Boorberg Verlag

Datenschutzkonforme Internet- und E-Mail-Nutzung in Unternehmen

25.01.2010

Erlaubnis oder Verbot der Internet- und E-Mail-Nutzung

Unternehmen haben verschieden Möglichkeiten, die Nutzung von Internet und E-Mail am Arbeitsplatz zu regeln: Erlaubnis, Verbot, Filtern oder Betriebsvereinbarungen. Aus der Sicht des Datenschutzes ist zwischen erlaubter Privatnutzung oder Verbot zu unterscheiden. Beide Varianten haben unabhängig begleitender Maßnahmen weitreichende Konsequenzen.

Folgen der Privatnutzung

Eine Erlaubnis kann schwerwiegende Auswirkungen auf die Produktivität haben. Eine Studie des IT-Dienstleisters Sterling Commerce ergab bereits im Jahr 2000, dass das private Surfvergnügen die deutsche Volkswirtschaft jährlich 104 Milliarden DM kosteten. Danach nutzte jeder Beschäftigte das Internet im Durchschnitt 3,2 Stunden in der Woche für den eigenen Bedarf. Jährlich entsteht so ein Arbeitsausfall von mehr als 17 Tagen pro Mitarbeiter. Es lohnt es sich, über dieses riesige Stück Arbeitszeitkuchen nachzudenken, wenn man sich vor Augen führt, welche enormen Anstrengungen teilweise in Unternehmen vorgenommen werden, um nur wenige Minuten bei der Produktion einzusparen.

Rechtliche Bewertung

Bei einer Erlaubnis der Privatnutzung entfällt nahezu jegliche Steuerungsmöglichkeit, da der Arbeitgeber gegenüber dem Arbeitnehmer Telekommunikations-/Teledienstanbieter wird. Der Arbeitgeber ist somit zur Einhaltung des Fernmeldegeheimnisses gemäß § 88 TKG gegenüber seinen Mitarbeitern verpflichtet. Gespeicherte Daten dürfen nicht mehr eingesehen werden, weil privater und dienstlicher Inhalt des Internetverkehrs oder gespeicherter E-Mails nicht getrennt werden können. Eine Protokollierung der Nutzung darf ohne Einwilligung erfolgen:
  • Zu Zwecken der Datenschutzkontrolle,
  • zur Datensicherung,
  • zur Sicherung des ordnungsgemäßen Betriebs der Verfahren
  • zu erforderlichen Abrechnungszwecken oder
  • wenn der Verdacht einer strafrechtlich relevanten Nutzung vorliegt.
Abrechnungsdaten können vorgehalten werden, wenn Mitarbeiter zur Kostenerstattung verpflichtet sind.

Einwilligung durch den Mitarbeiter

Ein Unternehmen kann fehlende Kontrollrechte dadurch erlangen, dass es den Arbeitnehmer einwilligen lässt. Eine Einwilligung muss stets durch den Mitarbeiter selbst und in schriftlicher Form erfolgen. Der Mitarbeiter hat aber das Recht, diese Einwilligung jederzeit ohne Angabe von Gründen wieder zurückzunehmen. Daraus folgt, dass derartige Einwilligungen nicht kollektivrechtlich über den Betriebsrat erfolgen können. Auch ist es nicht möglich, bei erlaubter Privatnutzung eine Stellvertreterregelung für den dienstlichen E-Mail Account durchzusetzen. Der Mitarbeiter hat ein Verweigerungsrecht, sodass seine E-Mails, unter denen auch private enthalten sein können, nicht an einen Kollegen weitergeleitet werden.

