Protokollierung von Inhaltsdaten bei erlaubter Privatnutzung
Kommen die Vorschriften des TKG zur Anwendung, darf sich der Arbeitgeber grundsätzlich keine Kenntnis vom Inhalt eines Telekommunikationsvorgangs verschaffen (zum Beispiel Inhalt einer E-Mail oder Auswertung, welche Internetseiten aufgerufen wurden). Zwar lässt die rechtswissenschaftliche Literatur bei schwerwiegenden Verstößen wie Straftaten teilweise Ausnahmen zu. Jedoch fehlt es, soweit das Fernmeldegeheimnis reicht, an einem spezifischen, das verfassungsmäßig verbriefte Fernmeldegeheimnis berücksichtigenden Eingriffstatbestand.
Wichtig in der Praxis: Kontrolle des Verbots
Für die Praxis wichtig ist an dieser Stelle noch der Hinweis, dass das abstrakte Verbot der privaten Nutzung betrieblicher Kommunikationsmittel allein nicht ausreichend ist. Denn verbietet der Arbeitgeber zwar die private Nutzung, duldet aber innerbetrieblich stillschweigend die Privatnutzung, kann dies dem Verbot seine Wirksamkeit nehmen. Es ist daher empfehlenswert, im Falle des Verbots privater Nutzung von betrieblichen Kommunikationsmitteln dieses auch im Betrieb durchzusetzen, insbesondere mit dokumentierten Stichproben.
Fazit
Gerade aufgrund der Reichweite des Fernmeldegeheimnisses nach der Lesart des Bundesverfassungsgerichts lautet der an Arbeitgeber gerichtete Rat in der Praxis zumeist, die private Nutzung betrieblicher Kommunikationsmittel zu untersagen. In jedem Fall empfiehlt es sich, den Umgang mit betrieblichen Kommunikationsmitteln und etwaige Kontrollmaßnahmen innerbetrieblich zu regeln, beispielsweise in einer Betriebsvereinbarung. Nur mit einer klaren und transparenten Regelung im Betrieb können beim Einsatz von Kommunikations- und Überwachungstechniken Rechtsunsicherheiten vermieden werden. (oe)
Kontakt:
Dr. Sebastian Kraska ist Rechtsanwalt und externer Datenschutzbeauftragter im IITR Institut für IT-Recht - Kraska GmbH. Alma Lena Fritz ist Rechtsassessorin. IITR Institut für IT-Recht - Kraska GmbH, Gröbenzell, Tel.: 089 5130392-0, email: skraska@iitr.de, Internet: www.iitr.de
- So schützen Sie Ihre Daten
Meistens sind es eigene Mitarbeiter oder Beschäftige von Partnerfirmen, die unternehmenskritische Daten mitgehen lassen. So können Sie sich davor schützen. - 1. Regeln für E-Mail-Kommunikation definieren:
Den Mitarbeitern muss klar sein, dass sie keine unternehmenskritischen Informationen über Web-Mail-Services oder andere ungesicherte Kanäle übertragen dürfen. Bei Bedarf sollten Unternehmen eine Data-Loss-Prevention-Lösung einsetzen. - 2. Datenverschlüsselung einsetzen:
Insbesondere Daten auf mobilen Rechnern und mobilen Speichermedien sollten grundsätzlich verschlüsselt werden, weil diese Geräte häufiger abhanden kommen. - 3. Starke Passwörter verwenden:
Die Zugangs-Codes zu Arbeitsplatzrechnern und Firmennetz sollten mindestens acht Zeichen sowie Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen wie $ oder % enthalten. Alle 45 bis 60 Tage sollten die Passwörter gewechselt werden. - 4. Regelmäßig Sicherheits-Audits durchführen:
Schwachstellen werden oft nur dann offenbar, wenn die internen IT-Sicherheitsmaßnahmen überprüft werden. Weil IT-Administratoren ungern selbst auf Lücken verweisen, sind externe Anbieter ratsam. - 5. IT-Sicherheits-Regelwerk erstellen und pflegen:
Wenn definiert wird, wer wann Zugang zu welchen Netzwerk-Segmenten, Anwendungen und Daten hat, lässt sich der Zugriff auf kritische Informationen, wie etwa Entwicklungsunterlagen, steuern, überwachen und nachvollziehen. - 6. Vertrauenswürdigkeit von Partnern prüfen:
Häufig benötigen Partner oder Lieferanten für ihre Dienste sensiblen Daten (Callcenter arbeitet mit Adressdaten). Im Zweifel sollten die externen Partner Sicherheitszertifizierungen etwa nach ISO 27000 nachweisen. - 7. System-Management konsequent umsetzen:
Benutzer-Accounts von Usern und Administratoren müssen sorgfältig gepflegt werden. Verlassen Mitarbeiter das Unternehmen, müssen Zugriffsrechte gelöscht werden. - 8. Auch Systemverwalter überwachen:
Geltende Compliance-Regeln und Datenschutzgesetze schreiben auch die Kontrolle des Administrators vor. - 9. Spezielle Sicherheitssysteme nutzen:
Data-Loss-Prevention-Systeme (DLP), Datenverschlüsselung sowie Lösungen, die den Zugang zu Daten und Systemen kontrollieren (Identity- und Access-Management), sind hilfreich. - 10. Die Gebäudesicherheit nicht vergessen:
Der Schutz vor Datenklau beginnt schon beim Zugang zum Firmengelände oder zu bestimmten Abteilungen. Lieferanten oder externe Mitarbeiter sollte nicht ohne Aufsicht in Abteilungen mit IT-Arbeitsplätze arbeiten.