Datenschutzrechtliche Fallstrike bei der privaten E-Mail- und Internetnutzung am Arbeitsplatz

Arbeitgeber sehen sich in Zeiten der Globalisierung einem zunehmenden Druck ausgesetzt, um qualifiziertes Personal zu rekrutieren und langfristig zu binden. Die „gewonnenen“ Mitarbeiter werden häufig mit einer Reihe an „Benefits“ zum Bleiben überzeugt. Neben kostenlosen Getränken, Fitnessprogrammen, flexiblen Arbeitszeitmodellen und Möglichkeiten zum Home-Office, duldet der Arbeitgeber häufig die private Nutzung der geschäftlichen E-Mail-Adresse und die private Internetnutzung.

Der Fallstrick

Was ist bei der privaten Nutzung des geschäftlichen E-Mail-Accounts zu beachten? Das Telekommunikationsgesetz (TKG) § 3 Nr. 6 besagt, dass alle Unternehmen die ganz oder teilweise geschäftsmäßig Telekommunikationsdienste (z.B. E-Mailing) erbringen oder zumindest an der Erbringung solcher Dienste mitwirken – wie zum Beispiel bei der Bereitstellung eines firmeneigenen E-Mail Servers –, als Diensteanbieter gelten. Inwiefern die bloße Gestattung oder Duldung der privaten Nutzung des betrieblichen E-Mail-Accounts als Grundlage dafür dienen kann, dass das Unternehmen Dienste geschäftsmäßig erbringt, wurde von unterschiedlichen Gerichten unterschiedlich beurteilt. Die Datenschutzaufsichtsbehörden haben in der „Orientierungshilfe der Datenschutzaufsichtsbehörden zur datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz“ Stellung bezogen. Im Abschnitt C Nr. II wird beschrieben: „Ist die private E-Mail-Nutzung erlaubt (oder gilt sie als erlaubt, s.o. 5), ist der Arbeitgeber gegenüber den Beschäftigten und ihren Kommunikationspartnern zur Einhaltung des Fernmeldegeheimnisses verpflichtet.“ Die Aufsichtsbehörden vertreten somit offenkundig die Meinung, dass die Unternehmen zum Diensteanbieter werden, sobald die private E-Mail-Nutzung gestattet oder geduldet wird. Das führt zu der Konsequenz, dass das Unternehmen das Fernmeldegeheimnis beachten muss. Gemäß § 88 Nr. 3 Telekommunikationsgesetz (TKG) ist es untersagt sich Kenntnis von der Kommunikation (Inhalte), sowie näheren Umständen (z.B. Kommunikationsmetadaten) zu verschaffen.

Das Unternehmen ist somit rechtlich nicht mehr in der Lage auf den betrieblichen E-Mail-Account des Mitarbeiters zuzugreifen. Im Falle von längeren Abwesenheiten, Vertretungen oder nach der Beendigung eines Beschäftigungsverhältnisses, kann dies zu massiven Problemen führen.

Lösungsansatz

Vor wenigen Dekaden war der Besitz eines privaten E-Mail Accounts eher Ausnahme, denn Regel. Dieses Bild hat sich inzwischen vollständig gewandelt. E-Mail-Provider stehen in Vielzahl und in vielen Fällen sogar kostenlos zur Verfügung. Die Mitarbeiter sind demnach nicht darauf angewiesen oder haben keine Notwendigkeit, den betrieblichen E-Mail-Account privat zu verwenden. Ein möglicher Lösungsansatz wäre somit das strikte Verbot private Inhalte über den betrieblichen Account zu kommunizieren.

Damit im Rahmen von Pausenzeiten dennoch die Möglichkeit besteht private E-Mails zu versenden, wäre es denkbar die private Internetnutzung in geringem Umfang – und unter weiteren Auflagen – zu gestatten. So können die Beschäftigten über Web-Mail-Clients E-Mails privater Natur versenden.

