Komplettverbot ist nicht die einzige Option
Rechtslage bei privater E-Mail- und Webnutzung
Der Wunsch vieler Firmen, ihren Mitarbeitern durch die Erlaubnis zur privaten Nutzung von E-Mail und Web im Hinblick aufs Betriebsklima etwas Gutes zu tun, muss nicht an rechtlichen Bedenken scheitern. Nicht primär Technik, sondern vernünftige Regeln und Vereinbarungen sind der Schlüssel zur Risikoabwendung.
Die Internetnutzung im Unternehmen stellt den Arbeitgeber regelmäßig vor ein Dilemma: Einerseits
hat er ein Interesse an zufriedenen Mitarbeitern sowie einem guten Betriebsklima und andererseits
an der Erhaltung der bestmöglichen Betriebsfähigkeit seiner Betriebsmittel – und damit auch an
einer sicher funktionierenden IT-Infrastruktur. Dieses Interesse verlangt mitunter Einschränkungen
zulässiger Nutzungshandlungen durch die Arbeitnehmer. Nicht jeder Arbeitnehmer muss Zugang zum
Internet haben, ausführbare Dateien empfangen und versenden dürfen, Programme installieren dürfen,
Instant Messenger nutzen und so weiter.
Andererseits führt jede Einschränkung des Zulässigen oder Möglichen dazu, dass sich Mitarbeiter
(vermeintlich?) in ihrer Produktivität und Kreativität eingeschränkt fühlen, das Betriebsklima sich
verschlechtert und Arbeitnehmer versuchen, Richtlinien zu umgehen. Schon deswegen ist jeder
Arbeitgeber gut beraten, Regeln zu formulieren, wie die unternehmenseigene IT-Infrastruktur zu
nutzen ist.
Dabei gibt es einen – wenigstens auf den ersten Blick – einfachen Weg: Da der Arbeitgeber Herr
der Betriebsmittel ist, kann er die private Nutzung der IT-Infrastruktur insgesamt untersagen und
bedarf dazu auch keiner Zustimmung des Arbeitnehmers oder des Betriebsrats. Wenn die Privatnutzung
untersagt ist, ist der Arbeitgeber auch berechtigt, die Einhaltung des Verbots (stichprobenartig)
zu kontrollieren. Er ist freilich auch dann an die allgemeinen datenschutzrechtlichen Anforderungen
(insbesondere des Paragrafen 28 BDSG) gebunden.
Die Kultur des Ignorierens überwinden
Damit sind klare Verhältnisse geschaffen. Diese Lösung ist daher sowohl für Arbeitgeber wie für
Arbeitnehmer besser als eine bloße betriebliche Übung, die in vielen Unternehmen verbreitet ist.
Aus Nachlässig- oder Bequemlichkeit herrscht häufig seit Jahren eine Kultur des Ignorierens:
Private Tätigkeiten am Rechner wurden zwar niemals explizit verboten, aber auch niemals eindeutig
erlaubt. Man "arrangiert sich". Derartige Arrangements funktionieren – wie immer – so lange alle
mitspielen. Mit jeder konfliktbeladenen Beendigung eines Arbeitsverhältnisses, mit jeder
Schadensersatzforderung eines Kunden, der eine virenverseuchte Mail erhielt, aber auch mit jeder
Beschwerde einer Mitarbeiterin, die die sexistischen Witze und/oder pornografischen Bildchen, die
ein Kollege an die halbe Belegschaft versendet, nicht lustig findet, besteht jedoch das Risiko,
dass eine derartige Übung zum Gegenstand handfester rechtlicher Auseinandersetzungen wird. Daher
soll man als Arbeitgeber wie als -nehmer keine Scheu haben, entsprechende Dinge anzusprechen und
schriftlich festzuhalten, bevor Streit entsteht.
