Inhalt von Gesetzen zum Beschäftigtendatenschutz
- Zweck von DSGVO und BDSG
- Wichtige Begriffsbestimmungen in DSGVO/BDSG
a) Personenbezogene Daten
b) Anonymisieren und Pseudonymisieren
c) Verarbeitung
d) Verantwortlicher
e) Auftragverarbeiter
f) Beschäftigte im Sinne des BDSG - Verbot mit Erlaubnisvorbehalt
- Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses
- Einwilligung
- Erforderliche Maßnahmen des Datenschutzes
- Sachvortrags- und Beweisverwertungsverbot: Bespiel Keylogger
- Bußgelder zur Absicherung der Datenschutzvorschriften
1. Zweck der DSGVO und des BDSG
Zweck der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht ungerechtfertigt beeinträchtigt wird. Dabei enthält das BDSG vor allem Regelungen, die die Vorschriften der DSGVO dort ergänzen oder konkretisieren, wo die DSGVO einen Spielraum für den nationalen Gesetzgeber vorsieht.
2. Wichtige Begriffsbestimmungen in DSGVO/BDSG
Die DSGVO und das BDSG gelten für die Verarbeitung von personenbezogenen Daten. Personenbezogen ist eine Information, wenn sie sich auf eine bestimmte oder bestimmbare Person beziehen. Bestimmbar ist eine Person dann, wenn man sie identifizieren kann. Die Identifizierung kann direkt oder indirekt mittels Zuordnung zu einer Kennung erfolgen, wie zu einem Namen, einer Kennnummer, zu Standortdaten, einer Online-Kennung oder zu bestimmten Merkmalen der physischen, physiologischen, psychischen, genetischen, wirtschaftlichen, sozialen oder kulturellen Identität.
b) Anonymisieren und Pseudonymisieren
Um dem Prinzip der Datenminimierung gerecht zu werden – nur so wenige personenbezogene Daten zu verarbeiten, wie für den verfolgten Zweck auch wirklich erforderlich ist – kann es nötig sein, Daten zu anonymisieren oder pseudonymisieren.
Nach Artikel 4 Nr. 5 DSGVO ist Pseudonomysieren das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.
Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Macht man auf diese Art die Identifizierung der Person unmöglich oder durch unverhältnismäßig großen Aufwand quasi unmöglich, liegen keine personenbezogenen Daten mehr vor. Die Daten sind dann anonym. Anonym ist damit das Gegenstück zu personenbezogen, während man bei pseudonymisierten Daten über das gewählte Identifkationsmerkmal (Pseudonym) den Personenbezug wiederherstellen kann.
Während das BDSG vor Inkrafttreten der DSGVO noch zwischen Erhebung, Verarbeitung und Nutzung personenbezogener Daten unterschied, ist der Begriff der Verarbeitung der DSGVO allumfassend.
Erfasst ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten. Dies umfasst etwa das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen und die Vernichtung.
Verantwortlicher ist der, der über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Artikel 4 Nr. 7 DSGVO).
Vom Verantwortlichen anzugrenzen sind Auftragsverarbeiter und Dritte. Auftragsverarbeiter ist, wer die personenbezogenen nur im Auftrag des Verantwortlichen verarbeitet (Artikel 4 Nr. 8 DSGVO). Dritter ist jeder außer der betroffenen/beschäftigten Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.
Umstritten ist, ob Betriebsräte selbst Verantwortliche sind. Wir sind der Auffassung, dass sie zwar die Anforderungen der Datenschutzgesetze beachten müssen, aber – wie nach bisheriger Rechtsprechung des Bundesarbeitsgerichts – lediglich Teil des Arbeitgebers sind, der Verantwortlicher ist. Endgültig klären dürfte dies erst eine Entscheidung des Europäischen Gerichtshofs.
Die verantwortliche Stelle für den Datenschutz muss nicht alle Datenverarbeitungen oder Verpflichtungen nach dem Datenschutzgesetz selbst durchführen. Sie kann sich bestimmter Auftragsverhältnisse bedienen, um z. B. die Lohnabrechnung vornehmen oder die gebotene Löschung von Daten durch ein Unternehmen durchführen zu lassen, das auf Aktenvernichtung oder Löschung von Computerdaten spezialisiert ist.
Derartige Auftragnehmer nennt die DSGVO Auftragsverarbeiter. Nach Artikel 28 DSGVO bleibt in diesen Fällen aber der Auftraggeber für die Einhaltung der Vorschriften des Datenschutzgesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Der Auftraggeber hat den Auftragnehmer auch unter Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen und hat einen gesetzlich festgelegten Mindestinhalt, der sich aus Artikel 28 DSGVO im Einzelnen ergibt.
Beschäftigte im Sinne des BDSG sind:
- Arbeitnehmerinnen und Arbeitnehmer, einschließlich der Leiharbeitnehmerinnen und Leiharbeitnehmer im Verhältnis zum Entleiher,
- zu ihrer Berufsbildung Beschäftigte,
- Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitanden),
- in anerkannten Werkstätten für behinderte Menschen Beschäftigte,
- Freiwillige, die einen Dienst nach dem Jugendfreiwilligendienstegesetz oder dem Bundesfreiwilligendienstgesetz leisten,
- Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten,
- Beamtinnen und Beamte des Bundes, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie Zivildienstleistende.
- Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis sowie Personen, deren Beschäftigungsverhältnis beendet ist
3. Verbot mit Erlaubnisvorbehalt
Nach Artikel 6 DSGVO ist die Verarbeitung personenbezogener Daten nur rechtmäßig, wenn die DSGVO oder eine andere Rechtsvorschrift sie erlaubt. Dieses grundsätzliche Verbot mit der Erlaubnis der Verarbeitung unter bestimmten Bedingungen nennt man „Präventives Verbot mit Erlaubnisvorbehalt“. Die Verarbeitung einschließlich Datenerhebung und -Nutzung ist daher grundsätzlich verboten, es sei denn, ein spezieller Tatbestand erlaubt dies ausnahmsweise. Daher benötigt ein Arbeitgeber für jede Verarbeitung personenbezogener Beschäftigtendaten eine Rechtsgrundlage.
4. Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses
Für den Bereich des Beschäftigtenverhältnisses kann das Bundesdatenschutzgesetz (BDSG) die Erlaubnis für die Erhebung, Nutzung und sonstige Verarbeitung von Daten geben und die insoweit erforderliche Rechtsgrundlage darstellen.
Nach Artikel 26 BDSG (ehemals § 32 BDSG-alt) dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden,
- wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder
- nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder
- Beendigung oder
- zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten
erforderlich ist.
Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nach § 26 Absatz 1 S. 2 BDSG allerdings nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen,
- dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat,
- die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung der Straftat erforderlich ist und
- dass schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung
oder Nutzung nicht überwiegt, insbesondere auch im Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.
Wichtig hierbei ist auch, dass diese Grundsätze nach § 26 Absatz 1 S. 2 BDSG auch dann anzuwenden sind, ohne dass die Daten automatisiert verarbeitet oder aus einer nicht automatisierten Datei verarbeitet, genutzt oder für die Verarbeitung oder Nutzung einer solchen Datei erhoben worden sind.
Für Betriebsräte entscheidend ist auch, dass allein das Vorliegen dieser Voraussetzungen für die Rechtmäßigkeit der personenbezogenen Erhebung, Verarbeitung oder Nutzung der Daten nicht genügt. Dies stellt § 26 Absatz 6 BDSG klar, nach dem die Beteiligungsrechte der Interessenvertretungen der Beschäftigten unberührt bleiben.
Da die automatisierte Erhebung, Verarbeitung oder Nutzung nach § 87 Absatz 1 Nr. 6 BetrVGmitbestimmungspflichtig ist und die nicht automatisierte Erhebung, Verarbeitung oder Nutzung im Regelfall nach § 87 Absatz 1 Nr. 6 BetrVG mitbestimmungspflichtig ist, ist eine Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten in Beschäftigungsverhältnissen in Betrieben mit Betriebsrat nur mit dessen Zustimmung erlaubt.
5. Einwilligung
Auch eine Einwilligung des Betroffenen kann das grundsätzliche Verbot der Datenverarbeitung aushebeln und eine Rechtsgrundlage für die Datenverarbeitung bilden. Nach Artikel 6 a und 7 DSGVO ist eine solche Einwilligung allerdings nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht.
Ob im Arbeitsverhältnis eine Einwilligung eine wirksame Rechtsgrundlage bilden kann, war lange umstritten. Denn inwieweit im Arbeitsverhältnis eine Einwilligung freiwillig gegeben werden kann ist nicht einfach zu beantworten. So sollte nach dem „Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes“ der SPD-Bundestagsfraktion (BT-Drs. 10/545) bei arbeitsvertraglichen Beziehungen die Einwilligung die Datenverarbeitung nicht legitimieren können, „…weil die Entscheidungsfreiheit des Betroffenen wegen der für ihn existentiellen Bedeutung des Arbeitsverhältnisses faktisch eingeschränkt ist“. Oft bleibt den Arbeitnehmern keine andere Wahl, als die geforderten Daten zur Verfügung zu stellen.
Im aktuellen Datenschutzrecht ist eine Lösung dahingehend getroffen worden, als die Freiwilligkeit ausdrücklich eine besonders zu untersuchender Voraussetzung für die Wirksamkeit der Freiwilligkeit darstellt (Art. 7 Abs. 4 DSGVO und in § 26 Abs. 2 BDSG). Die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, sind besonders bei der Beurteilung zu berücksichtigen.
6. Erforderliche Maßnahmen des Datenschutzes
Nach Artikel 24 DSGVO haben alle verantwortlichen Stellen, also auch jedes Unternehmen, das selbst oder im Auftrag personenbezogene Daten erhebt, verarbeitet oder nutzt, die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften aus dem Bundesdatenschutzgesetz zu gewährleisten.
Hinsichtlich der Datensicherheit enthielt die Anlage zu § 9 BDSG-alt Mindestanforderungen, die die Unternehmen zu gewährleisten hatten. Die Anlage enthielt die so genannten „8 Gebote des Datenschutzes“. Auch wenn diese nicht mehr in dieser Form geregelt sind, gelten die Inhalte dieser Gebote auch nach den Grundsätzen der DSGVO, insbesondere dem Grundsatz der Integrität und Vertraulichkeit aus Artikel 5 Absatz 1 f DSGVO, fort.
„8 Gebote des Datenschutzes“
1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene
Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
2. zu verhindern, daß Datenverarbeitungssysteme von Unbefugten genutzt werden
können (Zugangskontrolle),
3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems
Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten
zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung
und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt
werden können (Zugriffskontrolle),
4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung
oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht
unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass
überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung
personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist
(Weitergabekontrolle),
5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und
von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben,
verändert oder entfernt worden sind (Eingabekontrolle),
6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden,
nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können
(Auftragskontrolle),
7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder
Verlust geschützt sind (Verfügbarkeitskontrolle),
8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt
verarbeitet werden können.
Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von
dem Stand der Technik entsprechenden Verschlüsselungsverfahren.
7. Sachvortrags- und Beweisverwertungsverbot: Beispiel Keylogger
Bei gravierenden Verstößen gegen Datenschutzvorschriften bei der Erhebung von Beschäftigtendaten können Arbeitgeber diese nicht für arbeitsrechtliche Maßnahmen verwenden, selbst dann, wenn sich Beschäftigte tatsächlich erheblichen Fehlverhaltens schuldig gemacht haben. Diese Folge ist in der Bedeutung des Rechts auf informationelle Selbstbestimmung begründet. Unter welchen Voraussetzungen ein solches Sachvortrags- und Beweisverwertungsverbot vorliegt, zeigen wir anhand des folgenden Falles.
Beweisverwertungsverbot
Das Bundesarbeitsgericht (BAG) hat die Daten eines sogenannten Keyloggers, auf die sich ein Arbeitgeber zur Kündigung eines Webentwicklers wegen privater Nutzung seines Rechners während der Arbeitszeit berief, nicht berücksichtigt. Der Grund: Die Überwachung verstieß gravierend gegen das Allgemeine Persönlichkeitsrecht (BAG, Urteil vom 27.07.2017 – 2 AZR 681/16).
Die Entscheidung ist in mehrfacher Hinsicht spannend: Mit ihr überträgt das BAG seine bisherige Rechtsprechung v.a. zu verdeckter Videoüberwachung auf den Einsatz von Keyloggern. Das Urteil ist das erste, in dem das BAG konkret ein Verbot der Verwertung von Sachvortrag annimmt, und nicht nur von Beweisen. Und mehr noch: Als weitgehendste einer Reihe von neueren Entscheidungen vollendet sie eine Veränderung der Rechtsprechung des BAG, indem sie die Regel aufstellt: Ist die Erhebung von Informationen datenschutzrechtlich unzulässig, ist deren Unverwertbarkeit im Gerichtsverfahren die Regel.
Was war passiert?
Ein Arbeitgeber schrieb eine E-Mail an seine Mitarbeiter, in der er ankündigte, dass sie freien Zugang zum W-LAN bekämen. Gleichzeitig teilte er mit, dass zur Verhinderung von Missbrauch, z.B. Download von illegalen Filmen, der Internet-Traffic und die Benutzung der Systeme mitgelogged und dauerhaft gespeichert werden. Wer damit nicht einverstanden sei, sollte dies binnen einer Woche mitteilen.
Zwei Tage nach seiner E-Mail installierte der Arbeitgeber einen Keylogger auf dem Dienst-PC eines Webentwicklers. Die Software protokollierte sämtliche Tastatureingaben und fertigte regelmäßig Screenshots. Der Arbeitnehmer hatte zu Beginn seiner Beschäftigung eine Erklärung unterschrieben, dass er die betriebliche IT nur für Arbeitsaufgaben nutzen wird.
Die Software protokollierte sämtliche Tastatureingaben und fertigte regelmäßig Screenshots.
Der Arbeitgeber wertete die vom Keylogger erstellten Dateien aus und führte daraufhin ein Gespräch mit dem Arbeitnehmer. Dieser räumte ein, während der Arbeitszeit ein Computerspiel programmiert und E-Mails für das Unternehmen seines Vaters bearbeitet zu haben. Die Programmierung des Spiels habe von Januar bis April 2015 ca. drei Stunden gedauert. Für die Firma seines Vaters sei er hauptsächlich in Pausenzeiten etwa zehn Minuten täglich tätig gewesen. Im Prozess fügte er hinzu, dass auch die Programmierung vor allem in den Pausenzeiten erfolgte.
Was tat der Arbeitgeber?
Der Arbeitgeber kündigte das Arbeitsverhältnis des Klägers außerordentlich fristlos, hilfsweise ordentlich zum nächstzulässigen Termin. Dagegen wehrte sich der Webentwickler mit einer Kündigungsschutzklage. Er argumentierte, der Arbeitgeber habe massiv in sein Grundrecht auf informationelle Selbstbestimmung eingegriffen. Der Arbeitgeber rechtfertigte sich, die Dateien des Keyloggers zeigten, dass der Webentwickler weitaus länger mit der Entwicklung des Computerspiels und der Abwicklung von E-Mail-Verkehr für die Firma seines Vaters beschäftigt gewesen sei, als er zugab.
Was sagten die Gerichte dazu?
Alle drei Instanzen waren sich einig: Die Kündigung des Arbeitgebers war unwirksam. Auf die mit dem Keylogger gesammelten Erkenntnisse durfte sich der Arbeitgeber nicht berufen.
Das BAG billigte die Einschätzung des Landesarbeitsgerichts Hamm, dass der Webentwickler tatsächlich nur drei Stunden auf die Programmierung des PC-Spiels verwandte und dies überwiegend während der Pausen. Zudem ging es von nicht mehr als zehn Minuten täglich für den E-Mailverkehr für das Unternehmen des Vaters aus. Die Daten des Keyloggers, die dem Arbeitgeber zufolge die private Nutzung während weitaus mehr Arbeitszeit belegten, sahen alle drei Gerichte als nicht verwertbar an, weil der Arbeitgeber schwerwiegend gegen das Recht auf informationelle Selbstbestimmung des Arbeitnehmers verstoßen hatte. Sie nahmen daher in Bezug auf die Keylogger-Daten ein Sachvortragsverwertungsverbot an und berücksichtigten diese Daten nicht.
Die Daten des Keyloggers sahen die Gerichte als nicht verwertbar an.
Die Kündigung war infolgedessen unwirksam. Das vom Arbeitnehmer eingeräumte Verhalten stelle zwar auch ohne Berücksichtigung der Daten des Keyloggers eine erhebliche Pflichtverletzung dar. Diese Pflichtverletzung sei aber nicht so erheblich gewesen, als dass der Arbeitgeber auf eine vorherige Abmahnung hätte verzichten können. Im Betrieb sei erkennbar kein absolutes Verbot der Privatnutzung betrieblicher IT-Einrichtungen gelebt worden. Darüber hinaus sei die verwertbare unzulässige Privatnutzung innerhalb der Arbeitszeit minimal gewesen und eine Beeinträchtigung der Arbeitsleistung dadurch nicht dargelegt. Da der Arbeitgeber den Webentwickler nicht zuvor abgemahnt hatte, erkannten die Gerichte kein hinreichend gewichtiges Verhalten für eine ordentliche verhaltensbedingte Kündigung an. Eine außerordentliche Kündigung schied damit ebenfalls aus.
Wann gehen die Gerichte von einem Verwertungsverbot aus?
Ein Verbot der Verwertung von vorgetragenen Tatsachen oder angebotenen Beweisen folgt nicht in jedem Fall automatisch, wenn der Arbeitgeber bei Erlangung der Tatsachen oder des Beweismittels gegen das allgemeine Persönlichkeit verstoßen hat. Das BAG nimmt ein Verwertungsverbot von Vortrag oder Beweismitteln nur nach einer Abwägung der Interessen des Arbeitgebers mit denen des Arbeitnehmers im Rahmen der Prüfung des Allgemeinen Persönlichkeitsrechts aus Artikel 2 Absatz 1 und Artikel 1 Absatz 1 GG an. Diese Abwägung/Prüfung erfolgt traditionell in zwei Stufen.
Diese Prüfung eines Verwertungsverbots erfolgt in zwei Stufen:
1. Stufe: Auf der ersten Stufe wird gefragt:
Hat der Arbeitgeber mit der Erhebung der Tatsachen oder des Beweises gegen das allgemeine Persönlichkeitsrecht verstoßen?
Diese Frage wird im Rahmen einer Prüfung der entsprechenden Normen des BDSG (§ 32 Abs. 1 BDSG-alt, § 26 BDSG-neu) beantwortet, durch die der Gesetzgeber das allgemeine Persönlichkeitsrecht im Arbeitsrecht konkretisiert hat.
Liegt kein Verstoß gegen das Persönlichkeitsrecht vor, ist grundsätzlich auch die Verwertung als Vortrag oder Beweismittel im Gerichtsverfahren erlaubt.
Wurden die Informationen (wie die Keyloggerdaten) dagegen unter Verstoß gegen das Persönlichkeitsrecht gewonnen, folgt die Prüfung der zweiten Stufe:
2. Stufe: Auf der zweiten Stufe wird gefragt:
Verstößt das Gericht selbst gegen das Persönlichkeitsrecht, wenn es den Sachvortrag zulässt, der auf der ersten Stufe unter Verstoß gegen das Persönlichkeitsrecht gewonnen wurde?
In der Regel ja. Das Gericht darf dann den unter Verstoß gegen das Persönlichkeitsrecht gewonnenen Sachvortrag bzw. das Beweismittel nicht verwerten.
Nur ausnahmsweise liegt in der Zulassung der rechtswidrig erhobenen Tatsachen bzw. Beweise kein eigener Verstoß gegen das Persönlichkeitsrecht. Dies ist nur der Fall, wenn ein weiteres Interesse des Arbeitgebers neben sein Beweisführungsinteresse tritt.
Vor allem auf der zweiten Stufe, aber auch zur Frage, ob es ein Verwertungsverbot nicht nur von Beweismitteln, sondern auch von Sachvortrag geben kann, vollzieht das Keylogger-Urteil weiter eine Schwerpunktverschiebung im Vergleich insbesondere zur „Lippenstift-Entscheidung“ aus dem Jahr 2007. Darüber hinaus festigt es die Rechtsprechung aus den ebenfalls vor Kurzem ergangenen Entscheidungen des BAG zum Thema Verwertungsverbot (siehe etwa den Bremsklotzunterschlagungsfall/verdeckte Videoüberwachung – BAG, Urteil vom 20.10.2016, Az. 2 AZR 395/15; oder den Pfandunterschlagungsfall/ verdeckte Videoüberwachung – BAG, Urteil vom 22.09.2016, Az. 2 AZR 848/15; oder bereits den Rabattcouponfall/Videoüberwachung – BAG, Urteil vom 16.12.2010, Az. 2 AZR 485/08).
Wie war die Rechtslage in der „Lippenstift-Entscheidung“ 2007?
In seiner „Lippenstift-Entscheidung“ (BAG, Urteil vom 13.12.2007, 2 AZR 537/06) schlug das BAG im Vergleich zur Keylogger-Entscheidung noch deutlich härtere Klänge an. Es sah damals die Tatsache des Funds eines Lippenstifts bei einer Personalkontrolle einer Drogeriemitarbeiterin, den die Mitarbeiterin nicht bestritten hatte, als verwertbar an. Dabei betonte das BAG, dass es im deutschen Zivilprozessrecht kein Verwertungsverbot von Sachvortrag, also der Tatsachen, auf die sich der Arbeitgeber zur Begründung der Rechtmäßigkeit seiner Klage stützt, gebe (Orientierungssatz 4 der „Lippenstift-Entscheidung“). Vielmehr bestehe lediglich ein Verwertungsverbot von Beweisen, die nötig werden, wenn der Sachvortrag umstritten ist. Unstreitigen Sachvortrag habe ein Gericht daher immer zu berücksichtigen.
Im Lippenstiftfall meinte das BAG, es gebe kein Verwertungsverbot von Sachvortrag. Ein Beweisverwertungsverbot erachtete es nur als ganz ausnahmsweise möglich.
Allerdings war bereits in der „Lippenstift-Entscheidung“, wenn auch noch eng umrissen, die Möglichkeit angelegt, rechtswidrig erlangte Beweismittel nicht zu verwerten. Damals meinte das BAG, ein Verwertungsverbot sei nur anzuerkennen, wenn der Schutzzweck der verletzten Norm eine solche prozessuale Sanktion zwingend gebiete. Daraus folgerte es, dass ein Verwertungsverbot für Beweise allenfalls in Betracht komme, wenn durch das Verhalten des Arbeitgebers oder seines Vertreters bei der durchgeführten Spätkontrolle Persönlichkeitsrechte der Mitarbeiterin erheblich verletzt wurden (Lippenstift-Randnummer 34). Ein solches Verwertungsverbot sei nur ausnahmsweise anzunehmen (Lippenstift-Randnr. 37).
Aufgrund dieser Aussagen wurde die „Lippenstift-Entscheidung“ zum Teil als der Wechsel zu einem regelmäßigen, nahezu uneingeschränkten Vorrang der Verwertungsmöglichkeit von Beweisen bei Verletzungen des Persönlichkeitsrechts gefeiert. Die Entwicklung bis zum Keylogger-Urteil zeigt jedoch, dass es diesen Wechsel nicht geben sollte. Im Gegenteil:
Bereits am Ende der Entscheidung legte das BAG den Grundstein für die nun weiter vollzogene Entwicklung, wodurch die Entscheidung unkonsistent wirkt: Das allgemeine Interesse an funktionsfähigen Gerichten, die Beweise verwerten können, und das Interesse, sich ein Beweismittel für Ansprüche zu sichern, reiche nicht, um stets ein höheres oder gleiches Gewicht anzunehmen, als es dem Persönlichkeitsrecht zukommt. „Vielmehr müssen weitere Aspekte hinzutreten, die trotz der Persönlichkeitsbeeinträchtigung eine bestimmte Informationsbeschaffung und Beweiserhebung als schutzbedürftig qualifizieren. Im Zivilprozess kann es insbesondere Situationen geben, in denen sich der Beweisführer in einer Notwehrsituation oder einer notwehrähnlichen Lage befindet.“ (Lippenstift-Randnr. 36; Hervorhebungen des Verfassers)
Was bringt das Keylogger-Urteil von 2017 Neues?
Die folgenden Entscheidungen des BAG aus den letzten Jahren, und nun auch das Keylogger-Urteil, kehren die betonten zwei Hauptaussagen des Lippenstift-Falls um. Jetzt gilt:
- Es kann ein Verwertungsverbot nicht nur von Beweismitteln, sondern auch von Sachvortrag geben (Keylogger-Randnr. 16). Ein Verwertungsverbot ist damit auch bei unstreitigen Tatsachen möglich.
- Grundsätzlich gilt bei Verletzung des Persönlichkeitsrechts ein Verwertungsverbot, es sei denn im Rahmen einer Interessenabwägung treten zum „schlichtem Beweisinteresse“ des Arbeitgebers ausnahmsweise weitere Interessen hinzu (Keylogger-Randnr. 18, 41).
Nötig ist etwa eine Notwehr- oder notwehrähnliche Situation oder eine Notstandslage.
Die einengenden Aussagen aus dem Lippenstift-Fall, die nur ausnahmsweise ein Beweisverwertungsverbot anerkannten, hat das BAG im Keylogger-Fall damit komplett aufgegeben.
Welche Vorteile bringt die Erstreckung des Verwertungsverbots auf den Sachvortrag?
Es ist zu begrüßen, dass das BAG nun auch neben einem Verwertungsverbot von Beweismitteln ein solches von Sachvortrag anerkennt. Der Staat und somit die Gerichte haben die Aufgabe, im Verfahren das Persönlichkeitsrecht zu respektieren und zu schützen. Es muss ihnen daher möglich sein, Beweismittel, die der Arbeitgeber durch Verletzung des Persönlichkeitsrechts erlangt hat, nicht zu berücksichtigen. Andernfalls würden die Gerichte durch die Verwertung der Beweise das Persönlichkeitsrecht im Einzelfall weiter verletzen bzw. erneut verletzen.
Nichts anderes kann aber gelten, wenn es nicht um die Verwertung von Beweismitteln geht (wenn die Tatsachen umstritten sind), sondern um die Verwertung von Sachvortrag (wenn die Tatsachen unumstritten sind). Der Arbeitnehmer ist im Prozess zur Wahrheit verpflichtet. Ohne Sachvortragsverwertungsverbot sähe er sich aber genötigt, hinsichtlich Sachvortrags des Arbeitgebers, den dieser unter Verletzung seines Persönlichkeitsrechts erlangt hat, zu lügen und diesen zu Unrecht zu bestreiten, um seine Rechte aus seinem verletzten Persönlichkeitsrecht zu wahren. Dies kann nicht richtig sein. Die Gerichte müssen die Grundrechte wahren, unabhängig davon, ob sich der Arbeitnehmer ausdrücklich darauf beruft (Rabattcouponfall – BAG, Urteil vom 16.12.2010, Az. 2 AZR 485/08, Randnr. 33).
Beschäftigte sollen nicht gezwungen sein, grundrechtswidrig über sie erlangte Informationen bestreiten zu müssen, um ihre Rechte zu wahren.
Was ist der Regelfall? Was die Ausnahme?
Zu begrüßen ist ferner, dass nach dem BAG bei einer Verletzung des Persönlichkeitsrechts bei der Erlangung von Informationen oder Beweisen auf der ersten Stufe nur ausnahmsweise deren Verwertung auf der zweiten Stufe zulässig ist. Denn in der Regel wiegt die Verletzung des Persönlichkeitsrechts bei der Erlangung der Informationen oder Beweise so schwer, dass die anschließende Verwertung ebenfalls einen Grundrechtseingriff darstellt. Dennoch besteht im Rahmen der Abwägung auf der zweiten Stufe genug Raum, um atypischen Fällen gerecht zu werden, in denen trotz der Rechtswidrigkeit auf der ersten Stufe besondere Umstände hinzutreten, aufgrund derer das Interesse des Arbeitgebers oder der Öffentlichkeit an der Verwertung der rechtswidrig erlangten Informationen oder Beweise überwiegt.
Die Entscheidung gibt dem Persönlichkeitsrecht grundsätzlich den Vorrang, lässt aber Raum für atypische Fälle.
Welche weiteren Akzente setzt das Keylogger-Urteil?
Im Übrigen bekräftigt das BAG in seiner Keylogger-Entscheidung seine bisherige Ansicht, dass § 32 Absatz 1 S. 2 BDSG-alt (Datenerhebung für die Aufdeckung von Straftaten) keine Sperrwirkung gegenüber § 32 Absatz 1 S. 1 BDSG-alt (Datenerhebung für Zwecke des Beschäftigungsverhältnisses generell) entfaltet. Danach können Ermittlungsmaßnahmen nicht nur bei Straftatverdacht zulässig sein, sondern auch beim Verdacht oder zur Verhinderung schwerwiegender Pflichtverletzungen.
§ 28 BDSG-alt ist neben § 32 BDSG-alt im Arbeitsverhältnis hingegen nicht mehr anwendbar.
Die Keylogger-Entscheidung hebt dazu hervor, dass Kontrollmaßnahmen, die wenig intensiv in das Persönlichkeitsrecht des Arbeitnehmers eingreifen, nach § 32 Absatz 1 BDSG auch ohne konkreten Anfangsverdacht möglich sein können. Dies gilt dem BAG zufolge vor allem für offene Überwachungsmaßnahmen, die nach abstrakten Kriterien durchgeführt werden, keinen Arbeitnehmer besonders unter Verdacht stellen und der Verhinderung von Pflichtverletzungen dienen sollen.
Demzufolge können auch die vorübergehende Speicherung und stichprobenartige Kontrolle der Verlaufsdaten eines Browsers zulässig sein, um die Einhaltung des Verbots oder einer Beschränkung der Privatnutzung von IT-Einrichtungen des Arbeitgebers zu kontrollieren.
Wie haben die Gerichte im Keylogger-Fall das Verwertungsverbot begründet?
Bezüglich der Verwertbarkeit der Keylogger-Daten des Dienst-PCs des Webentwicklers hat das Gericht eine schulmäßige Prüfung vorgenommen. Es hat ging davon aus, dass ein Verwertungsverbot besteht, wenn die Erlangung der Keylogger-Daten auf der ersten Stufe rechtswidrig in das Persönlichkeitsrecht eingriff und eine Abwägung auf der zweiten Stufe ergibt, dass die Verwertung der Daten des Keyloggers mit dem Persönlichkeitsrecht des Webentwicklers unvereinbar ist.
Die 1. Stufe
Dazu hat das BAG auf der ersten Stufe zunächst anhand der Vorschriften des BDSG untersucht, ob die Datenerhebung rechtmäßig war und damit mit dem Persönlichkeitsrecht in Einklang stand. Dies war nicht der Fall, denn der Webentwickler hatte in die Nutzung des Keyloggers nicht eingewilligt. Das Gericht betonte, dass das Unterlassen von Protest oder ein Schweigen auf die Aufforderung, sich bei Nichtzustimmung zu melden, nicht mit einer Einwilligung gleichgesetzt werden kann.
Auch § 32 Absatz 1 Satz 1 oder 2 BDSG konnte den Keylogger nicht rechtfertigen. Es fehlte an einem Anfangsverdacht, der über bloße Mutmaßungen hinausging. Das einmalige hastige „Wegklicken“ einer „stark bebilderten“ Website ließen die Gerichte nicht genügen. Stichhaltige belastbare Tatsachen erlangte der Arbeitgeber erst durch Daten des Keyloggers selbst.
Der Einsatz des Keyloggers war auch insgesamt nicht verhältnismäßig, weil er verdeckt und zeitlich nicht begrenzt erfolgte. Außerdem erfasste und speicherte er alle Eingaben über die Tastatur des PC mit Zeitpunkt und zeitlichen Abstand zwischen zwei Eingaben. So konnte der Arbeitgeber ein nahezu umfassendes und lückenloses Profil der dienstlichen und privaten Nutzung erstellen, einschließlich der Dokumentation von sensiblen Daten, wie Kreditkartendaten, PIN-Nummern oder Passwörtern.
Die 2. Stufe
Einmal festgestellt, dass die Informationserhebung rechtswidrig war, prüfte das Gericht auf der zweiten Stufe, ob weitere, über das schlichte Beweisinteresse des Arbeitgebers hinausgehenden Aspekte vorlagen, die gerade die in Frage stehende Informationsbeschaffung durch den Keylogger als gerechtfertigt erscheinen lassen konnten. Dies war nicht der Fall. Diesen Punkt konnte das BAG kurz und klar abhandeln, weil ein Arbeitgeber, der eine Überwachungsmaßnahme „ins Blaue hinein“ veranlasst, sich weder in einer Notwehr oder notwehrähnlichen Situation noch in einer Notstandslage befindet. An dieser Stelle auf die besondere Schwere des Grundrechtseingriffs hinzuweisen, hielt das BAG nicht mehr für nötig, weil das Verwertungsverbot bei einer Verletzung des Persönlichkeitsrechts die Regel darstellt.
Auf der 1. Stufe war der Einsatz des Keyloggers rechtswidrig. Daraus folgte mangels besonderer weiterer Umstände auch die Unverwertbarkeit der erlangten Daten auf der 2. Stufe.
Die Rechtswidrigkeit der Informationserhebung bildet den Hauptunterschied dieses Falles zu den meisten anderen in letzter Zeit entschiedenen Fällen: In diesen erkannte das BAG einen Anfangsverdacht zumindest gegen einen Kreis von Mitarbeitern, der regelmäßig in Inventurdifferenzen begründet war.
Der Arbeitgeber nahm gewisse Ermittlungsmaßnahmen vor und setzte als letztes Mittel eine Videoüberwachung ein. Daher war die Informationsbeschaffung auf der ersten Stufe häufig rechtmäßig, so dass ein Verwertungsverbot auf der zweiten Stufe nach dem BAG ausschied. Nimmt man ernst, dass es um eine selbstständige Abwägung von Interessen geht, müsste ein Verwertungsverbot aber auch bei rechtmäßiger Informationsgewinnung auf der ersten Stufe bei Hinzutreten weiterer Umstände auf Seiten des Arbeitnehmers auf der zweiten Stufe ausnahmsweise möglich sein.
Was bedeutet die Entscheidung für Betriebsvereinbarungen?
Zu einer wichtigen Fragestellung macht die Keylogger-Entscheidung keine Aussage: Gibt es ein Verwertungsverbot von Sachvortrag und Beweisen, weil der Arbeitgeber durch die Erhebung der Tatsachen gegen das Mitbestimmungsrecht oder eine Betriebsvereinbarung verstößt? Diese Frage stellt sich besonders, wenn sich nach der oben dargestellten Prüfung noch kein Verwertungsverbot ergibt. In früheren Fällen hat das BAG diese Frage verneint. Daher ist Betriebsräten für die Praxis zu empfehlen, in Betriebsvereinbarungen zu IT-Systemen und zum Datenschutz ausdrücklich ein Sachvortrags- und Beweisverwertungsverbot für Daten aufzunehmen, die ein Arbeitgeber ggf. unter Verstoß gegen die Betriebsvereinbarung erhoben hat. Nur so lässt sich die Wirksamkeit des zusätzlichen Schutzes der Beschäftigten durch die Betriebsvereinbarung bestmöglich sichern.
Praxistipp für Betriebsräte:
Betriebsräte sollten in IT-Betriebsvereinbarungen für den Fall von Verstößen dennoch weiter ein Sachvortrags- und Beweisverwertungsverbot aufnehmen. Dieses könnte etwa lauten:
„Auf die aus einem Verstoß gegen diese Betriebsvereinbarung gewonnenen Tatsachen darf sich der Arbeitgeber nicht berufen und die aus einem solchen Verstoß gewonnenen Beweismittel nicht anführen (Sachvortrags- und Beweisverwertungsverbot).“
Bei der Formulierung eines solchen Verbots im Einzelfall unterstützen wir gerne.
Was ist das Fazit?
Das BAG überträgt in seiner Entscheidung nicht nur seine bisherige Rechtsprechung v.a. zu verdeckter Videoüberwachung auf den Einsatz von Keyloggern. Das Urteil ist das erste, in dem das BAG nicht nur sagt, dass es ein Sachvortragsverbot geben kann, sondern es auch konkret angenommen hat (zu der Annahme eines Beweisverwertungsverbots siehe etwa bereits den Spindkontrollenfall, BAG Urteil vom 20.06.2013 – 2 AZR 546/12).
Die Entscheidung ist bedeutend, weil sie als letzte und weitgehendste einer Reihe von neueren Entscheidungen eine Veränderung der Rechtsprechung des BAG vorerst vollendet:
Ist die Erhebung von Informationen rechtswidrig, ist ihre Unverwertbarkeit die Regel.
Da sich diese Regel dem BAG zufolge bisher aber nicht ohne Weiteres auf Informationen erstreckt, deren Erhebung allein wegen Verstoßes gegen eine Betriebsvereinbarung rechtswidrig ist, raten wir Betriebsräten, in ihre Betriebsvereinbarungen ausdrücklich ein Sachvortrags- und Beweisverwertungsverbot aufzunehmen.
8. Bußgelder zur Absicherung der Datenschutzvorschriften
Eine geradezu drastische Änderung erfuhr mit Inkrafttreten der DSGVO die Höhe des Bußgeldes, das staatliche Datenschutz-Aufsichtsbehörden für die Sanktionierung von Verstößen von Arbeitgebern verhängen können. War zuvor in der Regel bis zu 50.000 € und bei schwereren Verstößen bis zu 300.000 € die Höchstgrenze für Verstöße (§ 43 Absatz 3 BDSG-alt), so können jetzt bis zu 10 Mio. € oder 2 % des von einem Unternehmen weltweit erzielten Jahresumsatzes des vorangegangen Geschäftsjahres, je nachdem welcher Betrag höher ist, verhängt werden. Bei schwereren Verstößen erhöhen sich diese Werte auf bis zu 20 Mio. € oder 4 % des von einem Unternehmen weltweit erzielten Jahresumsatzes (Artikel 83 Absatz 4 bis 6 DSGVO).
Diese Erhöhung ist aus Sicht von Arbeitnehmern und Betriebsräten mit Blick auf den Schutz von Beschäftigtendaten zu begrüßen. Denn diese Bußgeldhöhen dürften ihren Zweck, auch für größere Unternehmen abschreckend zu wirken, erfüllen. Der europäische Gesetzgeber meint seine Regelung zum Datenschutz ernst: Das was die Datenschutz-Grundverordnung inhaltlich regelt, soll auch befolgt werden. Es hat sich die Erwartung bewahrheitet, dass mehr Unternehmen ein größeres Augenmerk auf die Einhaltung der Datenschutzvorschriften legen. Auch die Aufsichtsbehörden sind teilweise besser ausgestattet worden, um sich adäquat um die Einhaltung der Datenschutzvorschriften zu kümmern und ihre Sanktionen im Streitfall auch durchzusetzen.
Redaktion BGHP-Betriebsratsberater, 2018