PC, Telefon, E-Mail - was sagen Arbeitgeber und Datenschutz?

Erhalten Beschäftigte von ihrem Arbeitgeber betriebliche Kommunikationsmittel (zum Beispiel Telefon, PC, Internet, E-Mail oder Mobiltelefon) zur Nutzung überlassen, stellt sich die Frage, auf welcher gesetzlichen Grundlage die dabei entstehenden Daten vom Arbeitgeber überwacht werden können. Im Grundsatz ist hier zwischen privater und dienstlicher Nutzung zu unterscheiden. Konsequenz einer vom Arbeitgeber (stillschweigend) gestatteten Privatnutzung ist ein weitgehender Verlust von Kontrollmöglichkeiten über den Datenverkehr der betrieblichen Telekommunikation.

Dienstliche Nutzung

Soweit beim Einsatz betrieblicher Kommunikationsmittel Bezug zu den dienstlichen Aufgaben des Arbeitnehmers (das heißt zu seinen Dienstpflichten) besteht, ist von einer dienstlichen Nutzung auszugehen. Darauf, ob die konkrete Nutzungshandlung zweckmäßig ist, kommt es nicht an. Entscheidend ist aber, dass die jeweilige Nutzung unter abstrakt-objektiven Gesichtspunkten dazu geeignet ist, dienstliche Aufgaben zu fördern.

Darunter fällt auch der Austausch von Daten innerhalb des Unternehmens. Was von den Arbeitsvertragsparteien jeweils als Dienstpflicht angesehen wird, ist im Idealfall im Arbeitsvertrag beschrieben oder ergibt sich zum Beispiel aus der Stellenausschreibung. Als dienstliche Nutzung ist ebenfalls die sogenannte betrieblich veranlasste Privatnutzung (zum Beispiel Mitteilung an den Ehepartner, dass sich die Heimkehr verzögert) oder die Förderung des Privatkontaktes zu Kunden anzusehen.

Private Nutzung

Private Nutzung ist in Abgrenzung zur oben vorgenommenen Definition alles, was nicht den dienstlichen Aufgaben des Arbeitnehmers zuzurechnen ist. Die Abgrenzung zwischen dienstlicher und privater Nutzung kann im Einzelfall schwierig sein und gerade in IT-"affinen" Unternehmen zu Problemen führen. Um Überschneidungen zu vermeiden, sind in der Praxis klare Absprachen zwischen Unternehmensleitung und Belegschaft empfehlenswert.

Kontrollmöglichkeiten

Der Arbeitgeber wird regelmäßig ein Interesse daran haben, zu erfahren, ob seine Angestellten die betrieblichen Kommunikationsmittel dienstlich oder privat nutzen. Im Hinblick auf die Zulässigkeit hierfür erforderlicher Kontrollen ist zwischen äußeren Verbindungsdaten und sogenannten Inhaltsdaten zu unterscheiden. Unter äußeren Verbindungsdaten sind all jene Daten zu fassen, die Art und Umfang des genutzten Dienstes umschreiben (bei der E-Mail zum Beispiel Absender, Empfänger, Datum und Größe der E-Mail; bei der Internetnutzung beispielsweise Verbindungszeit, Datenmenge oder URL).

Ein Beispiel: Hinsichtlich der Kontrolle von Inhaltsdaten stehen dem Arbeitgeber bei dienstlich veranlasster Internetnutzung und dem Verbot privater Internetnutzung weitreichende Kontrollbefugnisse zu. Als Gläubiger der vom Arbeitnehmer geschuldeten Arbeitsleistung ist er befugt, sich über eben diese Arbeitsleistung Kenntnis zu verschaffen. Er kann dazu auch Einsicht in den Datenverkehr nehmen. Die gesetzlichen Vorgaben finden sich insofern in den §§ 32, 28 Bundesdatenschutzgesetz (BDSG). Der Arbeitgeber sollte seine Mitarbeiter allerdings über seine Kontrollrechte und Rechte zur Einsichtnahme informieren und ihnen so die Chance geben, sich darauf einzustellen.

Ein Schutzwall direkt beim Anwender
Viele Webmail-Anbieter (in diesem Beispiele Google Mail) bieten bereits standardmäßig einen guten Schutz vor Spam, wenn die Anwender sich etwas mit den Filtereinstellungen befassen.

die Server bieten standardmäßigen Anti-Spam-Schutz
Hier sind die entsprechenden Meldungen der Ereignisprotolle für die „Inhalts-Identifizierung“ und die „Standardfilterebene“ eines Exchange-Servers zu sehen.

Millionen von Spam-Nachrichten
Wenn Anwender richtig darauf reagieren und diese Art von Mail nicht durch einen Klick auf „Keine Junk-E-Mail“ freigeben, werden viele davon auch von Client-Programmen abgefangen

Die äußere Verteidigungslinie
Eine Appliance, die einen sogenannten „Reputations-Filter“ verwendet, lässt solche Nachrichten erst gar nicht in das Firmennetzwerk gelangen.

Der Antivirus-Schutz kann ebenfalls in der vordersten Linie zum Einsatz kommen
Die meisten Appliances sind dazu in der Lage, die eingehenden Nachrichten vor dem Wechsel in das Firmennetzwerk auf Viren zu untersuchen.

Der Transfer vom E-Mail-Server zum Client
Bei Verwendung von POP3 ist er gänzlich unverschlüsselt und kann mit etwas Knowhow mittels Port-Sniffing und Port-Mirroring protokolliert werden

Ein einfaches Zertifikat für den Einsatz mit S/Mime
: Anbieter wie StartSSL bieten kostenlose Class1-Zertifikate an, die für Privatanwender und kleinen Firmen ausreichen können.

Schneller Einsatz bei einer aktuellen Version von Microsoft Outlook (hier Outlook 2007)
Das Zertifikat wird im Vertrauensstellungscenter importiert. Das funktioniert auch dann tadellos, wenn das Zertifikat zuvor mit dem Firefox angefordert wurde.

Alle gängigen E-Mail-Client-Programme unterstützten S/MIME, wie hier am Beispiel Thunderbird gezeigt wird
Auf Smartphones und Handheld-PCs ist die Unterstützung im Moment noch nicht selbstverständlich.

Nicht zu übersehen
Mit diesem Zertifikat es etwas nicht in Ordnung, was für den Benutzer in aller Deutlichkeit angezeigt wird.

Es ist wichtig, dass ist ein gültiges Zertifikat vorhanden ist
Wer diesen Teil nicht besitzt, kann einem anderem Empfänger zwar eine verschlüsselte Nachricht schicken, muss aber damit rechnen, dass dieser sie nicht lesen kann.

Elegant und übersichtlich gelöst
Die Schlüsselbundverwaltung auf den Apple-Rechnern und OS X. Auch hier fügt sich das freie Class1-Zertifikat problemlos ein.

Eine Archivierung der E-Mail findet häufig sowohl auf dem Client-Computer, als auch auf der Seite des Servers statt
Während es auf dem Client die eigenen Nachrichten sind, die gesichert werden, speichert der Server in der Regel alle ein- und ausgegangenen Nachrichten.

Erlaubte Privatnutzung - Erfassung von Verkehrsdaten

Bei Erlaubnis privater Nutzung des betrieblichen Internetanschlusses beziehungsweise E-Mail-Zugangs durch den Arbeitgeber unterliegen die dabei anfallenden Daten dem Anwendungsbereich des Telekommunikationsgesetzes (TKG). Der Arbeitgeber wird in diesem Zusammenhang als "geschäftsmäßiger Anbieter von Telekommunikationsdiensten" im Sinne von § 3 Nr. 6 TKG definiert, da er seinen Internetzugang (auch) für fremde Zwecke zur Verfügung stellt.

Zwischen Arbeitgeber und Arbeitnehmer entsteht dadurch neben dem schon bestehenden Arbeitsverhältnis ein vertragliches Verhältnis hinsichtlich der Nutzung der betrieblichen Telekommunikationsanlagen. "Telekommunikation" ist in diesem Zusammenhang weit auszulegen und soll sowohl die Telefonie als auch die Datenübertragung umfassen. Unerheblich für diese Einordnung ist, ob die Nutzung durch den Arbeitnehmer entgeltlich ist und sich nur an eine geschlossene Benutzergruppe richtet.

(Stillschweigend) erlaubte Privatnutzung vs. Fernmeldegeheimnis

Die Einordnung als Telekommunikationsdienstleistung im Sinne des TKG hat zur Folge, dass der Arbeitgeber im Verhältnis zu seinen Arbeitnehmern den Verpflichtungen zum Schutz des Fernmeldegeheimnisses (§ 88 TKG) unterliegt. Der Schutz des Fernmeldegeheimnisses ist, wie das Bundesverfassungsgericht jüngst klarstellte, sehr weitreichend und greift im Falle einer an den Arbeitnehmer adressierten E-Mail nur dann nicht mehr, wenn der betreffende Mitarbeiter von einer eingehenden E-Mail tatsächlich Kenntnis erlangt hat und er die Kenntnisnahme durch den Arbeitgeber verhindern kann.

Inhalte, die nun dem Telekommunikationsgeheimnis unterfallen, dürfen nur verwendet werden, wenn eine gesetzliche Vorschrift dies erlaubt, die sich ausdrücklich auf einen Telekommunikationsvorgang bezieht. Das TKG selbst regelt in den § 91 ff. TKG bereichsspezifische Eingriffstatbestände, die sich allerdings nur auf Verkehrsdaten (äußere Verbindungsdaten) beziehen.

Darunter fallen:

• die Datenerfassung zu Abrechnungszwecken (§ 96 Abs. 1 TKG; diese erfordert zudem eine Entgeltregelung zwischen den Arbeitsvertragsparteien),

• die Beseitigung von Störungen von Telekommunikationsanlagen (§ 100 Abs. 1 TKG; dies rechtfertigt beispielsweise die vom Arbeitgeber eingesetzte automatische Virenprüfung) und

• die Missbrauchskontrolle (§ 100 Abs. 3 TKG).

Der Dienstanbieter soll dadurch vor einer nicht gestatteten Inanspruchnahme seiner Telekommunikationsanlagen geschützt werden. Hat ein Arbeitgeber die private Internetnutzung zum Beispiel inhaltlich/zeitlich beschränkt, so läge in der Überschreitung dieser Nutzungsregelung ein Missbrauch im Sinne des § 100 Abs. 3 TKG. Für einen Verstoß müssen allerdings "tatsächliche Anhaltspunkte" vorliegen, die der Arbeitgeber zudem auch dokumentiert haben muss. Nicht ausreichend ist hingegen die abstrakte Gefahr des Missbrauchs. Eine verdachtsunabhängige, wenn auch nur stichprobenartige Kontrolle kann unter den Voraussetzungen des § 100 Abs. 3 TKG daher nicht gerechtfertigt werden.

Protokollierung von Inhaltsdaten bei erlaubter Privatnutzung

Kommen die Vorschriften des TKG zur Anwendung, darf sich der Arbeitgeber grundsätzlich keine Kenntnis vom Inhalt eines Telekommunikationsvorgangs verschaffen (zum Beispiel Inhalt einer E-Mail oder Auswertung, welche Internetseiten aufgerufen wurden). Zwar lässt die rechtswissenschaftliche Literatur bei schwerwiegenden Verstößen wie Straftaten teilweise Ausnahmen zu. Jedoch fehlt es, soweit das Fernmeldegeheimnis reicht, an einem spezifischen, das verfassungsmäßig verbriefte Fernmeldegeheimnis berücksichtigenden Eingriffstatbestand.

Wichtig in der Praxis: Kontrolle des Verbots

Für die Praxis wichtig ist an dieser Stelle noch der Hinweis, dass das abstrakte Verbot der privaten Nutzung betrieblicher Kommunikationsmittel allein nicht ausreichend ist. Denn verbietet der Arbeitgeber zwar die private Nutzung, duldet aber innerbetrieblich stillschweigend die Privatnutzung, kann dies dem Verbot seine Wirksamkeit nehmen. Es ist daher empfehlenswert, im Falle des Verbots privater Nutzung von betrieblichen Kommunikationsmitteln dieses auch im Betrieb durchzusetzen, insbesondere mit dokumentierten Stichproben.

Fazit

Gerade aufgrund der Reichweite des Fernmeldegeheimnisses nach der Lesart des Bundesverfassungsgerichts lautet der an Arbeitgeber gerichtete Rat in der Praxis zumeist, die private Nutzung betrieblicher Kommunikationsmittel zu untersagen. In jedem Fall empfiehlt es sich, den Umgang mit betrieblichen Kommunikationsmitteln und etwaige Kontrollmaßnahmen innerbetrieblich zu regeln, beispielsweise in einer Betriebsvereinbarung. Nur mit einer klaren und transparenten Regelung im Betrieb können beim Einsatz von Kommunikations- und Überwachungstechniken Rechtsunsicherheiten vermieden werden. (oe)

Kontakt:

Dr. Sebastian Kraska ist Rechtsanwalt und externer Datenschutzbeauftragter im IITR Institut für IT-Recht - Kraska GmbH. Alma Lena Fritz ist Rechtsassessorin. IITR Institut für IT-Recht - Kraska GmbH, Gröbenzell, Tel.: 089 5130392-0, email: skraska@iitr.de, Internet: www.iitr.de

So schützen Sie Ihre Daten
Meistens sind es eigene Mitarbeiter oder Beschäftige von Partnerfirmen, die unternehmenskritische Daten mitgehen lassen. So können Sie sich davor schützen.

1. Regeln für E-Mail-Kommunikation definieren:
Den Mitarbeitern muss klar sein, dass sie keine unternehmenskritischen Informationen über Web-Mail-Services oder andere ungesicherte Kanäle übertragen dürfen. Bei Bedarf sollten Unternehmen eine Data-Loss-Prevention-Lösung einsetzen.

2. Datenverschlüsselung einsetzen:
Insbesondere Daten auf mobilen Rechnern und mobilen Speichermedien sollten grundsätzlich verschlüsselt werden, weil diese Geräte häufiger abhanden kommen.

3. Starke Passwörter verwenden:
Die Zugangs-Codes zu Arbeitsplatzrechnern und Firmennetz sollten mindestens acht Zeichen sowie Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen wie $ oder % enthalten. Alle 45 bis 60 Tage sollten die Passwörter gewechselt werden.

4. Regelmäßig Sicherheits-Audits durchführen:
Schwachstellen werden oft nur dann offenbar, wenn die internen IT-Sicherheitsmaßnahmen überprüft werden. Weil IT-Administratoren ungern selbst auf Lücken verweisen, sind externe Anbieter ratsam.

5. IT-Sicherheits-Regelwerk erstellen und pflegen:
Wenn definiert wird, wer wann Zugang zu welchen Netzwerk-Segmenten, Anwendungen und Daten hat, lässt sich der Zugriff auf kritische Informationen, wie etwa Entwicklungsunterlagen, steuern, überwachen und nachvollziehen.

6. Vertrauenswürdigkeit von Partnern prüfen:
Häufig benötigen Partner oder Lieferanten für ihre Dienste sensiblen Daten (Callcenter arbeitet mit Adressdaten). Im Zweifel sollten die externen Partner Sicherheitszertifizierungen etwa nach ISO 27000 nachweisen.

7. System-Management konsequent umsetzen:
Benutzer-Accounts von Usern und Administratoren müssen sorgfältig gepflegt werden. Verlassen Mitarbeiter das Unternehmen, müssen Zugriffsrechte gelöscht werden.

8. Auch Systemverwalter überwachen:
Geltende Compliance-Regeln und Datenschutzgesetze schreiben auch die Kontrolle des Administrators vor.

9. Spezielle Sicherheitssysteme nutzen:
Data-Loss-Prevention-Systeme (DLP), Datenverschlüsselung sowie Lösungen, die den Zugang zu Daten und Systemen kontrollieren (Identity- und Access-Management), sind hilfreich.

10. Die Gebäudesicherheit nicht vergessen:
Der Schutz vor Datenklau beginnt schon beim Zugang zum Firmengelände oder zu bestimmten Abteilungen. Lieferanten oder externe Mitarbeiter sollte nicht ohne Aufsicht in Abteilungen mit IT-Arbeitsplätze arbeiten.