Aus vielen rechtlichen wie betriebswirtschaftlichen Gründen mag es daher nahe liegen, die
private Nutzung der IT-Infrastruktur insgesamt zu untersagen. So sind etwa die Bestimmungen des
Telekommunikationsgesetzes und des Teledienstedatenschutzgesetzes nicht anwendbar, wenn der
Arbeitgeber Privatnutzung untersagt, weil er dann keine Telekommunikationsdienstleistung für Dritte
– nämlich die Arbeitnehmer – erbringt. Erlaubt er die Privatnutzung hingegen, hat er im Bereich der
privaten Nutzung insbesondere die Einhaltung des Fernmeldegeheimnisses sicherzustellen (Paragraf 85
TKG).
Nicht jeder will verbieten
Allerdings wollen oder können viele Arbeitgeber den rechtlich vorteilhaften Weg einer verbotenen
Privatnutzung nicht gehen, etwa weil dadurch negative Auswirkungen auf das Betriebsklima entstehen
können oder weil sich über die Jahre Üblichkeiten "eingeschliffen" haben, die man nicht einfach
beseitigen kann oder will.
Daher zwei für den Arbeitgeber gute Nachrichten zuerst:
Selbst wenn Privatnutzung ohne weitere Klarstellungen erlaubt ist, bleibt eine
ausschweifende Nutzung, die den Arbeitnehmer etwa an der Erfüllung seiner Aufgaben hindert oder
Gefahren für die IT-Security oder den Ruf des Unternehmens bedeutet, unzulässig.
Eine klar erlaubte und klar geregelte Privatnutzung hat für den Arbeitgeber im
Vergleich zur bloßen Tolerierung und der Kultur des Wegschauens deutliche rechtliche Vorteile.
Dieser Beitrag versucht daher, zehn goldene Regeln aus Arbeitgebersicht zu formulieren, wie
dieser seine rechtlichen Risiken operabel halten kann, wenn er Privatnutzung der IT bewusst
zulassen will.
1.) Formulieren und vereinbaren Sie präzise Regeln
Sofern Privatnutzung erlaubt ist, sollten Arbeitgeber klarstellen und Arbeitnehmer zustimmend
zur Kenntnis nehmen, wann und in welcher Form dies der Fall ist – etwa nur in den Pausen, nur von
bestimmten Rechnern aus, nur zu bestimmten Zwecken usw. Diese Regeln sollten mit der IT-Abteilung,
dem Information Security Officer (so vorhanden) und dem Betriebsrat abgestimmt und schriftlich
festgehalten sein. Klar formuliert und mit dem Mitarbeiter individuell schriftlich vereinbart
werden sollen auch all jene Nutzungshandlungen, die auch im privaten Bereich bei Nutzung
betrieblicher Infrastruktur zustimmungspflichtig oder untersagt sind – etwa das Empfangen und
Versenden ausführbarer Dateien, die Verbreitung pornografischer Inhalte, das massenhafte Versenden
von E-Mails, der Verstoß gegen Urheberrechte usw. Hier sollte das Unternehmen den Mitarbeiter auf
Haftungsrisiken aufmerksam machen und sich den Regress im Schadensfall ausdrücklich vorbehalten.
Der Arbeitnehmer sollte auch in die Lage versetzt werden, in Datenverarbeitungsmaßnahmen
hinsichtlich seiner privaten Nutzungshandlungen, die erforderlich sind (etwa die Auswertung von
Logfiles), freiwillig und informiert und in der Regel schriftlich einzuwilligen (Paragraf 4a
BDSG).
2.) Vermeiden Sie wo immer möglich den Anfall personenbezogener Daten
Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer
bestimmten oder bestimmbaren natürlichen Person ("Betroffener", Paragraf 3 Abs. 1 BDSG). Dazu
gehören etwa die einem Mitarbeiter zugeordnete E-Mail-Adresse, die statische IP-Adresse eines einem
Mitarbeiter zugeordneten Rechners, Cookies, sofern sie personalisierte Informationen enthalten und
so weiter. Liegen personenbezogene Daten vor, ist der Anwendungsbereich des
Bundesdatenschutzgesetzes eröffnet und das informationelle Selbstbestimmungsrecht der Mitarbeiter
sowie externer Dritter, zum Beispiel der Absender der verarbeiteten E-Mails, potenziell betroffen.
Kann man die Verarbeitung personenbezogener Daten vermeiden – etwa durch lediglich anonymisierte
Erfassung, sind datenschutzrechtliche Probleme nicht zu erwarten. Dort, wo die Verarbeitung
personenbezogener Daten unvermeidlich ist, ist auf den Grundsatz der Datensparsamkeit zu achten
(Paragraf 3a BDSG).
3.) Leiten Sie Mitarbeiter an, zwischen privater und dienstlicher Nutzung nachvollziehbar zu
trennen
Ausgehende dienstliche Mails dürfen – wie die briefliche Geschäftspost – vom Arbeitgeber wohl
jedenfalls gelesen und gespeichert werden. Bei privaten E-Mails ist dies in aller Regel nicht der
Fall. Erlaubt der Arbeitgeber das private Surfen oder Mailen, erbringt er eine
Telekommunikationsdienstleistung für Dritte – unabhängig, ob er vom Arbeitnehmer dafür ein Entgelt
verlangt. Damit unterfällt er dem Fernmeldegeheimnis, was die Aufzeichnung von Verbindungs- und
Inhaltsdaten in der Regel unzulässig macht. Wird auf technischer Ebene nicht sichergestellt, dass
der Arbeitgeber zwischen dienstlicher und privater Nutzung zuverlässig unterscheiden kann (etwa
durch Verwendung unterschiedlicher IP-Adressen oder "Freischaltung" in den Arbeitspausen und so
weiter), gilt dieses Verbot auch für die dienstliche Nutzung, da sie ja von der privaten eben nicht
unterscheidbar ist. Das bedeutet im Klartext: Eine Aufzeichnung von Verbindungs- und Inhaltsdaten
ist dann insgesamt in der Regel nicht zulässig.
Eine für den Arbeitgeber handhabbare Differenzierung ist daher nur möglich, wenn die Mitarbeiter
angewiesen werden, private Daten, Mails und so weiter als solche zu kennzeichen und getrennt zu
verarbeiten. Gut beraten ist der Arbeitgeber daher, einerseits seinen Mitarbeitern derart
geschützte virtuelle Räume zuzugestehen, außerhalb derselben Kontrollmaßnahmen aber auch
tatsächlich zu setzen und die Mitarbeiter im Vorhinein diesbezüglich klar zu informieren.
4.) Wählen Sie Überwachungsmaßnahmen mit der geringstmöglichen Eingriffsintensität
Eine flächendeckende, das allgemeine Persönlichkeitsrecht der Mitarbeiter verletztende
Überwachen ihrer Aktivitäten ist jedenfalls unzulässig. Das ist etwa bei Einsatz eines Keyloggers
oder bei Programmen der Fall, die ohne Wissen des Mitarbeiters Dritten ermöglichen, seinen
Bildschirm per Remote zu sehen. Aber auch mildere Überwachungsmaßnahmen müssen stets einer Abwägung
mit dem allgemeinen Persönlichkeitsrecht der Mitarbeiter vereinbar sein. Deswegen ist etwa der
Einsatz von Filtersoftware rechtlich unkritischer als die nachträgliche Auswertung von
Logfiles.
5.) Denken Sie an die Rechte Dritter
Kommunikation, die von außen ins Unternehmen gelangt, kann ihrerseits datenschutzrechtliche und
zum Beispiel auch urheberrechtliche Ansprüche Dritter mit sich bringen. Nicht jeder Patient ist
erfreut, wenn die Anfrage an seinen betreuenden Arzt von dessen Urlaubsvertretung behandelt wird;
nicht jeder Krankenversicherte begeistert, dessen Deckungsanfrage von der Praktikantin behandelt
wird und so weiter. Deswegen sind Mailweiterleitungen oder Zugriffe auf Mitarbeiter-Mailboxen im
Urlaubs- oder Krankheitsfall rechtlich problematisch und, wo irgend möglich, zu vermeiden. Besser
ist es, im Verkehr nach außen bei dienstlicher Kommunikation gar nicht erst den Anschein einer
persönlichen, vertraulichen Kommunikation entstehen zu lassen – etwa durch die konsequente
Verwendung funktionsbezogener E-Mail-Adressen im Unternehmen (zum Beispiel Office@Firma.de,
Vertrieb@firma.de und so weiter).
