Urteil des BAG: Überwachung von Mitarbeitern mittels Keylogger ist unzulässig

Ein aktuelles Urteil des Bundesarbeitsgerichts (BAG) vom 27.07.2017 sorgt derzeit für Wirbel im Datenschutz-Universum. Mit diesem Urteil (Az. 2 AZR 681/16) hat das BAG entschieden, dass der Einsatz von Keylogger-Software durch einen Arbeitgeber zur Überwachung seiner Arbeitnehmer unzulässig bzw. nur unter strengen Auflagen möglich ist.

yourIT meldet: Überwachung von Mitarbeitern mittels Keylogger ist unzulässig

Definition "Keylogger"

Als "Keylogger" wird eine Software bezeichnet, welche dazu verwendet wird, Eingaben eines Benutzers an der Tastatur eines Computers zu protokollieren und damit zu überwachen oder zu rekonstruieren.

Was war passiert?

Im vorliegenden Fall hatte der Arbeitgeber in seinem Unternehmen einen sogenannten Keylogger installiert. Einen Grund hierfür konnte der Arbeitgeber in der Verhandlung nicht nachweisen. Nur durch die fragliche Nutzung dieser Tastenprotokollierungs-Software konnte der Arbeitgeber aufdecken, dass einer seiner Mitarbeiter den Dienst-PC während der Arbeit auch privat genutzt hatte. Der Arbeitgeber kündigte dem Arbeitnehmer daraufhin fristlos.

Der gekündigte Mitarbeiter erhob daraufhin Kündigungsschutzklage - mit Erfolg. Denn das BAG hielt die Kündigung für unrechtmäßig und gab dem Mitarbeiter in letzter Instanz Recht..

Begründung: Der Arbeitgeber hatte durch den Einsatz des Keyloggers das allgemeine Persönlichkeitsrecht des Arbeitnehmers verletzt. Die dauerhafte Protokollierung aller Tastatur-Aktivitäten der Mitarbeiter wurde als "unverhältnismäßig" eingeschätzt.

Ausnahmen zum Einsatz-Verbot von Keyloggern

Konkret ist der Einsatz von Keyloggern dann und nur dann zulässig, wenn konkret nachweisbare Tatsachen und eben nicht nur Vermutungen z.B. den Verdacht einer Straftat oder einer schwerwiegenden Pflichtverletzung nachweislich belegen. Dies war hier eben nicht der Fall. Die grundlose Überwachung aller Mitarbeiter wurde vom BAG als Verstoß gegen das "Recht aus informationelle Selbstbestimmung" erachtet. Erkenntnisse aus unerlaubter Überwachung dürfen regelmäßig nicht als Beweismittel in gerichtlichen Verfahren verwendet werden.

Zudem sollten sich Arbeitgeber überlegen, ob eine fristlose Kündigung bei möglichen Pflichtverletzungen im Zusammenhang mit einer unzulässigen Nutzung betrieblicher Arbeitsmittel immer das richtige Mittel darstellen. Zumindest bei geringem Umfang der unzulässigen Nutzung sollte besser eine Abmahnung als milderes Mittel ausgesprochen werden.

Keylogger im Hinblick auf die kommende EU-DSGVO

Erst vor kurzem hat der Zusammenschluss der europäischen Datenschutzbehörden in einer Stellungnahme zum Datenschutz am Arbeitsplatz den Einsatz von Keyloggern und anderer Überwachungssoftware als regelmäßig unzulässig beurteilt. Diese Haltung wird sich auch nach dem 25.05.2018 durchsetzen, wenn die EU-Datenschutzgrundverordnung (EU-DSGVO) und das neue BDSG gelten werden.

Ist Ihr Unternehmen bereit für die EU-DSGVO? jetzt Fördermittel nutzen!

Als Berater in Sachen Datenschutz & Informationssicherheit und mit der Erfahrung als ISO-27001-zertifiziertes Systemhaus analysieren wir gemeinsam mit Ihnen den Reifegrad Ihre Datenschutzkonzeptes im Hinblick auf die EU-DSGVO.

Das erfolgreiche yourIT Beratungskonzept Datenschutz in 4 Phasen

Als Ergebnis erhalten Sie einen ausführlichen Beratungsbericht, in dem wir alle gefundenen Schwachstellen in Ihrem Unternehmen in Bezug auf Datenschutz & Informationssicherheit aufführen, diese bewerten, Belegen, weshalb es sich um eine Schwachstelle handelt, wo wir diese entdeckt haben. Wir nennen diesen Datenschutz-Beratungsbericht auch das "Datenschutz-Pflichtenheft", weil wir Ihnen zu jeder Schwachstelle zudem Handlungsempfehlungen geben, wie Sie diese beheben.

