Pornographie am Arbeitsplatz durch IT-Forensik aufdecken

Durch die Verlagerung vieler Arbeitsplätze ins Homeoffice kann wohl davon ausgegangen werden, dass der Konsum pornographischer Inhalte während der Arbeitszeit gestiegen ist. Dies wird von den meisten Arbeitgebern, wenn nicht untersagt, zumindest missbilligt und kann Gefahren für die Sicherheit des Unternehmens mit sich bringen. Daher zeigen wir, welche Konsequenzen Mitarbeitern drohen, die Pornos am Arbeitsplatz schauen, und wie Arbeitgeber rechtswidriges Verhalten von Mitarbeitern mithilfe von IT-Forensik aufdecken können.

Rechtfertigt der Konsum pornographischer Inhalte eine Kündigung?

Der Download von pornographischem Material ist bei vielen der im Internet zu findenden Quellen nicht nur urheberrechtlich problematisch, sondern kann aufgrund des Inhalts sogar strafbar sein. Zudem führt der Konsum von Pornos bei der Arbeit zur Verringerung der tatsächlichen Arbeitszeit, Produktivität und Rentabilität des betreffenden Mitarbeiters.

Ein derartiges Verhalten kann unter bestimmten Voraussetzungen eine fristlose Kündigung des Arbeitsverhältnisses rechtfertigen.

Verdacht auf Straftat: Harte Pornographie und Urheberrechtsverletzungen

Unbeachtet der internen Regelung zur privaten Nutzung des Internets am Arbeitsplatz, ist bei bestimmten Inhalten und Verbreitungsformen von pornographischen Inhalten eine arbeitsrechtliche Konsequenz nahezu garantiert. Dies ist der Fall, wenn es um strafrechtlich relevante Sachverhalte geht.

Denn im schlimmsten Falle verwirklicht der Arbeitnehmer durch seine „Recherchen“ Straftatbestände. Zunächst steht die Verbreitung pornographischer Inhalte in einigen Fällen nach § 184 StGB unter Strafe. Diese betreffen vor allem Konstellationen, in denen das Material dadurch von Minderjährigen wahrgenommen werden kann. Neben „normaler“ Pornographie kennt der Gesetzgeber auch noch „harte“ Pornographie (pornographische Inhalte mit Tieren und Gewaltdarstellungen sowie kinder- und jungendpornographische Inhalte). Diese gilt ohne Ausnahme als sozialunerträglich und unterfallen den Straftatbeständen der § 184a bis c StGB. Die Verbreitung, Herstellung und (im Falle von kinder- und jungendpornographischen Inhalten) sogar der Besitz sind unter Strafe gestellt.

Daneben können durch Download oder die Verbreitung pornographischer Inhalte, die urheberrechtlich geschützt sind, urheberrechtliche Vorschriften wie § 106 UrhG verletzt werden.

Bei Straftaten, die vom Arbeitnehmer innerbetrieblich begangen wurden, liegt in der Regel eine außerordentliche Kündigung ohne vorherige Abmahnung nahe. Nichtsdestotrotz gilt der arbeitsrechtliche Grundsatz, dass vor Ausspruch einer Kündigung eine Interessenabwägung zwischen den Interessen des Arbeitnehmers und denen des Arbeitgebers durchzuführen ist.

Private Nutzung des Internets: Verboten oder geduldet?

Doch was, wenn der Arbeitnehmer abseits der oben genannten, strafbaren Fällen am Arbeitsplatz Pornos schaut. Droht hier sofort eine Kündigung? Nicht unbedingt. Zunächst wird man sich hier mit einer Problematik auseinandersetzen müssen, die bei der Internetnutzung von Beschäftigten immer zu bedenken ist: Die Freigabe der Nutzung des Internets für private Zwecke oder deren betriebliche Duldung.

Nach Ansicht des LAG Hessen (17 Sa 1094/13) ist ein erhebliches privates Surfen im Internet während der Arbeitszeit verbunden mit dem Herunterladen von Daten mit pornografischen Darstellungen, bei einem Verbot der privaten Internetnutzung, ein geeigneter Grund für eine außerordentliche Kündigung.

Gibt es keine Regelung zum Umgang mit dem Internet im Betrieb, ist die Frage, ob sich eine privaten Nutzung im Rahmen der betrieblichen Übung etabliert hat. Wenn dem Arbeitnehmer nicht bekannt oder bewusst ist, dass er das Internet, wie auch immer, nutzen darf, verstößt er nicht vorsätzlich gegen seine arbeitsvertraglichen Pflichten. Ihm kann ein solcher Pflichtverstoß also nur bedingt vorgeworfen werden. Eine solche Gestattung durch Duldung erstreckt sich aber nur auf eine private Nutzung des Internets im normalen bzw. angemessenen zeitlichen Umfang. Bei exzessiver privater Internetnutzung liegt dann jedenfalls eine Pflichtverletzung vor. Eine solche Nutzung ist dann anzunehmen, wenn die Internetnutzung während der Arbeitszeit nicht mehr nur kurzfristig und vereinzelt stattfindet.

