Archiv der Kategorie: Arbeitsrecht

Wenig überraschend: Einsatz von „Keyloggern“ zur Mitarbeiterüberwachung grundsätzlich unzulässig (BAG, Az. 2 AZR 681/16)

Das Bundesarbeitsgericht (BAG) hatte im Verfahren 2 AZR 681/16 am gestrigen Tag, den 27. Juli 2017, über die Zulässigkeit einer Kündigung wegen privater Internetnutzung zu befinden. Soweit so vorerst wenig spannend. Dem Ganzen lag jedoch ein – gerade aus Perspektive diesen Blogs und damit vermutlich der unserer Leserschaft – spannender Sachverhalt zu Grunde:

Der Arbeitgeber kündigte dem Arbeitnehmer außerordentlich fristlos, hilfsweise ordentlich. Als Kündigungsgrund wurde angegeben, dass der Arbeitnehmer seinen Dienst-PC privat in einem erheblichen Umfang genutzt habe.

Diese Feststellung hatte der Arbeitgeber deswegen treffen können, da seit April 2015 der gesamte Internet-Traffic und die Benutzung sämtlicher Systeme im Unternehmen mittels eines sogenannten  Keyloggers protokolliert wurde. Ein Keylogger ist eine Software, die sämtliche Tastatureingaben speichert („loggt“) und teilweise – so hier – regelmäßig Screenshots fertigt. Diese Protokollierung war den Arbeitnehmern aufgrund einer Mitteilung bekannt.

Auf den Vorhalt der Privatnutzung hatte der Arbeitnehmer schriftlich eingeräumt, er habe den PC nur in geringem Umfang und vorwiegend in seinen Pausen genutzt.

Der Arbeitnehmer wehrte sich gegen die vom Arbeitgeber ausgesprochene Kündigung mit einer Kündigungsschutzklage – und zwar mit Erfolg. Das BAG entschied (wie zuvor das Landesarbeitsgericht Hamm, Az. 16 Sa 1711/15) , dass die Kündigung unzulässig gewesen sei. Es hätte im Vorwege bezüglich der privaten Nutzung der IT-Infrastruktur einer Abmahnung bedurft.

Warum ist die Kündigungsschutzklage erfolgreich, wenn die erhebliche Privatnutzung doch feststand? 

Wer diesen Blog schon länger liest, der weiß zum einen, dass das Thema private Internet-/IT-Nutzung am Arbeitsplatz hier regelmäßig Gegenstand der Beiträge ist. Zum anderen ist durch die Lektüre bekannt, dass eine private Nutzung der IT-Infrastruktur des Arbeitgebers durchaus zu einer (außerordentlichen) Kündigung führen kann. Voraussetzung hierfür ist, dass gegen eine Verpflichtung aus dem Arbeitsvertrag verstoßen wurde. Dies ist bei einem Verbot der privaten Nutzung immer, bei einer Duldung oder Erlaubnis dann der Fall, wenn die private Nutzung in einem unangemessenen und erheblichen Umfang erfolgte.

Auf den ersten Blick liegt auch in unserem Fall eine erhebliche Privatnutzung vor, die demgemäß zur (fristlosen) Kündigung berechtigen würde. Doch die große Frage war, ob die durch den Keylogger gewonnenen Erkenntnisse zum Nachweis der erheblichen Nutzung und damit zur Begründung der Kündigung herangezogen werden konnte. Die Antwort lautet: Nein, die Keylogger-Daten durften hier nicht zum Beweis der erheblichen Privatnutzung herangezogen werden.

Wie wir an anderer Stelle schon einmal schrieben, existiert im deutschen Zivil- und Arbeitsrecht kein allgemeines Verwertungsverbot. Demnach müssen die Gerichte grundsätzlich alle angebotenen Beweismittel berücksichtigen. Dabei bilden jedoch die Beweismittel, die rechtswidrig erlangt worden, eine Ausnahme. Denn bei Ihnen ist zu prüfen, ob die Verwertung des Beweismittels den Betroffenen (hier den Arbeitnehmer) in seinen Rechten verletzt. Ist dies der Fall, kommt ein Verwertungsverbot in Betracht. (Ausführlich dazu: („Private Internetnutzung am Arbeitsplatz“ – Artikel v. 12. Februar 2016)

Und so verhielt es sich hier. Die durch den Keylogger gewonnenen Erkenntnisse hinsichtlich der privaten Tätigkeiten des Arbeitnehmers durften nicht im Verfahren verwertet werden. Der Einsatz des Keyloggers verletzte den Arbeitnehmer in seinen allgemeinen Persönlichkeitsrechten, genau genommen in seinem Recht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 iVm. Art. 1 Abs. 1 GG). Dieser Eingriff in das Recht auf informationelle Selbstbestimmung konnte auch nicht über § 32 BDSG gerechtfertigt werden. § 32 Abs. 1 BDSG lautet:

Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

Der Einsatz eines Keyloggers ist nicht erforderlich im Sinne von § 32 Abs. 1 S. 1 BDSG. Und es gab auch keine Anhaltspunkte für den Verdacht einer Straftat im Sinne von § 32 Abs. 1 S. 2. In Folge dessen lag hier ein schlicht unverhältnismäßiger Eingriff in das Recht auf informationelle Selbstbestimmung des Arbeitnehmers durch das Installieren des Keyloggers seitens Arbeitgeber vor.

Damit blieb im Verfahren nur die vom Arbeitnehmer eingeräumte Nutzung im geringen Umfang „übrig“. Und eine solche reicht nicht für eine Kündigung. Hier bedarf es der vorgehenden Abmahnung.

Warum landete der Fall vor dem BAG?

Erstaunlich, dass dieser Fall überhaupt vor das BAG getrieben wurde. Denn auf den ersten Blick scheint der Fall sonnenklar. Für den Einsatz des Keyloggers gab es keine rechtfertigende Grundlage, folglich konnte die private Nutzung im erheblichen Umfang nicht nachgewiesen werden und damit war die Kündigung unzulässig.

Allerdings liegt uns bislang nur die Pressemitteilung des BAG und nicht das Urteil mit seinen Entscheidungsgründen vor. Und in der Pressemitteilung lässt ein Satz aufhorchen, nämlich: „Im Zusammenhang mit der Freigabe eines Netzwerks teilte die Beklagte ihren Arbeitnehmern im April 2015 mit, dass der gesamte „Internet-Traffic“ und die Benutzung ihrer Systeme „mitgeloggt“ werde.“ Ich könnte mir vorstellen, dass um die juristische Tragweite der Kenntnis der Arbeitnehmer davon, dass ein Keylogger eingesetzt wurde, gestritten wurde. Dies lässt sich jedenfalls auch schon aus dem Urteil des LG Hamm herauslesen. Der dahinterstehenden Idee, dass die Arbeitnehmer mit einem Keylogging „rechnen“ mussten und deswegen dessen Ergebnisse auch verwertet werden können mussten, wurde aber offensichtlich vom Bundesarbeitsgericht eine Absage erteilt. Verständlich. Aber ich bin dennoch schon jetzt auf die Entscheidungsgründe gespannt.

Okay, Sie interessiert das wahrscheinlich gar nicht so sehr. 😉 Aber das ist in Ordnung. Hiermit wissen Sie jedenfalls, dass der Einsatz von Keyloggern zur Kontrolle von Mitarbeitern nur in Ausnahmefällen zulässig ist und dass Sie grundsätzlich die Finger davon lassen. Das hätte ich Ihnen allerdings auch ohne das vorliegende BAG-Urteil geraten.

In diesem Sinne,

haben Sie vorerst einen schönen, nicht ganz so verregneten, Sommer.

PS: Hurra! Ich fahre nächste Woche in den Urlaub. Wir lesen uns danach! 🙂

Das könnte Sie in diesem Zusammenhang auch noch interessieren:

Active Sourcing und Talent Relationship Management (TRM) unter der Datenschutzgrundverordnung

Einsatz von Skype und zeitversetzten Video-Interviews in Personalauswahlverfahren unzulässig?

Kündigung wegen Beleidigung von Vorgesetzten mittels Emoticons (LAG BaWü, Az. 4 Sa 5/16)

Was tun bei geschäftsschädigenden Äußerungen von Mitarbeitern in Social Media?

Kündigung wegen Äußerungen in Social Media – Teil 2 (ArbG Herne, Az. 5 Ca 2806/15)

Kündigung wegen Äußerungen in Social Media – Teil 1 (ArbG Mannheim, Az. 6 Ca 190/15)

Fristlose Kündigung und Schadensersatz wegen privater Internetnutzung am Arbeitsplatz (LAG Rheinland-Pfalz, Az. 5 Sa 10/15)

Erlaubte private Internetnutzung am Arbeitsplatz macht Arbeitgeber zu Telekommunikationsanbietern – Oder doch nicht?

Erlaubt der EGMR das Lesen privater Nachrichten von Arbeitnehmern durch Arbeitgeber?

Active Sourcing und Talent Relationship Management (TRM) unter der Datenschutzgrundverordnung I – Teil 9 zur EU-DSGVO

Mitarbeit: Christian Frerix*

Wie auch hier in diesem Blog schon des öfteren beschrieben, gestaltet sich die Besetzung freier Stellen für Unternehmen zunehmend schwieriger. Abhängig von Region und/oder Branche bewerben sich auf offene Stellen entweder keine oder keine im Ansatz geeigneten Kandidaten. Von daher gehen viele Unternehmen (zwangsweise) inzwischen andere Wege. Sie machen sich auf und suchen selbst aktiv nach neuem Personal oder lassen suchen („sourcen“).

Ob mit der Aufgabe des „Active Sourcing“, der nachfolgenden Kandidatenansprache oder des Talent Relationship Managements nun Recruiter, Personalberater oder Headhunter betraut sind, ist in einer Hinsicht gleichgültig:  Es gilt, aus rechtlicher Sicht einige Spielregeln einzuhalten, wie ich bereits vor geraumer Zeit hier im Blog ausführlich dargelegt habe.

Warum nun dieser Artikel? Nun der Titel lässt es ahnen: Die Geltung der EU-Datenschutzgrundverordnung (DSGVO) ab Mai 2018, eine bevorstehende Neufassung des Bundesdatenschutzgesetzes (BDSG-E) durch den deutschen Gesetzgeber sowie der geplante Erlass einer E-Privacy-Verordnung durch den EU-Verordnungsgeber sind Grund genug, sich erneut mit der Regulierung des Active Sourcing zu beschäftigen und einen Ausblick auf die ab 2018 geltenden Vorgaben zu wagen.

Sie sind Personaler? Sie langweilt der Datenschutz? Vielleicht langweilt es Sie nicht mehr so sehr, wenn Sie wissen, dass jeder Verstoß gegen die Regelungen der DSGVO mit Bußgeldern von bis zu 10 Millionen EUR oder 2% des weltweiten Jahresumsatzes oder 20 Millionen EUR oder 4% des weltweiten Jahresumsatz – je nach Art des Verstoßes – bedroht ist.

Sie sind Geschäftsführer oder Vorstand und wollen, dass die Personalleitung einfach mal Personal ranschafft ohne „kompliziert“ zu sein? (Also, dass diese Sie bitte nicht zu sehr mit diesem Compliance-Tinnef nervt?) Nun, dann interessiert Sie als geschäftsführendes Organ vielleicht, dass die für die Datenverarbeitung Verantwortlichen (ja, das sind Sie als Geschäftsführer oder Vorstand) für Schäden haften, die durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurden. (Sic! Siehe dazu Artikel 82 DSGVO).

Nach dem ich nun ihr Interesse geweckt habe, wie immer, der Reihe nach:

Weiterlesen

Datenschutzbehörden bewerten Einsatz von Skype und zeitversetzten Video-Interviews in Personalauswahlverfahren grundsätzlich als unzulässig

Ja, Sie haben leider richtig gelesen. Doch bei allem Schrecken, ich verspreche Ihnen, am Ende des Tunnels ist noch Licht. Oder vielmehr leuchtet in diesem Artikel zuweilen (etwas mehr als) der Silberstreif am Horizont.

Nun aber von vorne und der Reihe nach:

Die Datenschutzbehörden NRW und die Datenschutzbehörde Berlin haben ihre sogenannten „Tätigkeitsberichte“ für 2016 veröffentlicht. In diesen Tätigkeitsberichten berichten die Behörden, nicht sehr überraschend, über ihre Tätigkeit im vergangenen Jahr. Etwa wie sie bestimmte Verhaltensweisen, Arbeitsprozesse oder eingesetzte Tools im öffentlichen Bereich (Behörden) oder nicht-öffentlichen Bereich (Unternehmen) geprüft und beurteilt haben.

In beiden Tätigkeitsberichten wird auch zum Thema Beschäftigtendatenschutz Stellung genommen, dabei unter anderem zu den Themen „Bewerbungsgespräche über Skype“ und „videobasierte zeitversetzte Interviews„. Darum soll es dann auch hier im Folgenden gehen. Weiterlesen

Kündigung wegen Beleidigung von Vorgesetzten mittels Emoticons – Das Urteil des LAG Baden-Württemberg (Az. 4 Sa 5/16)

Mitautor: Christian Frerix*

Seit einiger Zeit gehören unternehmensschädigende Äußerungen von Mitarbeitern via soziale Netzwerke in gewisser Weise zum Alltag. Das zeigen Gerichtsentscheidungen, mit denen wir uns auch hier Blog bereits beschäftigt haben, sowie die Mandatsanfragen, die uns zu diesem Themenkomplex erreichen. Die hier nun nachgehend sezierte Entscheidung des LAG Baden-Württemberg vom 22.6.2016 – Az. 4 Sa 5/16 reiht sich dabei in die vornehmlich im letzten Jahr durch die Arbeitsgerichte Herne und Mannheim geprägte Gerichtspraxis zum Ausspruch von Kündigungen auf Grund von Arbeitnehmer-Postings ein.

[Konkret haben wir die Entscheidungen ArbG Herne, Urteil vom 22.3.2016 – Az. 5 Ca 2806/15 und ArbG Mannheim, Urteil vom 19.2.2016 – Az. 6 Ca 190/15 unter den vorstehenden Links im Blog besprochen].

In wie weit nun die Beleidigung von Vorgesetzten in sozialen Netzwerken zu wirksamen Kündigungen führen (können) und welche Rolle Schweine-, Bären- oder Affenköpfe dabei spielen, erfahren Sie im Folgenden.

Weiterlesen

Seminar: Arbeitsrecht für Gründer & (junge) Unternehmen – „Huch! Jetzt sind wir Arbeitgeber!“

Ein neues Seminar steht in unserem Kalender. Am 24. April 2017 wird es in Hamburg um die Grundlagen des Arbeitsrechts für (junge) Unternehmen und Gründer gehen. Damit richtet sich das Seminar an Gründer, (junge) Unternehmen und Führungskräfte, die sich mit dem Arbeitsrecht aufgrund Ihrer Personalverantwortung auseinandersetzen müssen.

In dem Seminar geht es um alle grundlegenden Fragen des Arbeitsrechts im Arbeitsverhältnis, also vom Bewerbungsprozess über den Arbeitsvertrag bis zur Kündigung. Genau genommen um diese Themen für Arbeitgeber:

Weiterlesen

In eigener Sache: Lehrgang „Fachanwalt für Arbeitsrecht“ – der theoretische Teil ist geschafft! | Oder: Was? Die Rechtsanwältin Diercks macht auch Arbeitsrecht?

Vielleicht ist es dem einen oder anderen aufgefallen: Von Mitte September bis kurz vor Weihnachten war es hier, wie auch auf den anderen digitalen Kanälen, relativ ruhig. Das hatte einen handfesten Grund. Nicht nur, dass viel Mandatsarbeit zu erledigen war (ja, das auch), nein, ich hatte vielmehr vergangenes Jahr beschlossen, dass ich den „Fachanwalt für Arbeitsrecht“ erlangen möchte.

„Wie, Sie machen auch Arbeitsrecht?!“

Weiterlesen

Die Datenschutzgrundverordnung macht IT-Richtlinien Feuer unter dem Hintern! (Teil 7) – Oder: Was die DSGVO mit IT-Richtlinien, Arbeitsrecht und Compliance zu tun hat und warum das jetzt für Unternehmen wichtig ist

In diesem Blog haben wir uns in jüngerer Zeit schon viel mit der DSGVO und der Frage, worauf sich Unternehmen jetzt im Hinblick auf Mai 2018 einstellen müssen, befasst. Daneben ist natürlich das Datenschutzrecht in verschiedensten Konstellationen immer wieder Gegenstand unserer Beiträge. Mindestens genaus so häufig sind Social Media bzw. IT-Richtlinien in diesem Blog ein Thema. Von dort ist es dann natürlich nicht weit zu all den arbeitsrechtlichen Aspekten, die sich aus der Nutzung digitaler Arbeitsprozesse ergeben.

Symbolbild für: Orr. Diese DSGVO!

Wer sich nun die Mühe gemacht und vielleicht auf die vorstehenden Links geklickt hat, wird erkennen, dass in den verschiedenen Blogkategorien (EU-DSGVO, Datenschutzrecht, Social Media Guidelines, Arbeitsrecht) durchaus dieselben Artikel auftauchen. Es gibt also Überschneidungen. Das ist zumindest in Teilen schon auf praktischer Ebene logisch. Schließlich drängt es sich auf, dass (verbindliche) IT-Richtlinien einen Einfluss auf das Arbeitsverhältnis haben. Und wenn wir die IT-Sicherheit als die Kehrseite der Medaille zum Datenschutz begreifen, wird auch deutlich, dass es hier eine Verbindung geben muss. Und Compliance… tja, Compliance könnte ich auf jeden meiner Blogposts als Kategorie kleben – schließlich geht es bei dem Thema „Compliance“ um nichts anderes als die Einhaltung von Regeln. An sich eine Selbstverständlichkeit. Aber so ganz eben doch nicht – wie die zunehmende Anzahl an Compliance-Officers und Compliance-Abteilungen in den Unternehmen anzeigt.

Heute will ich einmal erläutern, was schon immer irgendwie an der einen oder anderen Stelle in meinen Artikeln durchschimmerte, ich aber doch noch nicht so klar erklärt habe: Nämlich, dass es zwischen den genannten Bereichen, also vom Datenschutzrecht über die IT-Richtlinien und Compliance bis hin zum Arbeitsrecht nicht nur eine ideelle, sondern auch eine juristische Klammer gibt. Diese juristische Klammer nennt sich „technisch und organisatorische Maßnahmen“, kurz TOM und ist schon lange im Bundesdatenschutzgesetz verankert. Doch wie so vieles, was dort steht und bereits „State of the Art“ im Unternehmen sein sollte, bekommt auch diese Vorschrift und alles, was damit zu tun hat, mit der EU-Datenschutzgrundverordnung „Feuer unter dem Hintern“ – um es mal ganz nonchalant auszudrücken.

Weiterlesen

Was tun bei geschäftsschädigenden Äußerungen von Mitarbeitern in Social Media?

Welch unangenehme Frage. Eine, der sich kaum ein Unternehmen gerne stellen möchte. Und doch sollte das Unternehmen als Arbeitgeber auf eben eine solche vorbereitet sein. Denn natürlich lesen sich Sätze aus der Corporate Communications Strategy wie dieser

Durch die Einbindung der Mitarbeiter in die Markenkommunkation können signifikante Steigerung der positiven Markenidentifikation erreicht werden.

ganz hervorragend und wie der leichte Schlüssel zum Glück. Doch das Unglück beziehungsweise der kommunikative Alptraum liegt nicht fern, wenn die Beiträge von Mitarbeitern in sozialen Netzwerken keinen geschäftsfördernden, sondern geschäftsschädigenden Charakter annehmen.

An dieser Stelle muss sich ein Unternehmen die Frage nach der „richtigen“ Reaktion stellen und den „richtigen“ Weg gehen.


Weiterlesen

Big Data im Zeitalter der EU-Datenschutzgrundverordnung (DSGVO) – Teil 6 zur EU-DSGVO

Ab Mai 2018 wird der Datenschutz in Deutschland und Europa überwiegend durch die EU-Datenschutzgrundverordnung (DSGVO) geregelt. Was die DSGVO eigentlich ist (Teil 1), welche neuen Begriffe verwendet werden (Teil 2), wann eine Datenverarbeitung künftig zulässig sein wird (Teil 3) und welche Pflichten mit der DSGVO auf Unternehmen zukommen (Teil 4 und Teil 5), haben wir bereits in einer mehrteiligen Beitragsreihe erörtert. Was fehlt – und das holen wir nun nach – sind einige Worte zu den Fragen, welche Änderungen die DSGVO im Bereich „Big Data“ mit sich bringt und was das für die tägliche Arbeit der Unternehmen bedeutet.

Nachfolgend gehen wir dazu einmal kurz auf die Frage ein, was Big Data denn im vorliegenden Kontext nun eigentlich heißen soll, wie sich das Ganze unter dem BDSG „gestaltete“ (*hust – eigentlich gar nicht) und ob es die DSGVO denn nun besser macht, für all die Geschäftsmodelle, die eben auf solchen Data-Analysen basieren (Spoiler: Leider nicht so sehr).

Weiterlesen

Kündigung wegen Äußerungen in Social Media – Gleiches Spiel, anderes Ergebnis: Das Urteil des Arbeitsgericht Herne (Az. 5 Ca 2806/15)

Es ist noch gar nicht so lange her, da haben wir anhand eines Urteils des Arbeitgerichts Mannheim, (Az. 6 Ca 190/15) hier im Blog den Fall eines Arbeitnehmers besprochen, dem auf Grund der Verbreitung menschenverachtender Äußerungen auf Facebook außerordentlich gekündigt wurde. In Mannheim entschied das Gericht, dass die Kündigung unwirksam war.

Soweit so gut. Der Vollständigkeit halber müssen wir uns aber auch mit einem ähnlichen Fall des Arbeitsgerichts Herne (Az. 5 Ca 2806/15) beschäftigen, in dem es um die außerordentliche Kündigung eines Arbeitnehmers wegen der Verbreitung volksverhetzender Äußerungen auf Facebook geht. Soweit so ähnlich? Ja. Aber in diesem Fall wurde – nun auch rechtskräftig – entschieden, dass die Kündigung rechtmäßig und damit wirksam ist.

Wie kommt es nun, dass die Gerichte zwei inhaltlich auf den ersten Blick vergleichbare Fälle unterschiedlich bewerten?

Weiterlesen