Startseite > Security > E-Mail-Einsatz in Kreativunternehmen

Privatnutzung via Webmail und Fernsteuerung

E-Mail-Einsatz in Kreativunternehmen

2. März 2008, 23:00 Uhr | Tim Faulhaber, Stefan Uecker und Robert Niedermeier

Will ein Unternehmen seinen Mitarbeitern Empfang und Versand privater E-Mails erlauben, hat dies auch rechtliche Konsequenzen. Ein Weg, bei dem weniger Probleme zu erwarten sind als bei der Mischung privater und geschäftlicher Mail in einen Account, liegt in der Erlaubnis zur Nutzung von Mail via Web für private Zwecke.

Das Kommunikationsmittel E-Mail dient allgemein der schnellen Kommunikation sowie dem Austausch
von Daten und Informationen zwischen Personen. Im Unternehmen jedoch ist die Nutzung von E-Mail an
engere Anforderungen gebunden. So sollte es die E-Mail-Nutzung im Betrieb den Mitarbeitern und
Mitarbeiterinnen generell ermöglichen, Informationen und Daten mit anderen geschäftlichen Kontakten
auszutauschen, und zwar firmenintern und extern. Dabei hat die Nutzung des betrieblichen
E-Mail-Zugangs jeweils dem Tätigkeitsfeld des Mitarbeiters zu entsprechen. Dies alles ist sehr
leicht gesagt, aber ungemein schwieriger umzusetzen, wenn man die Ansprüche mit dem Status quo der
tatsächlichen Nutzung vergleicht.

Dieser Artikel soll dem Leser einen kurzen Überblick über die rechtlichen Anforderungen an eine
ordnungsgemäße und professionelle E-Mail-Nutzung im Betrieb vermitteln und ihm dabei Möglichkeiten
aufzeigen, durch gezielte Maßnahmen einen praxisorientierten und zugleich gesetzeskonformen Weg
einzuschlagen.

Probleme bei der privaten Nutzung

Ausgangspunkt ist der wohlbekannte Weg vieler Betriebe, die private Nutzung von E-Mail am
Arbeitsplatz zu erlauben. Fast noch beliebter ist es, Gedanken über die Regelung von E-Mail im
Betrieb komplett zu verdrängen. Bildlich gesprochen verhält man sich hier wie ein Autofahrer, der
mit Sommerreifen im Schneegestöber einfach losfährt und hofft, schnell im warmen, schneefreien
Süden anzukommen.

Datenschutz

E-Mails stellen in der Regel personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes
(BDSG) dar. Nach dem BDSG sind personenbezogene Daten Einzelangaben über persönliche oder sachliche
Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Gerade durch das gesetzliche
Merkmal der "bestimmbaren natürlichen Person" fällt der Anwendungsbereich sehr weit aus. Wie viele
Informationen in unserem Posteingang, die wir tagtäglich erhalten, sind schon so unbestimmt, dass
ein Rückschluss auf eine betroffene Person nicht mehr möglich erscheint? Aus einer standardisierten
E-Mail-Kennung ist in der Regel schon Vor- und Nachname des Betroffenen ersichtlich, weswegen das
BDSG grundsätzlich auf E-Mail-Adressen anwendbar ist. Damit werden jedoch erhöhte Anforderungen an
das Unternehmen gestellt. So herrscht im BDSG das Prinzip des Verbots mit Erlaubnisvorbehalt:

"Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses
Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene
eingewilligt hat."

Verstöße hiergegen stellen keine Kavaliersdelikte dar und sind mit empfindlichen Sanktionen
verbunden. Ein "gutes" Beispiel für ein absolutes datenschutzrechtliches Desaster, das wohl im
ganzen deutschsprachigen Raum bekannt wurde, war vor kurzem der recht freizügigen Dialog zweier
Angestellten einer süddeutschen Behörde. Der Inhalt hat soviel Aufmerksamkeit erregt, dass durch
die Weiterleitungen bereits ganze Personalstrukturen verschiedenster Unternehmen aus den
Verteilerlisten ersichtlich waren, als der Inhalt auch den Verfasser dieser Zeilen erreichte.

