Auswertung privater Chatprotokolle auf einem dienstlichen Rechner

© Scanrail - Fotolia.comAn dieser Stelle ein Verweis auf die Sonderausgabe unseres Forensic-Newsletters, der sich mit der Auswertung von privaten Chatprotokollen (Skype, etc.) beschäftigt. Hierzu erging im Juli 2012 ein sehr interessantes Urteil des LAG Hamm. Zusätzlich ist dieses Urteil auch ein kleines Lehrstück zu möglichen Fallstricken der IT-forensischen Arbeit.

LAG Hamm: Auswertung privater Chatprotokolle auf dienstlichem Rechner zulässig

In einem höchst bemerkenswerten Urteil aus Juli 2012 hat sich mit dem LAG Hamm (LAG Hamm v. 10.07.2012 – 14 Sa 1711/10; Revisionsverfahren beim BAG derzeit unter dem Az.: 2 AZR 743/12 anhängig.) – soweit ersichtlich – erstmalig ein deutsches Gericht umfassend zur Problematik der gerichtsverwertbaren Auswertung von Inhaltsdaten sogenannter Instant-Messaging Programme („Chats“) geäußert1. Im Ergebnis hat das Gericht dabei dem Arbeitgeber sehr weitgehende Befugnisse hinsichtlich der Durchsuchung und Auswertung von Protokolldateien aus Chats seiner Mitarbeiter eingeräumt. Das Urteil ist aber auch deshalb hoch interessant, da die Thematik der Überwachung und Auswertung von Chatdaten in der rechtswissenschaftlichen Literatur bislang eher stiefmütterlich behandelt worden ist. Nunmehr dürfte auf Seiten der betroffenen Arbeitgeber, Arbeitnehmer sowie der mit Datenauswertungen befassten Beratungsunternehmen hinsichtlich dieser und ähnlicher Fälle eine deutlich größere Rechtssicherheit in Bezug auf datenschutzrechtliche Aspekte und die Frage der Gerichtsverwertbarkeit solcher Protokolldateien bestehen.

Der technische Hintergrund
Unter Chat bezeichnet man allgemein die elektronische Kommunikation in Echtzeit über Netzwerke, vorrangig über das Internet. Ursprünglich bestand eine Chat-Konversation nur aus reinen Textzeichen, mittlerweile können auch Töne und Bilder in einer Chat-Session übertragen werden. Neben der Verwendung von Chat-Räumen, also die gleichzeitige „Unterhaltung“ mit mehreren Personen, spielt das sogenannte Instant Messaging (IM) eine sehr wesentliche Rolle in diesem Umfeld. Bei Instant Messaging wird der Chat in der Regel nicht in einem öffentlichen Chatraum geführt, sondern nur zwischen denjenigen, die sich mittels der entsprechenden Software untereinander als mögliche Gesprächspartner identifiziert haben. Umgangssprachlich steht Instant Messaging gleichbedeutend für Chat. Typische Chat-Programme, die untereinander in der Regel nicht kompatibel sind, sind zum Beispiel Skype, Yahoo! Messenger, Windows Live Messenger, ICQ, Facebook Chat, Blackberry Messenger oder GoogleTalk.

Technisch betrachtet lassen sich bei der Analyse von Chat-„Unterhaltungen“ die zwischen den Chat-Teilnehmern ausgetauschten Daten mitschneiden. Dies ist etwa möglich, wenn die Kommunikation über von den Chat-Anbietern betriebene oder auch eigene Server läuft und man dort Daten abgreift. Ein anderer Ansatz ist das Ausnutzen der in vielen Fällen vorhandenen Protokollierungsfunktion der verwendeten Chat-Programme. Diese Protokolle enthalten in der Regel ausführliche „Mitschriften“ des Chats und landen als normale Datei auf der Festplatte. Sollte die Protokollierungsfunktion des Chat-Programmes durch den Benutzer deaktiviert worden sein, finden sich in vielen Fällen aber dennoch Spuren der erfolgten Kommunikation in versteckten Speicherbereichen auf der Festplatte. Sowohl diese Datenspuren, als auch die vorhandenen Chat-Protokolle lassen sich im Nachhinein mit spezieller forensischer Analysesoftware oft sehr detailliert auswerten.
Das Urteil

