Arbeitszeitbetrug durch IT-Forensik aufdecken

Fachbeitrag

Ein Arbeitszeitbetrug liegt vor, wenn der Arbeitnehmer ständig unbefugt privaten Tätigkeiten während der Arbeitszeit nachgeht und dadurch seine arbeitsvertraglichen Pflichten vernachlässigt. Ein derartiges Verhalten kann unter bestimmten Voraussetzungen eine fristlose Kündigung rechtfertigen. Dazu muss der Arbeitgeber dieses vertragswidrige Verhalten jedoch nachweisen können.

Arbeitszeitbetrug – Ein Praxisfall

Ein Mitarbeiter scheint permanent überlastet und die anfallende Arbeit bleibt immer häufiger liegen. Zur Entlastung des Mitarbeiters und um den Rückstand aufzufangen, wird ein weiterer Mitarbeiter abgestellt. Dieser stellt prompt die unbefugte Privatnutzung des betrieblichen Internetanschlusses durch den vermeintlich überlasteten Mitarbeiter fest und weist den Arbeitgeber darauf hin. Eine IT-forensische Untersuchung des Computers des Arbeitnehmers kann Hinweise auf einen Arbeitszeitbetrug geben. Gleichzeitig liefert sie Beweise für eine unerlaubte Internetaktivität einschließlich des Besuchs einschlägiger Websites wie z.B. Filesharing-Dienste und die Verwendung von Webmaildiensten.

Vorsicht, Datenschutz!

Um eine entsprechende IT-forensische Untersuchung eines Mitarbeiterrechners durchzuführen, müssen auch datenschutzrechtliche Voraussetzungen erfüllt sein:

Letztlich handelt es sich bei der IT-forensischen Untersuchung der Daten auf einem Computer, der einem Mitarbeiter für seine tägliche Arbeit zur Verfügung gestellt wird, um eine Datenerhebung, -verarbeitung bzw. -nutzung im Sinne des Datenschutzrechts. Hier gilt das Verbot mit Erlaubnisvorbehalt zu beachten. Das bedeutet, für die Erhebung, Verarbeitung bzw. Nutzung der auf dem Computer gespeicherten Daten, die dem jeweiligen Benutzer zugerechnet werden können, bedürfen einer Rechtsgrundlage.

Als Rechtsgrundlage kommt z.B. eine gesetzliche Erlaubnisnorm in Betracht. Eine solche findet sich z.B. in § 32 Abs. 1 Satz 2 Bundesdatenschutzgesetz (BDSG). Danach dürfen zur Aufdeckung von Straftaten personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

Bei Verdacht des Betrugs in Bezug auf die zu erbringende Arbeitsleistung gegen ein vereinbartes Entgelt steht eine Straftat im Raum. Im Fall einer rechtswidrigen Verbreitung von urheberrechtlich geschützten Werken durch den Mitarbeiter durch Hochladen von entsprechenden Musik- oder Videodaten in einem Filesharing-Dienst mit Betriebsmitteln ist zudem der Straftatbestand gem. § 106 Abs. 1 Urheberrechtsgesetz (UrhG) erfüllt.

Sofern ein anderer Mitarbeiter die unerlaubten Aktivitäten des vermeintlich überlasteten Mitarbeiters mitbekommen hat und ggf. bereits die Abmahnung des Arbeitgebers durch den Urheberrechteinhaber erfolgt ist (nur die öffentliche IP-Adresse des Unternehmens ist dem Rechteinhaber bekannt), bestehen zu dokumentierende tatsächliche Anhaltspunkte, für den Verdacht, dass der Mitarbeiter im Beschäftigungsverhältnis eine Straftat begangen hat.

Die Datenerhebung, -verarbeitung bzw. -nutzung in Form der IT-forensischen Datenanalyse muss zur Aufdeckung der Straftat erforderlich und angemessen sein.

Schutzwürdige Interessen des rechtswidrig agierenden Mitarbeiters am Unterbleiben der Beweissicherung und -auswertung für die Straftat und damit einhergehend den Arbeitszeitbetrug stehen im Rahmen der Abwägung mit den Interessen des Arbeitgebers an strafrechtlicher Enthaftung, zivilrechtlichen Regeressansprüchen sowie arbeitsrechtlichen Sanktionen gegen den Mitarbeiter nicht entgegen.

Wie weist man den Arbeitszeitbetrug nach?

Mit Hilfe der IT-Forensik lässt sich nachvollziehen mit welchen Dateien und Programmen der verdächtige Nutzer zuletzt interagiert hat, denn viele Interaktionen hinterlassen Spuren innerhalb des Betriebssystems. Hinweise auf eine spezifische Internetnutzung liefert beispielsweise die Auswertung der Browsernutzung und hierbei insbesondere der Browser History und des Browser Cache mit Informationen z.B. zu den besuchten Seiten samt Zeitstempeln und Benutzerprofil, der Cookie-Informationen, der Download History, von angelegten Lesezeichen etc. Vergleicht man diese Angaben mit den Pausenzeiten des Arbeitnehmers, lassen sich Rückschlüsse auf einen Arbeitszeitbetrug ziehen.

Bei der Ermittlung durch einen privaten IT-Forensiker ist jedoch darauf zu achten, dass die rechtlichen Grenzen der Tätigkeit nicht überschritten werden, damit dieser sich nicht strafbar macht. Der IT-Forensiker muss zudem vor jeder Untersuchung auch die datenschutzrechtlichen Voraussetzungen im Zusammenhang mit seiner Tätigkeit prüfen.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Identifizierung, Sicherung und Auswertung digitaler Spuren und Beweise
  • Untersuchung auf Bedrohungen durch komplexe und gezielte Cyber-Attacken
  • Cyber Security Check zur Schwachstellenanalyse von IT-Systemen

Informieren Sie sich hier über unser Leistungsspektrum: IT-Forensik

2 Kommentare zu diesem Beitrag

  1. In der ersten Zeile, scheint sich ein massiver Typo eingeschlichen zu haben, das muss wohl statt Arbeitgeber Arbeitnehmer heissen?

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.