Die Datenschutzbehörden des Bundes und der Länder haben eine neue Orientierungshilfe zur datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz veröffentlicht. Diese soll die Voraussetzungen und Grenzen des datenschutzrechtlich zulässigen Umgangs mit IT im Unternehmensumfeld aufzeigen.
Diese Orientierungshilfen sind juristisch nur als Interpretation der Gesetze durch die Behörden zu verstehen; sie haben selbst keine (rechts-)verbindliche Wirkung für das einzelne Unternehmen. Auch Gerichte sind an diese Auslegungen nicht gebunden, sollten sie einen Fall zu entscheiden haben. Allerdings geben die Orientierungshilfen das Verständnis der Aufsichtsbehörden wieder, wie die Datenschutzgesetze mit Blick auf bestimmte Rechtsfragen zu interpretieren sind. Praktisch kommt der Orientierungshilfe damit eine hohe Bedeutung zu.
Keine private Nutzung von betrieblichen Mitteln
In Unternehmen gilt zunächst der Grundsatz, dass betriebliche Mittel nur für die Zwecke des Unternehmens und nicht für private Zwecke eingesetzt werden dürfen. Dies gilt folglich auch für Computer, Smartphones, Email-Postfächer und Internetzugänge. Eine Nutzung zu anderen, insbesondere privaten Zwecken ist nur erlaubt, wenn der Arbeitgeber dies gestattet. Ob der Arbeitgeber dies erlaubt, liegt in seinem freien Ermessen. Es gibt keinen Anspruch der Beschäftigten, dass die private Nutzung von betrieblichen Mitteln gestattet wird.
Kontrolle durch den Arbeitgeber
Ist die private Nutzung von Email und Internet nicht gestattet und werden diese Dienste ausschließlich zu betrieblichen Zwecken eingesetzt, hat der Arbeitgeber verhältnismäßig weitgehende Möglichkeiten, Email-Postfächer einzusehen und die Internetnutzung zu überwachen. Grenzen zeigen hier das Datenschutzrecht, insbesondere das Bundesdatenschutzgesetz, und das Arbeitsrecht auf.
In datenschutzrechtlicher Hinsicht ist eine Einsicht in die personenbezogenen Daten seiner Beschäftigten für Zwecke des Beschäftigungsverhältnisses zulässig, wenn dies insbesondere für die Durchführung des Beschäftigungsverhältnisses erforderlich ist. Aus dem Erforderlichkeitsgrundsatz folgt, dass zunächst eine anonymisierte Kontrolle vorzuziehen ist, bevor eine personenbezogene Kontrolle durchgeführt wird. Maßnahmen wie Black-/ Whitelisting sind in der Regel datenschutzfreundlicher und deshalb vorzuziehen. Zudem ist es dem Arbeitgeber gestattet, stichprobenartig zu kontrollieren, ob das Verbot der Privatnutzung von Email und Internet eingehalten wird.
Wird das Email-Postfach nur für betriebliche Zwecke verwendet, darf der Arbeitgeber Emails grundsätzlich einsehen. Auch hier ist aber der Grundsatz der Erforderlichkeit zu beachten. Handelt es sich um einen konkreten Geschäftsvorfall, der von dem eigentlichen Sachbearbeiter aufgrund von Urlaub oder Krankheit nicht bearbeitet werden kann, ist es hier regelmäßig möglich, dass der Arbeitgeber das Email-Postfach einsieht und die betreffenden Emails an einen anderen Sachbearbeiter zur Bearbeitung weiterleitet. Notwendig ist also stets ein Grund im Einzelfall, der den Zugriff gestattet. Eine permanente Kontrolle, zum Beispiel durch eine automatisierte Weiterleitung aller Emails an den Vorgesetzen, ist auch bei einer rein betrieblichen Nutzung nicht gestattet.
Im Rahmen der Prüfung sind aber regelmäßig einfachere, datenschutzfreundlichere Mittel in Betracht zu ziehen, die vor einem Zugriff des Arbeitgebers anzuwenden sind. In der Orientierungshilfe führen die Aufsichtsbehörden als Beispiel die Einrichtung eines Abwesenheitsassistenten auf. Ebenso denkbar ist es, dass jeder Beschäftigte selbst zwei Personen seines Vertrauens auswählt, die bei Bedarf Zugriff auf sein Email-Postfach nehmen können. Genügen diese Mittel bereits den betrieblichen Interessen, sind weitergehende Maßnahmen regelmäßig nicht zulässig.
Möchte der Arbeitgeber durch den Einblick in das Email-Postfach oder die Auswertung des Internetverlaufs aufklären, sieht dasBDSG weitere Voraussetzungen vor. Notwendig ist dann der konkrete Verdacht einer Straftat, der durch dokumentierte tatsächliche Anhaltspunkte festgestellt werden muss. Die Maßnahmen müssen dann erforderlich und verhältnismäßig sein.
Ist die private Nutzung von betrieblichen Mitteln nicht gestattet, sind auch Backups und Datensicherungen zulässig. Allerdings dürfen die so gespeicherten Informationen tatsächlich auch nur zu diesen Zwecken eingesetzt werden. Eine Leistungs- oder Verhaltenskontrolle kann mit diesen Informationen nicht ohne weiteres durchgeführt werden. Hier sind weitergehende arbeitsrechtliche Besonderheiten zu beachten.
- Besser nicht ohne Betreff...
Moderne E-Mail-Clients (wie hier der Mozilla Thunderbird) geben eine Warnung aus, wenn der Nutzer die Nachricht ohne Betreff abschicken will. - Ohne Betreff: Schlecht einzuordnen
Und so sieht es beispielsweise unter Outlook aus, wenn die Nachricht ohne Betreff nicht gleich im Spam-Filter hängenbleibt: Wenig informativ für den Nutzer - Einfach und sinnvoll: eine Signatur
Alle E-Mail-Clients und Web-Mailer erlauben das Anlegen und automatische Einbinden einer Signatur. Im privaten Bereich sollten Anwender das nutzen, im geschäftlichen E-Mail-Verkehrs müssen sie es tun. - Im "nur Text"-Modus sind viele Mails schlecht lesbar.
Dieses automatische Nachricht von Linkedin ist eher noch ein harmloses Beispiel dafür, wie schlecht lesbar HTML-Nachrichten häufig werden, wenn sie als Textnachricht dargestellt werden. - Nicht Standard aber sicher: Alle Mails als nur Text empfangen
Wer Outlook benutzt kann die Software so konfigurieren, dass sie alle empfangenen Nachrichten reine Textnachricht darstellt. Wenn der Absender das nicht bedenkt, kann die Nachricht aber leicht unlesbar werden.
Gestattung der Privatnutzung des Internets
Möchte der Arbeitgeber seinen Beschäftigten die private Nutzung von Internet und Email gestatten kann er eine derartige Erlaubnis zum Beispiel durch eine Betriebsvereinbarung oder eine Unternehmensrichtlinie erteilen. Alternativ kann die Erlaubnis individuell im Arbeitsvertrag erteilt werden.
In der Praxis fehlt häufig eine eindeutige Regelung dazu. Denn typischerweise weiß der Arbeitgeber zwar, dass seine Beschäftigten Email und Internet auch für private Zwecke einsetzen, er schreitet aber nicht dagegen ein, sondern duldet dies stillschweigend über einen längeren Zeitraum (betriebliche Übung). In diesen Fällen ist die private Nutzung gestattet. Für den Arbeitgeber ist dieser ungeregelte Fall aber denkbar schlecht, denn er verliert weitgehend die Möglichkeit zur Kontrolle von Internet und Email-Postfächern.
Mit der Gestattung der privaten Nutzung von Email und Internet geht ein weitverbreitetes Missverständnis einher: eine derartige Erlaubnis - soweit sie nicht ausdrücklich etwas Anderes sagt - ist keine Erlaubnis, während der Arbeitszeit privat Emails zu schreiben oder im Internet zu surfen. Einzig während der Pausen oder nach Feierabend dürfen die Beschäftigten die betrieblichen Mittel für private Zwecke einsetzen. Findet während der Arbeitszeit eine (übermäßige) private Nutzung von Email und Internet statt, kann dies arbeitsrechtliche Konsequenzen bis hin zur Kündigung nach sich ziehen.
Arbeitgeber als Telekommunikationsanbieter
Gestattet der Arbeitgeber die private Nutzung der IT, wird er nach überwiegender Ansicht zu einem Telekommunikationsanbieter. In der Folge ist er an das Fernmeldegeheimnis gebunden. Der Arbeitgeber darf die Inhalte der derart geschützten Kommunikation nicht mehr zur Kenntnis nehmen. Einblick in die Kommunikationsinhalte ist nur mit einer Einwilligung der betroffenen Beschäftigten zulässig.
Zu den Inhalten der Kommunikation zählt bereits, dass überhaupt eine Kommunikation stattfindet, das heißt Verbindungsdaten, Empfänger und IP-Adressen. In Einzelfällen, zum Beispiel zum Schutz technischer Anlagen, sieht das Gesetz sehr enge Ausnahmen vor, innerhalb derer dennoch eine Kontrolle zulässig ist. Einzelne Gerichte haben die Einordnung des Arbeitgebers als Telekommunikationsanbieter mittlerweile abgelehnt. Hier bleibt aber abzuwarten, wie sich die Rechtsprechung entwickelt. Um rechtliche Risiken zu vermeiden, sollte man sich daher der strikten Auffassung anschließen.
Dem Arbeitgeber ist es damit verwehrt, private Inhalte zur Kenntnis zu nehmen. Problematisch ist insoweit, dass er die Kommunikation häufig nicht eindeutig in private oder geschäftliche Kommunikation einteilen kann, beziehungsweise diese erst zuordnen kann, wenn er die Inhalte der Kommunikation zur Kenntnis genommen hat. Zudem lässt es sich immer schwerer unterscheiden, ob eine Kommunikation eindeutig privat oder geschäftlich ist, da diese Bereiche immer stärker zusammenwachsen. Will der Arbeitgeber also auf die betriebliche Kommunikation zugreifen können, ist er faktisch dazu gezwungen, diese als private Kommunikation einzustufen und ein Zugriff ist dann nur unter den wesentlich strengeren Voraussetzungen zulässig.
Einwilligung der Beschäftigtern
Um diesen Problemen zu entgehen, empfiehlt es sich, die private Nutzung von Email und Internet im Unternehmen zu regeln. Zunächst ist noch einmal festzuhalten, dass die Beschäftigten keinen Anspruch auf die private Nutzung von betrieblichen Mitteln haben. Der Arbeitgeber hat deshalb die Möglichkeit, die Erlaubnis zur privaten Nutzung von Email und Internet an bestimmte Voraussetzungen zu knüpfen. Hierbei sind natürlich die allgemeinen datenschutzrechtlichen und arbeitsrechtlichen Regelungen zu beachten. Insbesondere kann es erforderlich sein, den Betriebsrat einzubinden.
Für die Erlaubnis ist es wesentlich, dass der Arbeitgeber die Voraussetzungen, Umfang und Maßnahmen der Kontrolle transparent macht, damit die Beschäftigten wissen, worauf sie sich einlassen. Zudem kann es sinnvoll sein, bei der Durchführung von Kontrollen sowohl den Datenschutzbeauftragten als auch ein Mitglied des Betriebsrats hinzuzuziehen. Für den Zugriff auf Email-Postfächer sollte festgelegt werden, wie der Zugriff erfolgt. Wichtig ist es auch festzulegen, wie in diesen Fällen mit privater Kommunikation umgegangen wird.
Fazit: Lesenswert!
Die Orientierungshilfe der Datenschutzaufsichtsbehörden ist lesenswert und gibt für den Dauerbrenner einige Tipps sowie Formulierungshilfen für eine Betriebsvereinbarung. (bw)