Auch wenn die Nutzung für private Zwecke geduldet wurde, ist eine Kündigung des Arbeitnehmers noch nicht ganz vom Tisch. Nach Ansicht des BAG (2 AZR 581/04) kann

„Der Arbeitnehmer […] weiter auch nicht damit rechnen, der Arbeitgeber sei, selbst wenn er prinzipiell eine private Nutzung des Internets duldet, damit einverstanden, dass er sich umfangreiche pornografische Dateien aus dem Internet herunterlädt. Der Arbeitgeber hat ein Interesse daran, von Dritten nicht mit solchen Aktivitäten seiner Mitarbeiter in Verbindung gebracht zu werden.“ Rn. 39

[…]

Das Landesarbeitsgericht wird bei der vorzunehmenden Interessenabwägung weiter zu berücksichtigen und abzuwägen haben, dass die Beklagte die Nutzungsbedingungen für das Internet zwar nicht eindeutig festgelegt hat, ihr aber durch das Herunterladen von pornografischem Bildmaterial nicht nur Kosten bzw. ein Schaden entstanden sein könnte, sondern sie sich der Gefahr ausgesetzt sehen könnte, in der Öffentlichkeit in ein problematisches Licht gesetzt zu werden. Schließlich wird das Landesarbeitsgericht auch den Umstand würdigen müssen, dass der Kläger das Internet nicht für unverfängliche private Zwecke genutzt (vergleichbar dem Lesen einer Tageszeitung), sondern sich mit pornografischen Bildern und Videosequenzen während der Arbeitszeit versorgt hat.“

Rn. 44

Fristlose Kündigung: Abwägung Schwere der Pflichtverletzung

Bei der Entscheidungsfindung, ob eine Kündigung aufgrund des Konsums pornographischer Inhalte am Arbeitsplatz ausgesprochen werden kann oder nicht, sind alle Umstände des Einzelfalls im Rahmen einer Abwägung in Betracht zu ziehen und die Interessen des Arbeitgebers und Arbeitnehmers gegeneinander abzuwägen. Dabei hängt der Ausgang an folgenden Aspekten:

• Strafbarkeit der Inhalte
• Schaden aufgrund einer Vireninfektion und oder eines illegalen Downloads
• Verbot der Privatnutzung
• Rufschädigung des Unternehmens
• Dauer / Umfang der (nicht erlaubten) Tätigkeit
• Nichterbringung der Arbeitsleistung

Eine solche theoretische Interessenabwägung muss durch haltbare Beweise belegt werden. Dafür kann, unter Einhaltung datenschutzrechtlicher Anforderungen, eine IT-forensische Untersuchung des Arbeitscomputers erfolgen, der für den Konsum von pornographischem Material verwendet wurde.

Spuren gerichtsverwertbar sichern

Der Benutzer eines Computers hinterlässt bei dessen Nutzung zahlreiche Spuren, welche vom System gespeichert werden. Auf einem Computer, auf dem das Betriebssystem Windows installiert ist, finden sich je nach installierter Version Spuren an bestimmten Speicherorten.

Diese Spuren lassen sich IT-forensisch gerichtsverwertbar sichern, auswerten und dokumentieren. Um die vom Benutzer erzeugten Spuren durch dessen Interaktion mit den Dateien auf dem Computer nicht zu beschädigen oder zu vernichten, muss die Sicherung der zu untersuchenden Daten, manipulationssicher durchgeführt werden. Dies kann z.B. unter Einsatz eines sog. Writeblocker erfolgen, der einen schreibenden Zugriff auf die Originaldaten beim Erstellen der forensischen Kopie verhindert.

IT-Forensik: Quellen für Spuren bei Pornos am Arbeitsplatz

Folgende Spurenquellen würde ein IT-Forensiker typischerweise unter anderem nach Hinweisen untersuchen, wenn der Vorwurf im Raum steht, ein Systembenutzer habe strafbares Bild- und Videomaterial „konsumiert“.

Shortcut-Dateien

So geben beispielsweise vom System automatisch bei Öffnung von nichtausführbaren Dateien angelegte Shortcut (LNK)-Dateien inkl. Metadaten zum erst- und letztmaligen Öffnen der Datei Hinweis auf die Kenntnis von dem Inhalt der betreffenden Datei durch den Benutzer. Solche Artefakte können auch durch das Öffnen von Dateien, die über die Taskleiste (sog. Jump Lists) geöffnet werden oder die Verwendung von bestimmten Dateien durch Anwendungen entstehen. Es werden in diesem Fall AppIDs gespeichert, die Rückschlüsse auf das erste bzw. letzte Ausführen einer bestimmten Anwendung bzw. Öffnen eines Ordners zulassen.

