E-Mail und Internet am Arbeitsplatz

Aus Datenschutz-Wiki
Wechseln zu: Navigation, Suche

Die datenschutzgerechte Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz

Basierend auf dem "Leitfaden Internet und E-Mail am Arbeitsplatz"[1] des BfDI (2008) und der Orientierungshilfe "Datenschutzgerechte Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz" des Arbeitskreises Medien der Ständigen Konferenz der Datenschutzbeauftragten des Bundes und der Länder (2007)[2].

Die Datenschutzaufsichtsbehörden veröffentlichten im Dezember 2015 eine Orientierungshilfe zur datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz[3]. Sie zeigt den datenschutzrechtlichen Rahmen und Regelungsmöglichkeiten der Nutzung des betrieblichen Internet- und E-Mail-Dienstes durch die Beschäftigten auf. Sie soll es den Arbeitgebern und den Beschäftigten erleichtern, eine klare Regelung im Unternehmen zu erreichen, soweit eine private Nutzung des Internets und/oder des E-Mail-Dienstes erlaubt sein soll. Zudem enthält diese Orientierungshilfe ein Muster für eine Betriebsvereinbarung/Richtlinie/Anweisung für die private Nutzung von Internet und/oder des betrieblichen E-Mail Postfachs.

Rechtsvorschriften

Datenschutzrechtliche Fragen

Viele Arbeitnehmer haben heute die Möglichkeit, das Internet auch am Arbeitsplatz zu nutzen. Die Unternehmen und Behörden haben bestimmte datenschutzrechtliche Anforderungen beim Umgang mit den dabei anfallenden personenbezogenen Daten ihrer Beschäftigten, ihrer Kommunikationspartner und anderer Betroffener (beispielsweise Dritter, deren Namen in einer E-Mail genannt werden) zu beachten. Diese Anforderungen hängen auch von der Erlaubnis der privaten Nutzung des Internets am Arbeitsplatz ab. E-Mail und andere Internetdienste sind beispielsweise geeignet, das Verhalten und die Leistung der Beschäftigten zu überwachen und das führt einige datenschutzrechtlichen Anforderungen mit sich.

Das Interesse des Arbeitgebers oder Dienstherrn an einer Kenntnisnahme und Auswertung von Daten, die während der Nutzung von E-Mail und Internetdiensten anfallen, wird zumeist mit der Wahrung von Geschäfts- oder Dienstgeheimnissen oder der Vermeidung des Zugriffes auf illegale Inhalte begründet. Der Dienstanbieter sieht ein berechtigtes Interesse in der Kontrolle der Befolgung seiner Anweisungen. Dies wirft ebenfalls einige Fragen zur Wahrung der Privatsphäre der Beschäftigten auf.

Abhängig von der Erlaubnis der privaten E-Mail- und Internetnutzung finden die allgemeinen Regelungen (BDSG) oder die Datenschutzregelungen im Bereich der Telekommunikationsdienste Anwendung.

Allgemeines

Vom Arbeitgeber beauftragte Zugangsanbieter (Access Provider) sind zwar diesem gegenüber Telekommunkations- bzw. Telemediendienste-Anbieter, gegenüber den privat nutzenden Beschäftigten sind die Provider aber lediglich Auftragnehmer des dann als Anbieter zu qualifizierenden Arbeitgebers. Es gelten die Regelungen der Telekommunikationsgesetzes, des Telemediengesetzes bzw. des Rundfunkstaatsvertrages.

Telekommunikationsgesetz (TKG)

Erlaubt ein Arbeitgeber seinen Beschäftigten die private Nutzung von E-Mail oder Internetdiensten, erbringt er nach §3 Nr.6 TKG ihnen gegenüber geschäftsmäßig Telekommunikationsdienste. Das verpflichtet den Arbeitgeber zur Einhaltung des Fernmeldegeheimnisses, denn sämtliche Inhalte der Telekommunikation - auch die Information über Beteiligte - unterliegen gemäß §88 Abs.1 TKG dem Fernmeldegeheimnis.

(1) Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Das Fernmeldegeheimnis erstreckt sich auch auf die näheren Umstände erfolgloser Verbindungsversuche.

Dem Dienstanbieter ist nach §88 Abs.3 TKG untersagt, sich oder anderen Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen, die über das erforderliche Maß der Erbringung des Dienstes einschließlich des Schutzes der technischen Systeme hinausgehen. Diese Verpflichtung beschränkt sich nicht auf Telekommunikationsunternehmen, die ihre Dienste der Öffentlichkeit anbieten. Sie gilt gleichermaßen für öffentliche Stellen oder Unternehmen, die die betriebliche Telekommunikation für eine private Nutzung den Beschäftigten zur Verfügung stellen.

Das Fernmeldegeheimnis stellt damit den Inhalt und die näheren Umstände der Kommunikation unter einen besonderen Schutz. Diese Informationen dürfen also nur mit Erlaubnis des Betroffenen zur Kenntnis genommen werden. Von Bedeutung ist dabei, dass die private Kommunikation von der dienstlichen unterschieden werden kann (z.B. durch die Nutzung von E-Maildiensten, die über Web-Frontends genutzt werden können).

Eine Speicherung von Nutzungs- und Verbindungsdaten ist nach TKG nur zu Abrechnungszwecken erlaubt; auf die Inhalte darf grundsätzlich nicht zugegriffen werden.

Gestattet der Arbeitgeber den Beschäftigten die private Nutzung von E-Mail und Internet ist er als Dienstanbieter jedoch nicht an die Speicherungspflichten für erzeugte oder verarbeitete Verkehrsdaten nach §113a Abs.1 TKG gebunden, da die Dienste nicht öffentlich sondern nur für eine geschlossene Benutzergruppe zugänglich sind. Demnach besteht keine gesetzliche Erlaubnis oder Verpflichtung zur Speicherung von dem Arbeitsplatz zugewiesenen IP-Adressen bzw. der Nutzungs- und Verbindungsdaten der privaten Internetnutzung.

Ist eine private Nutzung nicht explizit verboten, kann der Beschäftigte nicht automatisch davon ausgehen, dass der vom Arbeitgeber zur Verfügung gestellte Internetzugang auch privat genutzt werden darf[4]. Wird die private Nutzung allerdings offensichtlich geduldet, muss der Arbeitgeber das Fernmeldegeheimnis beachten.

Untersagt der Arbeitgeber die private Nutzung von E-Mail und Internet, kommt das TKG nicht zur Anwendung.

Entgegen der bisher ganz vorherrschenden Auffassung wird ein Arbeitgeber nach einer Entscheidung des Landesarbeitsgerichts Berlin-Brandenburg vom 16.02.2011[5] jedoch nicht allein dadurch zum Dienstanbieter i. S. d. Telekommunikationsgesetzes, dass er seinen Beschäftigten gestattet, einen dienstlichen E-Mail-Account auch privat zu nutzen. Zur Wiederherstellung eines ordnungsgemäßen Geschäftsablaufs sei deshalb der Zugriff auf einen dienstlichen, aber zulässig auch privat genutzten E-Mail-Account eines Arbeitnehmers erforderlich und verhältnismäßig und verletze nicht dessen Persönlichkeitsrecht, wenn der Arbeitnehmer pflichtwidrig die Fortführung eines ordnungsgemäßen Geschäftsablaufs erschwert bzw. verhindert hat. Ob sich diese rechtliche Beurteilung durchsetzt, bleibt abzuwarten.

Telemediengesetz (TMG)

Erlaubt der Arbeitgeber die private Internet- und E-Mail-Nutzung, ist er durch die Vermittlung des Zuganges zu den Diensten den Beschäftigten gegenüber ein Diensteanbieter nach §2 Abs.1 TMG. Dabei handelt es sich um Dienste, die nicht ganz in der Übertragung von Signalen über Telekommunikationsdienste bestehen. Während der Transport der Daten dem Anwendungsbereich des TKG unterliegt, fallen die transportierten Inhalte (Telemedien) in den Anwendungsbereich dss TMG.

Es gelten jedoch nicht alle Regelungen des TMG für die Bereitstellung der Dienste. Erfolgt die Bereitstellung der Dienste ausschließlich für berufliche oder dienstliche Zwecke, gelten gemäß §11 Abs.1 Nr.1 TMG nicht die datenschutzrechtlichen Regelungen für die Erhebung und Verwendung personenbezogener Daten der Nutzer von Telemedien. Die Erhebung und Verarbeitung von Daten über das Nutzungsverhalten der Beschäftigten richtet sich in diesen Fällen nach den jeweils einschlägigen, am Erforderlichkeitsmaßstab orientierten Vorschriften des BDSG.

Bei einer Erlaubnis zur privaten Internet- und E-Mail-Nutzung dürfen nur personenbezogene Daten eines Beschäftigten erhoben und verwendet werden, die z.B. für die Begründung eines Vertragsverhältnisses über die Nutzung von Telemedien (Bestandsdaten) oder für Zwecke der Rechtsverfolgung erforderlich sind. Gleichermaßen ist eine Erhebung und Verwendung von personenbezogene Daten des Beschäftigten nur dann zulässig, soweit dies für Ermöglichung und Abrechnung der Inanspruchnahme von Telemedien (Nutzungsdaten) notwendig ist.

Allgemeine Anforderungen

Datenvermeidung und Datensparsamkeit

Bei der Nutzung von E-Mail und anderen Internetdiensten durch die Beschäftigten sind die eingesetzten Verfahren entsprechend dem Grundsatz von Datenvermeidung und Datensparsamkeit technisch so zu gestalten, dass von vornherein so wenige personenbezogene Daten wie möglich verarbeitet werden. Hierzu sind datenschutzfreundliche Verfahren einzusetzen. Ebenso ist die Kontrolle der Nutzung dieser Dienste durch den Arbeitgeber so zu gestalten, dass sie zunächst ohne, zumindest aber mit so wenigen personenbezogenen Daten wie möglich durchgeführt wird. Dabei sind präventive Maßnahmen gegen unbefugte Nutzung, wie z.B. Positivlisten erlaubter Internet-Adressen, nachträglichen Kontrollen vorzuziehen.

Transparenz

Um Art und Umfang der Verarbeitung ihrer personenbezogenen Daten nachvollziehen zu können, sind die Beschäftigten gemäß §93 TKG umfassend darüber zu informieren (Grundsatz der Transparenz). Sie sind außerdem mit den technischen Möglichkeiten vertraut zu machen, wie die eingesetzten Verfahren datenschutzgerecht angewendet werden können.

Vertraulichkeit und Integrität

Es sind geeignete Maßnahmen zu treffen, um die Vertraulichkeit und Integrität der Kommunikation zu gewährleisten. Insbesondere sollte jedes internetfähige Gerät mit leicht bedienbarer Verschlüsselungssoftware ausgestattet sein, die natürlich auch bei den Kommunikationspartnern vorhanden sein muss. So kann vermieden werden, dass z.B. aus Bequemlichkeit personenbezogene oder andere sensible Daten unverschlüsselt übertragen werden.

Datensicherheit

Automatisierte zentrale oder auch lokale Virenchecks sind notwendig. Um aktive Inhalte zu überprüfen und deren Verbreitung zu verhindern, empfiehlt sich der Einsatz von lokaler Sandbox-Software.

Inhaltsprüfung

Es gibt verschiedene Möglichkeiten, die in unterschiedlichen Kombinationen zur Abwehr unerwünschter Nachrichten (Spam) eingesetzt werden können. Welche Maßnahmen dafür grundsätzlich in Betracht kommen, kann der Anti-Spam-Studie des BSI[6] entnommen werden.

Die auf dieser Grundlage denkbaren Lösungen unterscheiden sich sowohl hinsichtlich ihrer Eignung als auch des Ausmaßes, in dem sie in die Persönlichkeitsrechte der Kommunikationspartner oder Dritter eingreifen. Daher sollte vor dem Einsatz der Maßnahmen zur Spam-Abwehr eine schriftliche Konzeption erstellt werden, in welcher zunächst die datenschutzfreundlichsten Varianten in Betracht kommen.

Das Konzept sollte folgenden Grundsätzen Rechnung tragen:

  • Filter, die Header oder Inhalt elektronischer Post automatisch auf unerwünschte Nachrichten (Spam) prüfen, sollten erst an einem Punkt eingesetzt werden, der außerhalb der Reichweite des Fernmeldegeheimnisses liegt.
  • Die (zentrale) Markierung spamverdächtiger Nachrichten ist dabei der zentralen Löschung von E-Mails ohne Kenntnis des Empfängers vorzuziehen.
  • Um Verletzungen von Vertraulichkeit und Integrität zu vermeiden, sollten die Empfänger der Nachrichten in größtmöglicher Autonomie über den Umgang mit den an sie gerichteten E-Mails selbst entscheiden können.

Betriebs- oder Dienstvereinbarung

Eine Betriebs- oder Dienstvereinbarung (oder Dienstanweisung) kann nur dann als besondere Rechtsvorschrift angesehen werden, wenn die Datenerhebung, -verarbeitung und -nutzung ausreichend und präzise innerhalb des Erlaubnisumfangs gesetzlicher Bestimmungen geregelt wird und sie das gesetzliche Schutzniveau nicht unterschreitet. Näheres zu den Anforderungen siehe Dienstvereinbarung E-Mail und Internet am Arbeitsplatz.

Dienstliche Nutzung

Auswertung, Kontrolle und Überwachung

Der Arbeitgeber hat grundsätzlich das Recht, stichprobenartig zu prüfen, ob die Internet-Nutzung der Beschäftigten dienstlicher Natur ist. Eine automatisierte Vollkontrolle durch den Arbeitgeber ist als schwerwiegender Eingriff in das Persönlichkeitsrecht der Beschäftigten hingegen nur bei konkretem Missbrauchsverdacht im Einzelfall zulässig. Es wird (siehe oben) empfohlen, eine Dienstvereinbarung abzuschließen, in der die technischen und organisatorischen Fragen der Protokollierung und Auswertung eindeutig geregelt werden. Auf mögliche Überwachungsmaßnahmen und in Betracht kommende Sanktionen sind die Beschäftigten hinzuweisen.

Kenntnisnahme des Datenverkehrs

Der Arbeitgeber darf die Nutzungs- und Verkehrsdaten der Personalvertretung, der Schwerbehindertenvertretung sowie der Frauen- bzw. Gleichstellungsbeauftragten u.ä. nur insoweit kontrollieren, als dies im Einzelfall aus Gründen der Kostenkontrolle erforderlich ist. Soweit allerdings nur unerhebliche Kosten bei der Nutzung von Internet und E-Mail anfallen, ist eine Auswertung dieser Daten unzulässig.

Von ein- und ausgehenden dienstlichen E-Mails seiner Beschäftigten darf der Arbeitgeber im selben Maße Kenntnis nehmen wie von deren übrigem dienstlichen Schriftverkehr. Beispielsweise könnte der Vorgesetzte verfügen, dass ihm seine Mitarbeiter jede ein- oder ausgehende E-Mail einzeln zur Kenntnis zuleiten.

Ausschluss der Kenntnisnahme

Bei Beschäftigten, denen in ihrer Tätigkeit persönliche Geheimnisse anvertraut werden und die deshalb in einem besonderen Vertrauensverhältnis zu den betroffenen Personen stehen, muss eine Kenntnisnahme des Arbeitgebers vom Inhalt der Nachrichten und den Verkehrsdaten, die einen Rückschluss auf die betroffenen Personen zulassen, ausgeschlossen werden.

Verarbeitung von Protokolldaten

Der Zugriff des einzelnen Beschäftigten auf das Internet kann beispielsweise durch den Proxy- oder Web-Server umfänglich protokolliert und ausgewertet werden. Aus diesen Protokollen können nicht nur die Benutzeridentifikation (IP-Adresse, MAC-Adresse), Datum und Uhrzeit des Zugriffs sowie die übertragene Datenmenge hervorgehen, sondern vor allem auch die Zieladresse des Zugriffs. Anhand des Protokolls wäre also genau nachvollziehbar, wer wann worauf zugegriffen hat und das kann einen Eingriff in die Persönlichkeitsrechte der Beschäftigten darstellen.

Im Regelfall sollte darauf verzichtet werden, die Verarbeitung von Protokolldaten auf die Einwilligung der Beschäftigten zu stützen, da sie aufgrund des Abhängigkeitsverhältnisses zum Arbeitgeber nicht immer freiwillig entscheiden können. Nur ausnahmsweise ist auch die Einwilligung der Beschäftigten in eine Verarbeitung der Protokolldaten über die unter a. genannten Vorschriften hinaus möglich. Die Beschäftigten können z.B. die Verwertung ihrer Protokolldaten verlangen, um den Verdacht einer unbefugten Internetnutzung auszuräumen.

Soweit die Nutzung von E-Mail und Internetdiensten zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherung des ordnungsgemäßen Betriebes der Verfahren protokolliert wird, dürfen diese Daten nach §31 BDSG und den einschlägigen dienstrechtlichen Bestimmungen nur zu diesen Zwecken genutzt werden. Eine Verwertung zur Verhaltens- und Leistungskontrolle der Beschäftigten ist unzulässig. Näheres zur Protokollierung siehe Protokollierung des Internet-Zugangs am Arbeitsplatz.

Anlagen und Datensicherheit

Aus Gründen der Datensicherheit dürfen Teilinhalte oder Anlagen von E-Mails unterdrückt werden, wenn sie ein Format aufweisen, das zu Sicherheitsrisiken auf Rechnern oder im Netzwerk führen kann.

Private Nutzung

Rechtsvorschriften

Wie bereits erwähnt, gelten bei der Erlaubnis zur privaten Nutzung die Regelungen der Telekommunikationsgesetzes (TKG), des Telemediengesetzes (TMG) bzw. des Rundfunkstaatsvertrages (RStV). Abweichungen davon zu Lasten der Beschäftigten sind nur mit deren individueller Einwilligung gem. §4a BDSG zulässig.

Verpflichtungen und Einwilligung

Der Arbeitgeber ist nicht verpflichtet, den Beschäftigten die private Nutzung des Internet zu erlauben. Entschließt er sich jedoch dazu, muss es ihm grundsätzlich möglich sein, diese Erlaubnis an einschränkende Voraussetzungen zu knüpfen (z.B. eine angemessene Art der Kontrolle durchzuführen). Beschäftigte, die diese Beschränkungen nicht akzeptieren wollen, können ihre Einwilligung ohne jeden dienstlichen Nachteil verweigern.

Dienstvereinbarung oder -anweisung

Der Umfang der privaten Nutzung, ihre Bedingungen sowie Art und Umfang der Kontrolle zur Einhaltung der Bedingungen, müssen eindeutig geregelt werden.

Verarbeitung von Protokolldaten

Eine Protokollierung darf ohne Einwilligung erfolgen, wenn sie zu Zwecken der Datenschutzkontrolle, der Datensicherung, zur Sicherung des ordnungsgemäßen Betriebs der Verfahren oder zu Abrechnungszwecken erforderlich ist.

Besonderheiten E-Mail

Privat ist privat

Private E-Mails sind wie private schriftliche Post zu behandeln. So sind eingehende private, aber fälschlich als Dienstpost behandelte E-Mails den betreffenden Beschäftigten unverzüglich nach Bekanntwerden ihres privaten Charakters zur alleinigen Kenntnis zu geben.
Der Arbeitgeber sollte vor dem Hintergrund des von ihm zu wahrenden Fernmeldegeheimnisses entweder für die Beschäftigten separate E-Mail-Adressen zur privaten Nutzung einrichten oder, bei Gestattung privater Internetnutzung, sie auf die Nutzung eines Web-Mail-Dienstes verweisen.

Anlagen und Datensicherheit

Wie bei der dienstlichen Nutzung dürfen aus Gründen der Datensicherheit eingegangene private E-Mails oder deren Anhänge unterdrückt werden, wenn sie ein Format aufweisen, das zu Sicherheitsrisiken führen kann (also insbesondere E-Mail-Bodies oder E-Mails mit ausführbarem Code oder Dateien mit den Erweiterungen .exe, .bat, .com)

Die Verfahrensweise dafür ist den Beschäftigten zuvor bekannt zu geben. Generell sind die Beschäftigten darüber zu unterrichten, wenn an sie gerichtete oder von ihnen abgesendete E-Mails ganz oder teilweise unterdrückt werden oder virenverseucht sind. Eine Untersuchung von virenverseuchten E-Mails mit Kenntnisnahme des Inhalts, etwa durch den Systemadministrator, ist nur unter Einbeziehung der betreffenden Beschäftigten zulässig.

Inhaltsprüfung

Eine zentrale Spam-Filterung, bei der automatisch auf den Header oder Inhalte zugegriffen wird, darf nur mit Einwilligung des Empfängers erfolgen. Die Reichweite des Fernmeldegeheimnisses endet erst, wenn die E-Mail in dessen vollständige Verfügungsgewalt gelangt ist. Auch dies ist als einschränkende Voraussetzung für die Erlaubnis zur privaten Nutzung anzusehen und damit Bestandteil der Einwilligung. Die Einwilligung kann pauschal vorab erfolgen. Die Beschäftigten sind über die Art und Weise der Spam-Filterung, insbesondere über die dabei stattfindende Verarbeitung personenbezogener Daten, zu informieren.

Eine darüber hinaus gehende inhaltliche Kontrolle ist nicht zulässig.

Weitere Informationen

Weblinks

Einzelnachweise


Dieser Text wurde aus dem Datenschutz-Wiki der BfDI übernommen. Bearbeitungen vor dem 16.April 2016 stehen unter der Lizenz Creative Commons Namensnennung 3.0 Deutschland.