftig mit Wirksamwerden der gesetzlichen Neuregelungen zum BDSG und zur DSGVO noch größere Bedeutung als Rechtsgrundlage für die Datenverarbeitung zukommen.
Ein Freibrief ist aber auch durch Betriebsvereinbarung nicht erreichbar. Betriebsvereinbarungen, die das allgemeine Persönlichkeitsrecht und das Recht auf informationelle Selbstbestimmung missachten, sind unwirksam (BAG vom 25. April 2017, 1 ABR 46/15). Dennoch stellt die Betriebsvereinbarung eine rechtlich bedeutsame Grundlage für Datenverarbeitung dar. Die Rechtsprechung räumt den Betriebsparteien eine größere Freiheit zur Interessenabwägung ein, als dem einzelnen Arbeitgeber.
Die neue Rechtsprechung zu den Beschränkungen bei der Überwachung von IT-Nutzungsverhalten auch bei einer untersagten Privatnutzung – und das ist das eigentlich Neue – zwingt neben den gesetzlichen Neuregelungen, bestehende Richtlinien und Betriebsvereinbarungen einer erneuten Prüfung zu unterziehen.
(5. Dezember 2017)