Den Einsatz von Internet und E-Mail regeln - Handlungshilfe für die betriebliche Interessenvertretung
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Technologieberatungsstelle beim DGB NRW e.V. Den Einsatz von Internet und E-Mail regeln Handlungshilfe für die betriebliche Interessenvertretung Reihe Arbeit, Gesundheit, Umwelt, Technik TBS NRW / Heft 74 1 Heft 74
Impressum Autor/-innen: Gaby Dietsch, TBS NRW Jürgen Fickert, TBS NRW Stefanie Wallbruch, TBS NRW Alle drei Autor-/innen haben langjährige Beratungserfahrungen im Themenfeld Internet und E-Mail. Grafik und Layout: Klaus Kukuk, Syndikat medienpool Bildnachweis: S. 1 © Fotolia S. 5 © DGB Landesvorstand NRW S. 13 © Syndikat medienpool S. 15 © Syndikat medienpool S. 16 © E.Cebrian S. 18 © Fotolia S. 20 © depositphotos S. 29 © DGB-Index Gute Arbeit S. 30 © Research in Motion (RIM) S. 34 © 123rf S. 35 © depositphotos S. 39 © TBS NRW Copyright und Herausgeber Technologieberatungsstelle beim DGB NRW e. V. Westenhellweg 92-94 44137 Dortmund Tel.: 0231 249698-0 Fax: 0231 249698-41 E-Mail: tbs-hauptstelle@tbs-nrw.de Internet: www.tbs-nrw.de Die TBS ist eine vom Ministerium für Arbeit, Integration und Soziales des Landes Nordrhein-Westfalen geförderte Einrichtung 1. Auflage ISBN 978-3-924793-93-7 Dortmund, November 2012 Den Einsatz von Internet und E-Mail regeln Heft-Nr. 74 2 TBS NRW / Heft 74
Inhalt Inhalt Vorwort 5 1. Einleitung 7 2. Grundlagen zur Internettechnik 10 2.1 Internetdienste und -standards 10 2.2 Technische Grundlagen der Protokollierung und Überwachung 12 2.3 Verschlüsselung und digitale Signaturen 14 2.4 Technik des Intranets 15 3. Internet 16 3.1 Zugang zum Internet 16 3.2 Private Nutzung 16 3.3 Missbrauchskontrolle 17 4. Intranet 18 5. E-Mail 20 5.1 Privates E-Mailen im Betrieb? 20 5.2 Zugriff auf E-Mails bei Abwesenheit 23 5.3 Archivierung von E-Mails 25 5.4 Unternehmensrichtlinien zur Nutzung von E-Mail und Internet 27 5.5 Gute Arbeit bei der E-Mail-Nutzung 29 6. Auf dem Weg zur Betriebs-/Dienstvereinbarung 34 6.1 Rechte der Interessenvertretung 34 6.2 Informationsbedarf zur Regelung von Internet-/E-Mail/Intranet 35 6.3 Regelungsbausteine einer Betriebs-/Dienstvereinbarung zu Internet, Intranet, E-Mail 36 Anhang 38 TBS NRW / Heft 74 3
Vorwort D er britische Physiker und Informatiker Timothy Berners-Lee entwickelte vor 20 Jahren die Grundlagen für das heutige Internet. Wohl niemand ahnte damals, wie nachhaltig diese Er- findung die Welt beeinflussen würde. Inzwischen hat das Inter- net alle Lebensbereiche durchdrungen, es hat unser Privatleben, unsere Arbeitswelt und unsere Wirtschaft radikal verändert. Ein Ende dieser Entwicklung ist nicht abzusehen, ganz im Gegenteil: In den letzten Jahren ist das Netz immer interaktiver geworden, das so genannte Web 2.0 hat Plattformen wie Facebook oder Twitter hervorgebracht, auf denen jeder seine eigenen Inhalte verbreiten und mit anderen Usern in Kontakt treten kann. Dieser Trend verändert nicht nur das private Kommunikations- und Sozialverhalten. Auch Un- ternehmen nutzen die Möglichkeiten des Web 2.0 zunehmend für ihre Werbestrategien. In vielen Betrieben wird der zunehmende Einfluss des Internets auf die Arbeitsabläufe kontrovers diskutiert. Thema ist zum Beispiel der Zugang zum Netz oder die Nutzung von Internet und E-Mail zu privaten Zwecken. Eine Umfrage des Fachverbands BITKOM vom Frühjahr 2012 hat ergeben, dass rund 59 Prozent der deutschen Unternehmen die private Internetnutzung dulden und etwa 30 Prozent privates Surfen und Mailen kom- plett verbieten. Andererseits haben Innovationen wie Smartphones und Tablet-PCs dafür gesorgt, dass viele Arbeitnehmer auch nach Feierabend ständig für den Arbeitgeber erreichbar sind. Beruf und Freizeit werden immer weniger trennbar, Stress ist häufig die Folge. Der Au- tobauer VW zieht daraus Konsequenzen und hat veranlasst, dass seine Mitarbeiter nach Dienstschluss keine beruflichen E-Mails mehr über ihre Handys empfangen können. Die TBS NRW hat sich bereits vor mehr als zehn Jahren in einer Broschüre mit dem The- ma Internet am Arbeitsplatz beschäftigt. Die technischen Möglichkeiten und juristischen Anforderungen haben sich seitdem erheblich verändert. Die vorliegende Broschüre geht auf diese Veränderungen ein und gibt praktikable und juristisch abgesicherte Regelungs- empfehlungen für den Betriebsalltag. Ich wünsche Euch viel Spaß beim Lesen und viel Erfolg bei Eurer wichtigen Arbeit als betriebliche Interessenvertretung! Euer Andreas Meyer-Lauber TBS NRW / Heft 74 5
Einleitung 1. Einleitung Die Nutzung des Internets ist in den Betrieben zur Normalität geworden. Die technischen Voraussetzungen sind optimal, um nahezu jeden Arbeitsplatzrechner zu vernetzen. Be- triebe und Organisationen sind „online“ und der Gebrauch des Internets ist unterdessen ein fester Bestandteil vieler Arbeitsaufgaben von Beschäftigten. Es wird auf Internet- bzw.- Intranetplattformen, unabhängig von Zeit und Ort zusam- mengearbeitet, über das Internet telefoniert, kleine Direktnachrichten verschickt (Instant Messaging). Selbst in der Produktion verschmelzen Produktionstechnik und Internet zu- nehmend. Kritisch wird es, wenn betriebliche Internetanwendungen zu Rationalisierun- gen und im Extremfall zu betriebsbedingten Kündigungen führen. So haben z.B. viele Versandhäuser ihre papierenen Kataloge eingestellt und bieten ihre Produkte nur noch per Internet an. Betriebs-und Personalräte stehen noch immer vor der Herausforderung, das Thema der Internet- und E-Mail-Nutzung zu regeln, um den Beschäftigten gesetzliche „Leitplanken“ bereitzustellen, die sie vor einer Leistungs- und Verhaltenskontrolle und vor den Folgen von Rationalisierungsmaßnahmenzu schützen. Umso wichtiger wird dies dadurch, dass die Vielfalt der Internetnutzung nicht mehr allein auf das „Surfen im Netz“ beschränkt ist. Denn das Internet wird zunehmend durch die Entwicklung des Web 2.0 abgelöst. Das Web 2.0 umfasst den verändertenGeist des Internets und steht für das sogenannte „Mitmachweb“. Es geht beim Web 2.0 nicht mehr nur darum, Informationen zu konsumieren. Stattdessen soll jeder Nutzer und jede Nutzerin Inhalte bereitstellen, ergänzen, kommen-tieren und teilen. Nicht nur einige große Medienunternehmen erzeugen Inhalte, sondern die Nut- zer und Nutzerinnen publizieren selbst.Möglich wird dieser Austausch durch ein-fache Werkzeuge, die es denNutzern ermöglichen, Beträge einzustellen (z.B. Wikis, Blogs) oder über soziale Netze (z.B. Facebook, Twitter) Informationen an die Internet-Gemeinschaft weiterzugeben und zu verbreiten. Der Trend zur Nutzung von Facebook, Twitter, YouTube, Xing und Co gewinnt zuneh- mend an Beliebtheit und ist für viele bereits zur Selbstverständlichkeit geworden. Dies kann am Arbeitsplatz besonders kritisch werden,besonders dann, wenn Meinungen zum Betrieb oder über den Chef über die sozialen Medien verbreitet werden. So hat das Lan- desarbeitsgericht Hamm im Urteil vom 10.10.2012 ( 3 Sa 644/12 ) entschieden, dass die fristlose Kündigung eines Auszubildenden aufgrund Äußerungen über seinen Arbeitgeber wie „Menschenschinder und Ausbeuter“ auf seinem Facebook-Profil wirksam sei. Social Media beschreibt Systeme zum Aufbau internetbasierter, teils selbst organisierter Gemeinschaften, Netzwerke und Anwendungen zur Kommunikation und Kontaktpfle- ge. In dieser „Gemeinschaft“ vernetzen sich „Freunde“, Arbeitskollegen und Bekannte, um Nachrichten, Fotos oder Informationen auszutauschen. Privates und Berufliches wird unweigerlich vermischt. Wer ist Freund? Wer ist Kollege oder Kunde? Wer kennt mich woher? Solche Fragen des täglichen Lebens werden in der virtuellen Welt nicht gestellt. Eine kleine Unachtsamkeit und alle Welt erfährt, was einem gefällt, missfällt oder welche Mei- nung man zu politischen oder betrieblichen Themen hat. (Näheres dazu s. TBS Broschüre „Soziale Netze im Betrieb“ Nr. 75). TBS NRW / Heft 74 7
Einleitung Diese neuen Möglichkeiten der Internetnutzung, insbesondere im Hinblick auf die Kom- munikation und Zusammenarbeit, nutzen auch zunehmend zahlreiche Unternehmen. In Anlehnung an den Begriff des Web 2.0 ist von Enterprise 2.0 die Rede. Es wird versucht, ganze Arbeitsabläufe von Betrieben durch Wikis, Blogs, also durch Werkzeuge zum Wis- sensmanagement, zur Innen- und Außenkommunikation und zur Projektkoordination zu nutzen und virtuelle Gruppen zu unterstützen. Ein weiterer Trend in den Unternehmen ist die Verlagerung und die Speicherung von Da- ten durch entsprechende Cloud -Anwendungen außerhalb betrieblicher IT. Informations- und Kommunikationsleistungen werden nicht gekauft, sondern bedarfs- und fallweise über Netze (z. B. das öffentliche oder private Internet) gemietet. Es kann sich um • Software handeln (SaaS – Software as a Service), • um Plattformen für die Entwicklung und den Betrieb von IT-Anwendungen (PaaS – Plattform as a Service) oder auch • um IT-Basis-Infrastruktur, also z.B. Speicherplatz (IaaS – Infrastructure as a Service). Die Ausgestaltung ist dabei sehr vielfältig und reicht von Verträgen mit kurzer Laufzeit (Stunden oder Tage), über die Nutzung nach Verfügbarkeit (auf Abruf) bis zur Abrech- nung nach Verbrauch. In diesem Zusammenhang nimmt insbesondere in Konzernen die Zentralisierung der IT und der Abbau der örtlichen IT zu. An dieser Stelle rückt das Thema des Konzern-Datenschutzes und der Rationalisierung in der IT-Abteilung in den Fokus der Arbeit der Interessenvertretungen. Die Nutzer und Nutzerinnen werden kaum einen Unterschied erkennen, wenn die An- wendungen über den Browser bereitgestellt werden und die Speicherung der Daten in der „Cloud“ erfolgt. In dieser „Cloud („Wolke“) werden die Daten im Internet gespeichert und dann zur Verfügung gestellt, wenn die Nutzerinnen und Nutzer diese Daten benö- tigen. So können Kalendereinträge (z.B. Google-Kalender), umfassende Kundendaten- banken, Reisekostenabrechnungen, E-learning-Inhalte etc. in der „Cloud“ abgelegt und von jedem internetfähigen Rechner (insbesondere auch mobilen Endgeräten) aufgerufen werden (Näheres dazu s. TBS Broschüre „Virtualisierung und Cloud Computing“, Nr. 73). Auch im Bereich des „herkömmlichen“ Internet gibt es neue Problemfelder, mit denen die Interessenvertretungen konfrontiert werden. Während in der gesellschaftlichen Praxis die Grenzen zwischen privater und betrieblicher Nutzung verschwimmen, gibt es in den Betrieben und Verwaltungen verstärkt Tendenzen, den Beschäftigten die private Nutzung von E-Mail und Internet zu verbieten und sie vermehrt zu überwachen. Gleichzeitig erfolgt eine zunehmende Ausdehnung der Arbeit in die Freizeit durch perma- nente Erreichbarkeit und Bearbeitung betrieblicher E-Mails nach Feierabend. Daher geht es in dieser Broschüre um die „klassischen“ Regelungsprobleme zur Verhin- derung einer unangemessenen Leistungs- und Verhaltenskontrollen beim Surfen, bei der E-Mail-Nutzung oder im Intranet. Diese Handlungshilfe unterstützt Betriebs- und Personalräte/innen bei der Durchsetzung betrieblicher Regelungen und stellt ihnen Handlungsmöglichkeiten und Eckpunkte für eine Betriebs-/ bzw. Dienstvereinbarung zur Verfügung. Hierzu gehört auch eine benutzerfreundliche Gestaltung der Internetanwendungen. So gibt es mittlerweile gesetzliche Anforderungen für „barrierefreie“ Internetauftritte, die „Barrierefreie-Informationstechnik-Verordnung – BITV 2.0“. Sie ist für Bundesverwaltun- gen verbindlich und sollte vom Grundsatz her auch von Unternehmen umgesetzt werden. 8 TBS NRW / Heft 74
Einleitung Kapitel 2 behandelt die „Grundlagen der Internettechnik“. Es werden die technischen Komponenten sowie der Aufbau des Internets beschrieben und aufgezeigt, an welchen Stellen eine Leistungs- und Verhaltenskontrolle über die Protokollierung der Zugriffe er- folgt. Kapitel 3 steigt dann in die betriebliche Nutzung des Internets ein und gibt Hinweise zur privaten Nutzung im Betrieb und zur Missbrauchskontrolle. Kapitel 4 erläutert kurz die Entwicklung und die Nutzungsmöglichkeiten des modernen Intranets im Betrieb. Kapitel 5 beschäftigt sich ausführlich mit der E-Mail-Nutzung im Betrieb, mit den Archi- vierungsvorschriften und den entsprechenden Regelungsaspekten in einer Betriebs- bzw. Dienstvereinbarung. „Gute Arbeit“ sollte auch bei der Internet-Arbeit selbstverständlich sein und findet in Kapitel 5.5 Berücksichtigung. Kapitel 6 soll den Interessenvertretungen den „Weg zur Dienst- bzw. Betriebsvereinba- rung“ aufzeigen und Handlungsmöglichkeiten im Umgang mit Internetanwendungen aufzeigen. TBS NRW / Heft 74 9
Grundlagen zur Internettechnik 2. Grundlagen zur Internettechnik Ein Leben und Arbeiten ohne das Internet können wir uns heute kaum vorstellen. Dabei ist das Internet im Vergleich zum Radio oder zum Telefon ein junges Kommunikations- mittel, das es mit seinen wesentlichen Leistungsmerkmalen erst seit 1993 gibt. Während wir jedoch Radio hören können, ohne dass wir dabei elektronische Spuren hinterlassen, ist dies beim Surfen im Internet nicht möglich. Daher geht es in diesem Kapitel um tech- nische Grundlagen, die für das Verständnis des Internets und die Themen der folgenden Kapitel, wie die Leistungs- und Verhaltenskontrolle, zentral sind. 2.1 Internetdienste und -standards Das Internet besteht aus einer Vielzahl von weltweit vernetzten Computern und großen Rechenzentren, in denen die Internetdokumente gespeichert oder E-Mails übertragen werden. In seinem technischen Kern handelt es sich jedoch um IT-Standards, die soge- nannten Internetprotokolle. Diese bilden die Grundlage, um Informationsseiten aus dem weltweiten Internet abzu- rufen und mit Hilfe eines Browsers am Bildschirm anzuzeigen oder um eine E-Mail zu schreiben und weltweit zu versenden. Neben dem Surfen und dem E-Mail-Versand gibt es weitere Internetdienste, z.B. den direkten Down- und Upload von PC zu PC über das Web(FTP), Chats (eine Unterhaltung, Austausch von Texten in Echtzeit), Diskussionsfo- ren, Radio oder Telefonie. Einen Überblick gibt die Tabelle auf Seite 11. In dieser Broschüre geht es um diese zentralen, weltweit normierten Internetdienste. Daneben bieten Privatfirmen eigene Internetdienste an. Beispiele hierbei sind Instant- Messaging-Dienste oder Twitter als schneller Kommunikationsdienst in Echtzeit oder soziale Netzwerke wie Facebook. Sie bieten besondere Dienstleistungen, bringen aber auch spezifische Datenschutzprobleme mit sich. Wegen ihrer betriebspraktischen Be- deutung konzentrieren wir uns in dieser Broschüre auf das Surfen und E-Mail. Telefonieren über das Internet (VoIP) In den Anfängen war das Internet aufgrund geringer Bandbreite der Netze nur geeig- net, relativ einfache Dokumente mit Texten und Grafiken zu übertragen. Da die Da- tenübertragung im Internet „zerstückelt“ erfolgt, war an eine Sprachverbindung nicht zu denken. In den letzten Jahren sind die Bandbreiten massiv gesteigert worden. Dadurch wurden höhere Datenströme erreicht, die zusätzliche technische Anforde- rungen und Dienste unter dem Namen Internet-Telefonie oder VoIP für „voice over (Stimme über) Internet Protocol“ ermöglichen. Bekannt ist vor allem der Dienst „Sky- pe“. Hier kann nicht nur das Gespräch, sondern auch ein Bild weltweit zu geringen Internetkosten übertragen werden. Telefonate sind nach dem Fernmeldegesetz besonders geschützt. Die Vertraulichkeit der Gespräche wurde bei den klassischen Anbietern von Telefonie-Dienstleistungen (in früheren Zeiten ausschließlich die Deutsche Bundespost) auch technisch gewähr- leistet. VoIP- Anwendungen bringen hier erhebliche Probleme für Datenschutz und Datensicherheit mit sich, da das gesprochene Wort standardmäßig nicht verschlüsselt übertragen wird und grundsätzlich auf dem Weg der Datenübertragung abgehört werden kann. Betriebs- und Personalräte/innen sollten vereinbaren, dass Geschäftsführungen und IT-Abteilungen z.B. durch Verschlüsselung die Vertraulichkeit der Telefonate gewähr- leisten (vergl. TBS Broschüre „VoIP - Telefonieren übers Internet“; Handlungshilfe für die betriebliche Interessensvertretung; Nr. 65, 12/2006). 10 TBS NRW / Heft 74
Grundlagen zur Internettechnik Internetdienst Verwendetes Protokoll Beschreibung Anwendungen (Beispiel) World Wide Web Hypertext Transfer Zur Übertragung Webbrowser Protocol (HTTP) oder von Webseiten HTTP Secure (HTTPS) E-Mail Simple Mail Transfer Zum Versand elek- E-Mail-Programm Protocol (SMTP), Post tronischer Briefe Office Protocol Version (E-Mails) 3 (POP3), Dateiübertragung (File Transfer) File Transfer Protocol Zur Übertragung FTP-Server und -Cli- (FTP) von Dateien ents Namensauflösung Domain Name System Mit diesem Dienst Meistens im Betriebs- (DNS) werden Namen system integriert z. B. de.wikipedia. org in IP-Adressen übersetzt Usenet Network News Transfer Diskussionsforen zu News Client Protocol (NNTP) allen erdenklichen Themen SSH SSH Protocol Zur verschlüsselten ssh, unter Windows Benutzung entfern- z. B. PuTTY oder ter Rechner WinSCP Peer-to-Peer-Systeme eDonkey, Gnutella, z. B. Tauschbörsen eMule, FrostWire, FastTrack zum Austausch von Dateien Internet-Telefonie (VoIP) H.323, Session Initia- Telefonieren tion Protocol (SIP) Video-Chat H.264, QuickTime- Video-Telefonie Streaming Virtual Private Network VPN GRE, IPsec, PPTP Kopplung von OpenVPN LANs über das Internet, optional mit Verschlüsselung und Authentifizie- rung Internetradio Hypertext Transfer Radio hören/ Protocol (HTTP) senden Netzwerkadministration Simple Network Man- Dient der Fern- agement Protocol konfi-guration, (SNMP) -wartung und -überwachung von Netzwerkkompo- nenten wie z. B. Routern Internet Relay Chat IRC-Protokoll „Ur“-Chatdienst Verschiedene Cli- entprogramme, z. B. XChat (Linux, bzw. Windows) Instant Messaging Verschiedene proprietä- Kurznachrichten Je nach System, z. B. re Protokolle von Person zu ICQ/AIM, MSN oder Person Yahoo Messenger Überblick über wichtige Internetdienste (Quelle: www.wikipedia.org, verändert) TBS NRW / Heft 74 11
Grundlagen zur Internettechnik 2.2 Technische Grundlagen der Protokollierung und Überwachung Firmen, öffentliche Einrichtungen oder auch Privatpersonen können eigene Internetad- ressen buchen, den Internetauftritt gestalten und speichern und so ihre Internetseiten weltweit zugänglich machen. In den Anfängen waren die Internetseiten recht einfach gestaltet. Heute können die Dokumente neben Text und Grafik auch Fotos, Video oder Musik enthalten. Wichtig für den Aufbau des Internets - und die Möglichkeiten der Überwachung -ist, dass jeder Computer im weltweiten Internet und jede Internetseite als Datei eindeutig bezeichnet ist und somit identifiziert werden kann. Für IT-Geräte wie PCs oder Server wird diese eindeutige Identifizierung im Web IP-Adresse genannt. Die Identifizierung von Internetseiten erläutern wir am Beispiel der Startseite der TBS NRW: www.tbs-nrw.de/tbs/index,id,60.html „www.tbs-nrw.de“ ist der eindeutige Domänenname der TBS NRW e.V. in Deutschland. Die drei Buchstaben „www“ für World Wide Web beschreiben, dass der Internetauf- tritt der TBS nach entsprechenden technischen Standards gebildet wird. Charakteristisch für das Web ist, dass Dokumente auch aus verschiedenen Internetauftritten durch „Hy- perlinks“ oder Links verknüpft werden können, und man von einem zu einem ande- ren Dokument springen kann. Dies ermöglicht das Surfen durch das weltweite Web. Die weiteren Informationen der IP-Adresse sind ähnlich aufgebaut wie Dateinamen in Microsoft-Programmen, mit Angabe von Verzeichnissen und Unterverzeichnissen. Hier- durch wird die Datei eindeutig identifiziert. Die oben angegebene Adresse der TBS-Internetseite wird technisch URL für Uniform Resource Locators (einheitlicher Ressourcen- oder Quellenanzeiger) genannt, da sie eine Datei, also IT-Ressource, im weltweiten Netz identifiziert und auf einem Computer lo- kalisiert. Ruft ein Betriebsrat oder eine Betriebsrätin bzw. Personalrat oder Personalrätin ein entsprechendes Dokument aus einem Internetauftritt von seinem PC aus ab, so wird der Dokumentenname nicht nur auf seinem PC angezeigt, sondern auch auf Servern des Unternehmens gespeichert. Es kann also beim Surfen grundsätzlich protokolliert und kontrolliert werden, von wel- chem PC aus welche Internetseiten aufgerufen wurden. Beim Schreiben und Versenden einer E-Mail mit einer individuellen Adresse ist die Möglichkeit der personenbezogenen Internet-Provider Webserver wer, wann, wie lange, Protokoll mit Webadresse, wie, welche IP-Seiten wieviel, wie lange, Cache E-Mail Privat- E-Commerce personen TK-Verbindung Firmen, Telearbeit Vereine Informationen Betriebs- und abrufen Personalräte Intranet • Router-Software • Client / PC Protokoll: IP-Nr., wie groß, wie viel • Browser (Cache, History) • Telefonanlage A- & B-Nummer, wie lange • Firewall je nach Software und Konfiguration alles möglich! Datenspuren im Internet: Datenfluss und Datenspeicherung beim Surfen im Web 12 TBS NRW / Heft 74
Grundlagen zur Internettechnik Zuordnung noch offensichtlicher. Die folgende Grafik („Datenspuren Im Internet“) zeigt, welche Daten beim Abruf einer Internetseite aus dem Web grundsätzlich auf welchen Computersystemen inner- und überbetrieblich gespeichert werden können. Es wird deutlich, dass die Protokolldaten auf verschiedenen EDV-Anlagen erfasst und verarbeitet werden können, z.B. lokal auf dem PC, auf dem Webserver oder dem Router (Rechner zur Koppelung verschiedener IT-Netze, z.B. LAN und Internet), der Firewall (Software zum Schutz des betrieblichen Computernetzes vor Viren oder Sabotage) oder beim Internetprovider. Diese technischen Protokolle werden häufig auch Log-Datei oder Log-Protokoll genannt. Die Protokollierung muss natürlich bei der betrieblichen Regelung beachtet und geregelt werden. Bei dem Versenden einer E-Mail gilt dies entsprechend. Dabei ist es von besonderer Bedeutung, dass die Übertragung der Dateien oder E-Mails im Internet grundsätzlich unverschlüsselt erfolgt. Als diese Kommunikationstechnologien entwickelt wurden, spielten Datenschutz und Datensicherheit nur eine geringe Rolle. Erst später wurden sicherere Internetstandards, wie z.B. https entwickelt. Sie ermöglichen es, die Informationen weitgehend abhörsicher zu übertragen. Der Standard lässt sich nicht für E-Mail anwenden, hier müssten Daten oder Anhänge zusätzlich verschlüsselt werden. Alte und neue Internetadressen: von IPv4 zu IPv6 Der Begriff Internetadresse ist nicht eindeutig. Die Startseite des TBS-Internetauf- tritts hat (im Juli 2012) die Internetadresse http://www.tbs-nrw.de/tbs/index,id,60. html. Andererseits bezeichnet man mit Internetadresse auch die Identifikation einer Internet-Ressource, eines bestimmten Computers oder PCs. Diese Internetadresse hat heute, beim Standard IP Version 4 (IPv4) z. B. die Num- mer 192.0.2.42. Hiermit können gut 4 Milliarden Internetadressen gebildet werden. Obwohl diese Anzahl schon gewaltig erscheint, reicht sie durch die massive Verbreitung neuer Smartphones und Tablet-Computer mittlerweile nicht mehr aus, und seit Sommer 2012 wird der neue Standard IPv6 angewendet. In IPv6 hat eine Internetadresse z.B. den folgenden Aufbau: 2001:0db8:85a3:0000:0000:8a 2e:0370:7344. Es können nun Tausende von Milliarden (!) Internetadressen gebildet werden, um z.B. elektronische Komponenten und Geräte in Autos, im Haushalt, auf der Arbeit durch eine eigene IP-Adresse zu identifizieren. Datenschutzbeauftragte sehen hier gewaltige Probleme. Der Bundesdatenschutzbeauftragte Schaar kritisiert z.B., „dass die Hersteller von Smartphone-Software überwiegend die weltweite eindeutige Hardware-Kennung der Geräte als Bestandteil der IP-Adresse verwenden“. Damit nähmen sie „billi- gend in Kauf, dass das Verhalten der Nutzer individuell zugeordnet werden kann“ (Quelle: www.heise.de). TBS NRW / Heft 74 13
Grundlagen zur Internettechnik 2.3 Verschlüsselung und digitale Signaturen Verfahren zur Verschlüsselung von Texten gibt es bereits seit Jahrtausenden. Mit der Computertechnik sind die Verschlüsselungsverfahren immer aufwändiger und raffinierter geworden und bilden eine eigene Wissenschaft, die Kryptographie. Ziel ist es, einen Ori- ginaltext so zu verschleiern, dass er nur dem rechtmäßigen Empfänger verständlich ist. Ein sehr einfaches Verfahren ist die Cäsar-Verschlüsselung. Hierbei wird systematisch ein Buchstabe des Alphabets durch einen anderen ersetzt, das A durch das D, das B durch das M, usw. Es muss nun zwischen einer automatisierten Verschlüsselung, z.B. bei der Datenübertra- gung, und einer individuell vereinbarten Verschlüsselung unterschieden werden. Bei der Datenübertragung in einem betrieblichen IT-Netz zwischen einem PC und einem Server ist die Datei während der Datenübertragung in aller Regel automatisiert verschlüsselt (vgl. auch VPN, s.u.). Auf PC und Server ist die Datei allerdings in Klarschrift gespeichert und lesbar. Der Schutz ist begrenzt auf den Übertragungsweg. Bei einer „individuellen“ Verschlüsselung müssen sich Absender und Empfänger zuvor auf ein Verschlüsselungsverfahren verständigen. In der Praxis muss hierzu ein sogenann- ter Schlüssel ausgetauscht werden. Dies ist eine organisatorische Herausforderung. Daher bieten IT-Dienstleister an, die Verwaltung und Verteilung der geheimen Schlüssel gegen Gebühr zu organisieren. Diese Verfahren werden bei hohen Anforderungen an Daten- schutz und Datensicherheit genutzt. Einfacher geht es heute mit vielen Computerprogrammen, die standardmäßig Verschlüs- selungsverfahren anbieten, z.B. Acrobat Reader oder MS Word. Hierzu verschlüsselt der Absender die Datei mit einem Passwort. Das stellt er dem Empfänger auf vertraulichem Weg zur Verfügung. Danach übersendet er die verschlüsselte Datei im E-Mail-Anhang und der Empfänger kann sie entschlüsseln. Diese Technik wird zunehmend auch in der Kommunikation der Interessenvertretungen genutzt. Geschäftsbriefe mit der digitalen Signatur sichern (De-Mail Gesetz) Manchmal werden Verfahren der Verschlüsselung und der di- gitalen Signatur miteinander verwechselt. Mit der Verschlüs- selung soll die Geheimhaltung, die hohe Vertraulichkeit eines Dokumentes vor Dritten, gewährleistet werden. Mit der digita- len Signatur wird ein Dokument nicht verschleiert. Es kann von allen gelesen werden. Hiermit soll gewährleistet werden, dass die Inhalte eines Dokumentes nicht unbemerkt verändert wer- den, z.B. der Kaufpreis eines Artikels oder das Lieferdatum. Dies hat natürlich im Geschäftsverkehr zwischen Unternehmen einen hohen Stellenwert bei Bestellungen, Vertragsbestimmungen usw. aber auch zwischen Behörden und Bürgern. Daher hat es in Deutschland und der EU mehrere Anläufe gegeben, rechtlich sichere und prak- tikable Gesetze zur Unterstützung einer digitalen Signatur zu erlassen. Zuletzt ist im April 2011 das De-Mail-Gesetz im Bundestag verabschiedet worden. Es regelt insbesondere die Zulassung von IT-Dienstleistern, die entsprechende elektronische Dienste zur Gewährleistung der digitalen Signatur anbieten und durchführen. Auch eine Verschlüsselung ist möglich. 14 TBS NRW / Heft 74
Grundlagen zur Internettechnik Zunehmend werden auch Verschlüsselungsprogramme kostenfrei im Internet angebo- ten. Eine sichere E-Mail-Kommunikation ist auch für private PC-Nutzerinnen und -nutzer wichtig. Das Bundesamt für Sicherheit in der Informationstechnik (www.BSI.bund.de) bietet Bürgerinnen und Bürgern eine kostenfreie Verschlüsselungssoftware z.B. für E-Mail an. Sie kann unter „www.gpg4win.de“ heruntergeladen werden. 2.4 Technik des Intranets Unternehmen können eigene innerbetriebliche Computernetze nach den Internetstan- dards aufbauen. Sie werden dann Intranet genannt und enthalten z.B. zentrale betrieb- liche Dokumente wie Telefonverzeichnisse, Organigramme, Qualitätsmanagementhand- bücher usw. Auch hier können alle Informationsabrufe wie beim Surfen protokolliert werden. Weiterhin ist es möglich, über das Intranet die Computer an unterschiedlichen Unterneh- mensstandorten miteinander zu vernetzen und die Daten über das Web zu übertragen. Normalerweise würde diese Datenübertragung unsicher und ungeschützt sein. Da dies für Unternehmen mit ihren sensiblen Unternehmensdaten natürlich nicht akzeptabel ist, werden die Daten zwar über das weltweite Internet übertragen, jedoch durch einen ge- schützten „Tunnel“. Praktisch heißt dies, dass die Datenpakete verschlüsselt und somit abhörsicher im Internet übertragen werden. Dieses Sicherheitskonzept wird als VPN (vir- tuelles privates Netzwerk) bezeichnet und bildet heute einen Standard für eine gesicherte betriebliche Datenübertragung. Hauptstelle/Stammsitz Heimarbeiter mit VPN client software Wireless client mit VPN client software Firewall Zweigniederlassung 1 Firewall Zweigniederlassung 2 Firewall Beispielhafter Aufbau eines webgestützten Intranets mit VPN-Verschlüsselung TBS NRW / Heft 74 15
Internet 3. Internet In diesem Kapitel geht es um den Internet-Dienst www (world wide web), der zum Aufruf von Seiten, „Surfen“ und Recherchieren dient und üblicherweise (streng genommen: verkürzt) als „Internet“ bezeich- net wird. Im Folgenden wird auf die Regelungsberei- che zum „Internet“ eingegangen, die unserer Erfah- rung nach in Betrieben häufig zu Konflikten führen, d.h. • Zugang zum Internet, • private Nutzung und • Missbrauchskontrolle. Das damit zusammenhängende Thema der Unternehmensrichtlinien zur Inter- net-Nutzung wird im Kapitel E-Mail mit- behandelt. 3.1 Zugang zum Internet Recherchen im Internet gehören heute zum Standard im Betrieb. In manchen Betrieben entscheiden Vorgesetzte dennoch nach Gutdünken, wer einen Internetzugang erhält. Das verletzt den Grundsatz der Gleichbehandlung. Beschäftigte, die nicht an einem PC-Arbeitsplatz arbeiten, haben nicht immer einen Internetzugang und können damit von wichtigen, auch innerbetrieblichen Informationsquellen und Kommunikationsmöglichkeiten abgekoppelt und dadurch be- nachteiligt sein. Formulierung in einer Betriebs-/Dienstvereinbarung „Der Zugang zum Internet wird als Arbeitsmittel zur Verfügung gestellt und ist an eine persönliche Berechtigung gebunden. Die Berechtigung wird erteilt, wenn die Internet-Nutzung zur Unterstützung der Arbeit sinnvoll ist. Grundsätzlich wird davon ausgegangen, dass die umfassenden Informationsmöglich- keiten des Internets an allen Arbeitsplätzen sinnvoll genutzt werden können. Anträge auf Erteilung einer Berechtigung können nur aus triftigen Gründen abgelehnt werden. Für Arbeitsplätze, die nicht standardmäßig über einen Bildschirmarbeitsplatz verfü- gen, gibt es eine ausreichende Anzahl von Rechnern mit Internet-Zugang.“ 3.2 Private Nutzung Es kommt vor, dass Arbeitgeber die Genehmigung zum privaten Surfen daran knüpfen, dass die Nutzerinnen und Nutzer eine Einverständniserklärung dazu abgeben, dass der Arbeitgeber kontrollieren darf, was genau diese im Internet gemacht haben. Dies kann jedoch nur zulässig sein, wenn die private Nutzung vorher nicht erlaubt war (betriebliche Übung, siehe Ausführungen im Kapitel 5 E-Mail). Selbst bei genereller Zu- lässigkeit sind bei der Ausgestaltung einer solchen Einverständniserklärung die Persön- lichkeitsrechte zu beachten. 16 TBS NRW / Heft 74
Internet Das LAG Rheinland-Pfalz hat geurteilt, dass eine private Internetnutzung von etwa einer Stunde im Monat auf jeden Fall keine arbeitsvertragliche Pflichtverletzung ist (2.3.2006, AZ: 4 Sa 958/05): „Vergleichbar ist der Umfang der Nutzung etwa mit privaten Gesprächen während der Arbeitszeit mit Kollegen, privaten Telefongesprächen in geringfügigem Umfang, Zigaret- tenpausen oder sonstige als noch sozial adäquat anzuerkennende Tätigkeiten, die nicht unmittelbar mit dem Arbeitsverhältnis in Beziehung stehen.“ (Zitat aus der Urteilsbegründung). 3.3 Missbrauchskontrolle Eine Leistungs- oder Verhaltenskontrolle mit Hilfe der Verbindungsdaten wäre selbst bei rein dienstlicher Nutzung von Internet und E-Mail für den Normalfall eine datenschutz- rechtlich problematische Zweckentfremdung der (aus technischen Gründen anfallenden) Protokolldaten und sollte nicht zugelassen sein. Formulierung in einer Betriebs-/Dienstvereinbarung Alternative 1: „Protokollierungen von Verbindungsdaten (z.B. Zustellungszeitpunkt, Ausgangszeit- punkt, Adressaten/Empfänger, Größe) und die Abspeicherung der E-Mails oder von Internet-Seiten werden nur zur Sicherstellung des ordnungsgemäßen Betriebes der IT- Systeme, der Systemsicherheit, der Datensicherheit und des Datenschutzes genutzt. Sie werden nicht zur Leistungs- oder Verhaltenskontrolle der Mitarbeiter/innen ge- nutzt. Widerrechtlich gewonnene Daten unterliegen einem Verwertungsverbot.“ Manche Arbeitgeber wollen aber die Möglichkeit haben, Missbrauch (z.B. stundenlanges privates Surfen) zu kontrollieren. Dies ist dann auf konkrete Verdachtsfälle einzugrenzen. Formulierung in einer Betriebs-/Dienstvereinbarung Alternative 2: „Protokollierungen von Verbindungsdaten (z.B. Zustellungszeitpunkt, Aus- gangszeitpunkt, Adressaten/Empfänger, Größe) und die Abspeicherung der E-Mails oder von Internet-Seiten werden nicht zur Leistungs- oder Verhal- tenskontrolle der Mitarbeiter/innen genutzt. Dies gilt nicht, wenn Tatsa- chen bekannt werden, die den Verdacht einer erheblichen Verletzung der Ar- beitspflichten begründen, und der BR/PR einer entsprechenden Auswertung vorher zugestimmt hat. Die Kontrolle der Protokolldaten des BR/PR ist unzulässig. Widerrechtlich gewonnene Daten unterliegen einem Verwertungsverbot.“ Sicherlich müssen die entscheidenden Datenschutz- und Datensicherheitsmaßnahmen sowohl zum Surfen im Internet als auch beim E-Mail-Verkehr durch die IT-Abteilung des Unternehmens eingestellt und gewährleistet werden. Einzelne Sicherheitseinstellungen auf dem PC oder Notebook können jedoch auch die Beschäftigten selbst realisieren. Es geht dabei besonders um Cookies oder die Internethistorie. Details hängen immer vom benutzten Browser wie Internet Explorer oder Firefox ab. Jeweils aktuelle Informationen findet man z.B. unter den Internetauftritten „www.verbraucher-sicher-online.de“ der Technischen Universität Berlin oder unter „www.bsi-fuer-buerger.de“. TBS NRW / Heft 74 17
