08.02.2018 von Michael Rath, Gerrit Feuerherdt und Christian Kuss
Die zunehmende Vermischung von Arbeits- und Privatleben beschäftigt weiterhin die Gerichte. Dieses Urteil könnte weitreichende Folgen haben.
Nachdem in den letzten Jahren insbesondere die private Nutzung von E-Mail und Internet am Arbeitsplatz Thema war, hatte das Landesarbeitsgericht Berlin-Brandenburg (LAG) Mitte 2017 den umgekehrten Fall (Az. 7 SA 38/17) zu entscheiden: Ein Arbeitnehmer hatte dienstliche E-Mails an seinen privaten E-Mail-Account weitergeleitet.
Geschäftliche E-Mails können zum heißen Eisen werden. Insbesondere bei Weiterleitung auf das Privat-Konto. Foto: Sergey Nivens - shutterstock.com
Clintons E-Mail-Affäre lässt grüßen
So öffentlichkeitswirksam wie Hillary Clintons E-Mail-Affäre dürften die Verstöße bei der Weiterleitung von Business E-Mails an private Accounts nur selten sein. Die ehemalige US-Präsidentschaftskandidatin hatte bekanntlich entgegen der gewöhnlichen Vorgehensweise den Schriftverkehr von circa 30.000 dienstlichen E-Mails über ihren privaten E-Mail-Account laufen lassen. Aber genau das ist im täglichen Arbeitsleben Usus. Teilweise sehen Arbeitgeber dies in der Regel sogar gerne, bedeutet es doch meist, dass der Arbeitnehmer freiwillig Mehrarbeit von zu Hause aus leistet. Entsprechend wird dieses Verhalten oft geduldet. Was nicht bedeutet, dass diese Praxis nicht überdacht werden sollte.
14 Regeln für den E-Mail-Verkehr
1. Verfassen Sie Ihre E-Mails knapp und präzise. Alles was mehr als zwei Seiten umfasst, gehört in eine angehängte Datei.
2. Überprüfen Sie Rechtschreibung und Grammatik. In den meisten E-Mail-Systemen gibt es entsprechende Funktionen. Da dies bekannt ist, werden entsprechende Fahrlässigkeiten übel genommen. Fehler suggerieren: Der Autor hat sich entweder für mich keine Zeit genommen oder er ist ein Schlendrian.
3. Beantworten Sie E-Mails schnell. Reaktionsschnelligkeit ist einer der entscheidenden Vorteile von elektronischer Post. Vor allem auf erwartete Messages sollte zügig geantwortet werden. Wenn man nicht gerade extrem beschäftigt ist, sollte man den Posteingang mehrmals täglich checken. Allerdings ist es nicht nötig, die automatische Benachrichtung (Auto Notify) zu jeder eingehenden E-Mail zu aktivieren - das lenkt zu sehr von der Arbeit ab.
4. Gehen Sie sparsam mit der Funktion "Antwort an alle" um. Es besteht die Möglichkeit, die Nachricht an eine Gruppe zu versenden, aus der sich vielleicht nur ein Prozent der Beteiligten dafür interessiert. Der Effekt ist vergleichbar mit einer Fahrt in einem öffentlichen Verkehrsmittel, in dem man gezwungen ist, dem Handygespräch eines Unbekannten zuzuhören. Wer ohne Notwendigkeit allen antwortet, erzeugt außerdem jede Menge elektronischen Müll. Insbesondere, wenn Anhänge mitgeschickt werden, führt das unnötige Versenden an große Verteiler zu Ressourcenproblemen.
5. Sorgen Sie dafür, dass Ihre E-Mail einfach lesbar ist. Experton empfiehlt, die E-Mail in einem Stil zu verfassen, der einem schriftlichen Dokument (zum Beispiel Geschäftsbrief) gleicht. Grußformel und Unterschrift (Automatische Signatur) sind selbstverständlich. Außerdem sind kurze Sätze sowie - bei längeren Texten - Absätze zu empfehlen.
6. Halten Sie sich an die rechtlichen Bestimmungen für den E-Mail-Verkehr. In Deutschland gilt seit Anfang 2007 eine neue Rechtsprechung, der zufolge im Anhang Pflichtangaben über das Unternehmen (Rechtsform, Sitz, Registergericht, Geschäftsführung) vorgeschrieben sind. Außerdem kann es manchmal nützlich sein, Angaben zu Urheberrecht, Vervielfältigung oder sonstige Rechtsklauseln anzuhängen. Im Übrigen sollten Unternehmen Regeln für den E-Mail-Verkehr formulieren (E-Mail-Policy), die regelmäßig zu verbreiten sind, damit auch neue Mitarbeiter auf dem Laufenden gehalten werden.
7. Antworten Sie niemals auf Spam. Eigentlich eine Binsenweisheit, und doch ein immer wieder gemachter Fehler. Viele Spammer statten ihre Nachricht mit einer Opt-out-Funktion aus, indem die Mail im Betreff-Feld vorgeblich mit "unsubscribe" abbestellt werden kann. Für manche Spam-Programme, die für den automatischen Versand des elektronischen Mülls sorgen, bedeutet eine solche Antwort: Der Adressat ist da, er kann mehr Spam in Empfang nehmen.
8. Nutzen Sie Blindkopien, um Dritte zu informieren. So bleibt der Verteilerkreis im Unklaren darüber,wer die Nachricht noch erhalten hat.
9. Formulieren Sie den Betreff aussagekräftig. Nur so ragt die Botschaft aus der Fülle der Spam-Mitteilungen heraus, die heute die meisten Postfächer füllen.
10. Keep it simple. Es gibt heute viele Möglichkeiten, E-Mails aufzuhübschen (Emoticons, Bilder etc.). Versender sollten vorsichtig damit umgehen, da nicht jedes Mail-Programm damit fertig wird und außerdem Ressourcen verschwendet werden. Zudem sind Emoticons mitunter mit Spyware infiziert. Deshalb: Nichts von unbekannten Quellen herunterladen!
11. Nutzen Sie die Features moderner E-Mail-Programme. Rückruf: Eine E-Mail, die fehlerhaft oder ohne Anhang versandt wurde, wird zurückgerufen. Sparsam verwenden, lieber Botschaften noch einmal genau checken, bevor sie verschickt werden. Oft werden E-Mails schnell geöffnet und lassen sich nicht mehr zurückrufen. <br/><br/> Automatische Antwort: Die Out-of-Office-Funktion ist wirklich nützlich und sollte angewendet werden! Allerdings sollte man sie schnell deaktivieren, wenn man wieder im Büro ist.<br/><br/> Wiederversenden: Manchmal erreichen E-Mails nie den Adressaten, etwa weil der Mail-Server ausfällt. Mit der Resend-Funktion lassen sie sich umstandslos ein zweites Mal verschicken. Vor dem Versand in die Betreffzeile eine Bemerkung wie "zweiter Versuch" einfügen.<br/><br/>Übermittlungsbestätigung: Nice to have, aber nicht zwingend nötig. Funktioniert auch nicht mit jedem E-Mail-System. <br/><br/>Lesebestätigung: Ebenfalls nice to have.
12. Nutzen Sie E-Mails um Gespräche und Diskussionen anschließend zu bestätigen. Elektronische Post bietet die Chance, sehr schnell Gesprächsergebnisse aus Konferenzen oder Telefonaten zu protokollieren. So lassen sich für alle Beteiligten die Ergebnisse sichern, bezüglich geplanter Maßnahmen sind alle auf demselben Stand. Was schriftlich fixiert wurde, wird von den Beteiligten ernster genommen.
13. Verlassen Sie sich bei dringenden Informationen nicht auf E-Mail. Dazu lieber das Telefon benutzen. Es gibt keine Garantie, dass eine E-Mail gelesen wird. Oft wird die Nachricht übersehen, die Lektüre wird vertagt oder die Botschaft wird als vermeintlicher Spam gelöscht.
14. Nutzen Sie E-Mails nicht für unangebrachte Kommunikation. E-Mail für die Verbreitung von Spam zu missbrauchen, ist nicht nur ein Ärgernis, sondern möglicherweise auch noch illegal. Und: In den meisten Fällen kann der Absender schnell ermittelt werden.
Im vorliegenden Fall hatte der Mitarbeiter eine Vielzahl von dienstlichen E-Mails (darunter auch solche mit Angeboten und Kalkulationsgrundlagen von Kollegen) innerhalb kürzester Zeit an seinen privaten E-Mail-Account weitergeleitet. Und dies, obwohl der Arbeitgeber ihm einen Laptop mit Zugriff auf den dienstlichen E-Mail-Account zur Verfügung gestellt hatte.
