In vielen Unternehmen sind die Grenzen zwischen privater und dienstlicher Internet-Nutzung fließend. Die Mitarbeiter verwenden – geduldet oder ausdrücklich erlaubt – den Internet-Zugang ihres Arbeitsplatzes auch, um private Interessen zu verfolgen. Der Bonner Informationsdienst "Neues Arbeitsrecht für Vorgesetzte" wertete mehrere Studien, beispielsweise von TNS Emnid, Capital und SurfControl, aus und berichtete daraufhin, dass mehr als 90 Prozent aller vernetzten Arbeitnehmerinnen und Arbeitnehmer in Deutschland während der Bürozeiten privat surfen und mailen (siehe auch: "Um Kopf und Kragen gesurft")
Nach einer aktuellen Untersuchung des Berliner Rechnungshofs erfolgen bis zu zwei Drittel aller Internet-Besuche am Arbeitsplatz aus privaten Gründen. Dadurch entsteht der deutschen Wirtschaft ein jährlicher Schaden in Höhe von rund 54 Milliarden Euro. Noch gravierender können jedoch die juristischen Konsequenzen für die Unternehmen sein.
Sieben von zehn Porno-Surfern tun es im Dienst
Häufig rufen die Mitarbeiter riskante Web-Seiten auf oder starten gar unkontrollierte Downloads. Wie eine Analyse von IDC aus dem vergangenen Jahr ergab, finden 70 Prozent aller Zugriffe auf pornografische Web-Seiten während der Geschäftszeiten statt. Zu den Anwendungen, für die die Internet-Anbindung der Unternehmen am häufigsten missbraucht wird, gehören der Studie zufolge Streaming-Media- und MP3-Downloads.
Durch privates Surfen beschwören die Mitarbeiter diverse Risiken für Unternehmen herauf. Laut IDC ist Spyware mittlerweile die zweitgrößte Bedrohung im IT-Bereich. Und der "Malware Report 2006" des Security-Anbieters Aladdin verzeichnet einen Zuwachs von 1300 Prozent an Störfällen durch Spyware und Trojaner (siehe Grafik).
Die Pflicht zur Verkehrssicherung
Die Unternehmen müssen sich darüber im Klaren sein, welche Vorgänge im Firmennetz in der Mitverantwortung des Arbeitgebers, der Geschäftsleitung oder der IT-Verantwortlichen stehen und welche Konsequenzen daraus erwachsen. In diesem Kontext ist vor allem das Thema Verkehrssicherungspflicht bedeutsam.
Der Bundesgerichtshof formuliert die Verkehrssicherungspflichten folgendermaßen: "Wer eine Gefahrenquelle eröffnet oder sich an ihr beteiligt, muss Dritte schützen und hierfür geeignete Schutzmaßnahmen ergreifen." Damit lässt sich zweierlei begründen: eine Rechtspflicht im Falle von Unterlassungen und eine Rechtswidrigkeit des Handeln bei mittelbaren Verletzungen.
|
Zivilrecht (BGB) |
Bei schuldhafter Verletzung der Verkehrssicherungspflicht, zum Beispiel durch Schädigung der IT-Infrastruktur Dritter, verursacht durch Unterlassung oder Fahrlässigkeit (Schadenersatz nach Paragraf 823 ff. Bürgerliches Gesetzbuch). |
|
Strafrecht (StGB) |
Im Falle der Unterlassung, wenn beispielsweise Auszubildende pornografische oder Gewalt verherrlichende Web-Seiten besuchen können (Paragraf 184 Strafgesetzbuch). |
|
Urheberrecht (UrhG) |
Falls Mitarbeiter nachweislich Raubkopien (via Tauschbörse) herunterladen oder sich illegale MP3-Files verschaffen (Mitverantwortlichkeit des Arbeitgebers). |
|
Datenschutzrecht (TDDSG, BDSG, TDG) |
Wenn Unbefugte personenbezogene Daten ausspionieren oder Betriebs- und Geschäftsgeheimisse offenbart werden (Verstoß gegen das Bundesdatenschutzgesetz). |
|
Jugendschutzrecht (JuSchG, JMStV) |
Dadurch, dass Auszubildenden der Zugang zu illegalen oder unter das Jugendschutzrecht fallenden Web-Seiten ermöglicht wird (Jugendmedien-Staatsvertrag) |
|
Persönlichkeitsrecht, Grundgesetzt (GG) |
Aufgrund einer Verletzung der Privatsphäre, indem – ausgelöst durch Würmer oder Viren – personenbezogene Daten der Mitarbeiter an die Öffentlichkeit gelangen oder – beispielsweise durch Spyware – Mitarbeiter belästigt werden. |
|
Telekommunikationsrecht (TDG, TKG) |
Möglicherweise durch Überwachungsmaßnahmen bei erlaubter Privatnutzung des Internets, die gegen das Fernmeldgeheimnis verstoßen. |
|
Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) |
Persönliche Haftung der Vorstände oder Geschäftsführer für Lücken in der IT-Sicherheit, etwa durch mangelhaftes Risiko-Management zur Früherkennung von Gefahren für den Fortbestand des Unternehmens (Verstoß gegen Arbeitsrecht oder nach Paragraf 823 BGB) |
|
Rating nach Basel II |
keine Kreditaufnahme nach den Basel-II-Kriterien ohne ausreichende Maßnahmen zur Sicherung der IT-Infrastruktur |
Der Arbeitgeber gewährt den Mitarbeitern Zugang zum Internet. Damit unterliegt deren Kommunikation im Web den Verkehrssicherungspflichten des Unternehmens. Allerdings ist zur Erfüllung dieser Pflichten keine hundertprozentige Sicherheit notwendig; maßgeblich ist vielmehr das Verhältnis der IT-Sicherheit zur wirtschaftlichen Zumutbarkeit.
Alternativen zum Pauschalverbot
Wer jetzt das private Surfen generell verbieten will, sollte wissen, dass es Lösungsalternativen gibt. Maßnahmen für eine geregelte Nutzung des Internets am Arbeitsplatz setzen sich aus drei Komponenten zusammen: organisatorischen Vorkehrungen, definierten Richtlinien und geeigneten technischen Mitteln.
Zunächst sollte das Unternehmen Vereinbarung zur Web-Nutzung treffen. Dabei gilt es,
-
den Grund und die Ziele der Nutzung zu definieren,
-
die Vereinbarung als einen gemeinsamen, unternehmensweiten Prozess voranzutreiben,
-
eine klare, allgemein verständliche Ausdrucksweise zu benutzen: Was ist erlaubt und was nicht?
-
die Mitarbeiter aufzuklären und zu sensibilisieren, indem ihnen die Chancen und Risiken der Internet-Nutzung aufgezeigt werden,
-
Zulässigkeit und Umfang der privaten Nutzung zu definieren,
-
zu klären, wofür der Arbeitnehmer verantwortlich ist und was unter die Aufsichtspflicht des Arbeitgebers fällt,
-
(in Absprache mit dem Betriebsrat) die möglichen Kontrollmechanismen zu evaluieren sowie
-
die Implementierung von unterstützenden Maßnahmen zu beschreiben.
Die Folgen des privaten Surfens
-
Produktivitätseinbußen: Nur 20 Minuten privates Surfen pro Mitarbeiter und Tag kostet ein Unternehmen mit 100 Angestellten bei einem Stundensatz von 50 Euro mehr als 8.000 Euro pro Woche.
-
Gefahren: Dazu zählen das Einschleusen von Viren und Würmern in das Unternehmensnetz durch heruntergeladene Daten, der Aufruf von Web-Seiten mit schadhaftem Code und die Nutzung von privaten Web-basierenden E-Mail-Diensten.
-
Beeinträchtigungen des Netzwerks: Privates Surfen und große Downloads verschwenden wertvolle Bandbreite und erhöhen den Bedarf an Speicherplatz.
-
Haftungsrisiken: Unternehmer und Mitarbeiter müssen für Verstöße gegen geltendes Recht geradestehen.
-
Transparent und einvernehmlich
Die Unternehmens- und IT-Verantwortlichen sollten diese Vereinbarung in schriftlicher Form hinterlegen und öffentlich zugänglich machen sowie an alle Mitarbeiter im Unternehmen verbreiten. Am besten bestätigen die Mitarbeiter per Unterschrift, dass sie von der Vereinbarung Kenntnis genommen haben und sie akzeptieren. Der Arbeitgeber kann die Vereinbarung auch zum Bestandteil des Arbeitsvertrags machen.
Solche Vereinbarungen zu treffen bringt für sich genommen noch nicht viel. Sie sind nur dann hilfreich, wenn sie den Mitarbeitern auch im Bewusstsein bleiben. Deshalb sollte die Belegschaft fortlaufend begleitende Informationen erhalten, beispielsweise immer dann, wenn akute Sicherheitsbedrohungen auftreten oder sich Richtlinien ändern (zum Thema Security-Policy siehe auch: "Irgendwer muss haften").
Fragen an die Verantwortlichen
Existiert eine Vereinbarung zur Internetnutzung am Arbeitsplatz?
Wie stellen Sie sicher, dass die private Nutzung des Internet-Zugangs während der Arbeitszeit nur im geregelten Umfang erfolgt?
Mit welchen Mitteln limitieren Sie Software-Downloads?
Auf welche Weise verhindern Sie den Aufruf risikanter Internet-Seiten?
Wie beugen Sie der Gefahr vor, dass potenziell schadhafter Code über besuchte Web-Seiten in das interne Firmennetz gelangt?
Durch welche Maßnahmen verhindern Sie die Nutzung von Streaming-Media über das Internet?
Können Sie gewährleisten, dass die private Nutzung von IT-Systemen die Leistungsfähigkeit der unternehmenskritischen Anwendungen nicht beeinflusst?
Wenn das private Surfen erlaubt ist: Wie verringern Sie das unternehmerische und persönliche Haftungsrisiko?
Unterstützende technische Maßnahmen
In Form von "Content-Security"- Lösungen bietet der IT-Markt technische Hilfsmittel an – als reine Software- oder auch als Appliance-Modelle. Es gibt sie in verschiedenen Spielarten: von kombinierten Lösungen aus Web-Filter und integrierter Virenschutz-Software bis zu UTM-Lösungen (Unified-Threat-Management), die bis zu fünf Sicherheits-Features in einer Box bieten: Firewall-, Spam- und Virenschutz sowie Intrusion-Detection-System und Web-Filter. Die Qualität der UTM-Pakete erreicht im Allgemeinen nicht das Niveau der Einzellösungen (siehe auch: "Hilfe gegen Schnüffelsoftware"). Zu den führenden Anbietern hochwertiger datenbankbasierender Web-Filter gehören WebSense, SurfControl und Cobion (IBM).
Die Unternehmen sind gefordert, die Internet-Nutzung klar zu regeln, um rechtlichen Konsequenzen vorzubeugen und Grauzonen zu vermeiden. So wahren sie die Interessen der Arbeitgeber und schützen die Persönlichkeitsrechte der Mitarbeiter. Gleichzeitig verringern sie die beiderseitigen Haftungsrisiken. Darüber hinaus erhöht eine geregelte Internet-Nutzung die Verfügbarkeit der eingesetzten IT-Systeme.
Die technischen Lösungen wirken unterstützend: Sie filtern den Zugriff auf risikante Internet-Seiten und Downloads. Regelmäßige Datenbank-Updates sogen für den jeweils aktuellen Stand. Außerdem lässt sich mit Hilfe von Web-Filtern das heruntergeladene Volumen begrenzen und/oder die private Nutzung spezieller Kategorien von Websites auf die arbeitsfreie Zeit verlegen. (qua)
Zehn Kriterien für die Auswahl einer Web-Filter-Lösung
-
Ist die Lösung für jede Unternehmensgröße skalierbar?
-
Lässt sie sich in jede Systemumgebung integrieren?
-
Ist sie auf diversen Plattformen implementierbar?
-
Wird eine tagesaktuelle URL-Datenbank bereitgestellt und verwendet?
-
Lassen sich die URLs in verwaltbare Kategorien klassifizieren?
-
Wie viele Sprachen (Länder-URLs) können verwaltet werden?
-
Ist es möglich, filigrane Regelkriterien zu setzen – nach Inhaltstyp, Dateityp (Download oder Streaming), zugewiesener Bandbreite, Tageszeit und online verbrachter Zeit?
-
Besteht die Möglichkeit einer dynamischen Filterung zum Blockieren fragwürdiger, noch nicht qualifizierter Sites?
-
Ist Antivirensoftware integrierbar?
-
Gibt es Möglichkeiten zur Nutzungsanalyse und Berichterstellung?