Orientierungshilfe IuK-Nutzung am Arbeitsplatz

e-mail 08
Fachbeitrag

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI Rheinland-Pfalz) hat kürzlich eine Orientierungshilfe zur Nutzung von Informations- und Kommunikationstechnik (IuK) am Arbeitsplatz veröffentlicht, die einen Überblick über die arbeitgeberseitigen Rechte und Pflichten bei Zurverfügungstellung von IuK am Arbeitsplatz geben soll.

Worum geht es?

E-Mail-Kommunikation macht heute über die Hälfte der gesamten betrieblichen Kommunikation aus. Viele Beschäftigte haben an ihrem Arbeitsplatz neben Telefon und Faxgerät auch Zugang zum Internet und damit die Möglichkeit, per E-Mail, Chat oder VoIP zu kommunizieren (IuK). Arbeitgeber gewähren ihren Mitarbeitern immer häufiger auch die private Nutzung der betrieblichen Kommunikationsinfrastruktur, nicht zuletzt, weil sie sich dadurch eine gesteigerte Arbeitsleistung ihrer Mitarbeiter versprechen und sich die Kosten hierfür sehr gering halten.

Angesichts der Vielfalt an Nutzungs- aber auch Überwachungsmöglichkeiten, die die moderne Kommunikation bereithält, gibt es auf diesem Gebiet aber immer noch viele Unsicherheiten – sowohl auf Seiten der Arbeitgeber, als auch der betroffenen Arbeitnehmer.

  • Was darf der Arbeitgeber vom Arbeitnehmer verlangen?
  • Wie hat sich der Arbeitgeber zu verhalten?
  • Welche Regeln sind zu beachten?

Fehleinschätzungen des Arbeitgebers können schnell zu erheblichen Eingriffen in die Persönlichkeitsrechte der Mitarbeiter führen, die aufsichtsbehördliche Maßnahmen und Bußgelder nach sich ziehen können.

Rechtssicherheit durch Orientierungshilfen

Hier geben Orientierungshilfen der Datenschutzaufsichtsbehörden eine gute Hilfestellung und Richtschnur für das arbeitgeberseitige Verhalten. Sie lassen die Einstellung der sie verfassenden Behörde erkennen und sind zumeist mit allen Datenschutzaufsichtsbehörden abgestimmt. Für den Bereich der IuK hat im Mai diesen Jahres das LfDI Rheinland-Pfalz eine solche Orientierungshilfe herausgegeben.

Diese stellt umfassend die Sicht der Aufsichtsbehörden zu den Themengebieten

  • Zugriff auf Kommunikationsinhalte,
  • Protokollierung,
  • Filterung sowohl bei reiner betrieblicher als auch bei zugelassener privater Nutzung der betrieblichen IuK.

Sie gibt den Unternehmen Empfehlungen, wie ein datenschutzkonformer Einsatz möglich ist.

Kontrollrechte des Arbeitgebers

Eine der häufigsten Fragenstellungen im Zusammenhang mit der Nutzung der firmeneigenen Kommunikationsinfrastruktur ist die Frage der Dokumentation der Kommunikationsinhalte, die Gewährung von Zugriffsrechten auf diese und die Kontrollrechte des Arbeitgebers in Bezug auf die Einhaltung der Nutzungsrahmenbedingungen durch die Mitarbeiter. Eine Überwachung der Mitarbeiteraktivitäten ist für den Arbeitgeber mit zumeist geringem technischem Aufwand über die Protokollfunktionen der Firewall auf den unternehmenseigenen E-Mail- und Internetservern, sowie über die Zugangsprovider möglich.

Hierzu führt das LfDI Rheinland-Pfalz aus:

“ heutigen Geschäftsabläufe machen es regelmäßig notwendig, Kollegen oder Vorgesetzten Zugriffsmöglichkeiten auf den betrieblichen E-Mail-Zugang einzelner Mitarbeiter einzuräumen. Eine angemessene Dokumentation der IuK-Nutzung ist auch zur Erfüllung gesetzlicher Aufbewahrungspflichten nach § 238 Abs. 2 und § 257 Abs. 1 des Handelsgesetzbuchs (HGB) oder § 147 Abs. 1 der Abgabenordnung (AO) geboten.

Gestattet der Arbeitgeber –wie heute weit verbreitet – den Arbeitnehmern die Nutzung der betrieblichen IuK auch zu privaten Zwecken, so hat er ein begründetes Interesse daran, geltende Einschränkungen dieser Nutzungsmöglichkeiten auch zu überprüfen; verbietet er die Privatnutzung, so ist sein Kontrollinteresse noch evidenter.“

Die Aufsichtsbehörden sehen also sehr wohl das Interesse eines Arbeitgebers, an einer umfassenden Protokollierung. Demgegenüber steht jedoch das Interesse des Arbeitnehmers an der Beachtung seines Rechts auf informationelle Selbstbestimmung und dem Unterlassen einer ausufernden – weil möglichen – Überwachung seines Verhaltens.

Private vs. betriebliche Nutzung

Die Zulässigkeit und der Umfang der arbeitgeberseitigen Kontrollrechte ergeben sich zuforderst aus der Art der gewährten Nutzung.

Rein geschäftliche Nutzung (Verbot der Privatnutzung)

Das zur Überprüfung der Zulässigkeit von Zugriffen, Protokollierungsmaßnahmen oder Filtern anwendbare Recht richtet sich danach, ob der Arbeitgeber die private Nutzung der IuK-Technik durch die Arbeitnehmer erlaubt oder nicht. Ist die private Nutzung ausdrücklich verboten, richten sich die Rechte und Pflichten des Arbeitgebers nach den Vorgaben des BDSG nach dem Erforderlichkeitsprinzip (§ 32 Abs. 1 , § 28 As. 1 BDSG). Danach können Stichproben und Protokollierung in Bezug auf die korrekte Nutzung der IuK durchaus zulässig sein und auch die Kenntnisnahme der Kommunikationsinhalte bei E-Mails (Compliance-Gesichtspunkte, Abwesenheit des Mitarbeiters etc.) wären weitestgehend zu rechtfertigen. Dieses führt das LfDI in seiner Orientierungshilfe für die Bereiche Protokollierung, Überprüfung der Mitarbeiternutzung, Verfolgung von Straftaten, Compliance und Zugriff auf Geschäftskorrespondenz bei Abwesenheit weiter aus.

Private Nutzung erlaubt

Hat er allerdings die private Nutzung ganz oder teilweise erlaubt oder duldet er diese, kommen zusätzlich und vorrangig die strengeren Vorschriften des TKG und TMG zur Anwendung.

Nachfolgend wollen wir die vom LfDI in seiner Orientierungshilfe umfassend dargestellte Pflicht zur Beachtung des Fernmeldegeheimnisses, § 88 TKG näher betrachten:

Beachtung des Fernmeldegeheimnisses

Stellt der Arbeitgeber seinen Arbeitnehmern die betriebliche Kommunikation auch zur privaten Nutzung zur Verfügung, sieht das LfDI zum einen das Telekommunikationsgesetz, sowie zum anderen das Telemediengesetz vorrangig vor dem BDSG für anwendbar und bestätigt die einhellige Auffassung der Datenschutzpraxis, dass in diesen Fällen das Fernmeldegeheimnis des § 88 TKG eine Protokollierung und Weitergabe von Kommunikationsinhalten in vielen Fällen untersagt. Es weist zudem auf die Strafbarkeit nach § 206 Strafgesetzbuch (StGB) hin.

Ausnahmetatbestände

Allerdings stellt das LfDI auch fest, dass es legale Ausnahmen vom Schutz des Fernmeldegeheimnisses gibt. Auf die wichtigsten wollen wir im Folgenden kurz eingehen:

  • Einwilligung des Betroffenen
    Zuvorderst ist hier die ausdrückliche und informierte Einwilligung des Betroffenen anzuführen. Mangels ausdrücklicher Einwilligungsnorm im TKG/TMG kann hier auf § 4a BDSG zurückgegriffen werden. Das LfDI verweist allerdings insoweit darauf, dass sodann die Einwilligung sämtlicher Kommunikationspartner vorliegen muss. Zu Nachweiszwecken sollte die Einwilligung dokumentiert werden. Eine Einwilligung durch Betriebsvereinbarung hält das LfDI für unzulässig. Ein Problem bezüglich der Wirksamkeit der Einwilligung aufgrund des arbeitsrechtlichen Abhängigkeitsverhältnisses sieht das LfDI hier nicht, da die Nutzung der IuK eine freiwillige Leistung des Arbeitgebers sei, die er Arbeitnehmer nicht annehmen müsse.
  • 88 Abs. 3 TKG
    Des Weiteren enthält § 88 Abs. 3 TKG eine Befugnis zur Kenntnisverschaffung vom Inhalt und den näheren Umständen der Telekommunikation, soweit die geschäftsmäßige Erbringung der Telekommunikationsdienste einschließlich des Schutzes ihrer technischen Systeme dies erfordert. Hierunter fällt insbesondere der Einsatz von Virenfiltern, da durch im Unternehmen verbreitete Viren ein erheblicher Schaden drohen kann. Der Einsatz von Spamfiltern ist, wie das LfDI hinweist, allerdings nicht von § 88 Abs. 3 TKG gedeckt und führt ohne Einwilligung des Betroffenen Arbeitnehmers und ggf. auch des Dritten (E-Mail-Empfänger/Absender) zu einem Verstoß gegen das Fernmeldegeheimnis. Wichtig ist hier stets die Einhaltung der Informationspflichten gem. § 33 BDSG.
  • Zeitliche Grenze
    Das Fernmeldegeheimnis gem. § 88 TKG dient dem Schutz personenbezogener Daten im Zeitpunkt ihrer Übertragung (auf dem Übertragungswege). Informationen, die nach Beendigung des Kommunikationsvorgangs bei den Kommunikationspartnern verbleiben (der vom Empfänger geöffnete Brief, die gelesene E-Mail in seinem Postfach) unterfallen nicht mehr dem Fernmeldegeheimnis. Der Zugriff auf diese Informationen ist – mangels anderweitig einschlägiger Rechtsgrundlage – an den Bestimmungen des BDSG zu messen.

Hierzu führt das LfDI allerdings aus:

„Dieser Umstand (der Beendigung des Kommunikationsvorgangs) ist im Arbeitgeber-Arbeitnehmerverhältnis jedoch regelmäßig nicht gegeben. Zum einen weil der Arbeitgeber in der Praxis eine Kopie der E-Mail auf seinem Zentral-Server gespeichert hat, zum anderen weil der Arbeitnehmer bei einem Dienst-PC nicht die gleiche Dispositionsbefugnis hat, wie bei seinem privaten PC und häufig E-Mails nicht endgültig löschen kann.

Der Schutz des Fernmeldegeheimnisses endet in diesen Fällen daher nicht, er erstreckt sich auch auf E-Mails, die auf einem Server des Diensteanbieters zwischen- oder endgespeichert sind. Es gilt damit auch beim „ruhenden“ E-Mail-Verkehr, bei dem ein Telekommunikationsvorgang in einem dynamischen Sinn zwar nicht (mehr) stattfindet, er aber auch noch nicht abgeschlossen ist (BVerfG, Beschluss vom 16. Juni 2009, -2 BVR 902/06).

Abgeschlossen ist der schutzbedürftige Telekommunikationsvorgang erst dann, wenn der Kommunikationsteilnehmer dergestalt die alleinige Herrschaft über ihn erlangt hat, dass er selbst jederzeit und unabhängig vom Diensteanbieter die Teile und Ergebnisse der Kommunikation in seinem Herrschaftsbereich vernichten könnte.“

Ergebnis

Bei den Kontroll- und Einsichtsrechten der Arbeitgeber in den E-Mail-Verkehr und Protokollierung des Nutzungsverhaltens ist nach Ansicht der Aufsichtsbehörden nach dem Umfang der Nutzung, dem Umgang des Arbeitnehmers mit erhaltenen E-Mails und seiner Löschberechtigung zu differenzieren.

Handlungsempfehlungen

Das LfDI gibt dem Leser im Anschluss an seine umfassenden rechtlichen Ausführungen folgende Handlungsempfehlungen zum datenschutzkonformen Einsatz von IuK im Unternehmen:

  • Die unternehmenseigene IuK sollte, wenn möglich, nur betrieblich genutzt werden
  • Private Nutzung sollte ausgeschlossen sein.
  • Dieses muss durch Stichproben überwacht und ein Verstoß sanktioniert werden.
  • Wenn private Nutzung erlaubt wird, erfordert dies ausdrückliche und klare innerbetriebliche Regelungen.
  • Unterscheidung zwischen privater Nutzung des Internet-Zugangs und des E-Mail-Accounts.
  • Um bei für den Geschäftsablauf erforderlichen Zugriffen in das betriebliche E-Mail Postfach durch den Arbeitgeber einen Konflikt mit dem Fernmeldegeheimnis zu vermeiden, wird empfohlen dem Beschäftigten ausschließlich die private Nutzung des Internets anzubieten, welche auch die Nutzung von Webmail-Diensten (wie z.B. web.de, gmx.net) umfasst.
  • Einholung von Einwilligungen der Mitarbeiter zur Protokollierung und zur Kenntnisnahme von Kommunikationsinhalten entsprechend konkret benannter Zwecke
  • Der Abschluss einer zusätzlichen Betriebsvereinbarung – soweit möglich – wird empfohlen
  • Einholung der Einwilligung aller Kommunikationspartner bei Anwendbarkeit des § 88 TKG
  • Schaffung konkreter Regelungen bei Abwesenheit des Mitarbeiters
  • Bei Ausscheiden eines Mitarbeiters sofortige Deaktivierung des Accounts
  • Information der Mitarbeiter zur betrieblichen E-Mail-Archivierung und Hinweise, wie diese für private Mails verhindert werden kann (vorherige Löschung).
  • Vermeidung von Kenntnisnahme von Inhalts- und Verbindungsdaten durch den Arbeitgeber bei besonderen Geheimnisträgern (Betriebsrat, Betriebsarzt, Gleichstellungsbeauftragte, Datenschutzbeauftragter etc.) durch funktionsbezogene Postfächer
  • Erstellung klarer, datenschutzfreundliche Regelungen zur Einrichtung von Spam-Filtern, die dem Betroffenen die größtmögliche Autonomie erhalten
  • Einsatz der Filterung erst nach Beendigung des Kommunikationsvorgangs (Arg. § 88 TKG)
  • Erstellung datenschutzkonformer Verfahren bei der Sichtung von IuK-Daten
  • Begrenzung des Kreises der Zugriffsberechtigten
  • Erstellung einer Vertreterregelung
  • Information des Datenschutzbeauftragten vor jeder Sichtung von IuK-Daten
  • Beachtung der Mitbestimmungsrechte des Betriebsrates § 87 Abs. 1 Nr. 6 BetrVG
  • Umfassende Dokumentation der Zugriffe auf IuK-Daten
  • Unterrichtung der Beschäftigten über die Ergebnisse durchgeführter Kontrollen
  • Vorherige Abstimmung mit der zuständigen Aufsichtsbehörde

6 Kommentare zu diesem Beitrag

  1. @ Dr. Datenschutz

    Wie bewerten Sie den Einsatz von Monitoringsoftware wie „Splunk“? Dort werden bspw. über Methoden wie Profiling und algorithmengesteuerte Datenanalyse Webzugriffe und E-Mail-Verkehr überwacht. Wird z.B. eine Verbindung zu einer ungewöhnlichen (weil selten aufgerufenen) Domain festgestellt, ergibt dies eine Art Alarm zur weiteren manuellen Untersuchung. Für diese Art Monitoring muss der Datenverkehr dauerhaft analyisiert werden.

    „private Nutzung der betrieblichen Kommunikationsinfrastruktur“
    Warum hat es heutzutage noch jemand nötig, mit dem Dienstrechner zu surfen und zu mailen? Wer sichergehen will, nutzt ganz einfach nur die eigenen privaten Internetzugänge. Das ist heutzutage auch nicht mehr teuer.

    „Sicht der Auffassungsbehörden“
    Auffassungsbehörden? Finde den Fehler. ;-)

    • Der Einsatz von Monitoringsoftware wie Splunk, die eine dauerhafte Überwachung, Protokollierung und Indizierung sämtlicher Maschinendaten eines Unternehmens ist aus datenschutzrechtlicher Sicht durchaus kritisch zu bewerten. Eine reine Protokollierung iSd § 31 BDSG ist zumeist eher unkritisch. Hier besteht meines Erachtens die Gefahr, dass Splunk über die reine Protokollierung hinaus geht. Neben der Aufklärung von Server-Fehlfunktionen o.ä. ermöglicht die Software, wie Sie selbst darstellen, offenbar die vollständige Protokollierung und Auswertung z.B.: der Internet- und E-Mail-Nutzung der Mitarbeiter und bietet damit ggf. eine vollständige Überwachung. Hier stellt sich die Frage, nach der Tiefe der recherchierbaren Informationen (Rückbeziehbarkeit nur auf ein bestimmtes Ereignis oder auch die handelnde Person) und ob diese zu einer anlasslosen Leistungs- und Verhaltenskontrolle des einzelnen Arbeitnehmers führen. Letzteres ist jedenfalls unzulässig.

      Wie bereits in der Orientierungshilfe dargestellt, ist bei der Zulässigkeit der Überprüfung und Protokollierung des Nutzerverhaltens bei Mitarbeiter nach der Art der erlaubten Nutzung (ausschließlich betrieblich oder auch privat) zu differenzieren. Im Falle der erlaubten Privatnutzung ist z.B.: eine Kenntnisnahme von Mailinhalten privater E-Mails wegen Verstoßes gegen das Fernmeldegeheimnis nicht zulässig. Dieses müsste in der Software abbildbar sein. Ein zulässiger Einsatz derartiger Monitoringsoftware hängt also von den jeweiligen Konfigurationen bzw. Konfigurationsmöglichkeiten des Systems ab.

      Vor Einführung eines solchen Systems sollte dieses auf jeden Fall einer umfassenden Kontrolle durch den betrieblichen Datenschutzbeauftragten unterzogen werden.

      PS: Vielen Dank für die Erlegung des Fehlerteufels. Wir haben das Wort entsprechend korrigiert.

  2. Wenn private Nutzung erlaubt wird, erfordert dies ausdrückliche und klare innerbetriebliche Regelungen.
    • Einholung der Einwilligung aller Kommunikationspartner bei Anwendbarkeit des § 88 TKG
    Wer ist mit Einwilligung aller Kommunikationspartner gemeint?

    • Mit „alle Kommunikationspartner“ sind insbesondere bei der E-Mail-Kommunikation, die diese Vorgabe in erster Linie betrifft, sowohl der/die E-Mail-Empfänger, als auch der Absender der E-Mail gemeint. Dies dürfte in der Praxis selten bzw. nur schwer umsetzbar sein.

  3. Guten Tag,
    müssen denn die Administratoren auf das TKG verpflichtet werden, wenn die Privatnutzung von Email und Internet untersagt ist?
    Vielen Dank

    • Eine Verpflichtung der IT-Mitarbeiter auf das Telekommunikationsgeheimnis ist auch bei Ausschluss der Privatnutzung sinnvoll. Grundsätzlich sieht das TKG keine ausdrückliche Pflicht zur schriftlichen Verpflichtung auf das Telekommunikationsgeheimnis vor. Angesichts der Strafbarkeit bei einer Verletzung (§ 206 StGB) dürfte eine zu weit gehende Belehrung nicht schädlich sein, eine zu kurz gegriffene allerdings höchst problematisch.

      Selbst bei verbotener Privatnutzung kennt das Arbeitsleben die sog. betrieblich veranlasste Privatkommunikation (z.B. Vereinbarung eines Arzttermins aus dem Büro, Anruf bei der Ehefrau um Verspätung mitzuteilen etc.). Diese kann vom Arbeitgeber nicht vollständig untersagt werden. Daher besteht auch weiterhin die Möglichkeit des Zugriffs auf private Kommunikationsinhalte.

      Alternativ könnte auch eine mündliche Belehrung oder Sensibilisierung durch Schulungen erfolgen.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.