Provider-Eigenschaft und Telekommunikationsgeheimnis

Die private Nutzung von E-Mails im Unternehmen bringt noch weitere Risiken mit sich. Ist die
private Nutzung des betrieblichen E-Mail-Systems erlaubt, so generiert sich das Unternehmen als
Telekommunikationsanbieter und hat alle damit verbundenen rechtlichen Pflichten einzuhalten. Hierzu
gehört insbesondere das Telekommunikations-/Fernmeldegeheimnis. Ein Verstoß gegen dieses von der
Verfassung geschützte Recht wird als Straftatbestand in Paragraph 206 StGB mit Freiheitsstrafe bis
zu fünf Jahren geahndet. Zur Vermeidung eines solchen Verstoßes darf der Unternehmer keine Kenntnis
vom Inhalt und den Beteiligten bezüglich der privaten Kommunikation auf seinem Betriebsmittel
E-Mail erlangen. Ist dagegen die private Nutzung verboten, so macht sich das Unternehmen nicht zum
Erbringer von Telekommunikationsdienstleistungen. Das Telekommunikationsgeheimnis wäre dann nicht
tangiert.

Der rechtliche Rahmen für jede Tätigkeit eines Unternehmens wird durch das Prinzip der
Organisationsverpflichtung (Gewerbeordnung/Handelsgesetzbuch) gesetzt. Nach diesem Prinzip haben
Unternehmen in der Bundesrepublik rechtskonform zu handeln und sind verpflichtet, die für die
Sicherstellung des rechtskonformen Handelns erforderlichen Strukturen in den einzelnen Bereichen
des Unternehmens auszubilden, zum Beispiel in den Bereichen Finanzen, Personal, Administration und
EDV. Verstöße gegen diese Verpflichtung führen zu einem Verschulden der Organe des Unternehmens und
der darunter liegenden Stabsstellen jeweils mit persönlicher Haftung für diese Personen. Nach dem
oben Gesagten führt die Organisationsverpflichtung dazu, dass der Unternehmer sein E-Mail-System in
einer Art und Weise zu betreiben hat, dass Rechte des Unternehmens und Dritter nicht beeinträchtigt
werden. Wird im Unternehmen die private Nutzung des E-Mail-Systems jedoch erlaubt oder geduldet, so
ist es für den Unternehmer fast unmöglich, die Gesetzeskonformität zu gewährleisten. Vielmehr
betreibt er eine "gemeingefährliche" Anlage, die er aufgrund des Telekommunikationsgeheimnisses gar
nicht durchgehend auf Gesetzeskonformität überprüfen darf, eigentlich aber müsste. Hierdurch wird
ein ganzer unternehmenskritischer Bereich der Kontrolle des Managements entzogen.

Die Rechtsprechung hat die Auslegungsregel entwickelt, dass bei unternehmensbezogenen Geschäften
nach dem übereinstimmenden Willen der Parteien im Zweifel der Inhaber des Unternehmens
Vertragspartei werden soll und nicht der für das Unternehmen Handelnde. Voraussetzung hierfür ist
jedoch, dass das Rechtsgeschäft eindeutig auf ein bestimmtes Unternehmen bezogen sein muss, was
sich jedoch auch aus den Umständen ergeben kann. Als Anhaltspunkte kommen hier insbesondere auch
Zusätze zur Unterschrift und somit auch eine Firmen-E-Mail-Signatur in Betracht. Bestellt nun ein
Mitarbeiter privat unter seiner betrieblichen E-Mail-Adresse Leistungen und sind in der E-Mail die
gesetzlich vorgeschriebenen Angaben des Unternehmens in der Signatur enthalten, so besteht die
Gefahr, dass das Unternehmen im Zweifel für die Gegenleistung erst einmal einzustehen hat - als
hätte es den Vertragsschluss gewollt.

Geschäftliche Nutzung seit 2007

Im Wege einer Gesetzesänderung wurde Anfang 2007 der bisherige Paragraph 37a HGB
(Geschäftsbriefe) an die neuen technischen Gegebenheiten angepasst:

"Auf allen Geschäftsbriefen des Kaufmanns gleichviel welcher Form, die an einen bestimmten
Empfänger gerichtet werden, müssen seine Firma, die Bezeichnung nach Paragraph 19 Abs. 1 Nr. 1, der
Ort seiner Handelsniederlassung, das Registergericht und die Nummer, unter der die Firma in das
Handelsregister eingetragen ist, angegeben werden."

Da der Gesetzgeber ausdrücklich bestimmt hat, dass es auf die Form des Briefs nicht mehr
ankommt, wurden in den Anwendungsbereich des Gesetzes auch die E-Mails einbezogen. Demnach sind
seit dem In-Kraft-Treten des neuen Paragraphen 37a HGB in allen geschäftlichen E-Mails die vom
Gesetz geforderten Pflichtangaben einzufügen, was zu einer Klassifizierung als Geschäftsbrief
führt.

Private Nutzung in der Papierwelt

In der Geschäftswelt kommt es kaum einmal zu einer privaten Nutzung des Geschäftspapiers durch
die Angestellten. In der digitalen Welt hingegen ist äquivalentes Vorgehen häufig zu finden - was
nach dem oben gesagten unverständlich erscheinen muss: Warum sollte hier kein Gleichlauf mit der
Papierwelt möglich sein? Gleichwohl ist es höchst lobenswert, dass Unternehmen ihren Angestellten
die private Nutzung des betrieblichen E-Mail-Systems gestatten. Den wenigsten dürfte dabei jedoch
klar sein, auf welch dünnes Eis sie sich begeben.

Wenn man sich an dieser Stelle nun einmal verdeutlicht, dass es rechtlich kein Problem mehr
darstellt, Verträge über E-Mail zu schließen, so kann dabei an einen Fall gedacht werden, in dem
der Angestellte für sich privat Büromaterial im Internet bestellt und dabei für die gesamte
Korrespondenz die geschäftliche E-Mail-Adresse verwendet. Gemäß den oben dargestellten Grundsätzen
des Rechtsscheins erweckt der Angestellte gegenüber dem Verkäufer den Eindruck, dass diese
Bestellung für und im Namen des Arbeitgebers erfolgt, da die Bestellung von der Firmenadresse und
unter Angabe des Impressums abgegeben wurde. In diesem Falle würde der Arbeitgeber im Zweifel für
den Kaufpreis einstehen müssen. Bei diesem Beispiel handelte es sich noch um eine kleine Forderung,
aber wenn man sich vorstellt, dass der Angestellte einen PKW über das Internet bestellt, so können
Forderungen schnell ins Unermessliche steigen. Im Gleichlauf mit der Papierwelt wäre der
Angestellte wohl eher nicht auf die Idee gekommen, mittels Geschäftsbriefbogen rechtswirksame
privat veranlasste Erklärungen in Umlauf zu bringen.

Stiller Übergang zur rein geschäftlichen Nutzung

Durch die Tatsache, dass mittlerweile alle Unternehmen bei der Verwendung der betrieblichen
E-Mail-Adresse das so genannte Impressum anfügen, wurde bereits von Gesetzes wegen auf eine rein
geschäftliche E-Mail-Nutzung übergegangen. Eine private Nutzung der geschäftlichen E-Mail, sei sie
auch im Unternehmen bisher erlaubt gewesen, ist somit spätestens im Zeitpunkt des Anhängens des
Impressums verschwunden. Stattdessen sind zwischenzeitlich alle E-Mails unter Verwendung der
geschäftlichen E-Mail-Adresse als rein betrieblich anzusehen, wenn auch als eine geschäftliche
E-Mail mit privatem Inhalt. Von den Unternehmen sollte daher nun die Gelegenheit genutzt werden,
den Angestellten auch die geschäftliche E-Mail mit privatem Inhalt zu untersagen, um bestehende
Risiken für das Unternehmen zu minimieren.