Thumbnails

Ebenso können Spuren von Vorschaubildern (Thumbnails) Hinweise auf die Kenntnis von Daten mit strafbaren Inhalten geben. Das System katalogisiert – abhängig von der Windows-Betriebssystemversion – in der Thumbs.db oder dem Thumbscache die Bilder und speichert eine Kopie des Thumbnails, selbst wenn das Bild selbst gelöscht wird. Die Spuren werden auf dem System hinterlassen, sobald die betreffenden Bilddateien im Thumbnail- oder Filmstrip-Modus angeschaut werden oder ein Verzeichnis geöffnet wird, bei dem der Thumbnail-Modus aktiviert ist.

„Öffnen/Speichern unter“ -Dialogbox

Das System speichert darüber hinaus auch Spuren der Interaktion des Benutzers mit Dateien über die „Öffnen/Speichern unter “-Dialogbox und gibt damit Hinweise auf das aktive Öffnen und Speichern von Dateien und damit die Kenntnis durch den Benutzer.

Browserartefakte

Hinsichtlich der Browsernutzung enthält z.B. bei Verwendung des Internet Explorer (IE) die IE History Informationen zu den besuchten Websites einschließlich Datum und Uhrzeit. In der IE History finden sich zudem Informationen zur Frequenz der besuchten Websites sowie zum Benutzerkonto, welches für den Websitebesuch genutzt wurde. Die Details werden für jeden lokalen Benutzer gespeichert. Die Besonderheit bei der IE History ist zudem, dass nicht nur der Zugriff auf Daten infolge der Webnutzung mittels Webbrowser Spuren hinterlässt, sondern gleichermaßen der Zugriff auf lokal gespeicherte Daten wie Office-Dokumente.

Eine weitere typische Spurenquelle bezüglich der Webnutzung ist der Browsercache. Der IE Cache speichert beispielsweise u.a. Informationen dazu, welche Websites wann besucht und welche Dateien auf der jeweiligen Website angeschaut wurden. Dies dient kurzgesagt der Beschleunigung einer wiederholten Nutzung derselben Website dadurch, dass die Ressourcen wie Texte oder Bilder beim erneuten Aufruf nicht erst wieder aus dem Internet geladen werden müssen, sondern die Informationen lokal abgerufen werden können. Die Informationen sind dem jeweiligen Benutzerkonto zuordenbar.

Verifizierung von gefundenen Spuren

Die jeweiligen Spuren aus einer Quelle können zugleich der Verifizierung von Spuren aus jeweils anderen Quellen dienen. Bei personalisierten Benutzerkonten auf Computern lassen sich die gefundenen Spuren in der Regel dem jeweiligen Benutzer, der sich mit seinen Zugangsdaten gegenüber dem System authentisiert hat, zurechnen.

Darum ist die Gerichtsverwertbarkeit der Beweise wichtig

In gerichtlichen Verfahren ist die Gerichtsverwertbarkeit von Beweisen besonders relevant. Es muss zum einen klar sein, wer entsprechende Beweise vorbringen muss und zum anderen, wie gehaltvoll die vorgebrachten Beweise sind.

Beweislast beim Arbeitgeber

Im zivilgerichtlichen Verfahren ist in der Regel die Partei für eine Tatsache beweispflichtig, zu deren Gunsten diese Tatsache geht. Sie trägt die sogenannte Darlegungslast. In der vorgenannten Interessenabwägung sind Tatsachen, die der Arbeitgeber abwägen muss, um sich auf eine wirksame Kündigung zu stützen, abzuwägen. Hierbei sind die erwogenen Tatsachen vom Arbeitgeber zu beweisen, da diese seine Kündigung begründen. Dies stellt im Kontext der Internetnutzung des Beschäftigten eine nicht unerhebliche Herausforderung dar.

So kippte das LAG Rheinland-Pfalz (Az.: 10 Sa 173/13) eine fristlose Kündigung eines Ausbildungsverhältnisses, welche u.a. wegen der Nutzung des Internets für das Ansehen von Pornoseiten ausgesprochen wurde, weil der Beklagte den Punkt nicht substantiiert vortrug:

Keine dieser Pflichtverletzungen hat die Beklagte in hinreichender Weise vorgetragen. Sie hat es auch zweitinstanzlich bei dem pauschalen und unsubstantiierten Vortrag belassen, der Kläger habe „Pornoseiten“ und sonstige private Seiten angesehen. Die Beklagte hat nicht vorgetragen, in welcher Menge Daten aus dem Internet in das betriebliche Betriebssystem eingebracht wurden und es dadurch ggf. zu welchen -erheblichen- Belastungen oder Störungen der betrieblichen Datensysteme gekommen ist bzw. welche konkrete Störungsgefahr bestanden hat. Sie hat ebenfalls nicht vorgetragen, ob ihr durch die private Nutzung des Internets durch den Kläger zusätzliche Kosten entstanden sind. Schließlich hat sie auch nicht vorgetragen, in welchem konkreten Umfang der Kläger während der Ausbildungszeit unter Vernachlässigung seiner in diesem Zeitraum zu erfüllenden Arbeitspflichten seine geschuldete Arbeitsleistung nicht erbracht hat.

Die von der Beklagten vorgelegten Ausdrucke des Browserverlaufs ersetzen keinen Sachvortrag. Die Berufungskammer ist nicht verpflichtet, sich den kündigungsrelevanten Sachverhalt aus den Anlagen herauszusuchen, dh. die Ausdrucke auf verwertbaren Vortrag zur Frage, welche Internetseiten der Kläger mit welchem Inhalt (strafbare oder pornografische Darstellungen?), zu welcher Uhrzeit und in welchem zeitlichen Umfang betrachtet hat, zu „durchforsten“. Die pauschale Bezugnahme auf Anlagen, die es dem Gericht überlässt, die Tatsachen zu ermitteln, auf die die Partei ihren Vortrag stützt, ist unzulässig. Die Aufbereitung des Prozessstoffes ist Aufgabe des Prozessbevollmächtigten; sie kann nicht durch die Bezugnahme auf Anlagen auf das Gericht abgewälzt werden. Rn. 37/38

Nicht jede Spur ist ein Beweis: (Fehlender) Vorsatz beim Browsercache

Im Frühjahr des Jahres 2017 hat das Amtsgericht Bocholt (Az.: 3 Ds 540 Js 100/16 – 581/16) den Antrag auf Durchführung einer Hauptverhandlung zurückgewiesen, der darauf abzielte ein strafgerichtliches Hauptverfahren gegen einen Angeschuldigten wegen Verbreitung, Erwerbs und Besitzes kinderpornografischer Schriften zu eröffnen. Dem Angeschuldigten war vorgeworfen worden, zahlreiche Bilder eines 16-jährigen Mädchens auf seinem Computer mit Windows-Betriebssystem gespeichert zu haben. Als Beweis wurde ausschließlich die Auswertung der Daten des Cache seitens der Staatsanwaltschaft angeführt.

Neben den Zweifeln am Alter des abgebildeten Mädchens begründete das Gericht die Zurückweisung damit, dass der Besitzwille hinsichtlich der elektronisch gespeicherten Bilder nicht bewiesen werden könne. Dem Angeschuldigten sei die nötige Einwirkungsmöglichkeit auf die Bilder nicht nachzuweisen. Im Cache würden die Daten automatisch und ohne Einwirkungsmöglichkeit des normalen Benutzers gespeichert.

Das Gericht zweifelte zudem daran, ob der Angeschuldigte die inkriminierten Bilder überhaupt bewusst angeschaut hatte. Zutreffend führt das Gericht aus, dass Links zu Websites mit strafrechtlich relevanten Bild- und Videodaten via E-Mail versandt werden können und von einem unbedarften, aber unvorsichtigen Benutzer geöffnet werden könnten, wodurch am Ende Informationen im Cache gespeichert werden, ohne dass der Benutzer je die Absicht hatte, derartige Bilder zu betrachten oder zu speichern.

Die Entscheidung des AG Bocholt in Bezug auf kinderpornographisches Material lässt sich gleichermaßen auf anderweitiges pornographisches Material beziehen, sofern es um den Nachweis des Vorsatzes bzw. der Kenntnis in Bezug auf den Besitz solchen Datenmaterials geht.

Richtig aufstellen bei unternehmensinternen Datenschutzanweisungen

Wichtig beim Umgang mit der Internetnutzung von Beschäftigten ist es sich als Unternehmen von vornherein richtig aufzustellen. So ist die private Internetnutzung deutlich zu untersagen, wenn diese nicht vorgesehen ist. Im Hinblick auf eine eventuelle Kündigung und einen arbeitsrechtlichen Prozess kann dies erheblich sein.

Bei der Ermittlung durch einen privaten IT-Forensiker ist darauf zu achten, dass die rechtlichen Grenzen der Tätigkeit nicht überschritten werden, damit dieser sich nicht strafbar macht. Der IT-Forensiker muss zudem vor jeder Untersuchung auch die datenschutzrechtlichen Voraussetzungen im Zusammenhang mit seiner Tätigkeit prüfen.