Orientierungshilfe der Aufsichtsbehörde zur Mailnutzung am Arbeitsplatz

Der Umgang mit der Nutzung von IT-Systemen durch Arbeitnehmer stellt Unternehmen seit jeher vor rechtliche und praktische Herausforderungen. Untersagt man die private Nutzung von E-Mail oder Internet und setzt diese Regel auch durch, beschwert sich HR, man erleide Wettbewerbsnachteile beim Recruiting. Erlaubt oder duldet man sie dagegen, beschwert sich Compliance, die internen Ermittlungen würden behindert. Zu dem Dauerbrenner „E-Mail und Internet am Arbeitsplatz“ hat die Konferenz der Datenschutzbeauftragten des Bundes und der Länder eine Orientierungshilfe herausgegeben.

BDSG und TKG

Im Grundsatz dürfen Betriebsmittel wie der Bürocomputer nur für betriebliche Zwecke verwendet werden. Will der Arbeitgeber dann – etwa im Rahmen einer internen Ermittlung – Einsicht in das E-Mail-Postfach seines Arbeitnehmers nehmen, so muss er dabei „nur“ die Vorschriften des Bundesdatenschutzgesetzes beachten. Dazu muss er die Beschränkung auf die betriebliche Nutzung aber auch durchsetzen. Hat der Arbeitgeber nämlich die Privatnutzung des Internets erlaubt oder auch nur längere Zeit geduldet, so wird er von einigen Aufsichtsbehörden bereits als Anbieter von Telekommunikations-diensten angesehen. Nach § 206 Abs. 1, Abs. 5 S. 2 StGB kann sich dann der Arbeitgeber bzw. dessen Mitarbeiter strafbar machen, wenn er den Inhalt von E-Mails des Arbeitnehmers oder auch nur eine Liste der von diesem besuchten Internetseiten weitergibt. Dazu reicht es schon aus, dass solche Informationen einer anderen Person im selben Unternehmen, etwa dem Compliance-Officer, mitgeteilt werden. Auch wenn eine im Vordringen befindliche Auffassung der Rechtsprechung die Einordnung des Arbeitgebers als Telekommunikationsanbieter ablehnt, bleibt hier einstweilen ein Rechtsrisiko. Der Arbeitgeber benötigt für den Eingriff in das Fernmeldegeheimnis seines Arbeitnehmers dessen Einwilligung.

Verhaltensregeln für Privatnutzung

Die Orientierungshilfe schlägt vor, die private Internetnutzung an Bedingungen zu knüpfen. Der Arbeitnehmer solle insbesondere darin einwilligen, dass der Arbeitgeber überprüft, wann welche Internetseite aufgerufen wurde. Zudem könnte er in einer Betriebsvereinbarung, im Arbeitsvertrag oder durch Weisung nähere Verhaltensregeln definieren. Eine klare Trennung privater und betrieblicher Daten könne etwa dadurch erreicht werden, dass der Arbeitnehmer sich verpflichte, private Dateien ausschließlich in einem Ordner „Privates“ abzulegen. Ausschließen könne man etwa den Abruf von für den Arbeitgeber kostenpflichtigen Internetangeboten oder auch solchen, die die Sicherheit des IT-Systems gefährden. Eine Sperrung bestimmter Internetseiten durch eine sog. Black-List schafft hier im Übrigen Tatsachen, ohne den Datenschutz zu tangieren.

E-Mail-Kontrolle nur in Ausnahmefällen

Ähnlich lauten die Empfehlungen hinsichtlich E-Mail. Soweit dies für „betriebliche Zwecke erforderlich“ sei, solle der Arbeitnehmer darin einwilligen, dass der Arbeitgeber auch in seiner Abwesenheit das
E-Mail-Konto aufruft. Dabei müsse aber klargestellt werden, dass ersichtlich private Mails nicht geöffnet werden. Derartige Zugriffe sollten nur die ultima ratio sein. Milderes Mittel sei die automatische Weiterleitung von Mails bei Abwesenheit. Aber auch eine solche solle nur in Notfällen eingerichtet werden. Für den Standardfall der Abwesenheit eines Arbeitnehmers schlägt die Empfehlung schlicht eine Abwesenheitsnachricht vor. Von dem Einsatz eines Spamfilters ist der Arbeitnehmer zu informieren. Einer automatisierten Löschung ist die Kennzeichnung als Spam, nach der der Arbeitnehmer über die Löschung entscheiden kann, vorzuziehen. Ein interessanter Ansatz zur Kontrolle der E-Mail-Nutzung ist die Einteilung von mehreren Arbeitnehmern in Gruppen. Es wird dann nur kontrolliert, welche Seiten die Gruppe insgesamt abgerufen hat, ohne dass die einzelne Person identifiziert würde. Das spiegelt die Tendenz hin zur Auswertung anonymisierter statt personalisierter Daten wieder, die sich auch in der Datenschutz-Grundverordnung der EU findet. Erst bei konkretem Missbrauchsverdacht soll es dem Arbeitgeber erlaubt sein, für diesen Einzelfall den betreffenden Arbeitnehmer zu ermitteln. Die Anonymisierung öffnet also nicht dem Missbrauch Tür und Tor, schafft aber einen Ausgleich zwischen Compliance und Datenschutz.

Fazit

Die Privatnutzung des Internets ist ein aus der betrieblichen Praxis kaum mehr wegzudenkendes Phänomen. Die zugrundeliegenden Regelungen in Form von Betriebsvereinbarung, Arbeitsvertrag oder Weisung müssen Kompromisse zwischen Compliance und dem Schutz der Arbeitnehmerdaten herstellen. Die neue Orientierungshilfe der Konferenz der Datenschutzbeauftragten des Bundes und der Länder gibt interessante Denkanstöße dafür, wie diese Kompromisse aussehen könnten.

Für weitere Informationen zu diesem Thema klicken Sie bitte auf Orientierungshilfe