Und jetzt das Beste: Für mittelständische Unternehmen wurde unsere Beratungsleistung in Sachen Datenschutz & Informationssicherheit als förderungswürdig eingestuft. Wenn Ihr Unternehmen die Förderbedingungen einhält, haben Sie Anspruch auf 1.500 EUR Fördermittel.

Gerne prüfen wir mit Ihnen, ob auch Ihrem Unternehmen Fördermittel zustehen. das dauert nur wenige Minuten.

Ich freue mich auf Ihre Anfragen.

Ihr Thomas Ströbele

Fragen / Anregungen

Haben Sie Fragen oder Anregungen zu diesem Beitrag? Dann senden Sie uns diese hier und jetzt:
Name

E-Mail (Pflichtangabe)

Nachricht (Pflichtangabe)

Orientwatz goes Datenschutz - herzlich willkommen bei yourIT

"Datenschutz in Social Media & Co. - Erfahre Tipps und Tricks, die Dich sicher durch die sozialen Medien bringen." So lautete der Eintrag im Sommerprogramm des Ratzgiwatz Jugendprogramms 2017. Interessanterweise hat dies dennoch nicht gereicht, alle Jugendlichen von einem Besuch des Kurses im Hause yourIT abzuhalten...

9 bis 12 Uhr am ersten Tag des Ferienprogramms. Ich wusste was das heißt - immerhin hatte ich bereits Erfahrung aus dem Ratzgiwatz-Programm 2015. 3 Stunden mit wissbegierigen Kids - das will gut vorbereitet sein. Insgesamt 61 (!!!) Folien hatte ich für meinen Vortrag vorbereitet. Rhetorisch ausgefeilt, raffiniert zusammengestellt - ich war selbst total begeistert!

Orientwatz goes Datenschutz - herzlich willkommen bei yourIT

Und dann das: Die Kids hatten so viele Fragen, dass ich nicht eine einzige meiner Folien gebraucht habe. Die 3 Stunden vergingen so schnell - Ich hatte gar keine Chance, den vorbereiteten Rechner samt Beamer zu starten.

Das Ratzgiwatz-Jugendprogramm 2017

Nächstes Jahr kann ich mir die aufwändige nächtelange Vorbereitung wohl sparen...

An die Eltern der lieben Kleinen: Eure Kids haben Fragen zum Umgang mit Social Media. Legt mal bitte Euer Smartphone beiseite und hört Euren Kindern zu. Die Antworten sind gar nicht so schwierig zu finden. Ich schafft das schon!

Auch den Betreuern konnte ich noch den einen oder anderen Tipp mitgeben. Und unser Hacker und das Script-Kid Marc haben denen 'nen ganz schönen Schrecken eingejagt. Künftig werden die ihre Passwörter wohl sorgsamer wählen. Erfolg auf der ganzen Linie!

Übrigens: Herzlichen Dank auch an "Lafer, Licht & Co." für die spontane Einladung zum Mittagessen. Die Pasta-Party habt Ihr gerockt. Like!

Euer Thomas

(Noch) mehr Videoüberwachung?

„Videoüberwachungsverbesserungsgesetz“ – eine solche Bezeichnung kann wohl nur die deutsche Verwaltung erfinden. Es geht jedoch um eine ernste Sache, nämlich um den Schutz vor Terror und Gewalt. Das neue Gesetz ändert im Alltag einiges, ob bei der Busfahrt zur Arbeit oder beim Shoppen im Einkaufszentrum. 

Bisher eher wenige Kameras üblich

Wer schon einmal in London war, weiß davon zu berichten: Videokameras hängen buchstäblich an jeder Ecke, ob im Einkaufszentrum oder im Sportstadion. In Deutschland ist das anders. Natürlich gibt es auch hier Überwachungskameras. Aber längst nicht in dieser Zahl. Das liegt zunächst einmal an unterschiedlichen gesetzlichen Regelungen.

yourIT zu "Videoüberwachungsgesetz & Datenschutz"

Aber in Deutschland legen die Aufsichtsbehörden für den Datenschutz die Regelungen außerdem besonders eng aus. So sieht es jedenfalls die Bundesregierung. Deshalb hat sie wenige Tage vor Weihnachten gehandelt: Ein neues Gesetz soll dafür sorgen, dass Videoüberwachung leichter möglich ist als bisher.

