Arbeit­neh­mer­über­wa­chung mit­tels Key­log­ger – und das Ver­wer­tungs­ver­bot

Der Ein­satz eines Soft­ware-Key­log­gers ist nicht nach § 32 Abs. 1 BDSG erlaubt, wenn kein auf den Arbeit­neh­mer bezo­ge­ner, durch kon­kre­te Tat­sa­chen begrün­de­ter Ver­dacht einer Straf­tat oder ande­ren schwer­wie­gen­den Pflicht­ver­let­zung besteht.

Arbeit­neh­mer­über­wa­chung mit­tels Key­log­ger – und das Ver­wer­tungs­ver­bot

Sach­vor­trag des Arbeit­ge­bers, den die­ser nur auf­grund des von ihm hier­nach unge­recht­fer­tigt ein­ge­setz­ten Key­log­gers in das Ver­fah­ren ein­füh­ren konnt, muss das Arbeits­ge­richt unbe­rück­sich­tigt las­sen.

Ein Sach­vor­trags- oder Beweis­ver­wer­tungs­ver­bot wegen einer Ver­let­zung des gemäß Art. 2 Abs. 1 iVm. Art. 1 Abs. 1 GG geschütz­ten all­ge­mei­nen Per­sön­lich­keits­rechts einer Par­tei (vgl. auch Art. 8 Abs. 1 EMRK) kann sich im arbeits­ge­richt­li­chen Ver­fah­ren aus der Not­wen­dig­keit einer ver­fas­sungs­kon­for­men Aus­le­gung des Pro­zess­rechts – etwa von § 138 Abs. 3, § 286, § 331 Abs. 1 Satz 1 ZPO – erge­ben. Wegen der nach Art. 1 Abs. 3 GG bestehen­den Bin­dung an die inso­weit maß­geb­li­chen Grund­rech­te und der Ver­pflich­tung zu einer rechts­staat­li­chen Ver­fah­rens­ge­stal­tung1 hat das Gericht zu prü­fen, ob die Ver­wer­tung von heim­lich beschaff­ten per­sön­li­chen Daten und Erkennt­nis­sen, die sich aus die­sen Daten erge­ben, mit dem all­ge­mei­nen Per­sön­lich­keits­recht des Betrof­fe­nen ver­ein­bar ist2. Das Grund­recht schützt neben der Pri­vat- und Intim­sphä­re und sei­ner spe­zi­el­len Aus­prä­gung als Recht am eige­nen Bild auch das Recht auf infor­ma­tio­nel­le Selbst­be­stim­mung, das die Befug­nis garan­tiert, selbst über die Preis­ga­be und Ver­wen­dung per­sön­li­cher Daten zu befin­den3.

Die Bestim­mun­gen des Bun­des­da­ten­schutz­ge­set­zes (BDSG) über die Anfor­de­run­gen an eine zuläs­si­ge Daten­ver­ar­bei­tung kon­kre­ti­sie­ren und aktua­li­sie­ren den Schutz des Rechts auf infor­ma­tio­nel­le Selbst­be­stim­mung und am eige­nen Bild (§ 1 Abs. 1 BDSG). Sie regeln, in wel­chem Umfang im Anwen­dungs­be­reich des Geset­zes Ein­grif­fe durch öffent­li­che oder nicht-öffent­li­che Stel­len iSd. § 1 Abs. 2 BDSG in die­se Rechts­po­si­tio­nen zuläs­sig sind. Sie ord­nen für sich genom­men jedoch nicht an, dass unter ihrer Miss­ach­tung gewon­ne­ne Erkennt­nis­se oder Beweis­mit­tel bei der Fest­stel­lung des Tat­be­stands im arbeits­ge­richt­li­chen Ver­fah­ren vom Gericht nicht berück­sich­tigt wer­den dürf­ten4. Ist aller­dings die Daten­ver­ar­bei­tung gegen­über dem betrof­fe­nen Arbeit­neh­mer nach den Vor­schrif­ten des BDSG zuläs­sig, liegt inso­weit kei­ne Ver­let­zung sei­nes Rechts auf infor­ma­tio­nel­le Selbst­be­stim­mung und am eige­nen Bild vor5.

In Anwen­dung die­ser Grund­sät­ze hat sich im vor­lie­gen­den Fall in der Vor­in­stanz das Lan­des­ar­beits­ge­richt Hamm6 zu Recht gehin­dert gese­hen, sei­ner Ent­schei­dung den strei­ti­gen Sach­vor­trag der Arbeit­ge­be­rin über die Nut­zung des Dienst-PC durch den Arbeit­neh­mer am 21. und 23.04.2015 zugrun­de zu legen. Hier­durch hät­te das Lan­des­ar­beits­ge­richt eine durch die Arbeit­ge­be­rin began­ge­ne Grund­rechts­ver­let­zung per­p­etu­iert und ver­tieft. Die Daten­er­he­bung durch den Key­log­ger griff in das Recht des Arbeit­neh­mers auf infor­ma­tio­nel­le Selbst­be­stim­mung ein. Der Arbeit­neh­mer hat in die Maß­nah­me nicht ein­ge­wil­ligt. Der Ein­griff war nicht auf­grund über­wie­gen­der Inter­es­sen der Arbeit­ge­be­rin nach § 32 Abs. 1 oder § 28 Abs. 1 BDSG gerecht­fer­tigt. Eben­so lagen kei­ne wei­te­ren, über das schlich­te Beweis­in­ter­es­se der Arbeit­ge­be­rin hin­aus­ge­hen­den Aspek­te vor, die gera­de die in Fra­ge ste­hen­de ver­deck­te Infor­ma­ti­ons­be­schaf­fung durch einen Key­log­ger als gerecht­fer­tigt erschei­nen las­sen könn­ten.

Die Auf­zeich­nung und Spei­che­rung der Tas­ta­tur­ein­ga­ben am Dienst-PC des Arbeit­neh­mers sowie das Fer­ti­gen von Screen­shots durch den Key­log­ger stell­ten Daten­er­he­bun­gen iSv. § 3 Abs. 1, Abs. 2 Satz 1, Abs. 3 und Abs. 7 BDSG dar. Die Arbeit­ge­be­rin hat sich dadurch Ein­zel­an­ga­ben über per­sön­li­che und sach­li­che Ver­hält­nis­se einer bestimm­ten natür­li­chen Per­son, näm­lich des Arbeit­neh­mers als dem Nut­zer des ihm zuge­ord­ne­ten Rech­ners, ver­schafft.

Der Arbeit­neh­mer hat in die Daten­er­he­bun­gen nicht dadurch gemäß § 4a BDSG ein­ge­wil­ligt, dass er der Ankün­di­gung der Arbeit­ge­be­rin nicht wider­spro­chen hat. Allein in der Tat­sa­che, dass ein Arbeit­neh­mer einer ihm mit­ge­teil­ten Maß­nah­me nicht ent­ge­gen tritt, liegt kei­ne Ein­ver­ständ­nis­er­klä­rung in die Infor­ma­ti­ons­er­he­bung. Das Unter­las­sen eines Pro­tests kann nicht mit einer Ein­wil­li­gung gleich­ge­setzt wer­den7. Das gilt ins­be­son­de­re, wenn – wie vor­lie­gend – eine vom Arbeit­ge­ber gesetz­te „Wider­spruchs­frist” noch nicht abge­lau­fen ist. Im Übri­gen hat­te die Arbeit­ge­be­rin dem Arbeit­neh­mer nicht eröff­net, es soll­ten alle Tas­ta­tur­ein­ga­ben an sei­nem Dienst-PC „mit­ge­loggt” und regel­mä­ßig Screen­shots gefer­tigt wer­den. Auch konn­te der Arbeit­neh­mer nicht erken­nen, zu wel­chem Zweck er über­wacht wur­de. Die E‑Mail der Arbeit­ge­be­rin vom 19.04.2015 leg­te den Schluss nahe, dass allein eine etwai­ge Inter­net­ak­ti­vi­tät über das neue Netz­werk und die­se auch „nur” hin­sicht­lich der abge­ru­fe­nen Inhal­te („Down­load von ille­ga­len Fil­men”, „Betrei­ber zur Ver­ant­wor­tung gezo­gen”, „recht­li­cher Miss­brauch”) kon­trol­liert wer­den soll­te. Das Lan­des­ar­beits­ge­richt hat nicht fest­ge­stellt, in der münd­li­chen Unter­wei­sung am 20.04.2015 sei­en anders­lau­ten­de oder wei­ter gehen­de Aus­sa­gen getrof­fen wor­den. Dem­entspre­chend ließ die Arbeit­ge­be­rin dem Arbeit­neh­mer in ihrem Schrei­ben vom 05.05.2015 ledig­lich mit­tei­len, sie habe „im Zuge der Umstel­lung des Inter­net­an­schlus­ses zur Ver­mei­dung eines etwai­gen Miss­brauchs die Online­ak­ti­vi­tä­ten, die über die­sen Anschluss lau­fen, kon­trol­liert und die­se Kon­trol­le im Vor­feld sowohl per E‑Mail als auch im Rah­men einer Anspra­che an die gesam­te Beleg­schaft ange­kün­digt.”

Mit der ohne Ein­wil­li­gung des Arbeit­neh­mers erfolg­ten Daten­er­he­bung durch den Key­log­ger hat die Arbeit­ge­be­rin in des­sen durch Art. 2 Abs. 1 iVm. Art. 1 Abs. 1 GG geschütz­tes Recht auf infor­ma­tio­nel­le Selbst­be­stim­mung ein­ge­grif­fen.

Für einen Ein­griff in den Schutz­be­reich die­ses Grund­rechts ist es ohne Bedeu­tung, ob die Daten­er­he­bung in ver­deck­ter Form oder für den Arbeit­neh­mer erkenn­bar erfolgt.

Bei dem ver­deck­ten Ein­satz eines Key­log­gers wird der betrof­fe­ne Arbeit­neh­mer in der Befug­nis, selbst über die Preis­ga­be und Ver­wen­dung per­sön­li­cher Daten zu befin­den, beschränkt, indem er zum Ziel einer nicht erkenn­ba­ren – sys­te­ma­ti­schen – Beob­ach­tung durch den Arbeit­ge­ber gemacht wird und dadurch auf sich bezieh­ba­re Daten über sein Ver­hal­ten preis­gibt, ohne die Über­wa­chung oder gar den mit ihr ver­folg­ten Ver­wen­dungs­zweck zu ken­nen8.

Wird der Key­log­ger offen ein­ge­setzt, liegt ein Ein­griff in das Recht auf infor­ma­tio­nel­le Selbst­be­stim­mung vor, weil die Auf­zeich­nung und Spei­che­rung sämt­li­cher Tas­ta­tur­ein­ga­ben und bestimm­ter Bild­schirmin­hal­te der Vor­be­rei­tung mög­li­cher belas­ten­der Maß­nah­men (Ermah­nung, Abmah­nung, Kün­di­gung) die­nen und zugleich abschre­ckend wir­ken und inso­weit das Ver­hal­ten des Betrof­fe­nen len­ken soll9.

Der Ein­griff in den Schutz­be­reich von Art. 2 Abs. 1 iVm. Art. 1 Abs. 1 GG ent­fällt nicht dadurch, dass ledig­lich Ver­hal­tens­wei­sen am Arbeits­platz erfasst wer­den. Das all­ge­mei­ne Per­sön­lich­keits­recht gewähr­leis­tet nicht allein den Schutz der Pri­vat- und Intim­sphä­re, son­dern trägt in Gestalt des Rechts auf infor­ma­tio­nel­le Selbst­be­stim­mung auch den infor­ma­tio­nel­len Schutz­in­ter­es­sen des­je­ni­gen Rech­nung, der sich in die (Betriebs-)Öffent­lich­keit begibt10.

Ein Ein­griff in das Recht auf infor­ma­tio­nel­le Selbst­be­stim­mung setzt nicht vor­aus, dass der betrof­fe­ne Arbeit­neh­mer das infor­ma­ti­ons­tech­ni­sche Sys­tem, über das Daten erho­ben wer­den, als eige­nes nutzt und des­halb den Umstän­den nach davon aus­ge­hen darf, dass er allein oder zusam­men mit ande­ren zur Nut­zung berech­tig­ten Per­so­nen über das Sys­tem selbst­be­stimmt ver­fü­ge. Die­se Ein­schrän­kung betrifft allein das eben­falls von Art. 2 Abs. 1 iVm. Art. 1 Abs. 1 GG geschütz­te Grund­recht auf Gewähr­leis­tung der Ver­trau­lich­keit und Inte­gri­tät infor­ma­ti­ons­tech­ni­scher Sys­te­me, dem ggf. eine lücken­fül­len­de Funk­ti­on zukommt11.

Der Ein­satz des Key­log­gers war der Arbeit­ge­be­rin nicht nach § 32 Abs. 1 BDSG erlaubt. Es fehl­te bereits an dem inso­weit erfor­der­li­chen, durch kon­kre­te Tat­sa­chen begrün­de­ten Anfangs­ver­dacht einer Straf­tat oder einer ande­ren schwe­ren Pflicht­ver­let­zung. Eine Maß­nah­me, die hin­sicht­lich der Inten­si­tät des durch sie bewirk­ten Ein­griffs in das all­ge­mei­ne Per­sön­lich­keits­recht des Arbeit­neh­mers mit einer (ver­deck­ten) Video­über­wa­chung ver­gleich­bar ist, stellt sich als unver­hält­nis­mä­ßig dar, wenn sie auf­grund blo­ßer Mut­ma­ßun­gen ergrif­fen wird.

Nach § 32 Abs. 1 Satz 1 BDSG dür­fen per­so­nen­be­zo­ge­ne Daten eines Beschäf­tig­ten für Zwe­cke des Beschäf­ti­gungs­ver­hält­nis­ses ua. dann erho­ben, ver­ar­bei­tet oder genutzt wer­den, wenn dies für des­sen Durch­füh­rung oder Been­di­gung erfor­der­lich ist. Zur Durch­füh­rung gehört die Kon­trol­le, ob der Arbeit­neh­mer sei­nen Pflich­ten nach­kommt12, zur Been­di­gung iSd. Kün­di­gungs­vor­be­rei­tung13 die Auf­de­ckung einer Pflicht­ver­let­zung, die die Kün­di­gung des Arbeits­ver­hält­nis­ses recht­fer­ti­gen kann14. Sofern nach § 32 Abs. 1 Satz 1 oder Satz 2 BDSG zuläs­sig erho­be­ne Daten den Ver­dacht einer sol­chen Pflicht­ver­let­zung begrün­den, dür­fen sie für die Zwe­cke und unter den Vor­aus­set­zun­gen des § 32 Abs. 1 Satz 1 BDSG auch ver­ar­bei­tet und genutzt wer­den15. Der Begriff der Been­di­gung umfasst dabei die Abwick­lung eines Beschäf­ti­gungs­ver­hält­nis­ses16. Der Arbeit­ge­ber darf des­halb alle Daten spei­chern und ver­wen­den, die er benö­tigt, um die ihm oblie­gen­de Dar­le­gungs- und Beweis­last in einem poten­ti­el­len Kün­di­gungs­schutz­pro­zess zu erfül­len17.

§ 32 Abs. 1 Satz 2 BDSG erlaubt die Daten­er­he­bung, ‑ver­ar­bei­tung und ‑nut­zung in Fäl­len, in denen – unab­hän­gig von den in § 32 Abs. 1 Satz 1 BDSG näher bestimm­ten Zwe­cken – Anhalts­punk­te für den Ver­dacht einer im Beschäf­ti­gungs­ver­hält­nis began­ge­nen Straf­tat bestehen. Der Gesetz­ge­ber geht davon aus, dass Maß­nah­men, die vom Arbeit­ge­ber ergrif­fen wer­den, um straf­ba­res Ver­hal­ten eines Arbeit­neh­mers auf­zu­de­cken, in der Regel beson­ders inten­siv in des­sen all­ge­mei­nes Per­sön­lich­keits­recht ein­grei­fen16. Das ist ins­be­son­de­re bei einer zu die­sem Zweck erfol­gen­den (ver­deck­ten) Über­wa­chung von Beschäf­tig­ten der Fall, wes­halb die – von der Geset­zes­be­grün­dung in Bezug genom­me­nen – restrik­ti­ven Grund­sät­ze der hier­zu ergan­ge­nen Recht­spre­chung in § 32 Abs. 1 Satz 2 BDSG geson­dert kodi­fi­ziert wur­den. Die Vor­schrift soll hin­sicht­lich der Ein­griffs­in­ten­si­tät damit ver­gleich­ba­re Maß­nah­men erfas­sen18. Die­se sol­len allen­falls dann zuläs­sig sein, wenn der durch kon­kre­te Tat­sa­chen begrün­de­te „ein­fa­che” Ver­dacht (Anfangs­ver­dacht)19 einer im Beschäf­ti­gungs­ver­hält­nis began­ge­nen Straf­tat besteht.

§ 32 Abs. 1 Satz 2 BDSG ent­fal­tet kei­ne „Sperr­wir­kung” der­ge­stalt, dass eine anlass­be­zo­ge­ne Daten­er­he­bung durch den Arbeit­ge­ber aus­schließ­lich zur Auf­de­ckung von Straf­ta­ten zuläs­sig wäre und sie nicht nach § 32 Abs. 1 Satz 1 BDSG zuläs­sig sein könn­te20. Aller­dings muss der mit einer Daten­er­he­bung ver­bun­de­ne Ein­griff in das all­ge­mei­ne Per­sön­lich­keits­recht des Arbeit­neh­mers auch im Rah­men von § 32 Abs. 1 Satz 1 BDSG einer Abwä­gung der bei­der­sei­ti­gen Inter­es­sen nach dem – dort gleich­falls ver­an­ker­ten – Grund­satz der Ver­hält­nis­mä­ßig­keit stand­hal­ten21. Die­ser ver­langt, dass der Ein­griff geeig­net, erfor­der­lich und unter Berück­sich­ti­gung der gewähr­leis­te­ten Frei­heits­rech­te ange­mes­sen ist, um den erstreb­ten Zweck zu errei­chen22. Es dür­fen kei­ne ande­ren, zur Ziel­er­rei­chung gleich wirk­sa­men und das Per­sön­lich­keits­recht der Arbeit­neh­mer weni­ger ein­schrän­ken­den Mit­tel zur Ver­fü­gung ste­hen. Die Ver­hält­nis­mä­ßig­keit im enge­ren Sin­ne (Ange­mes­sen­heit) ist gewahrt, wenn die Schwe­re des Ein­griffs bei einer Gesamt­ab­wä­gung nicht außer Ver­hält­nis zu dem Gewicht der ihn recht­fer­ti­gen­den Grün­de steht23. Die Daten­er­he­bung, ‑ver­ar­bei­tung oder ‑nut­zung darf kei­ne über­mä­ßi­ge Belas­tung für den Arbeit­neh­mer dar­stel­len und muss der Bedeu­tung des Infor­ma­ti­ons­in­ter­es­ses des Arbeit­ge­bers ent­spre­chen. Danach muss im Fal­le einer der (ver­deck­ten) Video­über­wa­chung ver­gleich­bar ein­griffs­in­ten­si­ven Maß­nah­me, die auf § 32 Abs. 1 Satz 1 BDSG gestützt wer­den soll, der auf kon­kre­te Tat­sa­chen begrün­de­te Ver­dacht einer schwer­wie­gen­den, jedoch nicht straf­ba­ren Pflicht­ver­let­zung bestehen. Eine ent­spre­chen­de ver­deck­te Ermitt­lung „ins Blaue hin­ein”, ob ein Arbeit­neh­mer sich pflicht­wid­rig ver­hält, ist auch nach § 32 Abs. 1 Satz 1 BDSG unzu­läs­sig24. Sie ist, ohne dass es noch dar­auf ankä­me, ob mil­de­re, gleich effek­ti­ve Mit­tel vor­han­den waren, jeden­falls unan­ge­mes­sen (nicht ver­hält­nis­mä­ßig im enge­ren Sin­ne).

Aus Vor­ste­hen­dem folgt zugleich, dass weni­ger inten­siv in das all­ge­mei­ne Per­sön­lich­keits­recht des Arbeit­neh­mers ein­grei­fen­de Daten­er­he­bun­gen nach § 32 Abs. 1 BDSG ohne Vor­lie­gen eines durch Tat­sa­chen begrün­de­ten Anfangs­ver­dachts, zumal einer Straf­tat oder ande­ren schwe­ren Pflicht­ver­let­zung, zuläs­sig sein kön­nen. Das gilt vor allem für nach abs­trak­ten Kri­te­ri­en durch­ge­führ­te, kei­nen Arbeit­neh­mer beson­ders unter Ver­dacht stel­len­de offe­ne Über­wa­chungs­maß­nah­men, die der Ver­hin­de­rung von Pflicht­ver­let­zun­gen die­nen sol­len. Sol­che prä­ven­ti­ven Maß­nah­men kön­nen sich schon auf­grund des Vor­lie­gens einer abs­trak­ten Gefahr als ver­hält­nis­mä­ßig erwei­sen, wenn sie kei­nen sol­chen psy­chi­schen Anpas­sungs­druck erzeu­gen, dass die Betrof­fe­nen bei objek­ti­ver Betrach­tung in ihrer Frei­heit, ihr Han­deln aus eige­ner Selbst­be­stim­mung zu pla­nen und zu gestal­ten, wesent­lich gehemmt sind25. Dem­entspre­chend kann die vor­über­ge­hen­de Spei­che­rung und stich­pro­ben­ar­ti­ge Kon­trol­le der Ver­laufs­da­ten eines Inter­net­brow­sers zuläs­sig sein, um die Ein­hal­tung eines vom Arbeit­ge­ber auf­ge­stell­ten kom­plet­ten Ver­bots oder doch einer Beschrän­kung der Pri­vat­nut­zung von IT-Ein­rich­tun­gen zu kon­trol­lie­ren. Dabei wer­den ledig­lich die Adres­sen und Titel der auf­ge­ru­fe­nen Sei­ten und der Zeit­punkt des Auf­rufs pro­to­kol­liert und damit nicht mehr Daten gespei­chert, als benö­tigt wer­den, um einen mög­li­chen inhalt­li­chen oder zeit­li­chen Miss­brauch der Nut­zungs­rech­te fest­zu­stel­len26. Wür­den die gespei­cher­ten Ver­laufs­da­ten nicht zumin­dest stich­pro­ben­ar­tig über­prüft, könn­ten Zuwi­der­hand­lun­gen gegen das Ver­bot oder die Beschrän­kung der Pri­vat­nut­zung von IT-Ein­rich­tun­gen des Arbeit­ge­bers nicht geahn­det wer­den und könn­te die Daten­er­he­bung ihre ver­hal­tens­len­ken­de Wir­kung nicht ent­fal­ten.

Mit die­sem Inhalt steht § 32 Abs. 1 BDSG im Ein­klang mit den Vor­ga­ben der eine umfas­sen­de Har­mo­ni­sie­rung27 vor­se­hen­den Richt­li­nie 95/​46/​EG des Euro­päi­schen Par­la­ments und des Rates vom 24.10.1995 zum Schutz natür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten und zum frei­en Daten­ver­kehr (ABl. L 281 vom 23.11.1995 S. 31)). Einer­seits wird mit dem aus dem Grund­satz der Ver­hält­nis­mä­ßig­keit abge­lei­te­ten Erfor­der­nis des auf kon­kre­te Tat­sa­chen gestütz­ten Anfangs­ver­dachts einer Straf­tat oder ande­ren schwe­ren Pflicht­ver­let­zung für beson­ders ein­griffs­in­ten­si­ve Maß­nah­men nicht ent­ge­gen Art. 5 der Richt­li­nie ein zusätz­li­cher, die Daten­er­he­bung erschwe­ren­der Grund­satz ein­ge­führt oder durch eine zusätz­li­che Bedin­gung die Trag­wei­te eines der in Art. 7 der Richt­li­nie vor­ge­se­he­nen Grund­sät­ze ver­än­dert28. Ande­rer­seits genügt der vom Bun­des­ar­beits­ge­richt her­an­ge­zo­ge­ne Ver­hält­nis­mä­ßig­keits­grund­satz dem durch die Richt­li­nie sowie Art. 7 der Char­ta der Grund­rech­te der Euro­päi­schen Uni­on29 und Art. 8 EMRK30 garan­tier­ten Schutz­ni­veau für die von einer Daten­er­he­bung Betrof­fe­nen31.

Bei dem (zeit­lich nicht begrenz­ten) ver­deck­ten Ein­satz eines Key­log­gers an einem Dienst-PC han­delt es sich um eine Daten­er­he­bung, die hin­sicht­lich der Inten­si­tät des mit ihr ver­bun­de­nen Ein­griffs in das all­ge­mei­ne Per­sön­lich­keits­recht des Betrof­fe­nen mit einer – ver­deck­ten – Video­über­wa­chung am Arbeits­platz ver­gleich­bar ist. Zwar berührt der Ein­satz eines Key­log­gers grund­sätz­lich nicht das Recht am eige­nen Bild, ins­be­son­de­re ist er regel­mä­ßig nicht geeig­net, Ver­hal­tens­wei­sen optisch zu erfas­sen, die von dem Betrof­fe­nen als pein­lich emp­fun­den wer­den. Jedoch wird mit der Daten­er­he­bung durch einen Key­log­ger mas­siv in das Recht des Betrof­fe­nen auf infor­ma­tio­nel­le Selbst­be­stim­mung ein­ge­grif­fen. Es wer­den – für den Benut­zer irrever­si­bel – alle Ein­ga­ben über die Tas­ta­tur eines Com­pu­ters ein­schließ­lich des Zeit­punkts der Ein­ga­be sowie des zeit­li­chen Abstands zwi­schen zwei Ein­ga­ben erfasst und gespei­chert. Die auf die­se Wei­se gewon­ne­nen Daten ermög­li­chen es, ein nahe­zu umfas­sen­des und lücken­lo­ses Pro­fil sowohl von der pri­va­ten als auch dienst­li­chen Nut­zung durch den Betrof­fe­nen zu erstel­len. Dabei wer­den nicht nur gespei­cher­te End­fas­sun­gen und ggf. Zwi­schen­ent­wür­fe bestimm­ter Doku­men­te sicht­bar, son­dern es lässt sich jeder Schritt der Arbeits­wei­se des Benut­zers nach­voll­zie­hen. Dar­über hin­aus kön­nen beson­de­re Arten per­so­nen­be­zo­ge­ner Daten iSv. § 3 Abs. 9 BDSG oder – so im Streit­fall – ande­re hoch­sen­si­ble Daten wie zB Benut­zer­na­men, Pass­wör­ter für geschütz­te Berei­che, Kre­dit­kar­ten­da­ten, PIN-Num­mern etc. pro­to­kol­liert wer­den, ohne dass dies für die ver­folg­ten Kon­troll- und Über­wa­chungs­zwe­cke erfor­der­lich wäre. Eben­so hat der betrof­fe­ne Arbeit­neh­mer weder Ver­an­las­sung noch die Mög­lich­keit, bestimm­te Inhal­te als pri­vat oder gar höchst­per­sön­lich zu kenn­zeich­nen und damit ggf. dem Zugriff des Arbeit­ge­bers zu ent­zie­hen. Die­ser ohne­hin schon weit über­schie­ßen­de Ein­griff in das Recht auf infor­ma­tio­nel­le Selbst­be­stim­mung des Betrof­fe­nen wird noch ver­stärkt, wenn – wie hier – regel­mä­ßig Screen­shots gefer­tigt wer­den.