Hintergrund
In dem Sachverhalt, der dem Urteil zugrunde liegt, wurden die Chatprotokolle von Unterhaltungen eines Mitarbeiters über den Messenger-Dienst „Skype“ im Auftrag des Arbeitgebers durch eine externe Beratungsfirma ausgewertet. Der betreffende Mitarbeiter hatte das Chatprogramm offenbar entgegen der betrieblichen Anweisungen auf einem Dienstrechner installiert und darüber privat Unterhaltungen in Form eines Chats, also mittels Texteingaben, geführt. Die Unterhaltungen wurden durch eine entsprechende Funktion in dem Programm selbst protokolliert und auf der Festplatte des dienstlichen PCs gespeichert, da der Mitarbeiter diese Funktion nicht manuell deaktiviert hatte. Das Gericht äußert sich in dem Urteil allerdings ebenfalls zu anderen denkbaren Konstellationen, namentlich der angesprochenen Auswertung von Spuren in anderen Speicherbereichen eines Systems. Hintergrund des Rechtsstreits war eine außerordentliche Kündigung, welche dem Mitarbeiter durch den Arbeitgeber ausgesprochen worden war, da dieser im Verdacht stand, betriebliche Vermögensgegenstände zu seinen Gunsten privat veräußert zu haben. Für die Beweisführung griff der Arbeitgeber dabei unter anderem auf die ausgewerteten Protokolldateien zurück, durch welche nach der Überzeugung des Gerichts ersichtlich wurde, dass der gekündigte Mitarbeiter sich mit einem Komplizen über die Ausführung der Taten und eine anschließende Verschleierung selbiger ausgetauscht hatte. Der Kläger – also der gekündigte Arbeitnehmer – wehrte sich hiergegen, indem er ausführte, die Auswertung dieser Daten habe sowohl gegen datenschutzrechtliche und strafrechtliche Vorschriften als auch gegen betriebsverfassungsrechtliche Normen verstoßen, weshalb die gewonnenen Erkenntnisse vor Gericht nicht verwertbar seien.

Die Argumentation des Gerichts
In dem ganze 34 Seiten umfassenden Urteil befasst sich das LAG ausführlich mit der Problematik von Beweisverwertungsverboten von möglicherweise rechtswidrig erlangten Informationen. In Bezug auf den gegenständlichen Sachverhalt bedeutet dies, dass es sich in erster Linie damit auseinanderzusetzen hatte, ob die vorgenommene Auswertung der Chats einen Verstoß gegen das Fernmeldegeheimnis, datenschutzrechtliche oder betriebsverfassungsrechtliche Vorschriften bedeutet hat und welche Rechtsfolge sich in Bezug auf die gerichtliche Verwertbarkeit der so gewonnen Erkenntnisse ergibt.

Erwähnenswert ist zunächst, dass nach Auffassung des LAG Hamm der Inhalt eines Chats grundsätzlich mit dem Austausch von Informationen per E-Mail zu vergleichen sei. Dies ist deswegen interessant, da diese Frage bislang in Rechtsprechung und Literatur nicht ausdrücklich geklärt war. Aufgrund der Tatsache, dass ein Chat in der Regel in seinem Charakter eher einer mündlich geführten Unterhaltung ähnelt als einer Kommunikation über klassischen Schriftverkehr, wäre es zumindest nicht ganz abwegig, eine Analogie zu einem Telefonat zu ziehen, wie dies in der Vergangenheit teilweise für E-Mails vertreten wurde. Letztendlich verdient die Entscheidung in diesem Punkt jedoch Zustimmung, da es sich bei einem Chat immer noch um eine schriftliche Form des Austauschs handelt, welche den beteiligten Kommunikationspartnern im Gegensatz zu einem fernmündlich geführten Gespräch grundsätzlich in erhöhtem Maße die Möglichkeit belässt, über zu tätigende Äußerungen noch einmal zu reflektieren, bevor diese versandt werden. Wie bei der Durchsuchung von E-Mail Inhaltsdaten von Arbeitnehmern stellt sich dann folgerichtig bei der Auswertung von Chatprotokollen die Frage, ob darin ein Verstoß gegen das in § 88 TKG kodifizierte und über § 206 StGB strafrechtlich abgesicherte Fernmeldegeheimnis zu sehen ist. Das Gericht verneint dies richtigerweise und schließt sich damit im Ergebnis der jüngeren Rechtsprechung des LAG Niedersachen und LAG Berlin-Brandenburg an. In seiner Begründung jedoch dogmatisch sauberer verweist das Gericht darauf, dass das Fernmeldegeheimnis nur den Übertragungsvorgang schütze, nicht aber einen absoluten Schutz des Inhalts einer Kommunikation gewährleiste. Der Schutzbereich des Fernmeldegeheimnisses endet demnach in dem Moment, in welchem die Nachricht bei dem Empfänger angekommen ist. Einer Auswertung von Protokolldateien auf dem Rechner eines Arbeitnehmers steht das Fernmeldegeheimnis damit nicht entgegen.

