Rechtliche Gratwanderungen

16.06.2003
Von Martin Theobald
Das weltweite Netz bietet Chancen für die Unternehmenskommunikation, doch birgt es auch Risiken: Denn die private Nutzung des Internet am Arbeitsplatz mindert nicht nur die Produktivität der Arbeitnehmer, sondern öffnet auch Sicherheitslücken in Firmennetzen. Filter und Content-Security-Management können Abhilfe schaffen.

Fotos: Photodisc

Es ist der Beginn eines ganz normalen Arbeitstages für Stefan R., Mitarbeiter in einem süddeutschen Großkonzern. Der Vertriebler begrüßt die Kollegen, fährt den Computer hoch, überfliegt die aktuelle Ausgabe der Tageszeitung, um sich die wichtigsten Artikel für die Frühstückspause zu reservieren. Danach ruft er die betrieblichen E-Mails ab, um zu schauen, ob sich nach seinem gestrigen Feierabend noch Neuerungen ergeben haben. Schließlich öffnet er den Browser und unternimmt zum ersten Mal an diesem Tag einen Ausflug ins weltweite Netz. Weitere werden folgen.

Der Weg führt ihn zunächst zu Hotmail, wo er seine privaten Mails einsieht und einige auch direkt beantwortet. Dann versucht er im Auktionshaus Ebay, eine größere Speicherkarte für seine Digitalkamera zu ersteigern, die er sich gestern - während der Arbeitszeit - bei einem Online-Shop gekauft hat. R. informiert sich über Last-Minute-Reisen für den nächsten Urlaub, und schließlich besucht er noch eine Seite, die ihm ein Kollege empfohlen hat, wo es Spiele zum kostenfreien Download gibt - man brauche nur seine E-Mail-Adresse zu hinterlassen.

Sex and the office

Die Festverbindung zum Internet bestehe ohnehin, denkt sich der Vertriebsmitarbeiter, ob er nun surft oder nicht. Auch sein direkter Vorgesetzter hat mit der kurzen, privaten Nutzung des globalen Netzes keine Probleme, schließlich würden sich seine Mitarbeiter hinterher konzentriert und motiviert wieder den Tagesaufgaben stellen. Ein Irrtum auf beiden Seiten, denn die Zahlen sprechen für sich: Die private Nutzung der Unternehmenstechnik ist weiter verbreitet, als manche Chefs ahnen. So fanden die Marktforscher von IDC heraus, dass 30 bis 40 Prozent der Ausflüge ins Internet durch Mitarbeiter nicht arbeitsrelevant sind. Der einschlägige Content-Provider Sextracker berichtete gar, dass sieben von zehn Zugriffen auf seine Porno-Seiten zwischen 9 und 17 Uhr stattfinden. Auch die Statistik des Online-Aktienhandels bei Charles Schwab belegt, dass 92 Prozent der Aufträge während der Arbeitszeit eingehen.

Angeklickt Der einschlägige Content-Provider Sextracker hat beobachtet, dass rund 70 Prozent der Zugriffe auf seine Porno-Seiten während der normalen Arbeitszeiten erfolgen. Weitaus gravierender als der Verbrauch der Ressource „Arbeitszeit“ können sich indes Sicherheitslecks auswirken, die durch private Internet-Nutzung aufgerissen werden. Dadurch erhalten Dritte unter Umständen Zugriff auf wettbewerbs- oder sicherheitsrelevante Informationen sowie auf das firmeninterne IT-System, wodurch sie Daten ausspionieren oder vernichten können.

Sechs von zehn Arbeitnehmern sind einmal pro Tag im Internet unterwegs - privat; jeder Fünfte surft mehr als zehnmal am Arbeitstag. Zusammen kommen sie auf dreieinviertel Stunden Surfen ohne Arbeitsauftrag im Internet pro Woche, summiert ergibt sich theoretisch ein Ausfall von 17,2 Arbeitstagen je Mitarbeiter pro Jahr. Während dieser Zeit wurden beispielsweise das Moorhuhn-Spiel auf schätzungsweise 15 Millionen Firmen-PCs geladen und 60 Prozent des Online-Handelsvolumens abgewickelt.

Sicher, das Internet bietet jedem Unternehmen Vorteile in der alltäglichen Kommunikation. Es birgt aber auch viele Gefahren, die weit über die Verbreitung von Computerviren hinausgehen. Diese Risiken sind auch unter rechtlichen Aspekten zu sehen. Laut Jochen Schneider, Rechtsanwalt mit Schwerpunkt IT-Recht in München, gibt es „zahlreiche gesetzliche Regelungen, die sich mit diesen Gefahren sowie der Haftung für Handlungen und Schäden befassen, was aber vielen Internet-Anbietern bekannt ist“. Darunter fallen einerseits der Abruf, die Speicherung und der Versand von strafbarem Content sowie die Verletzung des Urheberschutzes. „Aber auch die Pflichten und Rechte des Arbeitgebers werden verletzt“, so der Anwalt. Schließlich leidet die Produktivität, wenn ein Mitarbeiter während seiner Arbeitszeit online einkauft, Börsenkurse beobachtet und an Chats teilnimmt.

Weitaus gravierender sind jedoch die Sicherheitslecks, die der private Internet-Nutzer aufreißt. So können durch Cookies, Webbugs und Referrer wettbewerbs- oder sicherheitsrelevante Informationen über Nutzer und Unternehmen verdichtet werden oder durch aktive Website-Elemente Dritte Zugriff auf das interne System erhalten und so Daten ausspionieren oder vernichten. Schließlich werden durch den Download etwa von MP3-Dateien oder den Versand von Hoax-Mails die Netzressourcen des Unternehmens nicht unerheblich belastet.

Eine Untersuchung des Computer Security Institute (CSI) mit der US-amerikanischen Bundespolizei FBI im vergangenen Jahr hat ergeben, dass 90 Prozent aller befragten Unternehmen Sicherheitslücken in ihrem Netz haben. Immerhin 80 Prozent dieser Firmen erlitten dadurch finanzielle Schäden, sei es durch Computerviren (85 Prozent der Fälle), Denial-of-Service-(DoS-)Attacken (40 Prozent) oder direkte Hacker-Angriffe (ebenfalls 40 Prozent).

Dies verlangt nach Sicherheit - auch und gerade bei der Nutzung des Internet im Arbeitsumfeld. Für Unternehmen empfiehlt es sich, eine eigene, interne Richtlinie zur Internet-Nutzung zu erlassen, die den Kommunikationsbedarf mit den Nutzungsmöglichkeiten in Einklang bringt. Dabei muss geprüft werden, inwieweit der Zugriff auf nicht geschäfts- und arbeitsrelevante Inhalte eingeschränkt oder gar verhindert werden kann.

Darüber hinaus muss für das Unternehmen der Schutz vor und der Ausschluss von Haftungsrisiken gewährleistet sein. Generell sollten Sicherheitslücken im Unternehmensnetz, die der freie Internet-Zugang von Mitarbeitern öffnet, durch einen Active Code geschlossen und durch Profiling verhindert werden, dass Unbefugte aus den Surfspuren der Mitarbeiter auf das Unternehmen schließen können. In der Konsequenz ergibt sich daraus ein reduzierter Bandbreitenbedarf und ein effizientes Management des Internet-Zugangs.

Das Netz der Fallstricke

„Bislang gilt für die Internet-Nutzung in Unternehmen ein komplexes Rechtssystem“, fasst Rechtsanwalt Schneider zusammen. Entgegen der irrigen Annahme sei das Internet keinesfalls ein rechtsfreier Raum, auch wenn das Rechtssystem hier noch in der Entwicklung begriffen sei. Dieses stützt sich auf Elemente aus dem Straf- und Zivilrecht, aus dem Urheber- und Markenrecht, dem Teledienstegesetz (TDG) aus dem Jahr 1997, auf Datenschutzgesetze sowie das Betriebsverfassungsgesetz. Seit dem vergangenen Jahr gilt das Elektronischer Geschäftsverkehr-Gesetz (EGG), das die Verantwortlichkeitsregelungen des TDG neu fasst.

„Die Rechtslage rund um das Internet hält für Unternehmen so manche Fallstricke bereit“, sagt Anwalt Schneider, „etwa bei der Haftung für Links.“ Hinzu kommt, dass das Monitoring, also das Überwachen von privatem Surfen, arbeitsrechtlich nicht unproblematisch ist. Darüber hinaus müssen Firmen auch dem Jugendschutz und der Aufsichtspflicht gegenüber minderjährigen Arbeitnehmern entsprechen und Datenschutz und -sicherheit personenbezogener Daten beachten.

Sicherheit und Verantwortung

Experten empfehlen daher die Implementierung von Filterlösungen und die Einrichtung eines umfassenden Content-Security-Managements. Dazu der Wirtschafts- und Medienrechtler Dirk-Michael Barton aus Paderborn: „Unabhängig von den betriebswirtschaftlichen Verlusten, die Unternehmen durch die private Nutzung dienstlicher Internet-Anschlüsse entstehen, muss sich jede Geschäftsführung damit auseinander setzen, ob und inwieweit der Einsatz von Filtern geboten ist, um sich selbst vor einer straf- oder zivilrechtlichen Verantwortung zu bewahren.“

Mit Filtern beispielsweise von der Webwasher AG lassen sich präventive Lösungen implementieren. So können etwa rechtliche Risiken durch die Internet-Nutzung wirkungsvoll verringert werden. Darüber hinaus bieten diese Systeme einen doppelten Schutz, denn viele im Internet lauernde Gefahren werden durch das Filtern und Blocken entsprechender Inhalte bereits im Vorfeld ausgeschlossen. Bei Versagen des Filtermechanismus kann leicht die Absicht nachgewiesen werden, Risiken durch problematische Inhalte verhindern zu wollen.

Doch vielen Unternehmen ist das nicht genug: Denn neben der Filterung von Inhalten bewährt sich zunehmend auch das umfassende Content-Security-Management. Es trägt dem Umstand Rechnung, dass Sicherheitsrisiken aus dem weltweiten Netz nicht mehr durch punktuelle Einzellösungen abgewendet werden können. Darüber hinaus verlangen Kunden zunehmend Produkte aus einem Guss, einschließlich Zugangskontrolle, Content-Filtering, E-Mail-Scanning, Antivirenschutz und Reporting unter einer einzigen Administrationsoberfläche.

Doch damit nicht genug: „Sicherheit im Umgang mit dem Internet fängt bei den Mitarbeitern an“, sagt Fritz Eberhart, Geschäftsführer der Münchner Firma Iqrity, eines Spezialisten für die Sicherheit von Netzen. „Die Angestellten müssen dafür sensibilisiert werden, dass ihr Ausflug ins Internet aus dem Firmennetz heraus Sicherheitslücken reißt.“ Denn die wenigsten Mitarbeiter wissen, dass das Abrufen von E-Mails, etwa bei Hotmail, oder das Ersteigern einer elektrischen Zahnbürste während der Arbeitszeit durchaus mit Risiken behaftet ist. Mit entsprechenden Schulungen lässt sich ein umfangreicher Schutz gegen Risiken aus dem Internet erreichen - und mit dem weltweiten Netz die Arbeitszeit effektiv nutzen.