Neuregelung für Orte mit vielen Menschen

Von der neuen Regelung betroffen sind ausschließlich Örtlichkeiten, an denen erfahrungsgemäß viele Menschen zusammenkommen. Gedacht ist an Einkaufszentren, große Sportanlagen, Vergnügungsstätten und Parkplätze.

Außerdem geht es um Verkehrseinrichtungen wie Bahnhöfe und Haltestellen, aber auch um Fahrzeuge des öffentlichen Personenverkehrs (Busse, S- und U-Bahnen).

Vorbeugender Schutz

Der Schutz von Personen, die sich dort aufhalten, gilt künftig als „besonders wichtiges Interesse“. Das bedeutet: Dieser Schutz rechtfertigt es in der Regel, dass solche Örtlichkeiten per Video überwacht werden. Verwundert mag sich nun mancher fragen: War das bisher anders?

Die Antwort lautet schlicht: Ja! Die Regelungen für die Videoüberwachung wurden meistens sehr eng ausgelegt. Eher abstrakte Gefahren hielt die Datenschutzaufsicht nicht für ausreichend, um eine solche Überwachung zu rechtfertigen. Die bloße Möglichkeit, dass es zu üblen Vorfällen kommen könnte (und da und dort auch kam!), genügte nicht.

Hintergrund: Terroranschläge

Das wird sich durch die neuen Regelungen ändern. Der Grund liegt auf der Hand: Terroranschläge wie im Münchner Olympia-Einkaufszentrum oder auf dem Weihnachts-markt neben der Berliner Gedächtniskirche haben zu einem anderen Rechtsempfinden geführt.

Daneben will man aber auch der zunehmenden Gewalt in U-Bahnhöfen und an ähnlichen Orten nicht mehr länger zuschauen. Wunder erwartet sich dabei niemand. Denn mancher Täter wird sich von Kameras abschrecken lassen, mancher Täter nicht.

Keine Änderungen in Unternehmen

Keine Änderungen gibt es übrigens für die Videoüberwachung in den Produktionsbereichen von Unternehmen. Dort bleibt alles bei den bisherigen Regelungen. Sie haben sich bewährt. Und auch an der Supermarktkasse ändert sich nichts. Auf dem Parkplatz vor dem Supermarkt dagegen schon. Hier dürften bald neue Kameras zu sehen sein.

Gerne übernehmen wir auch in Ihrem Unternehmen den Aufbau und die Betreuung des Datenschutz-Managements und stellen den Externen Datenschutzbeauftragten. Vereinbaren Sie jetzt einen kostenloses Vorstellungsgespräch.

Ich freue mich auf Ihre Anfragen. Fordern Sie uns! Wir beraten Sie gerne.

Ihr Thomas Ströbele, Telefon 07471/930100

Sie möchten bei neuen Entwicklungen im Bereich Datenschutz & IT-Sicherheit informiert werden?

Dann tragen Sie sich einfach hier in unseren Newsletter ein.

Künstliche Intelligenz: Was die schlaue IT über uns wissen könnte

Was früher als Science Fiction galt, wird langsam in der IT Realität: Maschinen, die selbst lernen und immer intelligenter werden. Das bleibt natürlich nicht ohne Folgen für den Menschen.

Natürliche Angst vor Künstlicher Intelligenz

In Kinofilmen gibt es sie schon lange: Maschinen, die ohne Kommando eines Menschen aktiv werden, scheinbar selbst entscheiden, was sie tun, und letztlich zur Gefahr für den Menschen werden. Hollywood zeigt uns in den Filmen Roboter, die sich gegen ihre Erbauer richten und die Weltherrschaft anstreben.

Solche Filme mögen ein Grund dafür sein, dass viele Menschen ein Unwohlsein verspüren, wenn sie an schlaue Maschinen, an sogenannte Künstliche Intelligenz (KI) oder Artificial Intelligence (AI) denken. Denn Intelligente Maschinen scheinen sich nicht von uns Menschen beherrschen zu lassen.

Andere Sorgen gelten zum Beispiel den Arbeitsplätzen: Schlaue IT-Systeme werden Arbeitsplätze kosten. Auch wenn sie an anderer Stelle Arbeitsplätze schaffen, werden bestimmte Arbeiten den Menschen ab- und damit weggenommen. Doch was hat das mit dem Datenschutz zu tun? Eine ganze Menge!

yourIT: Künstliche Intelligenz und Datenschutz

Maschinen lernen von uns Menschen

Basis der Künstlichen Intelligenz und damit schlauer IT-Systeme wie der digitalen Assistenten Alexa, Siri & Co. ist das maschinelle Lernen. Die IT lernt genau wie wir Menschen, indem sie Erfahrungen macht und ihre Regeln auf dieser Basis anpasst.

Dabei spielen wir Menschen die entscheidende Rolle: Programmierer machen die Regeln, nach denen die Maschinen dann lernen. Außerdem soll die schlaue IT vielfach uns Menschen nachahmen. Dazu sammeln solche Systeme dann Informationen über die Nutzer und über andere Personen, die mit ihren Aufgaben zu tun haben.

Wenn also eine Künstliche Intelligenz dem Menschen etwas vorschlägt und dieser es als falsch ablehnt, lernt die Maschine. Sie lernt aber auch etwas über den Menschen: was er für richtig oder falsch hält, wie er das IT-System nutzt, wann er es nutzt, wozu er es nutzt, wo er es nutzt, abhängig davon, welche Sensoren der Maschine zur Verfügung stehen, um diese Daten zu messen.

Maschinen werden so intelligenter und passen sich uns Menschen besser an, auch indem sie Profile der Nutzer erstellen. Damit ist der Datenschutz betroffen.

Künstliche Intelligenz braucht Schranken

Bei IT-Systemen mit Künstlicher Intelligenz besteht die Gefahr, dass sie immer mehr Daten sammeln und auswerten (Big Data) und dass auf der Basis der Datenanalyse dann Entscheidungen vorbereitet oder sogar getroffen werden, die uns als Menschen betreffen. Der einzelne Mensch ist umso mehr betroffen, je persönlicher die Datenanalysen sind.

Der Schlüssel liegt also im Datenschutz. Künstliche Intelligenz, die bald in immer mehr Geräte Einzug hält, gleich ob Auto, Radio oder Kühlschrank, darf nicht unbegrenzt personenbezogene Daten auswerten, um den einzelnen Nutzer möglichst passgenau unterstützen zu können.

Datenschutz hat somit in der Zukunft eine weiterhin große Bedeutung und sorgt mit dafür, dass intelligente Maschinen den Menschen helfen, ohne ihn dafür komplett zu durchleuchten.

Auch wenn die Intelligenz und der Komfort der Maschinen dadurch scheinbar sinken sollten: Die Beschränkung des Zugriffs auf personenbezogene Daten darf bei Maschinen nicht aufgegeben werden, nur um sie so intelligent wie möglich zu machen!

Wie schätzen Sie die Gefahren durch Künstliche Intelligenz (KI) ein?

Frage 1: Maschinen sind dumm, sie können nur das, was man ihnen als Programm mitgibt. Stimmt das?

• a: Ja, woher sollten Maschinen auch mehr wissen und können?
• b: Nein, die Entwicklung hin zur Künstlichen Intelligenz (KI) bedeutet, dass Maschinen selbstlernend werden.

Lösung zu Frage 1: Die Antwort b. ist richtig. Für den Datenschutz bedeutet das, dass die IT-Systeme von den Menschen lernen und dazu möglichst viele Daten sammeln und auswerten sollen. Hier muss Privacy by Design oberstes Gebot sein.

Frage 2: Digitale Assistenten wie Alexa sind Beispiele für die Entwicklung hin zu KI-Systemen. Was sie lernen, bleibt wie beim menschlichen Gehirn innerhalb des Systems. Stimmt das?

• a: Nein, solche Systeme sind mit dem Internet verbunden und speichern vieles in einer Cloud.
• b: Ja, die Daten sind immer innerhalb des Systems geschützt.

Lösung zu Frage 2: Die Antwort a ist richtig. Intelligente Geräte haben ihre KI-Fähigkeiten meist nicht lokal, sondern nutzen Rechenleistungen aus dem Internet und speichern Daten in der Cloud.

Tatsächlich tauschen solche Systeme auch Daten untereinander aus, um so weitere Rückschlüsse zu ziehen. Personenbezogene Daten bleiben deshalb in der Regel nicht in dem jeweiligen System, sondern werden übermittelt. Deshalb sind Datenschutz-Prüfungen vor dem Einsatz intelligenter Systeme so wichtig.

Die Prüfungen sind allerdings nicht leicht, denn die IT-Systeme werden immer komplexer. Aus diesem Grund muss der Zugriff auf die Daten von Beginn an begrenzt werden, nicht erst bei einer späterer Auswertung, die kaum noch nachvollzogen werden kann.

EU-DSGVO - Datenschutzbeauftragte jetzt überall in der EU

In Deutschland ist man Datenschutzbeauftragte in Unternehmen seit Jahrzehnten ganz selbstverständlich gewohnt. Für andere Länder in der Europäischen Union (EU) sind sie dagegen etwas Neues. Die EU-Datenschutz-Grundverordnung (EU-DSGVO) führt sie auch dort ein. Ergänzende nationale Vorschriften sind dabei weiterhin zulässig. Deutschland hat sie Mitte Mai 2017 eingeführt. Diese Kombination stellt sicher, dass im Ergebnis alles so bleibt, wie es sich bewährt hat.

Die bisherige Situation

Bisher - vor der EU-DSGVO - war es so: Besondere EU-Regelungen für Datenschutzbeauftragte gibt es nicht. Jeder Mitgliedstaat kann selbst entscheiden, ob er Datenschutzbeauftragte im Unternehmen vorschreibt.

Deutschland hat dies schon vor Jahrzehnten getan. Im Ergebnis müssen lediglich kleine Unternehmen mit weniger als zehn Beschäftigten keinen Datenschutzbeauftragten haben.

yourIT: Datenschutzbeauftragte jetzt überall in der EU

Neuerungen durch die EU-Datenschutz-Grundverordnung

Eine bange Frage: Bin ich ein Innentäter?

Innentäter gelten als eines der größten Risiken für die Datensicherheit in Unternehmen. Nicht die Hacker von außen verursachen die meisten Vorfälle, sondern die sogenannten Insider. Gehören Sie auch dazu?

Insider gibt es nicht nur an der Börse

yourIT, Innentäter, Datenschutz

Sicherlich haben Sie in den Nachrichten schon einmal den Begriff "Insider-Handel" gehört. Bei diesem Vergehen geht es darum, dass jemand sein internes Wissen dazu missbraucht, um Vorteile beim Kauf oder Verkauf von Wertpapieren zu erzielen. Auch im Datenschutz gibt es Insider-Wissen, im Prinzip hat dies jede Mitarbeiterin und jeder Mitarbeiter, der mit personenbezogenen Daten umgeht, also zum Beispiel mit Kundendaten.

Zusätzlich haben Insider Berechtigungen, Daten zu lesen, zu ändern oder zu löschen. Werden diese Berechtigungen missbraucht, spricht man von einer Insider-Attacke.

Keine Sorge, niemand will Ihnen nachsagen, dass Sie eine Insider-Attacke planen oder so etwas jemals getan hätten. Doch vielleicht sind Sie trotzdem ein Innentäter, ohne es zu wissen oder zu ahnen.

EU-DSGVO-Halbzeit! Nur noch 365 Tage

In genau 365 Tagen ist es soweit: Ab dem 25. Mai 2018 gilt die EU-Datenschutzgrundverordnung (EU-DSGVO). Auch wenn viele das nicht mitbekommen haben: Bereits vor einem Jahr ist diese wichtige Änderung zum BDSG in Kraft getreten. Die Hälfte der 2-jährigen Übergangsfrist ist nun schon vorbei. Trotzdem verharrt eine Vielzahl mittelständischer Unternehmen und Konzerne noch immer in Untätigkeit. Die Datenschutz-Experten von yourIT empfehlen: Es gibt viel zu tun. Packen Sie's an!

yourIT: Halbzeit auf dem Weg zur EU-DSGVO

Wer wie wir von yourIT an IT-Umstellungs-Projekten mitarbeitet, weiß, dass es wichtig ist, frühestmöglich zu starten und dann koordiniert zu arbeiten, um ein von extern festgelegtes Enddatum einhalten zu können.

Betrachten wir die Einführung der EU-DSGVO (manchmal auch als GDPR bezeichnet, die Kurzform für General Data Protection Regulation) einmal als ein solches IT-Umstellungs-Projekt, ergeben sich folgende externe Vorgaben: