Keylogger: Wenn der Arbeitgeber mitliest …

Hinweis: Die nachfolgende Darstellung kann die im Einzelfall gebotene Rechtsberatung nicht ersetzen. Rechtsrat erteile ich – wie alle anderen Anwälte auch – auf Grundlage vollständiger Informationen gerne persönlich im Rahmen eines Mandats.

Computer-Arbeitsplätze sind besonders anfällig für Überwachungsmaßnahmen. Der Aufwand dafür ist nämlich ziemlich gering. Das Werkzeug der Wahl können sog. Keylogger sein, die es in zwei Varianten gibt.

Z. B. als „Zwischenstecker“, der in den USB-Ausgang des Computers gesteckt wird. Der USB-Sender für die kabellose Tastatur oder das USB-Kabel einer schnurgebundenen Tastatur landen dann in diesem Zwischenstecker anstatt direkt im Computer. Das ist die Hardware-Variante. Sie fängt jeden Tastendruck ab und protokolliert alle Eingaben am Computer. Gegen diese Erscheinung kann die Bildschirm-Tastatur helfen, die Tastatureingaben werden mit der Computermaus gemacht, das kann von der Hardware-Variante nicht aufgezeichnet werden.

Die Software-Variante in Form eines kleinen Spionageprogramms nistet sich im System ein. Hier schafft die Bildschirm-Tastatur keine Abhilfe. Die Software ist in der Lage, Eingaben zu protokollieren und in regelmäßigen Abständen Bildschirm-Fotos zu machen. Der Mitschnitt wird dann entweder lokal auf der Festplatte gespeichert und „zur Abholung bereit gestellt“ oder aber direkt über das Netzwerk an den Dateninteressenten geliefert.

Zu Keyloggern allgemein: https://de.wikipedia.org/wiki/Keylogger

Wenn Sie jetzt der Meinung sind, das Thema sei nur etwas für Paranoiker und Menschen, die aus Gründen der Sicherheit stets Aluhüte tragen, lassen Sie sich vom Bundesarbeitsgericht (BAG) eines besseren belehren (BAG vom 27.07.2017 – 2 AZR 681/16):

Ein Webentwickler hatte sich bei Eintritt in das Arbeitsverhältnis dazu verpflichtet, Hard- und Software alleine zur Erfüllung seiner Arbeitsaufgaben zu nutzen.

An einem Sonntag meldete sich der Arbeitgeber per E-Mail beim „lieben Team“. Da man jetzt endlich über einen schnellen Internetanschluss verfüge, wolle man ihn den Mitarbeitern nicht vorenthalten. Man habe eigens einen „freien“ WLAN-Zugang geschaffen. Um das Hauptnetzwerk zu entlasten solle für alles wie Spotify, YouTube, etc. dieser Zugang genutzt werden. Der Störerhaftung wegen werde sämtlicher Internet-Traffic und die Benutzung der Systeme aber künftig mitgelogged und dauerhaft gespeichert.

Der Software-Keylogger protokollierte fortan alle Tastatureingaben und fertigte regelmäßig Bildschirmfotos an. Das betraf ausnahmslos alle Dateneingaben und insbesondere hochsensible Daten wie Benutzernamen, Passwörter für geschützte Bereiche, Kreditkartendaten, PIN-Nummern usw. usf. Mal eben während der Pause den Kontostand zu checken, war also mit der Gefahr verbunden, dass man dem Arbeitgeber oder dessen Systemadministrator alles an die Hand gibt, um zukünftig gleich selbst zu lesen; selbst wenn der Arbeitgeber insoweit redlich handelte und keine Hand an Legitimations-ID und PIN für das Online-Banking legte, stellt sich die Frage, wer eigentlich sonst noch Zugriff auf die im Klartext mitgeschnittenen Zugangsdaten hatte, die nach der E-Mail dauerhaft (!) gespeichert werden sollten. Die Antwort liefert die Entscheidung leider nicht.

Jedenfalls förderte die Breitbandüberwachung einiges zu Tage (Programmierarbeiten an einem Spiel, Unterstützung des Vaters bei dessen unternehmerischen E-Mail-Verkehr). Das nahm der Arbeitgeber zum Anlass, ohne vorherige Abmahnung eine fristlose außerordentliche, hilfsweise fristgerechte ordentliche Kündigung auszusprechen. Dagegen setzte der Webentwickler sich mit einer Kündigungsschutzklage zur Wehr.

Die Kündigungsschutzklage war für den Webentwickler erfolgreich: Das BAG ist der Vorinstanz darin gefolgt, den Sachvortrag des Arbeitgebers nicht zu berücksichtigen, den er nur aufgrund des von ihm eingesetzten Keyloggers in das Verfahren einführen konnte. Dies ergebe sich aus dem grundrechtlich geschützten allgemeinen Persönlichkeitsrecht, welches das Recht auf informationelle Selbstbestimmung beinhalte. Außerdem sei die Aufzeichnung datenschutzrechtlich nicht erlaubt gewesen und eine Einwilligung des Webentwicklers habe nicht vorgelegen. Eine Erlaubnis ergebe sich nicht aus dem Bundesdatenschutzgesetz (BDSG), weil es für den Einsatz des Keyloggers an dem erforderlichen, durch konkrete Tatsachen begründeten Anfangsverdacht einer Straftat oder einer anderen schweren Pflichtverletzung gefehlt habe. Eine verdeckte Ermittlung „ins blaue Hinein“ sei unzulässig. Die Datenerhebung durch einen Keylogger greife massiv in das Recht des Betroffenen auf informationelle Selbstbestimmung ein. Das einmalige hastige Wegklicken einer stark bebilderten Webseite, beobachtet durch eine Kollegin, sei nicht geeignet, den konkreten Verdacht einer exzessiven Privatnutzung des Dienst-PC zu begründen.

Trotzdem beinhaltet das Urteil einen Lichtblick auch für Arbeitgeber: Nach abstrakten Kriterien durchgeführte, keinen Arbeitnehmer besonders unter Verdacht stellende, offene Überwachungsmaßnahmen, die der Verhinderung von Pflichtverletzungen dienen sollen, können im Einzelfall zulässig sein. Präventiv-Maßnahmen bei abstrakter Gefahr können verhältnismäßig sein, wenn sie keinen psychischen Anpassungsdruck erzeugen, dass die Betroffenen bei objektiver Betrachtung in ihrer Freiheit, ihr Handeln aus eigener Selbstbestimmung zu planen und zu gestalten, wesentlich gehemmt sind. Beispielsweise könne die vorübergehende Speicherung und stichprobenartige Kontrolle der Browser-Verlaufsdaten zulässig sein, um die Einhaltung eines vom Arbeitgeber aufgestellten, kompletten Verbots oder einer Beschränkung der Privatnutzung von IT-Systemen zu kontrollieren. Nur in Ausnahmefällen (Notwehr- oder notwehrähnliche Situation gemäß § 227 BGB bzw. 32 StGB oder Notstandslage i. S. V. § 34 StGB) könne eine Verwertung des Tatsachenstoffes in Betracht kommen, den der Arbeitgeber unter Verletzung des Rechts auf informationelle Selbstbestimmung ermittelt hat.

Die weitere Entwicklung, insbesondere unter Geltung der am 25.05.2018 geltenden EU-Datenschutzgrundverordnung (DSGVO), bleibt für Arbeitnehmer und Arbeitgeber spannend. Nicht erörtern musste das BAG, welche Folgen eine gegen Datenschutzrecht verstoßende Datenverarbeitung durch einen Keylogger hat. In Betracht kommen Schadensersatzansprüche des Arbeitnehmers, aber auch die Verhängung von Bußgeldern durch die Datenschutzbehörden.
Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden („Schmerzensgeld“) entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Neu ist, dass der Ersatz immaterieller Schäden anders als vorher ausdrücklich geregelt wird.
Nach Art. 83 Abs. 1 DSGVO stellt jede Aufsichtsbehörde sicher, dass die Verhängung von Geldbußen für Verstöße gegen diese Verordnung  in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg führt in einem Interview in der Neue Zeitschrift für Arbeitsrecht 2018, 285, 286 hierzu aus: „… Hatte man früher die meisten Bußgelder aus der Portokasse zahlen können und konnten sich Geschäftsführer sogar hiergegen per Versicherung freistellen lassen, scheitert eine solche Strategie angesichts eines Bußgeldrahmens von bis zu 2 bzw. 4% des weltweiten Jahresumsatzes des Konzerns. De facto bedeutet ab Mai 2018 jeder Datenschutzverstoß das Risiko des Verlusts des Gesamtjahresgewinns – und das ist natürlich eine massive Ansage. … Um eine abschreckende Wirkung solcher Bußgelder sicherzustellen, werden Datenschutzbehörden also auch entsprechende Pressemitteilungen herausgeben müssen. Die deutschen Behörden sind zwar traditionell zurückhaltend bei der Sanktionierung, werden sich aber dem europäischen Konzert nicht entziehen.

Fragen zum Datenschutz im Arbeitsverhältnis? Ich berate Sie gerne.