Zwar ist es Arbeitgebern rechtlich untersagt, heimlich auf die Daten der Mitarbeiter zuzugreifen. Nur mit Zustimmung des Mitarbeiters oder bei begründetem Verdacht und grundsätzlichem Verbot der Privatnutzung dürfen Mails und Internet-Verbindungsdaten kontrolliert werden. Dem stehen die guten Umsätze gegenüber, die Hersteller von Spyware in den vergangenen Jahren meldeten. Aus Weddes Sicht setzen vor allem kleine und mittelständische Firmen, welche die Rechtslage oft nicht kennen, Spionagesoftware gegen ihre Mitarbeiter ein.

Wenn Mitabeiter unwissentlich Pornobilder herunterladen

Den Unternehmen empfiehlt Wedde, die Nutzung von E-Mail und Internet am Arbeitsplatz klar zu regeln. Die Rheinland Versicherung nahm den Umzug in ein neues Verwaltungsgebäude vor sieben Jahren zum Anlass, um die Clients in geschlossene Systeme ohne Disketten- und CD-Laufwerk sowie ohne freien USB-Port zu verwandeln und die private Nutzung der PCs zu verbieten. Für diese rigide Politik erntete Datenschutz- und IT-Sicherheitsbeauftragter Rolf Küppers anfangs Unverständnis. In den ersten zwei Jahren sprach die Versicherung diverse Abmahnungen und eine Kündigung aus. Für viel Ärger sorgte, dass auch Mitarbeiter schuldlos in Verdacht gerieten: Sie hatten unwissentlich pornografisches Material heruntergeladen, indem sie auf ein unverdächtiges Bild geklickt und dadurch neun weitere, eindeutige Bilder auf ihrer Festplatte gespeichert hatten.

Küppers wurde schnell klar, dass ein Verbot der privaten Nutzung und eine Sicherheitspolitik nicht ausreichen, um System und Mitarbeiter zu schützen: "Wir setzen Content-Filter ein, die sexistische oder nazistische Inhalte blockieren, ebenso wie Filter, die Gruppen von Web-Seiten ausblenden. Ein normaler Sachbearbeiter kann zum Beispiel Ebay gar nicht aufrufen."

Dennoch gibt es Ausnahmen: Wer sich aus geschäftlichen Interesse etwa über einen Swingerclub informieren müsse, könne in der IT-Abteilung unter Aufsicht an einem vom System abgekoppelten PC zur entsprechenden Website surfen. Zudem können die Versicherungsangestellten in einem persönlichen Verzeichnis Dokumente, etwa eine vertrauliche Korrespondenz mit der Personalabteilung, ablegen, die vor dem Zugriff der IT geschützt sind. Eingehende private Mails dürfen gelesen, aber keine Anhänge gelöst werden.

Klare Regeln schützen die Mitarbeiter