Löschen privater E-Mails

Ein weiteres Problem stellen Herausgabe- oder Löschansprüche privater E-Mails auf dem Dienst-Account dar. In der täglichen Praxis werden aufgrund gesetzlicher Bestimmungen, z.B. § 257 HGB, E-Mails komplett archiviert. Davon sind dann auch die privaten E-Mails der Mitarbeiter betroffen. In diversen Rechtsstreitigkeiten wurden diese zurückgefordert (§ 985 BGB) oder das Unternehmen dazu aufgefordert, die privaten E-Mails zu löschen (§ 35 Abs. 2 BDSG). Praktisch lässt sich dies kaum realisieren und die Forderungen sind durchaus umstritten. Kein Unternehmen möchte es darauf ankommen lassen und gegebenenfalls einen Rechtsstreit verlieren. Die Konsequenzen von Nachahmungen kann man sich leicht ausmalen. Die gestattete Internet- und E-Mail-Nutzung ist für jeden Arbeitgeber unberechenbar, die möglichen Folgen sind unkalkulierbar. Es gibt daher ein Bedürfnis nach einem Privatnutzungsverbot.

Verbot der Privatnutzung

Ein Verbot stellt die vermeintlich einzige Möglichkeit dar, das Unkalkulierbare kalkulierbar zu machen. Besteht in einem Unternehmen ein ausdrückliches Privatnutzungsverbot, ist das Unternehmen kein Telekommunikationsanbieter. Inwieweit dann Daten erhoben und verarbeitet werden dürfen, richtet sich nach dem Bundesdatenschutzgesetz, das dem Arbeitgeber die Überprüfung ermöglicht, ob der Arbeitnehmer seinen arbeitsvertraglichen Pflichten nachkommt. Der Arbeitgeber kann die Internetnutzung stichprobenartig kontrollieren. Eine automatisierte Vollkontrolle hingegen bleibt unzulässig. Allerdings sollten diese Stichproben auch durchgeführt werden. Andernfalls läuft das Unternehmen bei einem Rechtsstreit Gefahr, dass das Verbot vor Gericht nicht anerkannt wird. Im Extremfall droht die Feststellung einer betrieblichen Übung, die i.d.R. der Regel lange Bestand hat und nur schwer rückgängig gemacht werden kann. Um sicher zu gehen, sollte ebenfalls ein progressiver Strafenkatalog für den Fall von Verstößen hinterlegt werden. Die Strafen sollten schließlich auch vollzogen werden.

Folgen der Nichteinhaltung des Verbots

Unternehmen bestätigen, dass ein Verbot nicht eingehalten wurde. Wenn die aufgeführten Bedingungen für ein "rechtssicheres" Verbot umgesetzt werden, hat dies arbeitsrechtliche Folgen. Setzt das Unternehmen heute einen unliebsamen Mitarbeiter vor die Tür, so könnte morgen schon ein Top-Mitarbeiter folgen, denn hier gilt der Gleichbehandlungsgrundsatz. Die negativen Auswirkungen eines gelebten Verbotes sind leicht abschätzbar: Mitarbeiter werden demotiviert und es gibt negative Effekte für die gesamte Unternehmenskultur. Eine gravierende folgenreiche Restriktion ist für die meisten Mitarbeiter schwer nachvollziehbar. Trotz Arbeitszeitverlusten liegt keinesfalls ein Kapitalverbrechen vor, das den Verlust des Arbeitsplatzes im Extremfall rechtfertigen würde.

Datenschutzkonforme Lösung

Die diffuse Rechtslage machte bisher keinen goldenen Mittelweg möglich. Doch seit geraumer Zeit besteht eine dritte Variante. Um die jeweiligen Vorteile zu erhalten, müssen hiernach beide gewissermaßen umgesetzt werden. Die Lösung heißt Steuerung durch Trennung. Der Arbeitnehmer selbst sollte darüber entscheiden, ob er die Infrastruktur des Unternehmens für seine Internetaktivitäten dienstlich oder privat nutzt.
Ein Verfahren, welches diesen Ansatz verfolgt, ist ein datenschutzkonformes Softwareprogramm. Auf dem Client-Rechner (Arbeitsplatz mit Internetanbindung) wird eine Mini-Applikation installiert. Über ein intuitives Userinterface kann der Anwender einen Schalter betätigen, mit dem er zwischen dienstlicher und privater Nutzung umschaltet. Gewährt der Arbeitgeber seinen Mitarbeitern ein monatliches privates Nutzungsguthaben während der Arbeitszeit, wird dieses bei privatem Gebrauch belastet. Gewährt das Unternehmen keine Privatnutzung während der Arbeitszeit besteht die Möglichkeit zur Ankopplung an Arbeitszeiterfassungssysteme. Ebenso können Pausenzeiten definiert werden. Ein Server nimmt die Authentifizierung, d.h. die Zuordnung der User vor und protokolliert sämtliche Internetaktivitäten, getrennt nach privaten und dienstlichen Daten.

Die anfallenden Daten werden hoch verschlüsselt gespeichert. Auflaufende private Daten können nur über das Vier-Augen-Prinzip (gesichert durch zwei Hardware-Schlüssel) eingesehen werden. Nur in gesetzlich vorgeschriebenen Ausnahmesituationen können private Daten entschlüsselt und sichtbar gemacht werden. Damit hat der Arbeitnehmer neben einer Privatsphäre auf Knopfdruck, eine legale Möglichkeit die Infrastruktur des Unternehmens nach vereinbarten Rahmenbedingungen zu nutzen. Im Bereich der dienstlichen Nutzung herrscht ein Privatnutzungsverbot.
Damit im Bereich des Verbots ebenfalls Rechtssicherheit hergestellt wird, wird die dienstliche Nutzung stichprobenartig überprüft. Eine Strichprobenquote bis maximal 10% der Mitarbeiter ist einstellbar.

E-Mail-Nutzung

Die private E-Mail-Nutzung wird gleichfalls einfach organisiert. Der Dienst-Account wird lediglich für dienstliche E-Mails verwendet. Auch hier herrscht ein Privatnutzungsverbot, welches ebenfalls stichprobenartig überprüft werden kann. Möchte der Mitarbeiter privat mailen, deklariert er über die Programmoberfläche privat und nutzt einen privaten E-Mail-Provider (z.B. Freemail oder GMX). Bei Bedarf kann das System aus Sicherheitsgründen Up- und Downloads von Dateianhängen im privaten E-Mail-Bereich verhindern.
Neben der Steuerungsmöglichkeit der privaten Internetnutzungszeiten erhält der Arbeitgeber bei dienstlicher Nutzung seine Kontrollrechte. Dem Arbeitnehmer wird die private Nutzung ermöglicht und er hat die Gewissheit, dass seine Daten privat bleiben, da lediglich über ein Vier-Augen-Prinzip auf diese zugegriffen werden kann.

Praxishinweise

Eine Erlaubnis der Nutzung von Internet und E-Mail am Arbeitsplatz sowie mangelhafte Kontrollen bei einem Verbot führen dazu, dass der Arbeitgeber gegenüber dem Arbeitnehmer Telekommunikationsanbieter wird und die Vorschriften des Telekommunikationsgesetzes (TKG) zu beachten hat.
Rückfragen zu den Einzelheiten des datenschutzkonformen Softwareprogramms sind bei CS Investigation & Security GmbH (CSISS) möglich. 

Autor: Christian Senger

Anlass: Internet und E-Mail am Arbeitsplatz

Private Internet- und E-Mail-Nutzung am Arbeitsplatz verursacht Milliardenschäden. Das Datenschutzrecht unterscheidet zwischen erlaubter Privatnutzung und Verbot. Bei einer Erlaubnis dürfen gespeicherte Daten vom Arbeitgeber nicht mehr eingesehen werden und bei fehlenden Kontrollrechten ist die Einwilligung des Mitarbeiters problematisch. Ein datenschutzkonformes Softwareprogramm macht dienstliche und private Nutzung, auch mit einer Ankopplung an Arbeitszeiterfassungssysteme, möglich.

Sachbereich: D3 Fachspezifische Themen - IT-Sicherheit

Schlagwörter: Internetnutzung am Arbeitsplatz, Datenschutz, E-Mail


-