6.) Beteiligen Sie den Betriebsrat
Nach Paragraf 87 I Nr. 6 BetrVG hat bei Einführung und Anwendung von technischen Einrichtungen,
durch die das Verhalten oder die Leistung der Mitarbeiter überwacht werden kann, der Betriebsrat in
der Regel ein Mitbestimmungsrecht. Dieses kann nicht durch individuelle Vereinbarungen mit den
Mitarbeitern umgangen werden.
7.) Unterscheiden Sie säuberlich zwischen IT-Sicherheitsmaßnahmen und Maßnahmen zur allgemeinen
Mitarbeiterüberwachung
Nach Paragraf 9 BDSG in Verbindung mit Anlage 1 zu Paragraf 9 BDSG treffen die verantwortliche
Stelle umfangreiche Pflichten zur Sicherstellung der IT-Sicherheit. Es versteht sich von selbst,
dass dafür erforderliche, angemessene Maßnahmen, etwa zur Aufrechterhaltung der Systemstabilität,
datenschutzrechtlich zulässig sind. Für diese Zwecke erhobene Daten dürfen jedoch nicht für andere
Zwecke – etwa die Überwachung des Surfverhaltens der Mitarbeiter oder die Kontrolle von
Arbeitsergebnissen – verwendet werden (Paragraf 31 BDSG).
8.) Achten Sie auf den Jugendschutz
Sind Jugendliche im Unternehmen beschäftigt, kann sich insbesondere aus dem
Jugendarbeitsschutzgesetz die Anforderung ergeben, "Vorkehrungen und Maßnahmen zu treffen, die zum
Schutz der Jugendlichen gegen Gefahren für Leben und Gesundheit sowie zur Vermeidung einer
Beeinträchtigung der körperlichen oder seelisch-geistigen Entwicklung der Jugendlichen erforderlich
sind" (Paragraf 28 Abs. 1 Jugendarbeitsschutzgesetz). Es empfiehlt sich daher, für Jugendliche
Rechner mit entsprechender Filtersoftware einzusetzen und sicherzustellen, dass diese nicht
unbeschränkt auf alle Ressourcen zugreifen können.
9.) Kontrollieren Sie die Einhaltung der vereinbarten Regeln
Es ist keine gute Idee, einerseits strenge Regeln mit den Arbeitnehmern zu vereinbaren,
andererseits aber deren Nichtbeachtung "augenzwinkernd" zu dulden. Aus dieser Duldung kann eine
Gestattung weitergehender privater Nutzungshandlungen aufgrund einer entsprechenden betrieblichen
Übung entstehen.
10.) Fragen Sie einen Anwalt
In Zweifelsfragen ist es klug, bereits vor dem Auftreten rechtlicher Probleme rechtlichen Rat
einzuholen. Das ist in der Regel billiger als jede Feuerwehraktion, wenn das Kind bereits in den
Brunnen gefallen ist.
Bei Daimler Chrysler hat man einen Weg gefunden, die von Professor Forgó eingeforderte Kontrolle der Einhaltung von Vereinbarungen ebenso effektiv wie untechnisch und human zu implementieren: Jeder Mitarbeiter erhält die Erlaubnis zur privaten Nutzung von Ressourcen der Unternehmenskommunikation durch einen möglichst nahen Vorgesetzten (siehe LANline 11/2005, Seite 6). Im Rahmen von Abteilungen und Arbeitsgruppen fällt Missbrauch nämlich im Normalfall auch ohne übertriebene Überwachungstechnik an Indizien auf, die mit den täglichen Arbeitsabläufen verknüpft sind: Extremer Bandbreitenverbrauch durch eine Person etwa oder sinkende Arbeitsleistung. Auf dieser Ebene wirken außerdem auch Vereinbarungen besser, da sie der Einzelne eben nicht allein mit einem unpersönlichen Konzerngebilde trifft. Dr. Johannes Wiele
Lesen Sie mehr zum Thema