Lösung für Kreativunternehmen

Zwischen der Nutzung von E-Mail und dem Internet muss unterschieden werden. Im Falle einer
Erlaubnis der privaten Nutzung von E-Mail und Internet mutiert, wie bereits oben dargestellt, das
Unternehmen zu einem Telekommunikationsanbieter - mit allen daraus resultierenden Folgen, wie zum
Beispiel der Anwendbarkeit des Fernmeldegeheimnisses und der damit einhergehenden strafrechtlichen
Exponierung.

Im Falle einer Erlaubnis der privaten Nutzung bestehen daher bereits erhebliche datenschutz- und
strafrechtliche Probleme, denen man nur im Wege einer Betriebsvereinbarung oder aber Einwilligungen
durch jeden einzelnen Mitarbeiter entgehen kann. Diese Probleme tauchen zum Beispiel im Bereich
Spam-Filterung, Virenscanner und E-Mail-Archivierung auf, da in all diesen Fällen mittels Scannern
Einblick in private E-Mails genommen und somit gegen das Fernmeldegeheimnis verstoßen wird. Es
sollte daher im Unternehmen jegliche private Nutzung des Betriebsmittels E-Mail und Internet
untersagt werden.

Im Hinblick auf das Betriebsmittel Internet ist der Arbeitgeber im Falle einer dienstlichen
Nutzung mit privaten Inhalten zwar ebenfalls Telekommunikationsanbieter, jedoch ist der Einsatz von
Virenscannern und ähnlichen Mitteln gerade wegen des gesetzlich geforderten Schutzes der
Telekommunikationsanlage vor Angriffen erforderlich und nicht verboten. Bereits hieraus ergibt
sich, dass eine doch erhebliche Unterscheidung zwischen diesen beiden Betriebsmitteln vorliegt. Das
betriebliche E-Mail-System ist dementsprechend als ein eigenständiger Teil des Betriebsmittels
Internet zu verstehen.

Zugriff per Webmail oder VPN

Wie die oben dargestellte Unterscheidung zwischen dem betrieblichen E-Mail-System und Internet
aufgezeigt hat, empfiehlt es sich daher, eine Lösung über den "Königsweg" anzustreben.

Als wirklich ultimativer "Königsweg" ist dabei unserer Meinung nach das generelle Verbot
jeglicher privater Nutzung betrieblicher Systeme anzusehen, sei es E-Mail oder Internet. Es gibt
jedoch auch eine "Best practice" des "Königswegs": Die dienstliche Nutzung des betrieblichen
Internetzugangs mit privatem Inhalt. Hierbei vermittelt das Unternehmen nur den Zugang zu dem
jeweiligen privaten E-Mail-System über das Betriebsmittel Internet. So kann den Angestellten der
Zugriff auf ihre Webmail-Konten wie etwa GMX, Web.de oder Googlemail ermöglicht werden. Zu beachten
ist dabei, dass aus Sicherheitsgründen der Upload von Dateien vom betrieblichen PC durch technische
Maßnahmen, sowohl auf Hardware-, als auch auf Softwareseite unterbunden oder wenigstens per
Dienstanweisung verboten werden sollte. Außerdem sind flankierend höhere Sicherheitsmaßnahmen für
das Betriebsmittel Internet zu ergreifen (siehe hierzu auch das Interview auf S. 59).

Bei dieser Variante besteht keine Verwechslungsgefahr zwischen betrieblichen und privaten
E-Mails. Demgemäß ist dann auch die Gefahr von Verstößen gegen das Fernmeldegeheimnis
ausgeschlossen. Filter und Scanner, die den allgemeinen Internet-Traffic betreffen, stellen, wie
oben dargelegt, keinen Eingriff in die Rechte der Angestellten dar, sie dienen vielmehr dem Schutz
der Telekommunikationsanlage selbst und können daneben auch zu Abrechnungszwecken mitprotokolliert
werden. Als eine weitere, eher theoretische Variante könnte auch ein Fernzugang über einen
VPN-Tunnel auf den heimischen Rechner des Angestellten in Betracht kommen.