Weiterhin folgen detaillierte Ausführungen zu Beweisverwertungsverboten im Arbeitsrechts- und Zivilprozess, wobei das Gericht in der Tradition des Bundesarbeitsgerichts noch einmal darlegt, dass absolute Beweisverwertungsverbote diesen Prozessrechtsregimen fremd sind und demnach ein solches nur anzunehmen sei, wenn die Gewinnung eines Beweismittels einen rechtswidrigen Eingriff in das allgemeine Persönlichkeitsrecht des Betroffenen darstellt. Werde dieser Eingriff durch die Verwendung des Beweismittels im Prozess gewissermaßen perpetuiert, so könne daraus ein Beweisverwertungsverbot folgen, wenn eine vorzunehmende Güterabwägung zugunsten des Arbeitnehmers ausfällt. Ein Verstoß gegen einfachgesetzliche Vorschriften bei der Datenerhebung oder –verarbeitung zur Gewinnung eines Beweismittels führe hingegen nicht zwangsläufig zu dessen Unverwertbarkeit. Bei der anschließend vorgenommenen Güterabwägung betont das Gericht, dass hierbei insbesondere zu berücksichtigen sei, ob der betreffende Arbeitnehmer in dem begründeten Verdacht stehe, sich eines schweren Vertrauensbruchs oder einer Straftat gegen das Unternehmen schuldig gemacht zu haben. Nachdem dies zugunsten des Arbeitgebers bejaht wird, sei weiterhin für den Arbeitgeber, welcher die Daten auswerten ließ, in die Waagschale zu legen, dass dem Arbeitnehmer aufgrund der einschlägigen Bestimmungen in der IT-Sicherheitsrichtlinie des Unternehmens klar gewesen sein musste, dass die mittels dienstlicher Hardware geführten Unterhaltungen nicht als vertraulich gelten können. In der Richtlinie wurde ausdrücklich auf eine Überwachung der Kommunikation mittels dienstlicher Systeme hingewiesen. Aus diesem Grunde hält das Gericht dann sogar die Datenauswertung eines nicht betrieblichen Tools wie dem Skype Messenger für zulässig und führte noch weitergehend aus, dass es insoweit sogar unerheblich sei, ob der Nutzer die Protokollfunktion möglicherweise deaktiviert habe. Auch in einem solchen Fall lassen sich in versteckten Systemdateien noch Spuren von Unterhaltungen finden, deren Auswertung das Gericht für ebenfalls zulässig oder zumindest gerichtsverwertbar gehalten hätte.

Eine weitere zu beachtende Voraussetzung für die Zulässigkeit der Datenauswertung sei allerdings, dass diese erforderlich sein muss, also kein gleich geeignetes Beweismittel zur Verfügung stand, um den Prozess erfolgreich führen zu können. Eine weitere Grenze dürfte bei der Auswertung von Unterhaltungen zu ziehen sein, welche Informationen höchstpersönlichen Charakters im Bereich des absolut geschützten Kernbereichs des Persönlichkeitsrechts, also wohl vor allem der Intimsphäre, enthalten. Dies war allerdings in dem zu beurteilenden Sachverhalt ersichtlich nicht der Fall. Insoweit stellte das Gericht klar, dass die Chatprotokolle regelmäßig nicht anders zu bewerten seien als die „Verwertung von schriftlichen Notizen, die ein Arbeitnehmer im Büroschreibtisch zurücklässt“.

Bedeutung des Urteils
Selbst wenn sich das Gericht in dem Urteil letztendlich nur zu möglicherweise bestehenden Beweisverwertungsverboten im Zusammenhang mit der Auswertung von Chatprotokollen geäußert hat und offen ließ, ob die Erlangung und Auswertung dieser Daten einen Verstoß gegen Vorschriften anderer Rechtsbereiche darstellt, dürfte die Entscheidung auch für die datenschutzrechtliche Beurteilung derartiger Sachverhalte relevant sein. Soweit nämlich das Gericht davon ausgeht, dass zumindest bei einem begründeten Straftatverdacht gegen einen Arbeitnehmer die Güterabwägung hinsichtlich eines Eingriffs in das – grundrechtlich geschützte – Recht auf informationelle Selbstbestimmung zuungunsten dieses Mitarbeiters ausfallen kann, so lässt sich schwerlich annehmen, dass eine datenschutzrechtlich ebenfalls erforderliche Güterabwägung im Rahmen des § 32 oder § 28 BDSG in einer solchen Konstellation zu einem anderen Ergebnis führen sollte. Besteht demnach gegen eine Person der konkrete Verdacht auf die Begehung einer Straftat oder einen schweren Vertrauensbruch gegen das Unternehmen und sind keine anderen Beweismittel greifbar, um diesen Verdacht zu erhärten, so dürfte eine Auswertung von – selbst privaten – Chatprotokollen zulässig sein. Eine Abwägung im Einzelfall ist allerdings immer zwingend vorzunehmen, wobei auch die betrieblichen Regelungen zur IT-Nutzung eine große Rolle spielen werden.

Des Weiteren dürften die aufgestellten Grundsätze in weiten Teilen auf die Durchsuchung von E-Mail-Postfächern zu übertragen sein, da das Gericht die technischen Vorgänge letztendlich für vergleichbar hält. Begrüßenswert ist ebenfalls, dass das Gericht sich noch einmal klarstellend zur Problematik der Reichweite des Fernmeldegeheimnisses bei der elektronischen Übermittlung von Informationen äußert. Abzuwarten bleibt allerdings, ob sich das Bundesarbeitsgericht in dem Revisionsverfahren der Argumentation des LAG anschließen wird.

Sollten auch Sie Unterstützungsbedarf bei der Einrichtung rechtskonformer Monitoringmaßnahmen oder unternehmensinternen Ermittlungen haben, sprechen Sie unsere Experten von KPMG Forensic und KPMG Forensic Technology an. Gerade die Aufbereitung und Analyse IT-technischer Systeme bringt sowohl im Rahmen der Prävention als auch der Aufklärung entstandener Verdachtsmomente rechtliche und technische Besonderheiten mit sich, bei deren Handhabung wir Ihnen unsere Hilfe gerne anbieten.

Barbara Scheben
Director, Rechtsanwältin
KPMG, Forensic
Alexander Geschonneck
Partner
KPMG, Forensic Technology

1LAG Hamm v. 10.07.2012 – 14 Sa 1711/10; Revisionsverfahren beim BAG derzeit unter dem Az.: 2 AZR 743/12 anhängig.

11 thoughts on “Auswertung privater Chatprotokolle auf einem dienstlichen Rechner”

  1. Das ist ja ein interessantes Urteil und wahrscheinlich Richtungsweisend. In Zukunft ist Erweiterung auf Mail auch sehr interessant. Man darf auf die nächsten Urteile zur Maildurchsuchung gespannt sein, es wird sich aber wahrscheinlich einiges ändern.

