Praxistipp für Arbeitgeber: Datenschutzkonforme Internetnutzung am Arbeitsplatz

daten 30
Fachbeitrag

Die Nutzung internetbasierter Dienste gehört heute zum Alltag. Für den Arbeitgeber stellen sich jedoch mehrere Probleme, wenn er die Internetnutzung am Arbeitsplatz zulässt. Dieser Beitrag soll aufzeigen, wie die Privatnutzung für Arbeitgeber und Arbeitnehmer paxisnah gestaltet werden kann.

Ausgleich konträrer Interessen

Der Arbeitgeber gilt rechtlich als Telekommunikations- bzw. Telemedienanbieter und hat dementsprechend die (strengeren) datenschutzrechtlichen Vorgaben des Telekommunikations- bzw. Telemediengesetzes zu beachten, sobald er die uneingeschränkte Internetnutzung zulässt. Daher hat der Arbeitgeber grundsätzlich ein Interesse daran, wenn nicht sogar eine Pflicht, zu kontrollieren, was und wann die Mitarbeiter im Internet tun, z.B. soll das Einschleusen von Schadprogramme verhindert werden.

Auf der anderen Seite hat der Arbeitnehmer ein Recht darauf, in seinem Nutzungsverhalten nicht überwacht zu werden. Damit stellt sich die Frage, wie man mit diesen konträren Interessen in der Praxis in Einklang bringt.

Duldung privater Internetnutzung birgt Gefahr der betrieblichen Übung

Eine vermeintlich „saubere“ Lösung aus Arbeitgebersicht liegt darin, die private Internetnutzung ausdrücklich zu verbieten. Abgesehen von der Frage, ob ein solches Totalverbot noch zeitgemäß ist, stellt sich die Frage, ob und wie dieses Verbot kontrolliert und sanktioniert werden muss. Duldet der Arbeitgeber nämlich die Internetnutzung und kontrolliert nicht, ob das Verbot eingehalten wird, gerät er in Gefahr der sog. „betrieblichen Übung“.

Entscheidend für die Entstehung eines Anspruchs aus betrieblicher Übung ist nach der Rechtsprechung des Bundesarbeitsgerichts (z.B. BAG vom 17. März 2010, Az: 5 AZR 317/09), nicht der Verpflichtungswille des Arbeitgebers, sondern wie der Erklärungsempfänger die Erklärung oder das Verhalten des Arbeitgebers nach Treu und Glauben unter Berücksichtigung aller Begleitumstände verstehen durfte.

Kontroll- und Sanktionsgebot des Arbeitgebers

Im Ergebnis könnte daher die Duldung bzw. fehlende Kontrolle und Sanktionierung der Internetnutzung – trotz des ausdrücklichen Verbotes – zur Zulässigkeit der privaten Internetnutzung und zur Einstufung des Arbeitsgebers als Telekommunikations- bzw. Telemedienanbieter führen. Daher muss der Arbeitgeber auch bei einem Verbot der Internetnutzung dieses Verbot kontrollieren. Die Schwierigkeit liegt jedoch darin, dies auf die richtige Art und Weise zu tun.

Totalüberwachung vs. Stichproben

Eine Totalüberwachung durch technische Tools durch den Arbeitgeber verstößt gegen die Menschenwürde  (Art. 1 Abs. 1 Grundgesetz) und verbietet sich grundsätzlich. Auch Einwilligungen der Mitarbeiter in den Arbeitsverträgen oder Betriebsvereinbarungen helfen daher hier nicht weiter, da die Menschenwürde absolut geschützt ist und weder durch den Arbeitnehmer selbst noch einen Betriebsrat zur Disposition gestellt werden kann.

Der Arbeitgeber kann stattdessen auf Stichproben zurückgreifen oder nur bestimmte Verhaltensweisen überwachen. Je nach Ausgestaltung der organisatorischen Maßnahmen und technischen Mittel gibt es hier durchaus Spielraum für Arbeitgeber. So kann der Arbeitgeber sog. Filtersoftware einsetzen, die den Zugang zu bestimmten – in der Regel rechtswidrigen – Internetseiten unterbindet. Oft werden diese Einstellungen direkt an der Firewall umgesetzt. Da solche Maßnahmen als Regelungen des Umfangs der Gestattung der Privatnutzung des Internet anzusehen sind, kann der Arbeitgeber diese sogar ohne Mitbestimmung des Betriebsrates ergreifen.

Software zum Schutz der Persönlichkeitsrechte

In Abstimmung mit dem IT-Leiter und dem Datenschutzbeauftragten kann spezielle Software eingesetzt werden, die es ermöglicht z.B. „Accounts“ einzurichten, um dann per Klick den „Privatmodus“ zu aktivieren oder Zeitkontingente festzulegen. Technische Lösungen hierfür gibt es auf dem Markt. Dies hat den Vorteil für den Arbeitgeber, dass er die dienstliche Internetnutzung dann auch regelmäßig kontrollieren kann, ohne in Gefahr zu laufen, die Persönlichkeitsrechte seiner Mitarbeiter zu verletzen.

Die Mitarbeiter müssen zwar über den Umfang der Protokollierung und Datenverarbeitung (Auswertung von Protokollen und Inhalten) der dienstlichen Nutzung unterrichtet werden, § 4 Abs. 3 BDSG, einer Einwilligung bedarf es aber nicht. Daher ist eine Nutzung dieser Daten für Verhaltens- oder Leistungskontrollen ausgeschlossen, denn Verhaltens- und Leistungskontrollen sind nur mit Einwilligung der betroffenen Mitarbeiter erlaubt. (Schmitz in Hoeren/Sieber/Holznagel, Multimedia-Recht, Teil 16.2 Datenschutz im Internet Rz 123)

Arbeitnehmerfreundliche Auswertung der dienstlichen Internetnutzung

Die organisatorische Umsetzung der Auswertung der dienstlichen Internetnutzung sollte zudem in Absprache oder gemeinsam mit dem Datenschutzbeauftragten als „neutrale“ Instanz erfolgen. Dies trägt zur rechtskonformen Umsetzung des Datenschutzrechts bei und stellt zudem eine vertrauensbildende Maßnahme gegenüber den Mitarbeitern dar.

Es gibt verschiedene Szenarien, wie diese Maßnahmen organisatorisch arbeitnehmerfreundlich gestaltet werden können. Um zu verhindern, dass der nur eine Person (z.B. IT-Leiter) Zugriff auf die Daten hat, kann man beispielsweise ein Vier-Augen-Prinzip bzw. ein Zwei-Passwort-Prinzip (IT-Leiter & Datenschutzbeauftragter) mit entsprechenden Zugangsbeschränkungen einführen.

Praxistipps für Arbeitgeber

  • Privatnutzung grundsätzlich verbieten und nur in engem Rahmen die Privatnutzung zulassen (innerhalb dieses Rahmens treffen ihn dann ggf. die Vorschriften des TKG/TMGs)
  • Datenschutzkonforme Tools einsetzen, über die Mitarbeiter privat ins Internet kommen
  • Organisatorische Maßnahmen für eine datenschutzkonforme Auswertung mit dem Datenschutzbeauftragten und IT-Leiter etablieren

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.