Weil der Mitarbeiter dies während der Verhandlungen mit einem neuen Arbeitgeber tat und der bisherige Arbeitgeber dies herausfand, wurde ihm außerordentlich und fristlos gekündigt. Dagegen klagte der Arbeitnehmer und bekam im erstinstanzlichen Verfahren recht - die fristlose Kündigung war nicht wirksam. Vor dem LAG hatte das Unternehmen nun aber in der Berufung Erfolg, die außerordentliche fristlose Kündigung wurde für zulässig befunden.
"Dienstliche Notwendigkeit" bei E-Mail-Weiterleitung?
Das Gericht war der Ansicht, dass die Anzahl der Mails, deren Inhalt, sowie die Tatsache, dass dem Arbeitnehmer ein Laptop zur Verfügung gestellt wurde, mit dem er auch von unterwegs oder zuhause auf den dienstlichen E-Mail-Account zugreifen konnte, gegen die Zulässigkeit der Weiterleitung an den privaten E-Mail-Account sprächen.
Trotz der Behauptung des Arbeitnehmers, die E-Mails nur zu dienstlichen Zwecken wie Adressabgleich zu verwenden, war das Gericht aufgrund der Umstände davon überzeugt, dass der Arbeitnehmer diese E-Mails vielmehr zum Zwecke der Vorbereitung und Nutzung in seinem neuen Arbeitsverhältnis weitergeleitet habe. Dieser Verstoß gegen die Nebenpflicht der gegenseitigen Rücksichtnahme von Vertragspartnern stelle einen "wichtigen Grund" im Sinne des § 626 Abs. 1 BGB dar und berechtige damit den Arbeitgeber, die außerordentliche, fristlose Kündigung auszusprechen.
Tipps für Kündigung und Trennung
Tipps für Kündigung und Trennung Wenn Mitarbeiter entlassen werden müssen, sollte dies möglichst schmerzfrei erfolgen. Frank Adensam sagt, wie Sie dabei vorgehen sollten.
Sorgfältig vorbereiten Das setzt eine sorgfältige Vorbereitung voraus. Diese gelingt Unternehmen am besten, wenn sie, sobald feststeht, dass Mitarbeiter entlassen werden müssen, ein Drehbuch für den Kündigungs- und Trennungsprozess schreiben.
Ruhig und sachlich bleiben In der Regel sollte der unmittelbare Vorgesetzte die betroffenen Mitarbeiter über ihre Kündigung informieren - selbst wenn diese von der Personalabteilung versandt wird. Auf dieses Gespräch muss er sich vorbereiten. Unter anderem, indem er sich im Vorfeld fragt: Teile ich in dem Gespräch dem Mitarbeiter nur die Kündigung mit und setze ich mich mit ihm anschließend nochmals zusammen, um zu vereinbaren, wie die Trennung gestaltet wird?
Nicht um den heißen Brei reden Oft wollen Führungskräfte das Kündigungsgespräch möglichst schnell hinter sich bringen. Die Folge: Sie stoßen den Mitarbeiter vor den Kopf, indem sie ihm unvermittelt die Nachricht "Sie sind entlassen" entgegenschleudern. Zuweilen scheuen sie sich aber auch, die unangenehme Botschaft auszusprechen und reden um den heißen Brei herum. Beides ist unangebracht.
Emotionen akzeptieren Auf diese Nachricht reagieren Mitarbeiter unterschiedlich - manche geschockt, manche gelassen, manche wütend. Lassen Sie zu, dass Ihr Mitarbeiter Emotionen zeigt. Äußern Sie hierfür Verständnis. Und geben Sie ihm ausreichend Zeit, die Fassung wiederzugewinnen. Gelingt ihm dies nicht, sollten Sie das Regeln der Trennungsmodalitäten vertagen - zum Beispiel, indem Sie vorschlagen: "Herr/Frau Müller, sicher müssen Sie den Schock erst verdauen. Was halten Sie davon, wenn wir uns übermorgen nochmals zusammensetzen und darüber reden ..."
"Sie haben doch gesagt, ..." Ein Vorwurf, mit dem Führungskräfte bei Kündigungen oft konfrontiert werden, ist: "Aber vor einem Monat planten Sie mit mir doch noch ..." Oder: "Bei der Weihnachtsfeier sagten Sie, unsere Arbeitsplätze seien sicher." Dann sollten Sie zu Ihren Worten und Taten stehen. Bedauern Sie Ihren Irrtum. Sagen Sie, dass Sie zum damaligen Zeitpunkt die Situation anders einschätzten, diese sich aber in der Zwischenzeit aufgrund der Faktoren A, B, C geändert hat.
"Warum gerade ich?" Dessen ungeachtet werden die zu kündigenden Mitarbeiter stets fragen: Warum gerade ich? Geben Sie dem Mitarbeiter eine inhaltlich verständliche Erklärung. Auf keinen Fall sollten Sie sich aber auf eine Diskussion über die Auswahlkriterien einlassen. Denn wer die Gründe für die Kündigung diskutiert, diskutiert die Kündigung selbst.
Kündigung begründen, ohne zu kränken Entlässt ein Unternehmen mit mehr als 20 Mitarbeitern betriebsbedingt eine größere Zahl von Mitarbeitern, dann muss deren Auswahl meist gemäß den gesetzlichen Vorgaben anhand von Kriterien wie Alter, Familienstand und Dauer der Betriebszugehörigkeit erfolgen. Auch dann ist das Begründen vergleichsweise einfach, denn die Auswahl basiert auf objektiven Kriterien. Deshalb kann der Mitarbeiter eine solche Auswahl leichter akzeptieren als eine personenbezogene.
Die Zeit bis zum Ausscheiden regeln Ist die Kündigung ausgesprochen und begründet, geht es darum, die Zeit zwischen der Kündigung und dem Austritt aus dem Unternehmen zu regeln. Hierfür können Sie einen separaten Termin vereinbaren. Im Trennungsgespräch selbst sollten Sie Ihrem Mitarbeiter einen Weg aufzeigen, wie der Trennungsprozess gestaltet werden kann. Außerdem sollten Sie ihm Hilfe beim Suchen einer neuen Stelle anbieten.
Den Blick wieder in Richtung Zukunft wenden Oft ist eine bezahlte Freistellung bis zum Ausscheidetermin für beide Parteien die sinnvollste Lösung. Für die Gekündigten hat dies den Vorteil: Sie können sich voll auf das Entwickeln einer neuen Perspektive konzentrieren.
Die Weiterleitung sei zudem auch ohne Einverständnis des Arbeitgebers erfolgt, stellte das Gericht weiter fest. Weder sei ein solches ausdrücklich oder konkludent aus dem Arbeitsvertrag zu entnehmen (zum Beispiel durch die Verpflichtung des Arbeitnehmers, auf Verlangen oder bei Beendigung des Arbeitsverhältnisses jegliche auf privaten Datenträgern gespeicherten Informationen zu löschen), noch hätten Anhaltspunkte für eine Kenntnis und Billigung dieses vom Arbeitnehmer angeblich für längere Zeit praktizierten Verhaltens vorgelegen.
Das Gericht konnte darüber hinaus - aufgrund des Dienst-Laptops und dem damit verbundenen Zugriff auf betriebliche E-Mails - keine dienstliche Notwendigkeit erkennen, warum Daten auf den privaten E-Mail-Account hätten übermittelt werden sollen.
Hände weg vom Weiterleiten-Button?
Dennoch dürften Arbeitgeber in Anbetracht der Gefahren, die eine Weiterleitung von Business E-Mails an private Accounts darstellt, ein besonders großes Interesse an der Vermeidung dieser Praxis haben. Das dürfte selbst dann gelten, wenn alle Seiten eine dienstliche Notwendigkeit in der Weiterleitung von E-Mails sähen. So sind Geschäfts- und Betriebsgeheimnisse auch und besonders dann in Gefahr, wenn ein Mitarbeiter gar nicht in böser Absicht handelt, sondern lediglich fahrlässig mit seiner privaten IT umgeht und diese nicht ausreichend abgesichert hat.
Wenn die europäische Datenschutzgrundverordnung (DSGVO) ab Mai 2018 ihre Wirkung entfaltet, drohen bei Verstößen gegen die darin festgehaltenen Grundsätze der Verarbeitung personenbezogener Daten empfindliche Geldbußen von bis zu 20 Millionen Euro oder vier Prozent des unternehmensweiten Vorjahresgesamtumsatzes. So müssen beispielsweise Melde- und Nachforschungspflichten eingehalten werden. Nicht zuletzt können mit der Aufdeckung von Geschäftsgeheimnissen und Datenschutzverstößen auch erhebliche Image- und Reputationsschäden einhergehen.
Arbeitgeber trägt Verantwortung
Arbeitgeber sind daher auch im Sinne der IT Compliance gut beraten, im Arbeitsvertrag klare Regelungen zur E-Mail-Weiterleitung zu treffen. Denn der Arbeitgeber ist als Verantwortlicher, der personenbezogene Daten verarbeitet, dazu verpflichtet, technisch-organisatorische Maßnahmen für den Schutz dieser Daten zu treffen.
Dabei muss er nicht nur bei der unternehmenseigenen IT (zum Beispiel wenn er Dienstgeräte zur Verfügung stellt) dafür sorgen, dass durchgängig ein der DSGVO genügendes Datenschutzniveau herrscht. Gestattet er seinen Mitarbeitern, geschäftliche E-Mails auch an private Accounts weiterzuleiten, so muss er dafür sorgen, dass die verarbeiteten, personenbezogenen Daten beim Arbeitnehmer ebenfalls angemessen gesichert sind. Im Zweifel muss er die ausreichende Sicherung bei seinen Mitarbeitern auch den Aufsichtsbehörden gegenüber nachweisen können. Dies dürfte jedoch in den meisten Fällen aus Gründen der Privatsphäre und des Datenschutzes kaum zu kontrollieren und damit nicht praktikabel sein.
Die Weiterleitung von Business E-Mails kann auch im Rahmen einer Datenschutzfolgenabschätzung nach Art. 35 DSGVO Bedeutung erlangen. Denn die Weiterleitung an nicht zu kontrollierende, private E-Mail-Accounts muss auch bei der Bewertung des Risikos einer Datenverarbeitung Berücksichtigung finden. Als weitere Folge könnte dann im Rahmen von IT- und Datenschutz-Audits (zum Beispiel nach den ISO-Normen 29100 und 29134) eine Zertifizierung nach den zu Grunde gelegten Maßstäben verwehrt werden.
Es empfiehlt sich daher, entweder Dienstgeräte zur Verfügung zu stellen oder - falls dies nicht in Frage kommt - sicherheitshalber die private Nutzung (auch zu Home-Office-Zwecken) - gänzlich zu untersagen.
Durch das Zusammenspiel dieser Maßnahmen lässt sich das Risiko von Rechtsverstößen erheblich verringern - wenn auch nicht gänzlich vermeiden. Daneben existiert ein weiterer positiver Nebeneffekt: Das generelle Schutzniveau von personenbezogenen Daten Dritter (beispielsweise Kunden oder Lieferanten), die durch das Unternehmen verarbeitet werden, wird erhöht. Dies geschähe dann nicht nur durch technisch-organisatorische Maßnahmen (wie der Untersagung der Weiterleitung von E-Mails), sondern auch direkt durch die Arbeitnehmer selbst, die durch ihr Bewusstsein für datenschutzrechtliche Probleme aktiv zur Sicherheit der Daten beitragen können. (fm)
Machen Sie Ihr Security Awareness Training besser
Bestimmen Sie Metriken Seien Sie in der Lage, den Erfolg Ihrer Bemühungen zu belegen. Das können Sie nur, wenn Sie Kennzahlen definieren, bevor Sie Ihr Awareness-Programm beginnen. Möglich sind Fragebögen zum Verhalten in bestimmten Situationen oder Phishing-Simulationswerkzeuge, die einen Angriff vor und einen nach den Trainigsmaßnahmen nachstellen. Ebenfalls lassen sich durch Mitarbeiter ausgelöste Incidents zählen - wie versuchte Besuche gesperrter Websites.
Bleiben Sie flexibel Konzentrieren Sie sich nicht nur auf die Präventionsarbeit. Die Idee der "menschlichen Firewall" ist weit verbreitet, sie kommt aber erst dann zum Einsatz, wenn ein Angriff erfolgt. Warum nicht auch auf "menschliche Sensoren" setzen und bevorstehende Attacken versuchen zu erkennen? Lassen Sie Ihre Angestellten nach Indikatoren Ausschau halten, die einen möglichen Angriff ankündigen. Wenn Phishing-Simulationen stattfinden, sollte man auch darauf achten, wie viele Testteilnehmer den Angriff erkennen und melden.
Lassen Sie Regeln brechen Wer sich nicht an Security-Regeln hält, kann seine eigene Security-Awareness steigern. Das Unternehmen sollte seinen Mitarbeitern ab und zu - nicht regelmäßig, damit es nicht zur Gewohnheit wird - die Freiheit geben, bestimmte Sicherheitsregeln zu brechen - aber nur solche, die keinen unmittelbaren Schaden anrichten. Nur wenn sie die Regel brechen, können die Mitarbeiter erkennen, was passiert, wenn die Regel gebrochen wird und warum es sie letztlich gibt. In einem Gespräch zwischen IT-Sicherheitsteam und Mitarbeitern lässt sich dann gemeinschaftlich nachvollziehen, welchen Zweck eine bestimmte Richtlinie verfolgt.
Wählen Sie einen neuen Ansatz Die meisten Awareness-Programme haben nicht dazu geführt, dass die Mitarbeiter ihr Verhalten geändert haben. Das liegt nach Meinung vieler Experten aber daran, dass sie gar nicht darauf ausgelegt waren, das Verhalten zu ändern - sie sollten einfach nur geltende Compliance-Vorgaben erfüllen. Also wurde wenig in diese Trainings investiert - sowohl finanziell als auch inhaltlich. Nur, wer Gehirnschmalz in die inhaltliche Ausgestaltung seiner Securiy-Trainings steckt, kann das Mitareiterverhalten ändern.
Holen Sie sich Unterstützung vom C-Level Wer die Unterstützung der Entscheiderebene hat, macht seine Security-Trainigs erfolgreicher. Wer ein Awareness-Programm plant, sollte sich zunächst starke Unterstützung von oben holen - und sei es nur mit Worten. Das führt zwangsläufig zu einer größeren Aufmerksamkeit in der Belegschaft, mehr Freiraum in der Ausgestaltung und Unterstützung anderer Abteilungen.
Machen Sie gemeinsame Sache mit anderen Abteilungen Wenn ein IT-Security-Mitarbeiter ein Awareness-Trainingsprogramm aufsetzt, sollte er neben dem Vorstand auch andere Fachbereiche mit ins Boot holen - Personal, Marketing, Legal, Compliance, Datenschutzbeauftragter und Hausverwaltung. All diese Abteilungen haben ein direktes oder indirektes Interesse an dem Thema Security und können bei der Werbung und der Finanzierung helfen. Außerdem haben sie die Möglichkeit, die Trainings für die Mitarbeiter verpflichtend zu machen.
Seien Sie kreativ Wer nicht kreativ ist, kann kein gutes Security-Training anbieten. Dazu könnte beispielsweise gehören, im Rahmen einer Firmenfeier im Eingangsbereich des Gebäudes eine Security-Wand aufzubauen, auf der - neben anderen Dingen - zehn gängige Sicherheitsfehler aufgeführt sind. Die Mitarbeiter, die alle zehn Fehler benennen können, nehmen an einer Verlosung teil.
Setzen Sie sinnvolle Zeitfenster Die meisten Trainingsprogramme laufen über ein Jahr - jeder Monat steht unter einem bestimmten Thema. Besser ist ein 90-Tage-Plan - dadurch werden Inhalte und Ziele jedes Quartal neu auf den Prüfstand gestellt. So sind viele Programme deshalb erfolgreich, weil sie über ein Vierteljahr hinweg jeweils drei Themen parallel behandeln und die Themen dann wieder neu ausgesucht werden. So bleiben Sie auf dem Laufenden.
Wählen Sie einen multimedialen Ansatz Jeder Mitarbeiter bringt andere Voraussetzungen mit, was IT-Sicherheit angeht. Jede/r möchte anders abgeholt werden. Setzen Sie daher auf verschiedenste Kommunikationskanäle, um für das Thema IT-Sicherheit zu sensibilisieren - beispielsweise über Newsletter, Poster, Spiele, Newsfeeds, Blogs, Phishing-Simulationen etc.