Die Wür­di­gung des Beru­fungs­ge­richts, die Arbeit­ge­be­rin habe kei­ne Tat­sa­chen dar­ge­legt, die vor dem Ein­satz des Key­log­gers den Anfangs­ver­dacht einer Straf­tat oder schwe­ren Pflicht­ver­let­zung begrün­det hat­ten, ist revi­si­ons­recht­lich nicht zu bean­stan­den.

Das Lan­des­ar­beits­ge­richt hat ange­nom­men, die Arbeit­ge­be­rin habe ledig­lich einen Vor­fall kon­kret beschrie­ben. Das von einer Arbeit­neh­me­rin mit­ge­teil­te ein­ma­li­ge has­ti­ge „Weg­kli­cken” einer „stark bebil­der­ten” Web­sei­te sei aber nicht geeig­net, den kon­kre­ten Ver­dacht einer exzes­si­ven Pri­vat­nut­zung des Dienst-PC zu begrün­den. Im Wei­te­ren sei der Vor­trag der Arbeit­ge­be­rin sub­stanz­los geblie­ben. Das gel­te zum einen für die einer Beweis­auf­nah­me nicht zugäng­li­che Behaup­tung, auch ande­re Mit­ar­bei­ter hät­ten ange­ge­ben, der Arbeit­neh­mer gehe wäh­rend sei­ner Arbeits­zeit in erheb­li­chem Umfang außer­dienst­li­chen Akti­vi­tä­ten nach. Zum ande­ren habe die Arbeit­ge­be­rin nicht sub­stan­ti­iert dar­ge­tan, dass die Leis­tun­gen des Arbeit­neh­mers erheb­lich nach­ge­las­sen hät­ten.

Die­se Aus­füh­run­gen las­sen kei­nen mate­ri­el­len Rechts­feh­ler erken­nen. Die Revi­si­on zeigt auch kei­nen Feh­ler bei der Anwen­dung des Pro­zess­rechts auf.

Das Beru­fungs­ge­richt hat es – still­schwei­gend, zu Recht als unmaß­geb­lich ange­se­hen, dass die Arbeit­ge­be­rin die tat­säch­li­chen Anhalts­punk­te, die aus ihrer Sicht den Ver­dacht straf­ba­ren Ver­hal­tens des Arbeit­neh­mers begrün­de­ten, nicht iSv. § 32 Abs. 1 Satz 2 BDSG doku­men­tiert hat. Ein sol­ches Ver­säum­nis führt weder zu einer Prä­k­lu­si­on mit Vor­trag zu den Ver­dachts­mo­men­ten im Pro­zess noch begrün­det es für sich genom­men die Unver­wert­bar­keit der aus der Maß­nah­me gewon­ne­nen Erkennt­nis­se. Die Vor­ga­be, die Tat­sa­chen zu doku­men­tie­ren, auf die sich ein Anfangs­ver­dacht grün­det, ver­folgt den Zweck, dem hier­von erfass­ten Per­so­nen­kreis die nach­träg­li­che Recht­mä­ßig­keits­kon­trol­le zu erleich­tern. Aus ihr kann ein pro­zes­sua­les Ver­wer­tungs­ver­bot jeden­falls dann nicht abge­lei­tet wer­den, wenn der Arbeit­ge­ber den Ver­dacht von Straf­ta­ten spä­tes­tens im Rechts­streit durch kon­kre­te Tat­sa­chen unter­mau­ert und dadurch eine Recht­mä­ßig­keits­kon­trol­le gesi­chert ist32.

Das Lan­des­ar­beits­ge­richt hat die Dar­le­gungs­last der Arbeit­ge­be­rin nicht über­spannt. Auch bei ver­meint­lich krea­tiv täti­gen Arbeit­neh­mern lässt sich anhand objek­ti­ver Tat­sa­chen fest­stel­len, inwie­weit sie die ihnen über­tra­ge­nen Auf­ga­ben frist­ge­recht und ent­spre­chend den inhalt­li­chen Vor­ga­ben erle­digt haben. Kei­nes­falls reicht es aus, sich im Rechts­streit auf einen nicht näher begrün­de­ten Ein­druck eines Vor­ge­setz­ten oder des Geschäfts­füh­rers zurück­zu­zie­hen.

Die von der Arbeit­ge­be­rin erho­be­ne Rüge, das Beru­fungs­ge­richt habe sie gemäß § 139 ZPO dar­auf hin­wei­sen müs­sen, dass ihr Vor­trag zum Vor­lie­gen eines durch kon­kre­te Tat­sa­chen begrün­de­ten Anfangs­ver­dachts unzu­rei­chend sei, ist unzu­läs­sig. Die Revi­si­on legt nicht dar, war­um die Vor­in­stanz einem gewis­sen­haf­ten und kun­di­gen Pro­zess­be­tei­lig­ten in der kon­kre­ten Lage des Pro­zes­ses, ins­be­son­de­re nach den Ein­las­sun­gen des Arbeit­neh­mers den von ihr ver­miss­ten Hin­weis hät­te ertei­len müs­sen. Über­dies fehl­te es nach dem eige­nen Vor­brin­gen der Arbeit­ge­be­rin an der Ent­schei­dungs­er­heb­lich­keit einer Ver­let­zung der rich­ter­li­chen Hin­weis­pflicht. Sie räumt selbst ein, es sei ihr nicht mög­lich gewe­sen, ihr Vor­brin­gen zu ergän­zen.

§ 28 Abs. 1 BDSG schied als Erlaub­nis­norm aus. Die Vor­schrift fin­det im Beschäf­ti­gungs­ver­hält­nis nur Anwen­dung, wenn nicht – wie hier – die Zwe­cke des § 32 Abs. 1 BDSG betrof­fen sind33. Dem­ge­gen­über kann eine Daten­er­he­bung, die weder der Auf­de­ckung von Straf­ta­ten iSd. § 32 Abs. 1 Satz 2 BDSG noch sons­ti­gen Zwe­cken des Beschäf­ti­gungs­ver­hält­nis­ses iSv. § 32 Abs. 1 Satz 1 BDSG dient, „zur Wah­rung berech­tig­ter Inter­es­sen” iSv. § 28 Abs. 1 Satz 1 Nr. 2 BDSG zuläs­sig sein34.

Es kann dahin­ste­hen, ob Erkennt­nis­se, die der Arbeit­ge­ber im Anwen­dungs­be­reich des § 32 Abs. 1 BDSG unter Ver­let­zung des Rechts auf infor­ma­tio­nel­le Selbst­be­stim­mung gewon­nen hat, aus­nahms­wei­se im Rechts­streit ver­wer­tet wer­den dür­fen. Das könn­te nur dann in Betracht kom­men, wenn wei­te­re, über das schlich­te Beweis­in­ter­es­se hin­aus­ge­hen­de Aspek­te hin­zu­tre­ten und die­se beson­de­ren Umstän­de gera­de die in Fra­ge ste­hen­de Infor­ma­ti­ons­be­schaf­fung als gerecht­fer­tigt aus­wei­sen35. Im Streit­fall fehlt es schon an ers­tem. Ein Arbeit­ge­ber, der – wie hier die Arbeit­ge­be­rin – eine Über­wa­chungs­maß­nah­me „ins Blaue hin­ein” ver­an­lasst, befin­det sich weder in einer Not­wehr- oder not­wehr­ähn­li­chen Situa­ti­on gemäß § 227 BGB bzw. § 32 StGB noch in einer Not­stands­la­ge iSv. § 34 StGB36.

Das Lan­des­ar­beits­ge­richt hat zu Recht ange­nom­men, die Kün­di­gun­gen sei­en auch als Ver­dachts­kün­di­gun­gen unwirk­sam. Es muss­te den Sach­vor­trag der Arbeit­ge­be­rin, mit dem sie die durch den Key­log­ger gewon­ne­nen Erkennt­nis­se in den Rechts­streit ein­ge­führt hat, auch bei der Wür­di­gung außer Acht las­sen, ob gegen den Arbeit­neh­mer der drin­gen­de Ver­dacht eines Ver­hal­tens bestand, das, wäre es erwie­sen, eine außer­or­dent­li­che, frist­lo­se Kün­di­gung gerecht­fer­tigt hät­te37.

Bun­des­ar­beits­ge­richt, Urteil vom 27. Juli 2017 – 2 AZR 681/​16

  1. BVerfG 13.02.2007 – 1 BvR 421/​05, Rn. 93, BVerfGE 117, 202
  2. BAG 29.06.2017 – 2 AZR 597/​16, Rn. 21; 20.10.2016 – 2 AZR 395/​15, Rn. 18; 22.09.2016 – 2 AZR 848/​15, Rn. 23, BAGE 156, 370; BGH 15.05.2013 – XII ZB 107/​08, Rn. 21
  3. BVerfG 11.03.2008 – 1 BvR 2074/​05 ua., Rn. 67, BVerfGE 120, 378; 23.02.2007 – 1 BvR 2368/​06, Rn. 37, BVerfGK 10, 330; 15.12 1983 – 1 BvR 209/​83 ua., zu C II 1 a der Grün­de, BVerfGE 65, 1
  4. BAG 20.10.2016 – 2 AZR 395/​15, Rn. 17; 22.09.2016 – 2 AZR 848/​15, Rn. 22, BAGE 156, 370
  5. BAG 29.06.2017 – 2 AZR 597/​16, Rn. 22
  6. LAG Hamm, Urteil vom 17.06.2016 – 16 Sa 1711/​15
  7. für die Video­über­wa­chung im öffent­li­chen Raum: vgl. BVerfG 23.02.2007 – 1 BvR 2368/​06, Rn. 40, BVerfGK 10, 330; BVerwG 25.01.2012 – 6 C 9/​11, Rn. 25, BVerw­GE 141, 329
  8. für die auto­ma­ti­sier­te Erhe­bung öffent­lich zugäng­li­cher Infor­ma­tio­nen vgl. BVerfG 11.03.2008 – 1 BvR 2074/​05 ua., Rn. 67, BVerfGE 120, 378; für die Obser­va­ti­on durch einen Detek­tiv außer­halb des Betriebs­ge­län­des vgl. BAG 29.06.2017 – 2 AZR 597/​16, Rn. 24
  9. für die offe­ne Video­über­wa­chung im öffent­li­chen Raum: vgl. BVerfG 23.02.2007 – 1 BvR 2368/​06, Rn. 38, BVerfGK 10, 330; BVerwG 25.01.2012 – 6 C 9/​11, Rn. 24, BVerw­GE 141, 329
  10. für die Video­über­wa­chung vgl. BVerfG 23.02.2007 – 1 BvR 2368/​06, Rn. 39, BVerfGK 10, 330; BVerwG 25.01.2012 – 6 C 9/​11, Rn. 25, BVerw­GE 141, 329; für die Obser­va­ti­on durch einen Detek­tiv vgl. BAG 29.06.2017 – 2 AZR 597/​16, Rn. 24
  11. BVerfG 27.02.2008 – 1 BvR 370/​07 ua., Rn.201 und Rn.206, BVerfGE 120, 274
  12. Gola/​Schomerus BDSG 12. Aufl. § 32 Rn. 16; Grimm JM 2016, 17, 19
  13. dazu Grimm, aaO
  14. BAG 29.06.2017 – 2 AZR 597/​16, Rn. 26
  15. BAG 29.06.2017 – 2 AZR 597/​16 – aaO; 20.10.2016 – 2 AZR 395/​15, Rn. 40; 22.09.2016 – 2 AZR 848/​15, Rn. 37 f., BAGE 156, 370
  16. BT-Drs. 16/​13657 S. 21
  17. BAG 29.06.2017 – 2 AZR 597/​16 – aaO; Stamer/​Kuhnke in Plath BDSG § 32 Rn. 149; HWK/​Lembke 7. Aufl. § 32 BDSG Rn. 15
  18. BAG 29.06.2017 – 2 AZR 597/​16, Rn. 27; 12.02.2015 – 6 AZR 845/​13, Rn. 75, BAGE 151, 1
  19. BAG 20.10.2016 – 2 AZR 395/​15, Rn. 25
  20. aus­führ­lich BAG 29.06.2017 – 2 AZR 597/​16, Rn. 28 ff.
  21. BAG 29.06.2017 – 2 AZR 597/​16, Rn. 32; 17.11.2016 – 2 AZR 730/​15, Rn. 30; 7.09.1995 – 8 AZR 828/​93, zu II 2 c bb der Grün­de, BAGE 81, 15; 22.10.1986 – 5 AZR 660/​85, zu B I 2 a der Grün­de, BAGE 53, 226
  22. BAG 29.06.2017 – 2 AZR 597/​16 – aaO; 17.11.2016 – 2 AZR 730/​15 – aaO; 15.04.2014 – 1 ABR 2/​13 (B), Rn. 41, BAGE 148, 26; 29.06.2004 – 1 ABR 21/​03, zu B I 2 d der Grün­de, BAGE 111, 173
  23. BVerfG 4.04.2006 – 1 BvR 518/​02, zu B I 2 b dd der Grün­de, BVerfGE 115, 320; BAG 29.06.2017 – 2 AZR 597/​16 – aaO; 15.04.2014 – 1 ABR 2/​13 (B) – aaO
  24. BAG 29.06.2017 – 2 AZR 597/​16 – aaO
  25. dazu BAG 25.04.2017 – 1 ABR 46/​15, Rn.20 und Rn. 28 ff.
  26. LAG Ber­lin-Bran­den­burg 14.01.2016 – 5 Sa 657/​15, zu B I 4 a aa (8) (d) der Grün­de
  27. zur Begriff­lich­keit EuGH 6.11.2003 – C‑101/​01 – [Lind­qvist] Rn. 96 f., Slg. 2003, I‑12971
  28. dazu EuGH 19.10.2016 – C‑582/​14 – [Brey­er] Rn. 57 ff.; 24.11.2011 – C‑468/​10 und – C‑469/​10 – [ASNEF] Rn. 33, 34 und 36
  29. dazu EuGH 11.12 2014 – C‑212/​13 – [Ryneš] Rn. 28
  30. dazu EuGH 9.11.2010 – C‑92/​09 und – C‑93/​09 – [Vol­ker und Mar­kus Sche­cke] Rn. 52, Slg. 2010, I‑11063; BAG 19.02.2015 – 8 AZR 1007/​13, Rn.20 f.
  31. BAG 29.06.2017 – 2 AZR 597/​16, Rn. 38; EGMR 5.10.2010 – 420/​07 – EuGRZ 2011, 471
  32. BAG 20.10.2016 – 2 AZR 395/​15, Rn. 33
  33. BT-Drs. 16/​13657 S.20 f.
  34. BAG 29.06.2017 – 2 AZR 597/​16, Rn. 25; Gola/​Schomerus BDSG 12. Aufl. § 32 Rn. 2, 45 f.
  35. BAG 22.09.2016 – 2 AZR 848/​15, Rn. 24, BAGE 156, 370; 20.06.2013 – 2 AZR 546/​12, Rn. 29, BAGE 145, 278
  36. dazu BAG 13.12 2007 – 2 AZR 537/​06, Rn. 36; BGH 15.05.2013 – XII ZB 107/​08, Rn. 23 f.
  37. dazu, dass dies auch für eine ordent­li­che Ver­dachts­kün­di­gung erfor­der­lich ist, BAG 18.06.2015 – 2 AZR 256/​14, Rn. 22