  2. Vielen Dank für den Hinweis auf dieses Urteil und den interessanten Kommentar.

    „Das Gericht verneint dies richtigerweise und schließt sich damit im Ergebnis der jüngeren Rechtsprechung des LAG Niedersachen und LAG Berlin-Brandenburg an. (…) Der Schutzbereich des Fernmeldegeheimnisses endet demnach in dem Moment, in welchem die Nachricht bei dem Empfänger angekommen ist.“

    In Bezug auf Chat-Protokolle hatte es das Gericht allerdings auch deutlich einfacher als seine Vorgänger im Umgang E-Mails. Wann eine Mail als angekommen gilt, wird technisch bedingt in vielen Konstellationen von einer richterlich subjektiven, nicht restlos zufriedenstellenden Beurteilung abhängen. Eine ähnlich diffuse Problematik ist bei Chats vielleicht bei der synchronen, der Wahrnehmung vorgelagerten Gewinnung der Daten bspw. durch RFS denkbar. Hier dreht es sich aber weiterhin um die variable Würdigung von Sachfragen, während die in Rn. 179 unterstrichene Rechtsauffassung nicht mehr spektakulär ist.

    Ansonsten sehe ich einen Wermutstropfen des Verfahrens darin, dass Rn. 137 ff. nun nicht gerade Vertrauen in die Zunft schaffen 😉

    1. Die Zeitzonenproblematik war in diesem Fall recht überschaubar und das Gericht hat es sportlich gesehen. Stellen Sie sich vor, eines der Systeme wäre in einer anderen Zeitzone. In manchen Fällen durchaus nicht selten. So mancher vergisst die Offset-Konfiguration beim Einlesen des Images – oder ignoriert die Zeitkonfiguration des Systems des Custodians.

  3. In der Tat ein interessantes Urteil, das zeigt, dass viele verschiedene Aspekte abgewogen werden müssen um ein derartiges Einzelurteil zu bilden. Ein Eingriff in „illegale“ private Gespräche eines Arbeitnehmers mag wohl in vielen Fällen rechtlich vertretbar sein, doch wenn das Vertraunsverhältnis zwischen Arbeitnehmer und Arbeitgeber brüchig ist, dann sollte man die Probleme früher angehen.

    Ihre Werbung am Ende des Beitrags, Herr Geschonneck, finde ich unangemessen. Eine generelle Überwachung der Arbeitnehmer ist meines Erachtens abzulehnen, ich werte derartige Überwachungsmaßnahmen, soweit ich sie nachvollziehen kann, als arbeitnehmerfeindlich und unmoralisch.

    Mit freundlichen Grüßen,
    Tom

    1. Allein schon die Frage, wie ein Imap-Folder der Inbox in diesem Kontext zu bewerten ist, wird noch spannend. Aber ich gehe fest davon aus, dass auch die BVerG-Richter hier nocheinmal nachschärfen werden.

      Heimliche Überwachung und zu unlauteren Zwecken durchgeführt, lehne ich ebenfalls ab. Aber wenn ein auf Fragen des Datenschutz und der Mitbestimmung abgestimmtes Verfahren zum Einsatz kommt – und auch nur dies meine ich – kann es Vorteile geben. Es gibt Regelungen und Verfahren, die allen Seiten gerecht werden. Kopf in den Sand stecken ist m.E. ähnlich falsch, wie ein heimliches und rechtlich zweifelhaftes Verfahren im Einsatz zu haben. Viele Unternehmen machen sich darüber oft erst dann Gedanken, wenn ich mit meinem Team vor der Tür stehe. 😉

  4. Da gerade Fefe dazu schreibt: „Au weia. Für die Betroffenen heißt das: Protokollierung ausschalten oder nur von Nicht-Dienstrechnern aus chatten oder Chatprogramm per Fernzugang auf einem Nicht-Dienstrechner laufen lassen.“

    Auch wenn die Protokollierung abgeschaltet ist, finden sich trotzdem teilweise Chatinhalte auf der Festplatte. Was meint denn der Anwender wieso er von mehreren Device seinen Chat nahtlos fortführen kann 😉

    1. @Alexander Geschonneck:
      Er kann die Chats fortfuehren, weil die Chat History auf den Servern gespeichert wird.
      Bei Skype kann das natuerlich anders aussehen.

  5. Hat jemand eventuell ein ähnliches Urteil für den Bereich Fileserver zur Hand?
    Ich habe auf die schnelle nichts gefunden, frage mich aber ob das Urteil durch die Erwähnung von Speicherbereichen darauf anwendbar ist, oder ob ein Fileserver rechtlich anders betrachtet werden musss.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert