2. Mai 2016 - Datenschutzkonforme Protokollierung

E-Mail und Internet am Arbeitsplatz: privat und dienstlich trennen!

Um die Internetnutzung der Beschäftigten rechtskonform überwachen zu können, sollten Arbeitgeber die dienstliche und private Nutzung von Web und E-Mail strikt trennen. Die Datenschutz-Aufsichtsbehörden haben dazu eine Orientierungshilfe veröffentlicht.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation Wer als Arbeitgeber die private Internet- und E-Mail-Nutzung nicht regelt, läuft Gefahr, gegen den Datenschutz zu verstoßen (Bild: Mathias Rosenthal / iStock / Thinkstock)

Risiko Internet und E-Mail am Arbeitsplatz

Sind Arbeitnehmer im Internet unterwegs, ist das mit zahlreichen Risiken verbunden. Daher schränken Arbeitgeber Internet und E-Mail am Arbeitsplatz häufig ein oder möchten die Nutzung zumindest kontrollieren. Besonders die private Internetnutzung erscheint ihnen als unnötiges Risiko. Zusätzlich könnten die Beschäftigten von ihrer Arbeit abgelenkt werden.

Doch viele Unternehmen organisieren die Internetnutzung nicht eindeutig mithilfe von Betriebsvereinbarungen und Benutzerrichtlinien. Meist gibt es kein ausdrückliches Verbot. Arbeitgeber dulden die private Internetnutzung oder erlauben sie sogar.

Fehler aus Unkenntnis

Nach den Erfahrungen der Aufsichtsbehörden für den Datenschutz unterlaufen Arbeitgebern oft aus Unkenntnis gravierende datenschutzrechtliche Fehler, die im schlimmsten Falle sogar strafrechtlich relevant sind. Viele Arbeitgeber sind sich nicht hinreichend darüber im Klaren, dass sie beim Umgang mit personenbezogenen Daten der Beschäftigten und deren Kommunikationspartnern datenschutzrechtliche Grenzen zu beachten haben.

Auch aufseiten der Beschäftigten besteht ein Aufklärungsbedarf, welche Form der Nutzung zulässig ist und welche Konsequenzen daraus zu ziehen sind, so die Aufsichtsbehörden.

Protokollierung kann zum Datenschutz-Risiko werden

Viele Mitarbeiter leiten aus der erlaubten Privatnutzung des Telefons auch eine Erlaubnis für das Internet ab und nutzen ohne weitere Regelung E-Mails und Webdienste für private Zwecke.

Handelt der Arbeitgeber nicht, wird er ohne Zutun zum Telekommunikationsanbieter. Ein Zugriff auf Verbindungsdaten möglicherweise privater Internetsitzungen und E-Mails verstößt dann gegen das Fernmeldegeheimnis und das Recht des Mitarbeiters auf informationelle Selbstbestimmung.

Somit muss die Privatnutzung moderner Kommunikationsverfahren geregelt werden, sei es durch ein ausdrückliches Verbot oder eine Erlaubnis. Um im Fall der Erlaubnis den dienstlichen Datenverkehr im Rahmen der datenschutzrechtlichen Möglichkeiten überwachen zu können, sind klare Regelungen notwendig.

TOMs und Einwilligung

Organisatorische und technische Maßnahmen müssen die strikte Trennung der dienstlich und privat motivierten Internetnutzung sicherstellen. Vor Einführung eines Kontrollsystems zur Überwachung der Internetaktivitäten, vor der Protokollierung der Internetnutzung ist die Zustimmung der Mitarbeitervertretung erforderlich. Zudem müssen die Mitarbeiter dem Kontrollverfahren in schriftlicher Form zustimmen.

Verweigert ein Mitarbeiter seine Zustimmung, sollte eine Privatnutzung des Internets in diesem Fall ausdrücklich verboten werden, da andernfalls keine Kontrollen oder Stichproben zulässig sind, ohne gegen das Fernmeldegeheimnis zu verstoßen. Die Betriebsvereinbarung sollte auch den Fall der Urlaubsvertretung und Erkrankung (Weiterleitung von E-Mails an Dritte) regeln.

Keine Regelung ist keine Lösung

Unternehmen sollten sich verdeutlichen, welche Folgen es hat, keine klare Regelung zur Internetnutzung zu haben. Die Protokollierung kann dann schnell zum Datenschutz-Problem werden:

  • Verbot der Privatnutzung: Überwachung der Einhaltung des Verbots ist zulässig, Protokollierung der Internetnutzung bedarf der Zustimmung der Mitarbeitervertretung
  • Duldung der Privatnutzung: Arbeitgeber wird zum Telekommunikationsanbieter und muss Fernmeldegeheimnis wahren, Hinweis: Regelung zur Internetnutzung erforderlich
  • Erlaubnis der Privatnutzung: Unternehmen tritt als TK-Anbieter auf, Trennung privater und dienstlicher Nutzung ist erforderlich, um Kontrollen durchführen zu können

Protokollierung der Internetnutzung muss geregelt werden

Schwammige Richtlinien führen im Zweifelsfall immer zu Problemen. Empfehlen Sie als betrieblicher Datenschutzbeauftragter deshalb:

  • eine organisatorische und technische Trennung der dienstlichen und privaten Internetnutzung (Verwendung spezieller E-Mail-Accounts und Internet-Zugänge für die Privatnutzung)
  • eine Regelung zum Vorgehen bei dienstlich motivierter Privatnutzung (private E-Mail aus dienstlichem Anlass)
  • eine Kontrolle der Einhaltung der Richtlinien (Betriebsvereinbarung) zur Internetnutzung, da andernfalls eine Duldung abgeleitet werden könnte
  • eine sinnvolle Beschränkung der Privatnutzung inhaltlicher und zeitlicher Natur
  • eine schriftliche Vereinbarung über die Erlaubnis angemessener Kontrollen der Internetnutzung (Stichproben, Überprüfung bei Verdacht auf Missbrauch) als Voraussetzung für eine erlaubte Privatnutzung

Wichtig ist auch die Beachtung des neuen Gerichtsurteils, nach dem der Arbeitgeber unter bestimmten Voraussetzungen den Browserverlauf der Mitarbeiter prüfen darf.

Weitere Hinweise finden sich in der aktuellen „Orientierungshilfe zur datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz“ der Aufsichtsbehörden.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker (Universität Bonn), Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen.

Anzeige

Das Fachmagazin Datenschutz PRAXIS gibt Monat für Monat Praxistipps für eine wasserdichte Datenschutzorganisation im Unternehmen. Nutzen Sie das kostenlose Probeabo, um die Datenschutz PRAXIS zu testen!

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln