Ende Juli hat das Bundesarbeitsgericht geurteilt, dass ein zu weitreichendes Keylogging einen zu starken Eingriff in die Persönlichkeitsrechte des Arbeitnehmers darstellt. Nach § 32 Abs. 1 des Bundesdatenschutzgesetzes (BDSG) ist dies unzulässig, „wenn kein auf den Arbeitnehmer bezogener, durch konkrete Tatsachen begründeter Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung besteht.“

In dem besagten Fall war der Angestellte zwar über eine Überwachung informiert, jedoch hat der Arbeitgeber jeden seiner Tastenschläge aufgezeichnet sowie mithilfe einer Spähsoftware den Bildschirm überwacht. Die Bewertung durch das Bundesarbeitsgericht wäre nach Meinung des IT-Sicherheitsanbieters Consist Software Solutions vermutlich anders ausgefallen, wenn sich die Aufzeichnungen nur auf tatsächlich kritische Tätigkeiten an Unternehmensdaten bezogen hätten. Nun sorge das Urteil für Unsicherheiten darüber, inwieweit Unternehmen eine datensichere Grundlage schaffen können, ohne im Fall des Falles Mitarbeiterrechte zu verletzen. Schließlich sind Firmen spätestens nach dem in Kraft treten der EU-DSGVO im Mai 2018 verpflichtet, bei eventuellen Datenlecks den Nachweis für eine umfangreiche Prävention sowie Schadensbegrenzung zu führen und dazu unter anderem die Aktivitäten der Benutzer zu überwachen.

Laut Consist lässt sich dies durch intelligente IT-Security-Lösungen umsetzen. Damit eine IT-Sicherheitslösung rechtssicher ist, müsse sie über folgende Eigenschaften verfügen:

  • Es muss ausgeschlossen sein, dass sie Screenshots oder Metadateninformationen von personenbezogenen Daten speichert, beispielsweise privaten E-Mails oder privatem Zahlungsverkehr mit Bezug zum User.
  • Die protokollierten Benutzeraktivitäten wertet man nur im Verdachtsfall entsprechend des Datenschutzgesetzes und unter Einbeziehung des Betriebsrats benutzerbezogen aus. Dazu ist vorab eine entsprechende Betriebsvereinbarung zu treffen.
  • Transparenz ist wichtig: Es muss für den User jederzeit möglich sein zu erfahren, was gespeichert wurde (vgl. § 34 BDSG) und wer Zugang zu seinen protokollierten Aktivitäten hat.
  • Die Vorgaben des Bundesdatenschutzgesetzes müssen eingebunden sein. Es sei auf §§ 1-11, sowie 32-35 des BDSG verwiesen. Im Besonderen seien § 4 Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung, § 9 Technische und Organisatorische Maßnahmen und § 35 Berichtigung, Löschung und Sperrung von Daten erwähnt.

Darüber hinaus sei es wichtig, dass die eingesetzte Lösung dabei ressourcenschonend und datensparsam ist, um damit nicht nur eine weitere gesetzliche Forderung zu erfüllen, sondern auch die nötige Performance zu erreichen.

Weitere Informationen finden sich unter www.consist.de.

Timo Scheibe ist Redakteur bei der LANline.