Reglementierung der privaten Internetnutzung

Äquivalent zum oben beschriebenen Fall wird das Unternehmen im Falle der Duldung oder Genehmigung der privaten Internetnutzung zum Telekommunikationsdiensteanbieter und muss entsprechend das Fernmeldegeheimnis beachten. Die bloße Auswertung von Kommunikationsmetadaten wäre somit unzulässig. Aus IT-Sicherheitsgründen sind gerade diese Metadaten jedoch von enormer Bedeutung. Nur so können Angriffe erkannt und im Optimalfall verhindert werden. Die technische Unterscheidung von privaten und betrieblichen Daten stellt die meisten Firmen vor eine unüberwindbare Hürde. Aus diesem Grund empfiehlt es sich zunächst auch die private Internetnutzung zu verbieten. In einem weiteren Schritt ist es möglich dem einzelnen Arbeitnehmer, unter gewissen Restriktionen die Nutzung zu erlauben. Diese Restriktionen sollten in einer Einwilligung und Richtlinie unternehmensweit geregelt werden. Der Vollständigkeit halber wird darauf hingewiesen, dass es praktisch nicht möglich ist eine Einwilligung für diesen Sachverhalt im Rahmen der privaten Nutzung des betrieblichen E-Mail-Accounts einzuholen. Während der Beschäftige seinerseits in der Lage wäre eine Einwilligung abzugeben, scheitert es dann vor allem an den benötigten Einwilligungen der privaten Kommunikationspartner.

Richtlinie private E-Mail- und Internetnutzung

Wie bereits beschrieben sollte in der Richtlinie die private Internetnutzung unter Aufführung der oben genannten Gründe zunächst untersagt werden. Die Begründung sorgt bei den Mitarbeitern für ein entsprechendes Verständnis und Akzeptanz. Wer das Internet privat nutzen möchte, sollte über folgende Sachverhalte informiert werden und diesen im Rahmen einer Einwilligung explizit zustimmen:

  • Definitionen zum Ausmaß der Nutzung
  • Private E-Mails dürfen nur über private E-Mail-Konten (Web-Mail-Clients) versendet werden
  • Die private Nutzung der betrieblichen E-Mail-Adresse wird verboten
  • Eine technische Unterscheidung zwischen privaten und betrieblichen Daten erfolgt nicht. Dementsprechend werden auch private Aktivitäten protokolliert (Die Protokollierung ist detailliert zu beschreiben).
  • Hinweis, dass in Verdachtsfällen, in denen die IT-Sicherheit gefährdet wird, die Protokolle durch Mitarbeiter ausgewertet werden
  • Hinweis, das maschinelle Auswertungen der Internetaktivitäten durch Firewall, Proxy, Virenscanner etc. erfolgen.

Unter diesen Mindestvoraussetzungen ist unserer Meinung nach die private Internetnutzung am Arbeitsplatz möglich. Grundsätzlich können in dieser Richtlinie weitere Anforderungen formuliert werden. Die Einwilligung durch den Mitarbeiter kann – wie jede Einwilligung – grundsätzlich jederzeit widerrufen werden. In diesem Fall ist es dem Arbeitnehmer nicht mehr gestattet das Internet privat zu nutzen.

Wir weisen darauf hin, dass die Duldung der Internetnutzung, ohne entsprechende Reglung dazu führt, dass ihr Unternehmen nicht mehr in der Lage ist – aus IT-Sicherheitssicht dringend notwendige – Protokollierungen auszuwerten oder in Notfällen auf das betriebliche Postfach eines Mitarbeiters zuzugreifen. Die Reglung in Form einer Richtlinie und die Einholung einer individuellen, schriftlichen Einwilligung von den betroffenen Arbeitnehmern ist dringend zu empfehlen.

Dieser Artikel stellt keine Rechtsberatung dar, sondern lediglich unsere fundierte Ansicht zu dem Thema private E-Mail und Internetnutzung. Wenn Sie Hilfe bei der Umsetzung benötigen, wenden Sie sich gern an das ENSECUR-Team.

Autor: Steven Bösel

Bild von ribkhan auf Pixabay 

No Comments

Post a Comment