Dienstanweisung als Minimallösung

Gerade unter dem Gesichtspunkt der Organisationsverpflichtung muss als absolutes Mindestmaß die
betriebliche Nutzung von E-Mail in einer Dienstanweisung klar geregelt werden. Die Dienstanweisung
ist außerdem mittels Stichproben daraufhin zu überprüfen, ob sie auch eingehalten wird. Bei Verstoß
ist durch die Einleitung arbeitsrechtlicher Maßnahmen nachhaltig für deren Beachtung zu sorgen.

Fazit

Unternehmen müssen sich zuerst einmal ihrer Gefährdung durch das betriebliche E-Mail-System
überhaupt bewusst werden. Das Ignorieren der Risiken und Weiterarbeiten ohne Regelung ist die
schlechteste Wahl, die das Management treffen kann. Sollte eine dienstliche Nutzung mit privatem
Inhalt nicht vermeidbar sein, so stehen dem Unternehmen Kreativlösungen für den Zugriff via Webmail
oder VPN zur Verfügung. Auf diesen Wegen kann durch eine sachgerechte und individuell angepasste
Lösung das Risiko datenschutzrechtlicher, zivilrechtlicher und sogar strafrechtlicher Exponierung
minimiert werden.

Der Zugriff auf Webmail als Methode, Privat-E-Mail am Arbeitsplatz zu erlauben, schafft eigene
Risiken. Was muss ein Unternehmen beachten? LANline sprach darüber mit Brian Azzopardi, Senior
Business Analyst bei GFI.

LANline: Welche Risiken drohen, wenn man Webmail im Unternehmen zulässt?

Azzopardi: Man muss vielleicht mit Produktivitätsverlust rechnen. Besorgniserregender sind
allerdings Risiken wie Phishing-Sites und Malware. Phishing-Sites scheinen zwar auf den ersten
Blick vor allem den Privatanwender zu betreffen, enthalten aber oft auch Trojaner oder
Botnet-Software, die auf den Firmen-PCs landen kann. Das Gleiche gilt für Fake-Sites, auf die man
ebenfalls oft durch Spam-Mails gelockt wird. Die Techniken der Angreifer ändern sich überdies
fortwährend.

LANline: Was hilft gegen diese Risiken?

Azzopardi: Webfilter blockieren die entsprechenden Träger-Sites, und mehrstufiger Malware-Schutz
mit mehreren Engines kann den Download von Malware unterbinden. Mit Filter-Regeln lassen sich
bestimmte Seitentypen ebenso blockieren wie Dateitypen, die potenziell gefährlich sind.

LANline: Wie steht es mit der Gefahr, dass Informationen aus dem Unternehmen herausgeschafft
werden?

Azzopardi: Hier lässt sich mit Technik wenig tun. Gute Arbeitsbedingungen und Gehälter
verhindern am wirkungsvollsten, dass Mitarbeiter ihr Unternehmen schädigen.

Seit geraumer Zeit konfrontieren LANline-Leser die Redaktion mit dem Problem, dass sie in ihren Unternehmen den Mitarbeitern gern private E-Mail-Nutzung und Webzugriff erlauben wollen. Aus rechtlichen Gründen aber scheint dies nicht machbar.

Für die Erlaubnis selbst gibt es eine Reihe von Motivationen. Hohe Mieten treiben viele Firmen aus den teuren Innenstädten aufs Land. Dies betrifft gerade kreative und junge Unternehmen, für deren Mitarbeiter moderne Kommunikation selbstverständlich geworden ist. Vom freizügigen Zugang zur Privatkommunikation am Arbeitsplatz erhofft man nicht nur etwas mehr Bereitschaft, abends länger zu bleiben, sondern bei zunehmendem Arbeitskräftemangel gerade in IT-nahen Branchen auch eine höhere Attraktivität des Arbeitsplatzes. Darüber hinaus möchten viele Firmen ihren Angestellten einen Ausgleich dafür bieten, dass die Arbeitszeiten immer flexibler werden und immer mehr Arbeitnehmer ganz selbstverständlich Projekte am Wochenende oder abends zu Ende führen. Schon vor Jahren haben Untersuchungen außerdem gezeigt, dass Mitarbeiter, denen man das private Surfen und Mailen im Büro erlaubt, meist umso mehr auf eigene Kosten für die Firma zuhause recherchieren oder kommunizieren (Vergleiche etwa 2002 National Technology Readiness Survey, University of Maryland?s Robert H. Smith School of Business and Rockbridge Associates). In Firmen, die die Privatnutzung verbieten, zeigen die Mitarbeiter diese Haltung nicht. Darüber hinaus gibt es viele Berufszweige - wie etwa den des Journalisten - in denen sich privates und berufliches Leben und speziell die Kommunikation ohnehin kaum trennen lassen.

Aus diesen Gründen beginnen wir in dieser LANline mit einer kleinen Serie, die Meinungen und Lösungen zum Thema private Kommunikation am Arbeitsplatz vorstellt. Wir starten mit einer eher gestrengen juristischen Auslegung, die allerdings sehr schön die tatsächlichen Probleme der ungeregelten Mischung von privater und geschäftlicher Kommunikation aufarbeitet und mit Webmail und Fernzugriff auf den Privatrechner zumindest zwei gangbare Auswege vorstellt. Weitere Folgen zeigen andere juristische Meinungen sowie technische und organisatorische Lösungen auf.

Dr. Johannes Wiele

Die Lösung, Zugriff auf Privat-Mail über die Internet-Fernsteuerung eines privaten Rechners zu
schaffen, der zuhause steht, ist vielleicht nicht ganz so schwer umzusetzen, wie es unser
Autorenteam meint. Das wichtigste technische Problem liegt darin, dass bei typischen
DSL-Anschlüssen die heimischen Rechner ständig neue IP-Adressen erhalten, womit ein klassischer
VPN-Aufbau schwierig wird. "Remotely Anywhere" von "Logmein" (siehe Test unter
www. lanline.de/kn30720322) und das Produkt "
Teamviewer" (Test folgt in einer der kommenden Ausgaben) sind zwei Beispiele für Lösungen, die
dieses Problem umgehen. Der fernzusteuernde PC erhält dazu eine Software, die nach dem Start seine
aktuelle Adresse auf einem Server des Anbieters hinterlegt. Wer den Rechner fernsteuern will, muss
sich via Internet eben dort authentifizieren, worauf sein Rechner die Daten des fernzusteuernden
Computers erhält. Danach können die beiden Rechner direkt miteinander eine verschlüsselte
Verbindung aufbauen, was beim Steuerrechner über ein Browser-Plug-in ermöglicht wird.

Für private Zwecke sind beide Lösungen kostenlos. Sorgen, diese Verbindungen könnten auch für
die unerlaubte Übertragung vertraulicher Informationen verwendet werden,sind technisch vielleicht
berechtigt - nur findet ein Mitarbeiter, der tatsächlich kriminelle Energien entwickelt, für solche
Übertragungen immer auch Alternativen. Eine Vereinbarung zur Nutzung sollte hier also reichen, wenn
nicht ohnehin ein professionelles Dokumentenmanagementsystem die Verwendung hoch vertraulicher
Dokumente auf nicht registrierten PCs unmöglich macht. Dr. Johannes Wiele

Die Autoren sind Rechtsanwälte und Gründungspartner der Münchner Kanzlei Faulhaber & Uecker, die sich überwiegend mit Fragen rund um die IT und deren rechtssicheren Ausgestaltung beschäftigt. Rechtsanwalt Robert Niedermeier ist Mitglied der Heussen Rechtsanwaltsgesellschaft und ebenfalls auf IT-Recht spezialisiert.