Den Einsatz von Internet und E-Mail regeln - Handlungshilfe für die betriebliche Interessenvertretung
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Technologieberatungsstelle
beim DGB NRW e.V.
Den Einsatz von Internet und E-Mail regeln
Handlungshilfe für die betriebliche Interessenvertretung
Reihe
Arbeit, Gesundheit,
Umwelt, Technik
TBS NRW / Heft 74 1
Heft 74
Impressum
Autor/-innen:
Gaby Dietsch, TBS NRW
Jürgen Fickert, TBS NRW
Stefanie Wallbruch, TBS NRW
Alle drei Autor-/innen haben langjährige Beratungserfahrungen
im Themenfeld Internet und E-Mail.
Grafik und Layout:
Klaus Kukuk, Syndikat medienpool
Bildnachweis:
S. 1 © Fotolia
S. 5 © DGB Landesvorstand NRW
S. 13 © Syndikat medienpool
S. 15 © Syndikat medienpool
S. 16 © E.Cebrian
S. 18 © Fotolia
S. 20 © depositphotos
S. 29 © DGB-Index Gute Arbeit
S. 30 © Research in Motion (RIM)
S. 34 © 123rf
S. 35 © depositphotos
S. 39 © TBS NRW
Copyright und Herausgeber
Technologieberatungsstelle beim DGB NRW e. V.
Westenhellweg 92-94
44137 Dortmund
Tel.: 0231 249698-0
Fax: 0231 249698-41
E-Mail: tbs-hauptstelle@tbs-nrw.de
Internet: www.tbs-nrw.de
Die TBS ist eine vom Ministerium für Arbeit, Integration
und Soziales des Landes Nordrhein-Westfalen geförderte Einrichtung
1. Auflage
ISBN 978-3-924793-93-7
Dortmund, November 2012
Den Einsatz von Internet und E-Mail regeln
Heft-Nr. 74
2 TBS NRW / Heft 74
Inhalt
Inhalt
Vorwort 5
1. Einleitung 7
2. Grundlagen zur Internettechnik 10
2.1 Internetdienste und -standards 10
2.2 Technische Grundlagen der Protokollierung und Überwachung 12
2.3 Verschlüsselung und digitale Signaturen 14
2.4 Technik des Intranets 15
3. Internet 16
3.1 Zugang zum Internet 16
3.2 Private Nutzung 16
3.3 Missbrauchskontrolle 17
4. Intranet 18
5. E-Mail 20
5.1 Privates E-Mailen im Betrieb? 20
5.2 Zugriff auf E-Mails bei Abwesenheit 23
5.3 Archivierung von E-Mails 25
5.4 Unternehmensrichtlinien zur Nutzung von E-Mail und Internet 27
5.5 Gute Arbeit bei der E-Mail-Nutzung 29
6. Auf dem Weg zur Betriebs-/Dienstvereinbarung 34
6.1 Rechte der Interessenvertretung 34
6.2 Informationsbedarf zur Regelung von Internet-/E-Mail/Intranet 35
6.3 Regelungsbausteine einer Betriebs-/Dienstvereinbarung zu
Internet, Intranet, E-Mail 36
Anhang 38
TBS NRW / Heft 74 3
4 TBS NRW / Heft 74
Vorwort
D er britische Physiker und Informatiker Timothy Berners-Lee
entwickelte vor 20 Jahren die Grundlagen für das heutige
Internet. Wohl niemand ahnte damals, wie nachhaltig diese Er-
findung die Welt beeinflussen würde. Inzwischen hat das Inter-
net alle Lebensbereiche durchdrungen, es hat unser Privatleben,
unsere Arbeitswelt und unsere Wirtschaft radikal verändert. Ein
Ende dieser Entwicklung ist nicht abzusehen, ganz im Gegenteil:
In den letzten Jahren ist das Netz immer interaktiver geworden,
das so genannte Web 2.0 hat Plattformen wie Facebook oder
Twitter hervorgebracht, auf denen jeder seine eigenen Inhalte
verbreiten und mit anderen Usern in Kontakt treten kann. Dieser
Trend verändert nicht nur das private Kommunikations- und Sozialverhalten. Auch Un-
ternehmen nutzen die Möglichkeiten des Web 2.0 zunehmend für ihre Werbestrategien.
In vielen Betrieben wird der zunehmende Einfluss des Internets auf die Arbeitsabläufe
kontrovers diskutiert. Thema ist zum Beispiel der Zugang zum Netz oder die Nutzung
von Internet und E-Mail zu privaten Zwecken. Eine Umfrage des Fachverbands BITKOM
vom Frühjahr 2012 hat ergeben, dass rund 59 Prozent der deutschen Unternehmen die
private Internetnutzung dulden und etwa 30 Prozent privates Surfen und Mailen kom-
plett verbieten.
Andererseits haben Innovationen wie Smartphones und Tablet-PCs dafür gesorgt, dass
viele Arbeitnehmer auch nach Feierabend ständig für den Arbeitgeber erreichbar sind.
Beruf und Freizeit werden immer weniger trennbar, Stress ist häufig die Folge. Der Au-
tobauer VW zieht daraus Konsequenzen und hat veranlasst, dass seine Mitarbeiter nach
Dienstschluss keine beruflichen E-Mails mehr über ihre Handys empfangen können.
Die TBS NRW hat sich bereits vor mehr als zehn Jahren in einer Broschüre mit dem The-
ma Internet am Arbeitsplatz beschäftigt. Die technischen Möglichkeiten und juristischen
Anforderungen haben sich seitdem erheblich verändert. Die vorliegende Broschüre geht
auf diese Veränderungen ein und gibt praktikable und juristisch abgesicherte Regelungs-
empfehlungen für den Betriebsalltag.
Ich wünsche Euch viel Spaß beim Lesen und viel Erfolg bei Eurer wichtigen Arbeit als
betriebliche Interessenvertretung!
Euer Andreas Meyer-Lauber
TBS NRW / Heft 74 5
6 TBS NRW / Heft 74
Einleitung 1. Einleitung Die Nutzung des Internets ist in den Betrieben zur Normalität geworden. Die technischen Voraussetzungen sind optimal, um nahezu jeden Arbeitsplatzrechner zu vernetzen. Be- triebe und Organisationen sind „online“ und der Gebrauch des Internets ist unterdessen ein fester Bestandteil vieler Arbeitsaufgaben von Beschäftigten. Es wird auf Internet- bzw.- Intranetplattformen, unabhängig von Zeit und Ort zusam- mengearbeitet, über das Internet telefoniert, kleine Direktnachrichten verschickt (Instant Messaging). Selbst in der Produktion verschmelzen Produktionstechnik und Internet zu- nehmend. Kritisch wird es, wenn betriebliche Internetanwendungen zu Rationalisierun- gen und im Extremfall zu betriebsbedingten Kündigungen führen. So haben z.B. viele Versandhäuser ihre papierenen Kataloge eingestellt und bieten ihre Produkte nur noch per Internet an. Betriebs-und Personalräte stehen noch immer vor der Herausforderung, das Thema der Internet- und E-Mail-Nutzung zu regeln, um den Beschäftigten gesetzliche „Leitplanken“ bereitzustellen, die sie vor einer Leistungs- und Verhaltenskontrolle und vor den Folgen von Rationalisierungsmaßnahmenzu schützen. Umso wichtiger wird dies dadurch, dass die Vielfalt der Internetnutzung nicht mehr allein auf das „Surfen im Netz“ beschränkt ist. Denn das Internet wird zunehmend durch die Entwicklung des Web 2.0 abgelöst. Das Web 2.0 umfasst den verändertenGeist des Internets und steht für das sogenannte „Mitmachweb“. Es geht beim Web 2.0 nicht mehr nur darum, Informationen zu konsumieren. Stattdessen soll jeder Nutzer und jede Nutzerin Inhalte bereitstellen, ergänzen, kommen-tieren und teilen. Nicht nur einige große Medienunternehmen erzeugen Inhalte, sondern die Nut- zer und Nutzerinnen publizieren selbst.Möglich wird dieser Austausch durch ein-fache Werkzeuge, die es denNutzern ermöglichen, Beträge einzustellen (z.B. Wikis, Blogs) oder über soziale Netze (z.B. Facebook, Twitter) Informationen an die Internet-Gemeinschaft weiterzugeben und zu verbreiten. Der Trend zur Nutzung von Facebook, Twitter, YouTube, Xing und Co gewinnt zuneh- mend an Beliebtheit und ist für viele bereits zur Selbstverständlichkeit geworden. Dies kann am Arbeitsplatz besonders kritisch werden,besonders dann, wenn Meinungen zum Betrieb oder über den Chef über die sozialen Medien verbreitet werden. So hat das Lan- desarbeitsgericht Hamm im Urteil vom 10.10.2012 ( 3 Sa 644/12 ) entschieden, dass die fristlose Kündigung eines Auszubildenden aufgrund Äußerungen über seinen Arbeitgeber wie „Menschenschinder und Ausbeuter“ auf seinem Facebook-Profil wirksam sei. Social Media beschreibt Systeme zum Aufbau internetbasierter, teils selbst organisierter Gemeinschaften, Netzwerke und Anwendungen zur Kommunikation und Kontaktpfle- ge. In dieser „Gemeinschaft“ vernetzen sich „Freunde“, Arbeitskollegen und Bekannte, um Nachrichten, Fotos oder Informationen auszutauschen. Privates und Berufliches wird unweigerlich vermischt. Wer ist Freund? Wer ist Kollege oder Kunde? Wer kennt mich woher? Solche Fragen des täglichen Lebens werden in der virtuellen Welt nicht gestellt. Eine kleine Unachtsamkeit und alle Welt erfährt, was einem gefällt, missfällt oder welche Mei- nung man zu politischen oder betrieblichen Themen hat. (Näheres dazu s. TBS Broschüre „Soziale Netze im Betrieb“ Nr. 75). TBS NRW / Heft 74 7
Einleitung
Diese neuen Möglichkeiten der Internetnutzung, insbesondere im Hinblick auf die Kom-
munikation und Zusammenarbeit, nutzen auch zunehmend zahlreiche Unternehmen. In
Anlehnung an den Begriff des Web 2.0 ist von Enterprise 2.0 die Rede. Es wird versucht,
ganze Arbeitsabläufe von Betrieben durch Wikis, Blogs, also durch Werkzeuge zum Wis-
sensmanagement, zur Innen- und Außenkommunikation und zur Projektkoordination zu
nutzen und virtuelle Gruppen zu unterstützen.
Ein weiterer Trend in den Unternehmen ist die Verlagerung und die Speicherung von Da-
ten durch entsprechende Cloud -Anwendungen außerhalb betrieblicher IT. Informations-
und Kommunikationsleistungen werden nicht gekauft, sondern bedarfs- und fallweise
über Netze (z. B. das öffentliche oder private Internet) gemietet. Es kann sich um
• Software handeln (SaaS – Software as a Service),
• um Plattformen für die Entwicklung und den Betrieb von IT-Anwendungen (PaaS –
Plattform as a Service) oder auch
• um IT-Basis-Infrastruktur, also z.B. Speicherplatz (IaaS – Infrastructure as a Service).
Die Ausgestaltung ist dabei sehr vielfältig und reicht von Verträgen mit kurzer Laufzeit
(Stunden oder Tage), über die Nutzung nach Verfügbarkeit (auf Abruf) bis zur Abrech-
nung nach Verbrauch. In diesem Zusammenhang nimmt insbesondere in Konzernen die
Zentralisierung der IT und der Abbau der örtlichen IT zu. An dieser Stelle rückt das Thema
des Konzern-Datenschutzes und der Rationalisierung in der IT-Abteilung in den Fokus der
Arbeit der Interessenvertretungen.
Die Nutzer und Nutzerinnen werden kaum einen Unterschied erkennen, wenn die An-
wendungen über den Browser bereitgestellt werden und die Speicherung der Daten in der
„Cloud“ erfolgt. In dieser „Cloud („Wolke“) werden die Daten im Internet gespeichert
und dann zur Verfügung gestellt, wenn die Nutzerinnen und Nutzer diese Daten benö-
tigen. So können Kalendereinträge (z.B. Google-Kalender), umfassende Kundendaten-
banken, Reisekostenabrechnungen, E-learning-Inhalte etc. in der „Cloud“ abgelegt und
von jedem internetfähigen Rechner (insbesondere auch mobilen Endgeräten) aufgerufen
werden (Näheres dazu s. TBS Broschüre „Virtualisierung und Cloud Computing“, Nr. 73).
Auch im Bereich des „herkömmlichen“ Internet gibt es neue Problemfelder, mit denen
die Interessenvertretungen konfrontiert werden. Während in der gesellschaftlichen Praxis
die Grenzen zwischen privater und betrieblicher Nutzung verschwimmen, gibt es in den
Betrieben und Verwaltungen verstärkt Tendenzen, den Beschäftigten die private Nutzung
von E-Mail und Internet zu verbieten und sie vermehrt zu überwachen.
Gleichzeitig erfolgt eine zunehmende Ausdehnung der Arbeit in die Freizeit durch perma-
nente Erreichbarkeit und Bearbeitung betrieblicher E-Mails nach Feierabend.
Daher geht es in dieser Broschüre um die „klassischen“ Regelungsprobleme zur Verhin-
derung einer unangemessenen Leistungs- und Verhaltenskontrollen beim Surfen, bei der
E-Mail-Nutzung oder im Intranet.
Diese Handlungshilfe unterstützt Betriebs- und Personalräte/innen bei der Durchsetzung
betrieblicher Regelungen und stellt ihnen Handlungsmöglichkeiten und Eckpunkte für
eine Betriebs-/ bzw. Dienstvereinbarung zur Verfügung.
Hierzu gehört auch eine benutzerfreundliche Gestaltung der Internetanwendungen. So
gibt es mittlerweile gesetzliche Anforderungen für „barrierefreie“ Internetauftritte, die
„Barrierefreie-Informationstechnik-Verordnung – BITV 2.0“. Sie ist für Bundesverwaltun-
gen verbindlich und sollte vom Grundsatz her auch von Unternehmen umgesetzt werden.
8 TBS NRW / Heft 74
Einleitung Kapitel 2 behandelt die „Grundlagen der Internettechnik“. Es werden die technischen Komponenten sowie der Aufbau des Internets beschrieben und aufgezeigt, an welchen Stellen eine Leistungs- und Verhaltenskontrolle über die Protokollierung der Zugriffe er- folgt. Kapitel 3 steigt dann in die betriebliche Nutzung des Internets ein und gibt Hinweise zur privaten Nutzung im Betrieb und zur Missbrauchskontrolle. Kapitel 4 erläutert kurz die Entwicklung und die Nutzungsmöglichkeiten des modernen Intranets im Betrieb. Kapitel 5 beschäftigt sich ausführlich mit der E-Mail-Nutzung im Betrieb, mit den Archi- vierungsvorschriften und den entsprechenden Regelungsaspekten in einer Betriebs- bzw. Dienstvereinbarung. „Gute Arbeit“ sollte auch bei der Internet-Arbeit selbstverständlich sein und findet in Kapitel 5.5 Berücksichtigung. Kapitel 6 soll den Interessenvertretungen den „Weg zur Dienst- bzw. Betriebsvereinba- rung“ aufzeigen und Handlungsmöglichkeiten im Umgang mit Internetanwendungen aufzeigen. TBS NRW / Heft 74 9
Grundlagen zur Internettechnik
2. Grundlagen zur Internettechnik
Ein Leben und Arbeiten ohne das Internet können wir uns heute kaum vorstellen. Dabei
ist das Internet im Vergleich zum Radio oder zum Telefon ein junges Kommunikations-
mittel, das es mit seinen wesentlichen Leistungsmerkmalen erst seit 1993 gibt. Während
wir jedoch Radio hören können, ohne dass wir dabei elektronische Spuren hinterlassen,
ist dies beim Surfen im Internet nicht möglich. Daher geht es in diesem Kapitel um tech-
nische Grundlagen, die für das Verständnis des Internets und die Themen der folgenden
Kapitel, wie die Leistungs- und Verhaltenskontrolle, zentral sind.
