Schlagwort-Archive: Datenschutz

Wenig überraschend: Einsatz von „Keyloggern“ zur Mitarbeiterüberwachung grundsätzlich unzulässig (BAG, Az. 2 AZR 681/16)

Das Bundesarbeitsgericht (BAG) hatte im Verfahren 2 AZR 681/16 am gestrigen Tag, den 27. Juli 2017, über die Zulässigkeit einer Kündigung wegen privater Internetnutzung zu befinden. Soweit so vorerst wenig spannend. Dem Ganzen lag jedoch ein – gerade aus Perspektive diesen Blogs und damit vermutlich der unserer Leserschaft – spannender Sachverhalt zu Grunde:

Der Arbeitgeber kündigte dem Arbeitnehmer außerordentlich fristlos, hilfsweise ordentlich. Als Kündigungsgrund wurde angegeben, dass der Arbeitnehmer seinen Dienst-PC privat in einem erheblichen Umfang genutzt habe.

Diese Feststellung hatte der Arbeitgeber deswegen treffen können, da seit April 2015 der gesamte Internet-Traffic und die Benutzung sämtlicher Systeme im Unternehmen mittels eines sogenannten  Keyloggers protokolliert wurde. Ein Keylogger ist eine Software, die sämtliche Tastatureingaben speichert („loggt“) und teilweise – so hier – regelmäßig Screenshots fertigt. Diese Protokollierung war den Arbeitnehmern aufgrund einer Mitteilung bekannt.

Auf den Vorhalt der Privatnutzung hatte der Arbeitnehmer schriftlich eingeräumt, er habe den PC nur in geringem Umfang und vorwiegend in seinen Pausen genutzt.

Der Arbeitnehmer wehrte sich gegen die vom Arbeitgeber ausgesprochene Kündigung mit einer Kündigungsschutzklage – und zwar mit Erfolg. Das BAG entschied (wie zuvor das Landesarbeitsgericht Hamm, Az. 16 Sa 1711/15) , dass die Kündigung unzulässig gewesen sei. Es hätte im Vorwege bezüglich der privaten Nutzung der IT-Infrastruktur einer Abmahnung bedurft.

Warum ist die Kündigungsschutzklage erfolgreich, wenn die erhebliche Privatnutzung doch feststand? 

Wer diesen Blog schon länger liest, der weiß zum einen, dass das Thema private Internet-/IT-Nutzung am Arbeitsplatz hier regelmäßig Gegenstand der Beiträge ist. Zum anderen ist durch die Lektüre bekannt, dass eine private Nutzung der IT-Infrastruktur des Arbeitgebers durchaus zu einer (außerordentlichen) Kündigung führen kann. Voraussetzung hierfür ist, dass gegen eine Verpflichtung aus dem Arbeitsvertrag verstoßen wurde. Dies ist bei einem Verbot der privaten Nutzung immer, bei einer Duldung oder Erlaubnis dann der Fall, wenn die private Nutzung in einem unangemessenen und erheblichen Umfang erfolgte.

Auf den ersten Blick liegt auch in unserem Fall eine erhebliche Privatnutzung vor, die demgemäß zur (fristlosen) Kündigung berechtigen würde. Doch die große Frage war, ob die durch den Keylogger gewonnenen Erkenntnisse zum Nachweis der erheblichen Nutzung und damit zur Begründung der Kündigung herangezogen werden konnte. Die Antwort lautet: Nein, die Keylogger-Daten durften hier nicht zum Beweis der erheblichen Privatnutzung herangezogen werden.

Wie wir an anderer Stelle schon einmal schrieben, existiert im deutschen Zivil- und Arbeitsrecht kein allgemeines Verwertungsverbot. Demnach müssen die Gerichte grundsätzlich alle angebotenen Beweismittel berücksichtigen. Dabei bilden jedoch die Beweismittel, die rechtswidrig erlangt worden, eine Ausnahme. Denn bei Ihnen ist zu prüfen, ob die Verwertung des Beweismittels den Betroffenen (hier den Arbeitnehmer) in seinen Rechten verletzt. Ist dies der Fall, kommt ein Verwertungsverbot in Betracht. (Ausführlich dazu: („Private Internetnutzung am Arbeitsplatz“ – Artikel v. 12. Februar 2016)

Und so verhielt es sich hier. Die durch den Keylogger gewonnenen Erkenntnisse hinsichtlich der privaten Tätigkeiten des Arbeitnehmers durften nicht im Verfahren verwertet werden. Der Einsatz des Keyloggers verletzte den Arbeitnehmer in seinen allgemeinen Persönlichkeitsrechten, genau genommen in seinem Recht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 iVm. Art. 1 Abs. 1 GG). Dieser Eingriff in das Recht auf informationelle Selbstbestimmung konnte auch nicht über § 32 BDSG gerechtfertigt werden. § 32 Abs. 1 BDSG lautet:

Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

Der Einsatz eines Keyloggers ist nicht erforderlich im Sinne von § 32 Abs. 1 S. 1 BDSG. Und es gab auch keine Anhaltspunkte für den Verdacht einer Straftat im Sinne von § 32 Abs. 1 S. 2. In Folge dessen lag hier ein schlicht unverhältnismäßiger Eingriff in das Recht auf informationelle Selbstbestimmung des Arbeitnehmers durch das Installieren des Keyloggers seitens Arbeitgeber vor.

Damit blieb im Verfahren nur die vom Arbeitnehmer eingeräumte Nutzung im geringen Umfang „übrig“. Und eine solche reicht nicht für eine Kündigung. Hier bedarf es der vorgehenden Abmahnung.

Warum landete der Fall vor dem BAG?

Erstaunlich, dass dieser Fall überhaupt vor das BAG getrieben wurde. Denn auf den ersten Blick scheint der Fall sonnenklar. Für den Einsatz des Keyloggers gab es keine rechtfertigende Grundlage, folglich konnte die private Nutzung im erheblichen Umfang nicht nachgewiesen werden und damit war die Kündigung unzulässig.

Allerdings liegt uns bislang nur die Pressemitteilung des BAG und nicht das Urteil mit seinen Entscheidungsgründen vor. Und in der Pressemitteilung lässt ein Satz aufhorchen, nämlich: „Im Zusammenhang mit der Freigabe eines Netzwerks teilte die Beklagte ihren Arbeitnehmern im April 2015 mit, dass der gesamte „Internet-Traffic“ und die Benutzung ihrer Systeme „mitgeloggt“ werde.“ Ich könnte mir vorstellen, dass um die juristische Tragweite der Kenntnis der Arbeitnehmer davon, dass ein Keylogger eingesetzt wurde, gestritten wurde. Dies lässt sich jedenfalls auch schon aus dem Urteil des LG Hamm herauslesen. Der dahinterstehenden Idee, dass die Arbeitnehmer mit einem Keylogging „rechnen“ mussten und deswegen dessen Ergebnisse auch verwertet werden können mussten, wurde aber offensichtlich vom Bundesarbeitsgericht eine Absage erteilt. Verständlich. Aber ich bin dennoch schon jetzt auf die Entscheidungsgründe gespannt.

Okay, Sie interessiert das wahrscheinlich gar nicht so sehr. 😉 Aber das ist in Ordnung. Hiermit wissen Sie jedenfalls, dass der Einsatz von Keyloggern zur Kontrolle von Mitarbeitern nur in Ausnahmefällen zulässig ist und dass Sie grundsätzlich die Finger davon lassen. Das hätte ich Ihnen allerdings auch ohne das vorliegende BAG-Urteil geraten.

In diesem Sinne,

haben Sie vorerst einen schönen, nicht ganz so verregneten, Sommer.

PS: Hurra! Ich fahre nächste Woche in den Urlaub. Wir lesen uns danach! 🙂

Das könnte Sie in diesem Zusammenhang auch noch interessieren:

Active Sourcing und Talent Relationship Management (TRM) unter der Datenschutzgrundverordnung

Einsatz von Skype und zeitversetzten Video-Interviews in Personalauswahlverfahren unzulässig?

Kündigung wegen Beleidigung von Vorgesetzten mittels Emoticons (LAG BaWü, Az. 4 Sa 5/16)

Was tun bei geschäftsschädigenden Äußerungen von Mitarbeitern in Social Media?

Kündigung wegen Äußerungen in Social Media – Teil 2 (ArbG Herne, Az. 5 Ca 2806/15)

Kündigung wegen Äußerungen in Social Media – Teil 1 (ArbG Mannheim, Az. 6 Ca 190/15)

Fristlose Kündigung und Schadensersatz wegen privater Internetnutzung am Arbeitsplatz (LAG Rheinland-Pfalz, Az. 5 Sa 10/15)

Erlaubte private Internetnutzung am Arbeitsplatz macht Arbeitgeber zu Telekommunikationsanbietern – Oder doch nicht?

Erlaubt der EGMR das Lesen privater Nachrichten von Arbeitnehmern durch Arbeitgeber?

Datenschutzbehörden bewerten Einsatz von Skype und zeitversetzten Video-Interviews in Personalauswahlverfahren grundsätzlich als unzulässig

Ja, Sie haben leider richtig gelesen. Doch bei allem Schrecken, ich verspreche Ihnen, am Ende des Tunnels ist noch Licht. Oder vielmehr leuchtet in diesem Artikel zuweilen (etwas mehr als) der Silberstreif am Horizont.

Nun aber von vorne und der Reihe nach:

Die Datenschutzbehörden NRW und die Datenschutzbehörde Berlin haben ihre sogenannten „Tätigkeitsberichte“ für 2016 veröffentlicht. In diesen Tätigkeitsberichten berichten die Behörden, nicht sehr überraschend, über ihre Tätigkeit im vergangenen Jahr. Etwa wie sie bestimmte Verhaltensweisen, Arbeitsprozesse oder eingesetzte Tools im öffentlichen Bereich (Behörden) oder nicht-öffentlichen Bereich (Unternehmen) geprüft und beurteilt haben.

In beiden Tätigkeitsberichten wird auch zum Thema Beschäftigtendatenschutz Stellung genommen, dabei unter anderem zu den Themen „Bewerbungsgespräche über Skype“ und „videobasierte zeitversetzte Interviews„. Darum soll es dann auch hier im Folgenden gehen. Weiterlesen

Workshop „Social Media & Recht für Freelancer, Blogger, Gründer“ am 24.02.2017 in Hamburg

Ein neues Jahr ist da. Und weil ich im letzten Jahr so oft gefragt worden bin, ob ich nicht noch ein Workshop zu diesem oder ein Seminar zu jenem anbieten kann, ist einer meiner Vorsätze für 2017 diesen, also ihren, Wünschen nachzukommen. Das heißt, ich werde in den kommenden Monaten die unterschiedlichsten Seminare und Workshops aus den Bereichen des IT-, Medien-, Datenschutz- und Arbeitsrechts anbieten. (Wer kein Seminar-Angebot verpassen möchte, der kann herzlich gerne meinen blitzneuen Seminar-Newsletter – siehe rechte Navigation -abonnieren.)

Den Anfang mache ich nun mit dem im Titel schon genannten „Einsteiger“-Workshop „Social Media & Recht für Freelancer, Blogger, Gründer“, welcher in Hamburg am 24. Februar stattfinden wird. Herzlich willkommen sind daneben aber auch natürlich: Social Media Manager, Community-Manager und Digital Manager.

Darum geht es beim Workshop „Social Media & Recht“: Weiterlesen

Von Big Data Analysen, der Charta für digitale Grundrechte, dem (europäischen) Datenschutz – und was das alles miteinander zu tun zu hat.

Am Wochenende ging in zweierlei Hinsicht eine Art digitaler Aufschrei durch Twitter, dessen Nachhall noch immer durch die Timelines vibriert. Genau genommen geht es um Big Data Analysen, die (möglicherweise) Präsidenten hervor oder zu Fall bringen können und um den Entwurf einer Charta der digitalen Grundrechte, welche mit Verve und prominenter Unterstützung bereits den ersten Schritt in die europäische Gesetzgebung gegangen ist. In dem Zusammenhang geht es dann natürlich auch um die bestehenden wie kommenden (europäischen) Datenschutzregelungen und vor allem darum, was das eine mit dem anderen zu tun hat sowie warum möglicherweise hier eine ganze Menge zu tun ist, dort aber vielleicht doch besser gar nichts getan werden sollte.

Doch der Reihe nach. Von vorne. Und im Einzelnen.

Weiterlesen

Das Gesetz gegen den unlauteren Wettbewerb (UWG) ist geändert worden – Grundsanierung oder Kosmetikkur?

Am Ende des Jahres 2008 setzte der deutsche Gesetzgeber die europäische Richtlinie 2005/29/EG über unlautere Geschäftspraktiken (UGP-RL) durch Änderung des UWG um und leistete damit seinen Beitrag zur Vollharmonisierung des Lauterkeitsrechts im Verhältnis von Unternehmern zu Verbrauchern auf europäischer Ebene. Am 10.12.2015 – also ziemlich genau 7 Jahre später – trat nun das zweite Änderungsgesetz in Kraft. Aus der Begründung dieses Änderungsgesetzes geht hervor, dass hier und dort noch Klarstellungsbedarf gesetzessystematischer Art bestand, um bereits im Wortlaut des UWG selbst eine vollständige Rechtsangleichung an die UGP-RL zu erzielen. Mit anderen Worten sollten also alle sprachlichen und systematischen Unklarheiten zwischen UWG und UGP-RL beseitigt werden. Ob das gelungen ist, was sich genau geändert hat und ob dies auch spürbare Konsequenzen für die Praxis mit sich bringt, erfahren Sie im folgenden Beitrag.

Weiterlesen

Big Data, Scoring & Recht – Teil 2: Ein Praxisbeispiel aus dem HR-Bereich

Mitautor: Christian Frerix, wissenschaftlicher Mitarbeiter*

Im zweiten Teil dieses Artikels wechseln wir die Perspektive. Nachdem wir im ersten Teil gezeigt haben, dass das externe Scoring dem Grunde nach zulässigerweise betrieben werden kann, schauen wir nun darauf, ob das Geschäftsmodell – im jeweils konkreten Fall – auch von den Kunden, also den den Auftrag gebenden Unternehmen, unter datenschutzrechtlichen Aspekten genutzt werden darf. Das BDSG kennt keine ausdrücklichen Lösungen für diese Fragestellungen. Die Normen zum Scoring und zu Auskunfteien wurden zum einen vor dem Hintergrund von Bonitäts-Prüfungen und Kreditvergaben entwickelt, zum anderen sind sie nur mühsam auf Sachverhalte wie den hiesigen, die unter Zuhilfenahme modernster Data-Analysen und Data-Mengen arbeiten, zu adaptieren (Mehr dazu gibt’s im ersten Teil des Artikels, ebenso wie den Hinweis auf den dazugehörigen Fachaufsatz).

Weiterlesen

Big Data, Scoring & Recht – Teil 1: Grundlagen

Mitautor: Christian Frerix, wissenschaftlicher Mitarbeiter*

Mit dem BDSG und neuen Technologien verhält es sich so, wie in dem Märchen vom Wettrennen zwischen Hase und Igel: Kommt der Gesetzgeber mit einer Regelung endlich zum Ziel, ist die neue Technologie schon lange da. Dass es dann möglicherweise schon einen weiteren Regelungsbedarf in diesem Bereich gibt, merkt er dabei erst später. So ähnlich sieht‘s auch beim Scoring aus. Hier hat der Gesetzgeber zwar erkannt, dass es etwas zu regeln gibt. So richtig passt diese Regelung aber – eigentlich – nur zum Kreditscoring. Dass es darüber hinaus noch andere Möglichkeiten des Scoring gibt und dass diese besser auch geregelt werden sollten, soll – wie bereits angekündigt und versprochen – im nachfolgenden Beitrag gezeigt werden. Da es dazu jede Menge zu schreiben gibt, die meisten aber wohl (verständlicherweise) nicht alles auf einmal genießen möchten, wird der Beitrag in zwei Teile gegliedert. Der erste Teil enthält dabei grundsätzliche Ausführungen zum Scoring und zum (externen) Scoring als Geschäftsmodell. Der zweite Teil befasst sich mit Fragen rund um den Einsatz in der Arbeitswelt.

[Und wer sich dem Thema lieber gänzlich fachlich, sprich juristisch, nähern möchte, dem sei der Aufsatz  Big Data Analysen & Scoring in der (HR-)Praxis (Fachaufsatz in der PinG, 01/16, S. 30) ans Herz gelegt.]

Weiterlesen

Big Data Analysen & Scoring in der (HR-)Praxis – Fachaufsatz in der PinG, 01/16, S. 30

Wie war das? „Big Data ist wie Teenage-Sex alle reden drüber, aber keiner weiß, wie es geht.“ (Quote: Dan Ariely auf FB, Jan 2013). Nun, ganz so ist es im Jahr 2016 nicht mehr. Big Data Analysen sind nicht mehr die Zukunft, die „sicher bald kommt“. Die Zukunft ist da. Die Aufbereitung und Auswertung von Datenmassen hat für zahlreichen Unternehmen mittlerweile einen nicht unerheblichen wirtschaftlichen Nutzen. Und das gilt eben nicht mehr „nur“ in Bezug auf das Marketing und die digitalen Werbenetzwerke. Das sogenannte Scoring weckt vielmehr in all möglichen Branchen Begehr. Scoring meint, vereinfacht ausgedrückt, dass Datenmassen gesammelt und aus diesen unter Zuhilfenahme eines Algorithmus ein Wahrscheinlichkeitswert (Scorewert) für ein bestimmtes zukünftiges – individuelles und/oder kollektives – Verhalten errechnet wird. Derartige Scoring-Verfahren erfreuen sich gerade im Bereich Human Resources, kurz HR, zunehmender Beliebtheit. Denn schließlich kann auf diesem Wege unter anderem auch berechnet werden, ob ein Mitarbeiter eines Unternehmens möglicherweise beabsichtigt eben dieses zu verlassen. Und solch ein Wissen kann wiederum im Recruiting oder Retention-Management bares Geld wert sein. Doch halt! War da nicht noch etwas? Der Datenschutz?

Weiterlesen

Safe Harbor zum Dritten: Das Positionspapier der Datenschutzkonferenz und die Auswirkungen auf die Unternehmen

Am 06. Oktober gaben wir eine kurze Einschätzung zum Urteil EuGH C 362-/14, mit dem „Safe Harbor“ für ungültig erklärt wurde, ab. Am 14. Oktober setzten wir uns mit der ersten Stellungnahme des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (also der Schleswig-Holsteinischen Datenschutzbehörde) kritisch auseinander.

Zwischenzeitlich hat sich die Artikel 29 Gruppe sowie die Datenschutzkonferenz zu den Konsequenzen des Urteils für deutsche bzw. europäische Unternehmen geäußert. Dazu nun im Folgenden.

Weiterlesen

Safe Harbor, die erste Stellungnahme des Unabhängigen Landeszentrums für Datenschutz S-H (ULD) und die damit verbundenen Konsequenzen für Unternehmen

Nun, meine erste Einschätzung zur Entscheidung des EuGH C-362/14 gab es am 06. Oktober unter dem Titel „Aus, aus, aus! Safe Harbor ist aus!„. Dort hatte ich die Entscheidung des EuGH grob skizziert und klar gestellt, dass es aber unabhängig von Safe Harbor nach § 4c Abs. 1 Nr. 3 BDSG schon immer Möglichkeiten der Datenübermittlung an andere Stellen gab,  auch wenn bei ihnen ein angemessenes Datenschutzniveau nicht (!) gewährleistet ist, nämlich dann, wenn:

  1. der Betroffene seine Einwilligung gegeben hat oder
  2. die Übermittlung für die Erfüllung eines Vertrags zwischen dem Betroffenen und der verantwortlichen Stelle oder zur Durchführung von vorvertraglichen Maßnahmen, die auf Veranlassung des Betroffenen getroffen worden sind, erforderlich ist oder
  3. die Übermittlung zum Abschluss oder zur Erfüllung eines Vertrags erforderlich ist, der im Interesse des Betroffenen von der verantwortlichen Stelle mit einem Dritten geschlossen wurde oder geschlossen werden soll […].

Ich schrieb ferner, dass noch nicht abzusehen ist, wie die Datenschutzbehörden dies im Zusammenhang mit dem ergangenen Urteil bewerten würden, dass aber wohl davon auszugehen sei, dass die nationalen Aufsichtsbehörden die Entscheidung mit Sicherheit dergestalt lesen werden, als ihnen die Entscheidung nun erweiterte (wiedererhaltene, durch die Kommissions-Entscheidung vorher beschnittene) Befugnisse gewährt.

Der  Hamburgische Beauftragte für Datenschutz ließ noch am selben Tag verlauten: „Bei der Umsetzung dieser Entscheidung werden die nationalen und europäischen Datenschutzbehörden künftig eine Schlüsselrolle einnehmen.“ (PM vom 06.10.2015).

Nun hat sich das Unabhängige Landeszentrum Schleswig-Holstein gestern mit dem Positionspapier des ULD zum Urteil des Gerichtshofs der Europäischen Union vom 6. Oktober 2015, C-362/14 zu Wort gemeldet.

Dieses mag in Gänze ein jeder selbst lesen. Im Wesentlichen besagt es das Folgende:

Weiterlesen