2.1 Internetdienste und -standards
Das Internet besteht aus einer Vielzahl von weltweit vernetzten Computern und großen
Rechenzentren, in denen die Internetdokumente gespeichert oder E-Mails übertragen
werden. In seinem technischen Kern handelt es sich jedoch um IT-Standards, die soge-
nannten Internetprotokolle.
Diese bilden die Grundlage, um Informationsseiten aus dem weltweiten Internet abzu-
rufen und mit Hilfe eines Browsers am Bildschirm anzuzeigen oder um eine E-Mail zu
schreiben und weltweit zu versenden. Neben dem Surfen und dem E-Mail-Versand gibt
es weitere Internetdienste, z.B. den direkten Down- und Upload von PC zu PC über das
Web(FTP), Chats (eine Unterhaltung, Austausch von Texten in Echtzeit), Diskussionsfo-
ren, Radio oder Telefonie. Einen Überblick gibt die Tabelle auf Seite 11.
In dieser Broschüre geht es um diese zentralen, weltweit normierten Internetdienste.
Daneben bieten Privatfirmen eigene Internetdienste an. Beispiele hierbei sind Instant-
Messaging-Dienste oder Twitter als schneller Kommunikationsdienst in Echtzeit oder
soziale Netzwerke wie Facebook. Sie bieten besondere Dienstleistungen, bringen aber
auch spezifische Datenschutzprobleme mit sich. Wegen ihrer betriebspraktischen Be-
deutung konzentrieren wir uns in dieser Broschüre auf das Surfen und E-Mail.
Telefonieren über das Internet (VoIP)
In den Anfängen war das Internet aufgrund geringer Bandbreite der Netze nur geeig-
net, relativ einfache Dokumente mit Texten und Grafiken zu übertragen. Da die Da-
tenübertragung im Internet „zerstückelt“ erfolgt, war an eine Sprachverbindung nicht
zu denken. In den letzten Jahren sind die Bandbreiten massiv gesteigert worden.
Dadurch wurden höhere Datenströme erreicht, die zusätzliche technische Anforde-
rungen und Dienste unter dem Namen Internet-Telefonie oder VoIP für „voice over
(Stimme über) Internet Protocol“ ermöglichen. Bekannt ist vor allem der Dienst „Sky-
pe“. Hier kann nicht nur das Gespräch, sondern auch ein Bild weltweit zu geringen
Internetkosten übertragen werden.
Telefonate sind nach dem Fernmeldegesetz besonders geschützt. Die Vertraulichkeit
der Gespräche wurde bei den klassischen Anbietern von Telefonie-Dienstleistungen
(in früheren Zeiten ausschließlich die Deutsche Bundespost) auch technisch gewähr-
leistet. VoIP- Anwendungen bringen hier erhebliche Probleme für Datenschutz und
Datensicherheit mit sich, da das gesprochene Wort standardmäßig nicht verschlüsselt
übertragen wird und grundsätzlich auf dem Weg der Datenübertragung abgehört
werden kann.
Betriebs- und Personalräte/innen sollten vereinbaren, dass Geschäftsführungen und
IT-Abteilungen z.B. durch Verschlüsselung die Vertraulichkeit der Telefonate gewähr-
leisten (vergl. TBS Broschüre „VoIP - Telefonieren übers Internet“; Handlungshilfe für
die betriebliche Interessensvertretung; Nr. 65, 12/2006).
10 TBS NRW / Heft 74Grundlagen zur Internettechnik
Internetdienst Verwendetes Protokoll Beschreibung Anwendungen
(Beispiel)
World Wide Web Hypertext Transfer Zur Übertragung Webbrowser
Protocol (HTTP) oder von Webseiten
HTTP Secure (HTTPS)
E-Mail Simple Mail Transfer Zum Versand elek- E-Mail-Programm
Protocol (SMTP), Post tronischer Briefe
Office Protocol Version (E-Mails)
3 (POP3),
Dateiübertragung (File Transfer) File Transfer Protocol Zur Übertragung FTP-Server und -Cli-
(FTP) von Dateien ents
Namensauflösung Domain Name System Mit diesem Dienst Meistens im Betriebs-
(DNS) werden Namen system integriert
z. B. de.wikipedia.
org in IP-Adressen
übersetzt
Usenet Network News Transfer Diskussionsforen zu News Client
Protocol (NNTP) allen erdenklichen
Themen
SSH SSH Protocol Zur verschlüsselten ssh, unter Windows
Benutzung entfern- z. B. PuTTY oder
ter Rechner WinSCP
Peer-to-Peer-Systeme eDonkey, Gnutella, z. B. Tauschbörsen eMule, FrostWire,
FastTrack zum Austausch von
Dateien
Internet-Telefonie (VoIP) H.323, Session Initia- Telefonieren
tion Protocol (SIP)
Video-Chat H.264, QuickTime- Video-Telefonie
Streaming
Virtual Private Network VPN GRE, IPsec, PPTP Kopplung von OpenVPN
LANs über das
Internet, optional
mit Verschlüsselung
und Authentifizie-
rung
Internetradio Hypertext Transfer Radio hören/
Protocol (HTTP) senden
Netzwerkadministration Simple Network Man- Dient der Fern-
agement Protocol konfi-guration,
(SNMP) -wartung und
-überwachung von
Netzwerkkompo-
nenten wie z. B.
Routern
Internet Relay Chat IRC-Protokoll „Ur“-Chatdienst Verschiedene Cli-
entprogramme, z. B.
XChat (Linux, bzw.
Windows)
Instant Messaging Verschiedene proprietä- Kurznachrichten Je nach System, z. B.
re Protokolle von Person zu ICQ/AIM, MSN oder
Person Yahoo Messenger
Überblick über wichtige Internetdienste (Quelle: www.wikipedia.org, verändert)
TBS NRW / Heft 74 11Grundlagen zur Internettechnik
2.2 Technische Grundlagen der Protokollierung und Überwachung
Firmen, öffentliche Einrichtungen oder auch Privatpersonen können eigene Internetad-
ressen buchen, den Internetauftritt gestalten und speichern und so ihre Internetseiten
weltweit zugänglich machen. In den Anfängen waren die Internetseiten recht einfach
gestaltet. Heute können die Dokumente neben Text und Grafik auch Fotos, Video oder
Musik enthalten. Wichtig für den Aufbau des Internets - und die Möglichkeiten der
Überwachung -ist, dass jeder Computer im weltweiten Internet und jede Internetseite
als Datei eindeutig bezeichnet ist und somit identifiziert werden kann. Für IT-Geräte wie
PCs oder Server wird diese eindeutige Identifizierung im Web IP-Adresse genannt. Die
Identifizierung von Internetseiten erläutern wir am Beispiel der Startseite der TBS NRW:
www.tbs-nrw.de/tbs/index,id,60.html
„www.tbs-nrw.de“ ist der eindeutige Domänenname der TBS NRW e.V. in Deutschland.
Die drei Buchstaben „www“ für World Wide Web beschreiben, dass der Internetauf-
tritt der TBS nach entsprechenden technischen Standards gebildet wird. Charakteristisch
für das Web ist, dass Dokumente auch aus verschiedenen Internetauftritten durch „Hy-
perlinks“ oder Links verknüpft werden können, und man von einem zu einem ande-
ren Dokument springen kann. Dies ermöglicht das Surfen durch das weltweite Web.
Die weiteren Informationen der IP-Adresse sind ähnlich aufgebaut wie Dateinamen in
Microsoft-Programmen, mit Angabe von Verzeichnissen und Unterverzeichnissen. Hier-
durch wird die Datei eindeutig identifiziert.
Die oben angegebene Adresse der TBS-Internetseite wird technisch URL für Uniform
Resource Locators (einheitlicher Ressourcen- oder Quellenanzeiger) genannt, da sie eine
Datei, also IT-Ressource, im weltweiten Netz identifiziert und auf einem Computer lo-
kalisiert. Ruft ein Betriebsrat oder eine Betriebsrätin bzw. Personalrat oder Personalrätin
ein entsprechendes Dokument aus einem Internetauftritt von seinem PC aus ab, so wird
der Dokumentenname nicht nur auf seinem PC angezeigt, sondern auch auf Servern des
Unternehmens gespeichert.
Es kann also beim Surfen grundsätzlich protokolliert und kontrolliert werden, von wel-
chem PC aus welche Internetseiten aufgerufen wurden. Beim Schreiben und Versenden
einer E-Mail mit einer individuellen Adresse ist die Möglichkeit der personenbezogenen
Internet-Provider Webserver
wer, wann, wie lange, Protokoll mit Webadresse, wie,
welche IP-Seiten wieviel, wie lange, Cache
E-Mail
Privat-
E-Commerce personen
TK-Verbindung
Firmen, Telearbeit
Vereine
Informationen Betriebs- und
abrufen Personalräte
Intranet
• Router-Software • Client / PC
Protokoll: IP-Nr., wie groß, wie viel • Browser (Cache, History)
• Telefonanlage
A- & B-Nummer, wie lange
• Firewall
je nach Software und
Konfiguration alles möglich!
Datenspuren im Internet: Datenfluss und Datenspeicherung beim Surfen im Web
12 TBS NRW / Heft 74Grundlagen zur Internettechnik Zuordnung noch offensichtlicher. Die folgende Grafik („Datenspuren Im Internet“) zeigt, welche Daten beim Abruf einer Internetseite aus dem Web grundsätzlich auf welchen Computersystemen inner- und überbetrieblich gespeichert werden können. Es wird deutlich, dass die Protokolldaten auf verschiedenen EDV-Anlagen erfasst und verarbeitet werden können, z.B. lokal auf dem PC, auf dem Webserver oder dem Router (Rechner zur Koppelung verschiedener IT-Netze, z.B. LAN und Internet), der Firewall (Software zum Schutz des betrieblichen Computernetzes vor Viren oder Sabotage) oder beim Internetprovider. Diese technischen Protokolle werden häufig auch Log-Datei oder Log-Protokoll genannt. Die Protokollierung muss natürlich bei der betrieblichen Regelung beachtet und geregelt werden. Bei dem Versenden einer E-Mail gilt dies entsprechend. Dabei ist es von besonderer Bedeutung, dass die Übertragung der Dateien oder E-Mails im Internet grundsätzlich unverschlüsselt erfolgt. Als diese Kommunikationstechnologien entwickelt wurden, spielten Datenschutz und Datensicherheit nur eine geringe Rolle. Erst später wurden sicherere Internetstandards, wie z.B. https entwickelt. Sie ermöglichen es, die Informationen weitgehend abhörsicher zu übertragen. Der Standard lässt sich nicht für E-Mail anwenden, hier müssten Daten oder Anhänge zusätzlich verschlüsselt werden. Alte und neue Internetadressen: von IPv4 zu IPv6 Der Begriff Internetadresse ist nicht eindeutig. Die Startseite des TBS-Internetauf- tritts hat (im Juli 2012) die Internetadresse http://www.tbs-nrw.de/tbs/index,id,60. html. Andererseits bezeichnet man mit Internetadresse auch die Identifikation einer Internet-Ressource, eines bestimmten Computers oder PCs. Diese Internetadresse hat heute, beim Standard IP Version 4 (IPv4) z. B. die Num- mer 192.0.2.42. Hiermit können gut 4 Milliarden Internetadressen gebildet werden. Obwohl diese Anzahl schon gewaltig erscheint, reicht sie durch die massive Verbreitung neuer Smartphones und Tablet-Computer mittlerweile nicht mehr aus, und seit Sommer 2012 wird der neue Standard IPv6 angewendet. In IPv6 hat eine Internetadresse z.B. den folgenden Aufbau: 2001:0db8:85a3:0000:0000:8a 2e:0370:7344. Es können nun Tausende von Milliarden (!) Internetadressen gebildet werden, um z.B. elektronische Komponenten und Geräte in Autos, im Haushalt, auf der Arbeit durch eine eigene IP-Adresse zu identifizieren. Datenschutzbeauftragte sehen hier gewaltige Probleme. Der Bundesdatenschutzbeauftragte Schaar kritisiert z.B., „dass die Hersteller von Smartphone-Software überwiegend die weltweite eindeutige Hardware-Kennung der Geräte als Bestandteil der IP-Adresse verwenden“. Damit nähmen sie „billi- gend in Kauf, dass das Verhalten der Nutzer individuell zugeordnet werden kann“ (Quelle: www.heise.de). TBS NRW / Heft 74 13
Grundlagen zur Internettechnik
2.3 Verschlüsselung und digitale Signaturen
Verfahren zur Verschlüsselung von Texten gibt es bereits seit Jahrtausenden. Mit der
Computertechnik sind die Verschlüsselungsverfahren immer aufwändiger und raffinierter
geworden und bilden eine eigene Wissenschaft, die Kryptographie. Ziel ist es, einen Ori-
ginaltext so zu verschleiern, dass er nur dem rechtmäßigen Empfänger verständlich ist.
Ein sehr einfaches Verfahren ist die Cäsar-Verschlüsselung. Hierbei wird systematisch ein
Buchstabe des Alphabets durch einen anderen ersetzt, das A durch das D, das B durch
das M, usw.
Es muss nun zwischen einer automatisierten Verschlüsselung, z.B. bei der Datenübertra-
gung, und einer individuell vereinbarten Verschlüsselung unterschieden werden. Bei der
Datenübertragung in einem betrieblichen IT-Netz zwischen einem PC und einem Server
ist die Datei während der Datenübertragung in aller Regel automatisiert verschlüsselt
(vgl. auch VPN, s.u.). Auf PC und Server ist die Datei allerdings in Klarschrift gespeichert
und lesbar. Der Schutz ist begrenzt auf den Übertragungsweg.
Bei einer „individuellen“ Verschlüsselung müssen sich Absender und Empfänger zuvor
auf ein Verschlüsselungsverfahren verständigen. In der Praxis muss hierzu ein sogenann-
ter Schlüssel ausgetauscht werden. Dies ist eine organisatorische Herausforderung. Daher
bieten IT-Dienstleister an, die Verwaltung und Verteilung der geheimen Schlüssel gegen
Gebühr zu organisieren. Diese Verfahren werden bei hohen Anforderungen an Daten-
schutz und Datensicherheit genutzt.
Einfacher geht es heute mit vielen Computerprogrammen, die standardmäßig Verschlüs-
selungsverfahren anbieten, z.B. Acrobat Reader oder MS Word. Hierzu verschlüsselt der
Absender die Datei mit einem Passwort. Das stellt er dem Empfänger auf vertraulichem
Weg zur Verfügung. Danach übersendet er die verschlüsselte Datei im E-Mail-Anhang
und der Empfänger kann sie entschlüsseln. Diese Technik wird zunehmend auch in der
Kommunikation der Interessenvertretungen genutzt.
Geschäftsbriefe mit der digitalen Signatur sichern (De-Mail Gesetz)
Manchmal werden Verfahren der Verschlüsselung und der di-
gitalen Signatur miteinander verwechselt. Mit der Verschlüs-
selung soll die Geheimhaltung, die hohe Vertraulichkeit eines
Dokumentes vor Dritten, gewährleistet werden. Mit der digita-
len Signatur wird ein Dokument nicht verschleiert. Es kann von
allen gelesen werden. Hiermit soll gewährleistet werden, dass
die Inhalte eines Dokumentes nicht unbemerkt verändert wer-
den, z.B. der Kaufpreis eines Artikels oder das Lieferdatum. Dies hat natürlich im
Geschäftsverkehr zwischen Unternehmen einen hohen Stellenwert bei Bestellungen,
Vertragsbestimmungen usw. aber auch zwischen Behörden und Bürgern. Daher hat
es in Deutschland und der EU mehrere Anläufe gegeben, rechtlich sichere und prak-
tikable Gesetze zur Unterstützung einer digitalen Signatur zu erlassen. Zuletzt ist
im April 2011 das De-Mail-Gesetz im Bundestag verabschiedet worden. Es regelt
insbesondere die Zulassung von IT-Dienstleistern, die entsprechende elektronische
Dienste zur Gewährleistung der digitalen Signatur anbieten und durchführen. Auch
eine Verschlüsselung ist möglich.
14 TBS NRW / Heft 74Grundlagen zur Internettechnik
Zunehmend werden auch Verschlüsselungsprogramme kostenfrei im Internet angebo-
ten. Eine sichere E-Mail-Kommunikation ist auch für private PC-Nutzerinnen und -nutzer
wichtig. Das Bundesamt für Sicherheit in der Informationstechnik (www.BSI.bund.de)
bietet Bürgerinnen und Bürgern eine kostenfreie Verschlüsselungssoftware z.B. für E-Mail
an. Sie kann unter „www.gpg4win.de“ heruntergeladen werden.
2.4 Technik des Intranets
Unternehmen können eigene innerbetriebliche Computernetze nach den Internetstan-
dards aufbauen. Sie werden dann Intranet genannt und enthalten z.B. zentrale betrieb-
liche Dokumente wie Telefonverzeichnisse, Organigramme, Qualitätsmanagementhand-
bücher usw. Auch hier können alle Informationsabrufe wie beim Surfen protokolliert
werden.
Weiterhin ist es möglich, über das Intranet die Computer an unterschiedlichen Unterneh-
mensstandorten miteinander zu vernetzen und die Daten über das Web zu übertragen.
Normalerweise würde diese Datenübertragung unsicher und ungeschützt sein. Da dies
für Unternehmen mit ihren sensiblen Unternehmensdaten natürlich nicht akzeptabel ist,
werden die Daten zwar über das weltweite Internet übertragen, jedoch durch einen ge-
schützten „Tunnel“. Praktisch heißt dies, dass die Datenpakete verschlüsselt und somit
abhörsicher im Internet übertragen werden. Dieses Sicherheitskonzept wird als VPN (vir-
tuelles privates Netzwerk) bezeichnet und bildet heute einen Standard für eine gesicherte
betriebliche Datenübertragung.
Hauptstelle/Stammsitz
Heimarbeiter mit
VPN client software
Wireless client mit
VPN client software
Firewall
Zweigniederlassung 1
Firewall
Zweigniederlassung 2
Firewall
Beispielhafter Aufbau eines webgestützten Intranets mit VPN-Verschlüsselung
TBS NRW / Heft 74 15Internet
3. Internet
In diesem Kapitel geht es um den Internet-Dienst
www (world wide web), der zum Aufruf von Seiten,
„Surfen“ und Recherchieren dient und üblicherweise
(streng genommen: verkürzt) als „Internet“ bezeich-
net wird. Im Folgenden wird auf die Regelungsberei-
che zum „Internet“ eingegangen, die unserer Erfah-
rung nach in Betrieben häufig zu Konflikten führen,
d.h.
• Zugang zum Internet,
• private Nutzung und
• Missbrauchskontrolle.
Das damit zusammenhängende Thema
der Unternehmensrichtlinien zur Inter-
net-Nutzung wird im Kapitel E-Mail mit-
behandelt.
3.1 Zugang zum Internet
Recherchen im Internet gehören heute
zum Standard im Betrieb. In manchen
Betrieben entscheiden Vorgesetzte
dennoch nach Gutdünken, wer einen
Internetzugang erhält. Das verletzt den
Grundsatz der Gleichbehandlung.
Beschäftigte, die nicht an einem PC-Arbeitsplatz arbeiten, haben nicht
immer einen Internetzugang und können damit von wichtigen, auch innerbetrieblichen
Informationsquellen und Kommunikationsmöglichkeiten abgekoppelt und dadurch be-
nachteiligt sein.
Formulierung in einer Betriebs-/Dienstvereinbarung
„Der Zugang zum Internet wird als Arbeitsmittel zur Verfügung gestellt und ist an
eine persönliche Berechtigung gebunden. Die Berechtigung wird erteilt, wenn die
Internet-Nutzung zur Unterstützung der Arbeit sinnvoll ist.
Grundsätzlich wird davon ausgegangen, dass die umfassenden Informationsmöglich-
keiten des Internets an allen Arbeitsplätzen sinnvoll genutzt werden können. Anträge
auf Erteilung einer Berechtigung können nur aus triftigen Gründen abgelehnt werden.
Für Arbeitsplätze, die nicht standardmäßig über einen Bildschirmarbeitsplatz verfü-
gen, gibt es eine ausreichende Anzahl von Rechnern mit Internet-Zugang.“
3.2 Private Nutzung
Es kommt vor, dass Arbeitgeber die Genehmigung zum privaten Surfen daran knüpfen,
dass die Nutzerinnen und Nutzer eine Einverständniserklärung dazu abgeben, dass der
Arbeitgeber kontrollieren darf, was genau diese im Internet gemacht haben.
Dies kann jedoch nur zulässig sein, wenn die private Nutzung vorher nicht erlaubt war
(betriebliche Übung, siehe Ausführungen im Kapitel 5 E-Mail). Selbst bei genereller Zu-
lässigkeit sind bei der Ausgestaltung einer solchen Einverständniserklärung die Persön-
lichkeitsrechte zu beachten.
16 TBS NRW / Heft 74Internet Das LAG Rheinland-Pfalz hat geurteilt, dass eine private Internetnutzung von etwa einer Stunde im Monat auf jeden Fall keine arbeitsvertragliche Pflichtverletzung ist (2.3.2006, AZ: 4 Sa 958/05): „Vergleichbar ist der Umfang der Nutzung etwa mit privaten Gesprächen während der Arbeitszeit mit Kollegen, privaten Telefongesprächen in geringfügigem Umfang, Zigaret- tenpausen oder sonstige als noch sozial adäquat anzuerkennende Tätigkeiten, die nicht unmittelbar mit dem Arbeitsverhältnis in Beziehung stehen.“ (Zitat aus der Urteilsbegründung). 3.3 Missbrauchskontrolle Eine Leistungs- oder Verhaltenskontrolle mit Hilfe der Verbindungsdaten wäre selbst bei rein dienstlicher Nutzung von Internet und E-Mail für den Normalfall eine datenschutz- rechtlich problematische Zweckentfremdung der (aus technischen Gründen anfallenden) Protokolldaten und sollte nicht zugelassen sein. Formulierung in einer Betriebs-/Dienstvereinbarung Alternative 1: „Protokollierungen von Verbindungsdaten (z.B. Zustellungszeitpunkt, Ausgangszeit- punkt, Adressaten/Empfänger, Größe) und die Abspeicherung der E-Mails oder von Internet-Seiten werden nur zur Sicherstellung des ordnungsgemäßen Betriebes der IT- Systeme, der Systemsicherheit, der Datensicherheit und des Datenschutzes genutzt. Sie werden nicht zur Leistungs- oder Verhaltenskontrolle der Mitarbeiter/innen ge- nutzt. Widerrechtlich gewonnene Daten unterliegen einem Verwertungsverbot.“ Manche Arbeitgeber wollen aber die Möglichkeit haben, Missbrauch (z.B. stundenlanges privates Surfen) zu kontrollieren. Dies ist dann auf konkrete Verdachtsfälle einzugrenzen. Formulierung in einer Betriebs-/Dienstvereinbarung Alternative 2: „Protokollierungen von Verbindungsdaten (z.B. Zustellungszeitpunkt, Aus- gangszeitpunkt, Adressaten/Empfänger, Größe) und die Abspeicherung der E-Mails oder von Internet-Seiten werden nicht zur Leistungs- oder Verhal- tenskontrolle der Mitarbeiter/innen genutzt. Dies gilt nicht, wenn Tatsa- chen bekannt werden, die den Verdacht einer erheblichen Verletzung der Ar- beitspflichten begründen, und der BR/PR einer entsprechenden Auswertung vorher zugestimmt hat. Die Kontrolle der Protokolldaten des BR/PR ist unzulässig. Widerrechtlich gewonnene Daten unterliegen einem Verwertungsverbot.“ Sicherlich müssen die entscheidenden Datenschutz- und Datensicherheitsmaßnahmen sowohl zum Surfen im Internet als auch beim E-Mail-Verkehr durch die IT-Abteilung des Unternehmens eingestellt und gewährleistet werden. Einzelne Sicherheitseinstellungen auf dem PC oder Notebook können jedoch auch die Beschäftigten selbst realisieren. Es geht dabei besonders um Cookies oder die Internethistorie. Details hängen immer vom benutzten Browser wie Internet Explorer oder Firefox ab. Jeweils aktuelle Informationen findet man z.B. unter den Internetauftritten „www.verbraucher-sicher-online.de“ der Technischen Universität Berlin oder unter „www.bsi-fuer-buerger.de“. TBS NRW / Heft 74 17
Intranet
4. Intranet
Das Intranet ist ein betriebliches
EDV-Netz, das nach den technischen
Standards des Internets aufgebaut ist,
dessen Informationen und Funktionen
aber im Gegensatz zum Internet nicht
von der Öffentlichkeit,
sondern nur intern von Be-
triebs-, Verwaltungs- bzw.
Konzernangehörigen
genutzt werden können.
Ein Intranet kann genutzt werden, um betrieblich
relevante Informationen und Unterlagen, z.B. Telefon-
verzeichnisse, Qualitätshandbücher, Organisationsplä-
ne, Betriebs-/Dienstvereinbarungen zur Verfügung zu stellen.
Hierbei handelt es sich um weniger vertrauliche Informationen, die allen Unternehmens-
angehörigen zugänglich gemacht werden. Über ein Intranet können aber auch Verfahren
zur Beantragung von Dienstreisen oder Urlaub oder für Verbesserungsvorschläge usw.
durchgeführt, interne Stellen ausgeschrieben oder Seminare angeboten werden. In die-
sen Fällen werden Beschäftigtendaten erhoben und es sind Datenschutzmechanismen,
wie z.B. eingeschränkte Zugriffsrechte, erforderlich.
Mit zunehmender Nutzung des Intranets für das innerbetriebliche Wissen wird es immer
wichtiger, dass alle Beschäftigten Zugang dazu haben, um nicht von wichtigen Informa-
tionen abgeschnitten zu sein. Vielfach wird über das Intranet sogenannte Collaboration
Software, d.h. Software zur Unterstützung der Zusammenarbeit in einer Gruppe über
zeitliche und/oder räumliche Distanz hinweg (z.B. Microsoft Sharepoint) genutzt.
Hier werden umfassende Funktionen im Hinblick auf
• Kommunikation und Koordination (E-Mail, Instant Messaging, Kalenderverwaltung
und Projekt-Management),
• Kooperation (Desktop-Sharing oder Online-Whiteboards),
• Dokumenten-Management sowie
• Information-Sharing (Wikis, Blogs, Diskussionsforen etc.) bereitgestellt.
In diesem Zusammenspiel ist z.B. über das Intranet die Erstellung eines „Betrieblichen So-
zialen Netzes“ eine Option, in dem Profile von Kollegen und Kolleginnen zur Verfügung
stehen, die berufliche Qualifikationen und Informationen, aber auch Fotos, Hobbies und
Statusmeldungen der Beschäftigten anzeigen. Ein betrieblicher Kleinanzeigenmarkt run-
det das Angebot des Intranets ab.
Die hart geführten Diskussionen zur privaten Nutzung des Internets verschwimmen,
denn diese Form des Intranets lebt erst von der Bekanntgabe vieler auch persönlicher
Daten. Betriebs- und Personalräte müssen hier Rahmenbedingungen schaffen, die die
Preisgabe persönlicher Daten minimiert und auf Freiwilligkeit der Bekanntgabe der Daten
drängen und die Beschäftigten entsprechend sensibilisieren.
18 TBS NRW / Heft 74Intranet Formulierung in einer Betriebs-/Dienstvereinbarung „Personenbezogene Daten von Beschäftigten, die im Intranet eine eigene Profilseite haben, dürfen nur unter Beachtung des Bundesdatenschutzgesetzes eingetragen wer- den. Die Angaben der Informationen zur eigenen Personen sowie die Bereitstellung eines Fotos erfolgen freiwillig.“ Alternative Formulierung: „Die eigene Profilseite enthält automatisch die wichtigsten Personendaten, wie z. B. Vor- und Nachname, Bereich, Abteilung, Funktion, dienstliche Telefonnummer und dienstliche E-Mailadresse. Zusätzlich besteht die Möglichkeit, das eigene Profil mit weiteren persönlichen Informationen zu ergänzen. Das sind unter anderem ein per- sönliches Foto, Themen, für die der Mitarbeiter als Ansprechpartner zur Verfügung steht, erledigte Projekte, Fertigkeiten, Interessen und der Geburtstag. All diese zu- sätzlichen Informationen sind freiwillige Angaben des Mitarbeiters. Jeder Mitarbei- ter kann selbst festgelegen, wer diese Informationen sehen darf (jeder, meine Kolle- gen, mein Team, mein Manager oder privat). Inhaltlich müssen diese Einträge einen dienstlichen Bezug aufweisen. Jeder Mitarbeiter kann auf freiwilliger Basis ein Foto von sich in seine Profilseite laden. Für dieses Foto gelten die folgenden Vorgaben: • Portraitfoto, kein Ganzkörperbild und kein Gruppenfoto (kein Urlaubsfoto o.ä.) • Auf dem Bild muss die Person abgebildet sein, zu der die Profilseite gehört.“ TBS NRW / Heft 74 19
E-Mail
5. E-Mail
In diesem Kapitel geht es um Regelungsschwerpunkte zum
Thema E-Mail, mit denen Interessenvertretungen häufig
konfrontiert werden:
• Privates E-Mailen,
• Zugriff des Arbeitgebers auf E-Mails bei längerer Ab-
wesenheit der Nutzerinnen und Nutzer,
• Archivierung,
• Unternehmensrichtlinien zur Nutzung von E-Mail und
• E-Mail-Stress.
E-Mails können einerseits formellen Charakter haben und dienstlichen Schriftverkehr
ersetzen. Andererseits ersetzen sie zunehmend Gespräche und haben einen informel-
len Charakter, der sich auch durch einen legeren Sprachgebrauch im Vergleich zum Ge-
schäftsbrief auszeichnet. Gespräche und Telefonate, auch rein dienstliche, sind rechtlich
vor heimlichen Mithören geschützt. Wie verhält es sich mit E-Mails? Darf der Arbeitgeber
die E-Mails mitlesen?
5.1 Privates E-Mailen im Betrieb
Die rechtlichen Konsequenzen privater E-Mail-Nutzung sind vielen nicht bekannt.
Nach herrschender Rechtsauffassung wird ein Arbeitgeber, der die private Nutzung der
dienstlichen E-Mail-Adresse für privates E-Mailen zulässt oder duldet, zum „Dienstean-
bieter“ gemäß Telekommunikationsgesetz (TKG) und unterliegt damit dem Fernmelde-
geheimnis § 88 TKG.
Die Verletzung des Fernmeldegeheimnisses (Kenntnisnahme persönlicher Daten, bereits
die Verbindungsdaten eines Telefonats oder einer E-Mail, oder die Unterdrückung pri-
vater Daten) ist strafbar. Das Fernmeldegeheimnis bezüglich der E-Mail-Inhalte und der
Protokolldaten der E-Mail-Verbindungen besteht für die Daten, die sich auf den Servern
des Arbeitgebers befinden.
Es gilt nicht für zugestellte E-Mails und E-Mail-Protokolle, die bereits auf dem Rechner
der Adressaten gespeichert sind.
§ 88 Fernmeldegeheimnis (Telekommunikationsgesetz)
(1) Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre
näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommuni-
kationsvorgang beteiligt ist oder war. Das Fernmeldegeheimnis erstreckt sich auch auf
die näheren Umstände erfolgloser Verbindungsversuche.
(2) Zur Wahrung des Fernmeldegeheimnisses ist jeder Diensteanbieter verpflichtet.
Die Pflicht zur Geheimhaltung besteht auch nach dem Ende der Tätigkeit fort, durch
die sie begründet worden ist.
(3) Den nach Absatz 2 Verpflichteten ist es untersagt, sich oder anderen über das für
die geschäftsmäßige Erbringung der Telekommunikationsdienste einschließlich des
Schutzes ihrer technischen Systeme erforderliche Maß hinaus Kenntnis vom Inhalt
oder den näheren Umständen der Telekommunikation zu verschaffen (Satz 1). Sie
dürfen Kenntnisse über Tatsachen, die dem Fernmeldegeheimnis unterliegen, nur für
den in Satz 1 genannten Zweck verwenden. Eine Verwendung dieser Kenntnisse für
20 TBS NRW / Heft 74E-Mail
andere Zwecke, insbesondere die Weitergabe an andere, ist nur zulässig, soweit die-
ses Gesetz oder eine andere gesetzliche Vorschrift dies vorsieht und sich dabei aus-
drücklich auf Telekommunikationsvorgänge bezieht. (…)“
Das hat beispielsweise folgende Konsequenzen:
• E-Mails dürfen nicht automatisch zu anderen Personen um- oder weitergeleitet wer-
den, auch nicht bei Abwesenheit der Adressaten.
• E-Mails dürfen nicht ausgefiltert werden, d.h. Spam-Mails müssen zugestellt werden
(z.B. in einem separaten Ordner), über virenbefallene E-Mails ist der vorgesehene
Adressat unter Angabe des Absenders zu informieren.
• Mails dürfen vom Arbeitgeber nur in einer Weise archiviert werden, so dass die Ei-
gentümer/Adressaten der E-Mail diese jederzeit löschen können. Diese Anforderung
kollidiert mit den meisten Archivierungskonzepten.
• Jegliche Kontrolle von Verbindungsdaten (wer hat wem wann eine E-Mail geschickt)
ist verboten.
Die Konsequenzen gelten zunächst nur für die E-Mails mit privatem Inhalt. Bei fehlender
Trennung von den rein geschäftlichen E-Mails (in der Regel der Fall) gelten sie für alle
E-Mails.
Rechtslage bei rein dienstlicher Nutzung
(und einer persönlichen E-Mail-Adresse)
Auch bei rein dienstlicher Nutzung hindern die Persönlichkeitsrechte des Arbeitnehmers
den Arbeitgeber an einem willkürlichen Zugriff auf ein E-Mail-Konto des Arbeitnehmers.
Auch im dienstlichen E-Mail-Verkehr gibt es persönliche oder vertrauliche Mitteilun-
gen, wie z.B. mit dem Betriebsrat/Personalrat, der Schwerbehindertenvertretung, dem
betriebsärztlichen Dienst, dem betrieblichen Datenschutzbeauftragten, der Personal-
abteilung usw. Grundrechte zum Persönlichkeitsschutz (das Recht auf informationelle
Selbstbestimmung sowie der verfassungsrechtliche Schutz vor ausufernder Online-Über-
wachung) stellen sicher, dass die Verhältnismäßigkeit gewahrt werden muss. Arbeitgeber
können nicht pauschal verlangen, Einblick in alle E-Mails nehmen zu können. Kann der
Arbeitgeber benötigte E-Mail-Inhalte direkt vom Beschäftigten fordern, so ist in der Regel
dieser Weg zu beschreiten.
Arbeitgeber dürfen Beschäftigte nicht pauschal anweisen, alle ihre eingehenden und/
oder ausgehenden E-Mails automatisch anderen Personen (z.B. Vertretung) zugänglich
zu machen. Dies gilt jedenfalls bei einer personenbezogenen E-Mail-Adresse. Bei perso-
nenbezogenen E-Mail-Adressen kann prinzipiell nicht ausgeschlossen werden, dass priva-
te E-Mails eingehen. Außerdem wäre auch das Kommunikationsgeheimnis Außenstehen-
der berührt, denn Absender können nicht damit rechnen, dass ihre Nachrichten anderen
Personen zugehen, als sie beabsichtigt haben.
Bei Abwägung der Interessen kommt nur in Frage,
• die Einsicht in die Inhalte auf absolute (zu benennende) Sonderfälle zu beschränken
(z.B. betriebswichtige E-Mails auf dem E-Mail-Konto eines Unfallopfers),
• die Zahl der Einsicht nehmenden Personen zu beschränken und
• ein Verwendungs- und Weitergabeverbot der Inhalte und der damit verbundenen
Erkenntnisse über die Kommunikationspartner festzulegen.
TBS NRW / Heft 74 21E-Mail
Das Verfahren wird vereinfacht, wenn E-Mail-Empfänger dazu verpflichtet sind, dienst-
liche von privater bzw. vertraulicher E-Mail zu trennen und in entsprechende Ordner
abzulegen. Dienstliche E-Mail darf dann in Notfällen von einer Vertretung eingesehen
werden (s. 5.2).
Erlaubnis für privates E-Mailen widerrufen
Auf die datenschutzrechtlichen Konsequenzen privater E-Mail-Nutzung reagieren viele
Arbeitgeber reflexartig mit einem kategorischen Verbot. Doch so einfach ist das nicht.
Nur wenn die Erlaubnis privater Nutzung unter Vorbehalt gegeben wurde, kann der Ar-
beitgeber diese widerrufen.
Eine Betriebsvereinbarung, in der die private Nutzung erlaubt wurde, kann gekündigt
werden. Jedoch in allen anderen Fällen einer seit längerem geduldeten oder erlaubten
privaten Nutzung ist nach überwiegender Rechtsauffassung eine betriebliche Übung und
damit ein individualrechtlich einklagbarer Anspruch der Beschäftigten entstanden. Dieser
kann weder durch einseitige Erklärung vom Arbeitgeber oder gegenteilige betriebliche
Übung noch durch eine Betriebs- bzw. Dienstvereinbarung aufgehoben werden.
Dem Arbeitgeber bliebe hier nur, sich mit allen Beschäftigten über die Aufhebung der be-
trieblichen Übung zu einigen oder eine Änderungskündigung auszusprechen. Eine gute
Möglichkeit, die die bisherigen Rechte der Beschäftigten wahrt, besteht in einer Regelung
in einer Betriebs-/Dienstvereinbarung, die eine geringfügige private Nutzung zulässt.
Oder man verweist in einer Protokollnotiz zur Betriebsvereinbarung auf die bisherige
betriebliche Übung und deren Fortsetzung. Aber auch bei verordneter rein dienstlicher
Nutzung gilt: Selbst eine verbotenerweise versandte private E-Mail bleibt eine private E-
Mail und unterliegt damit dem Schutz des § 88 TKG.
Grundsätzliche Erlaubnis zu privater Nutzung von E-Mail
In Notfällen sowie aus dienstlich veranlassten Gründen („ich komme später“) muss der
Arbeitgeber die private Nutzung zulassen. Ebenfalls muss der Arbeitgeber bei rein elekt-
ronischer Anbindung des Arbeitsplatzes ohne Telefon die private Kommunikation per E-
Mail gestatten. Die Fachliteratur weist darauf hin, dass dienstliche Kommunikation nicht
bedeutet, dass jedes private Wort zu unterbleiben hat. Dieses könne die dienstliche Kom-
munikation sogar erleichtern.
Argumente für das private E-Mailen
Wie oben bereits erwähnt, wollen manche Arbeitgeber das private E-Mailen verbieten,
um nicht dem Fernmeldegeheimnis nach Telekommunikationsgesetz zu unterliegen.
Doch dies ist weder im Interesse der Beschäftigten noch des Unternehmens.
Eine auch private Nutzung des Mediums E-Mail innerhalb des Arbeitstages ist üblich
(übrigens auch und gerade im Management), und durch ein Verbot würden die Nut-
zerinnen und Nutzer kriminalisiert und auch loyalen Mitarbeiterinnen und Mitarbeitern
eine böswillige Absicht unterstellt. Ein Verbot könnte demotivierend wirken und seine
Überwachung könnte zu einer Verschlechterung der Unternehmenskultur hin zu mehr
Misstrauens- und Kontrollkultur führen.
Gespräche zwischen Personen, die dienstlich häufig Kontakt haben, enthalten neben
dienstlichen auch häufig private Elemente - das ist bei E-Mails genauso. Die gute Kon-
22 TBS NRW / Heft 74E-Mail taktpflege führt auch zu gelegentlichen rein privaten Gesprächen (auf dem Flur, per Te- lefon). Dies sollte auch beim zunehmenden Ersatz solcher direkter Gespräche durch zeit- versetzte Kommunikation via E-Mail nicht wegfallen und kann auch nicht im Interesse eines Arbeitgebers sein. Möglichkeiten zur Trennung privater und dienstlicher E-Mails Die beste Möglichkeit wäre die vom Bundesamt für Sicherheit in der Informationsverar- beitung (BSI) empfohlene Einrichtung doppelter E-Mail-Adressen, nämlich einer perso- nenbezogenen E-Mail-Adresse (vorname.name@betrieb.de) sowie einer funktionsbezo- genen E-Mail-Adresse (z.B. Sekretariat@betrieb.de, Disposition@betrieb.de, Personalrat@ behoerde.de), über die normale Dienstgeschäfte abgewickelt werden. Geschäftspartner- innen und -partnern wird nur die funktionsbezogene E-Mail-Adresse bekanntgegeben. Hiermit ist eine gute Trennung von geschäftlichen und persönlichen/vertraulichen/priva- ten E-Mails sichergestellt. Bei Abwesenheit können die E-Mails der funktionsbezogenen Adresse automatisch umgeleitet werden. Auch eine Archivierung wird erleichtert. Als Alternative dürfen private E-Mails im Betrieb nicht mit der betrieblichen E-Mail-Ad- resse, jedoch mit einer Web-Mail-Adresse (z.B. von web, gmx, t-online, yahoo) gesendet und empfangen werden. Dies setzt voraus, dass eine private Nutzung des Internets nicht ausgeschlossen ist. Hiermit sind die privaten einigermaßen von den dienstlichen E-Mails getrennt. Wenn für dienstliche E-Mails eine personenbezogene betriebliche E-Mailadres- se genutzt wird, sind eingehende private E-Mails jedoch nicht ausgeschlossen und es gibt weiterhin dienstliche vertrauliche und persönliche E-Mails (diese sollten die Nutzerinnen und Nutzer in privaten Ordnern ablegen). Für die Nutzerinnen und Nutzer ist es außer- dem umständlich, die privaten E-Mails nicht in ihrem betrieblichen E-Mail-Postfach zu verwalten, sondern extra eine Internetseite öffnen zu müssen. Die E-Mail-Anhänge der privaten E-Mails könnten zudem Viren enthalten, da diese nicht die Virenprüfung der betrieblichen Firewall durchlaufen, so dass die PCs der Nutzerinnen und Nutzer mit einem eigenen Virenscanner ausgerüstet sein müssen. 5.2 Zugriff auf E-Mails bei Abwesenheit Eine Regelung für den Zugriff auf dringende E-Mails in Abwesenheit von Beschäftigten ist erheblich einfacher, wenn es für die geschäftsrelevante dienstliche Kommunikation nur funktionsbezogene E-Mailadressen statt persönlicher E-Mailadressen gibt. Bei einer rein funktionsbezogenen E-Mail-Adresse (z.B. arbeitsvorbereitung@betrieb.de) können bei Abwesenheit von Beschäftigten deren E-Mails automatisch an eine Vertre- tung umgeleitet werden oder die Vertretung hat dieselbe Gruppen-E-Mailadresse. Bei persönlichen E-Mail-Adressen wäre dies nicht zulässig, wie oben beschrieben. Die Alternative bietet dann die Einschaltung des Abwesenheitsassistenten mit einem Hinweis auf die Vertretung. „Ich bin bis zum tt.mm.jj nicht erreichbar. Diese Nachricht wird nicht weitergeleitet. Ich werde sie nach meiner Rückkehr bearbeiten. In dringenderen Fällen wenden Sie sich bitte an meine Vertretung name@betrieb.de.“ Bei nicht vorhersehbaren Abwesenheiten (z.B. Krankheit, Unfall) kann die Nachricht allerdings in der Regel nicht mehr von den Betroffenen abgesetzt werden. Dies müsste dann über die zuständige technische Systemadministration schnellstmöglich nach Be- kanntwerden der Abwesenheit veranlasst werden. TBS NRW / Heft 74 23
E-Mail
Falls die bis dahin im Postfach bereits aufgelaufenen E-Mails zeitkritische geschäftsrele-
vante Nachrichten enthalten können, müssen diese von der zuständigen Vertretung in
Anwesenheit des/der betrieblichen Datenschutzbeauftragten oder eines BR-/PR-Mitglie-
des gesichtet werden. Dabei ist zu beachten, dass nur die geschäftsrelevanten Nachrich-
ten gelesen werden und jede andere Nachricht unverzüglich geschlossen wird, sobald
diese als vertraulich erkennbar ist. Auch ein Rückgriff auf bereits abgelegte ältere E-Mails
kann in Abwesenheit des Beschäftigten kurzfristig erforderlich sein. Um für solche Fälle
sicherzustellen, dass nur geschäftsrelevante E-Mails gelesen werden können, sollten die
Beschäftigten dazu angehalten werden, private und vertrauliche E-Mails nach dem Lesen
entweder zu löschen oder in einen separaten Ordner „privat“ zu verschieben. Dieser
Ordner ist tabu für Dritte.
Ein besonderer Fall liegt vor, wenn bei nicht freigestellten Mitgliedern der Interessenver-
tretung ein namentliches E-Mail-Postfach sowohl für geschäftliche E-Mails als auch für
E-Mails der Interessenvertretung verwendet wird. Die Vertretung kann bei Sichtung der
E-Mails auch Betriebsrats- (bzw. Personalrats-) Mails lesen. Eine Möglichkeit wäre, dass
die Vertretung nur durch ein anderes Betriebsratsmitglied (bzw. Personalratsmitglied) er-
folgen darf. Eine andere Lösung besteht darin, den nicht freigestellten Mitgliedern der In-
teressenvertretung zusätzliche spezielle persönliche Betriebsrats- (bzw. Personalrats-) E-
Mailadressen zu geben, etwa nach dem Muster BR.vorname.nachname@xyz.de,und den
Beschäftigten entsprechend bekanntzugeben. Diese Lösung ist auch für andere Personen
mit besonderem Vertrauensschutz anzuwenden, wie z.B. Schwerbehindertenvertretung,
JAV, betriebliche/r Datenschutzbeauftragte/r, Gleichstellungsbeauftragte/r.
Formulierung in einer Betriebs-/Dienstvereinbarung:
„Die Eigentümer persönlicher E-Mail-Adressen stellen für geplante Abwesenheiten
sicher, dass die Absender und eine zuständige Vertretung über ihre Abwesenheit in-
formiert werden. Bei ungeplanter Abwesenheit erstellt ein autorisierter Systemver-
walter auf Veranlassung des Vorgesetzten die Abwesenheitsmeldung und gewährt
der Vertretung die Zugriffsrechte für die Zeit des Beginns der Abwesenheit bis zur
Abwesenheitsmeldung auf das persönliche Postfach. Sollte die Kenntnis bestimmter
älterer E-Mails kurzfristig während der Abwesenheit des Eigentümers für einzelne
Geschäftsvorgänge erforderlich sein, dürfen diese ebenfalls gezielt für bestimmte Ab-
sender gesichtet werden. E-Mail-Ordner mit der Bezeichnung „privat“ dürfen nicht
gelesen werden. Die Sichtung der E-Mails erfolgt im Beisein des/der betrieblichen
Datenschutzbeauftragten (bzw. Betriebsrats-/Personalratsmitglieds) Die Vertretung
und der/die Beschäftigte, an den die E-Mail ursprünglich gerichtet war, werden hier-
über informiert. Stellt eine Vertretung bei der Einsicht in eine E-Mail fest, dass diese
vertraulichen Charakter hat, ist diese unverzüglich zu schließen. Informationen dar-
aus dürfen nicht weitergegeben oder verwertet werden.
BR/PR, betriebliche Datenschutzbeauftragte, Schwerbehindertenvertretung haben
für ihre Aufgaben jeweils von ihrer sonstigen betrieblichen Funktion getrennte E-
Mail-Adressen.“
24 TBS NRW / Heft 74Sie können auch lesen