Intranet 4. Intranet Das Intranet ist ein betriebliches EDV-Netz, das nach den technischen Standards des Internets aufgebaut ist, dessen Informationen und Funktionen aber im Gegensatz zum Internet nicht von der Öffentlichkeit, sondern nur intern von Be- triebs-, Verwaltungs- bzw. Konzernangehörigen genutzt werden können. Ein Intranet kann genutzt werden, um betrieblich relevante Informationen und Unterlagen, z.B. Telefon- verzeichnisse, Qualitätshandbücher, Organisationsplä- ne, Betriebs-/Dienstvereinbarungen zur Verfügung zu stellen. Hierbei handelt es sich um weniger vertrauliche Informationen, die allen Unternehmens- angehörigen zugänglich gemacht werden. Über ein Intranet können aber auch Verfahren zur Beantragung von Dienstreisen oder Urlaub oder für Verbesserungsvorschläge usw. durchgeführt, interne Stellen ausgeschrieben oder Seminare angeboten werden. In die- sen Fällen werden Beschäftigtendaten erhoben und es sind Datenschutzmechanismen, wie z.B. eingeschränkte Zugriffsrechte, erforderlich. Mit zunehmender Nutzung des Intranets für das innerbetriebliche Wissen wird es immer wichtiger, dass alle Beschäftigten Zugang dazu haben, um nicht von wichtigen Informa- tionen abgeschnitten zu sein. Vielfach wird über das Intranet sogenannte Collaboration Software, d.h. Software zur Unterstützung der Zusammenarbeit in einer Gruppe über zeitliche und/oder räumliche Distanz hinweg (z.B. Microsoft Sharepoint) genutzt. Hier werden umfassende Funktionen im Hinblick auf • Kommunikation und Koordination (E-Mail, Instant Messaging, Kalenderverwaltung und Projekt-Management), • Kooperation (Desktop-Sharing oder Online-Whiteboards), • Dokumenten-Management sowie • Information-Sharing (Wikis, Blogs, Diskussionsforen etc.) bereitgestellt. In diesem Zusammenspiel ist z.B. über das Intranet die Erstellung eines „Betrieblichen So- zialen Netzes“ eine Option, in dem Profile von Kollegen und Kolleginnen zur Verfügung stehen, die berufliche Qualifikationen und Informationen, aber auch Fotos, Hobbies und Statusmeldungen der Beschäftigten anzeigen. Ein betrieblicher Kleinanzeigenmarkt run- det das Angebot des Intranets ab. Die hart geführten Diskussionen zur privaten Nutzung des Internets verschwimmen, denn diese Form des Intranets lebt erst von der Bekanntgabe vieler auch persönlicher Daten. Betriebs- und Personalräte müssen hier Rahmenbedingungen schaffen, die die Preisgabe persönlicher Daten minimiert und auf Freiwilligkeit der Bekanntgabe der Daten drängen und die Beschäftigten entsprechend sensibilisieren. 18 TBS NRW / Heft 74
Intranet Formulierung in einer Betriebs-/Dienstvereinbarung „Personenbezogene Daten von Beschäftigten, die im Intranet eine eigene Profilseite haben, dürfen nur unter Beachtung des Bundesdatenschutzgesetzes eingetragen wer- den. Die Angaben der Informationen zur eigenen Personen sowie die Bereitstellung eines Fotos erfolgen freiwillig.“ Alternative Formulierung: „Die eigene Profilseite enthält automatisch die wichtigsten Personendaten, wie z. B. Vor- und Nachname, Bereich, Abteilung, Funktion, dienstliche Telefonnummer und dienstliche E-Mailadresse. Zusätzlich besteht die Möglichkeit, das eigene Profil mit weiteren persönlichen Informationen zu ergänzen. Das sind unter anderem ein per- sönliches Foto, Themen, für die der Mitarbeiter als Ansprechpartner zur Verfügung steht, erledigte Projekte, Fertigkeiten, Interessen und der Geburtstag. All diese zu- sätzlichen Informationen sind freiwillige Angaben des Mitarbeiters. Jeder Mitarbei- ter kann selbst festgelegen, wer diese Informationen sehen darf (jeder, meine Kolle- gen, mein Team, mein Manager oder privat). Inhaltlich müssen diese Einträge einen dienstlichen Bezug aufweisen. Jeder Mitarbeiter kann auf freiwilliger Basis ein Foto von sich in seine Profilseite laden. Für dieses Foto gelten die folgenden Vorgaben: • Portraitfoto, kein Ganzkörperbild und kein Gruppenfoto (kein Urlaubsfoto o.ä.) • Auf dem Bild muss die Person abgebildet sein, zu der die Profilseite gehört.“ TBS NRW / Heft 74 19
E-Mail 5. E-Mail In diesem Kapitel geht es um Regelungsschwerpunkte zum Thema E-Mail, mit denen Interessenvertretungen häufig konfrontiert werden: • Privates E-Mailen, • Zugriff des Arbeitgebers auf E-Mails bei längerer Ab- wesenheit der Nutzerinnen und Nutzer, • Archivierung, • Unternehmensrichtlinien zur Nutzung von E-Mail und • E-Mail-Stress. E-Mails können einerseits formellen Charakter haben und dienstlichen Schriftverkehr ersetzen. Andererseits ersetzen sie zunehmend Gespräche und haben einen informel- len Charakter, der sich auch durch einen legeren Sprachgebrauch im Vergleich zum Ge- schäftsbrief auszeichnet. Gespräche und Telefonate, auch rein dienstliche, sind rechtlich vor heimlichen Mithören geschützt. Wie verhält es sich mit E-Mails? Darf der Arbeitgeber die E-Mails mitlesen? 5.1 Privates E-Mailen im Betrieb Die rechtlichen Konsequenzen privater E-Mail-Nutzung sind vielen nicht bekannt. Nach herrschender Rechtsauffassung wird ein Arbeitgeber, der die private Nutzung der dienstlichen E-Mail-Adresse für privates E-Mailen zulässt oder duldet, zum „Dienstean- bieter“ gemäß Telekommunikationsgesetz (TKG) und unterliegt damit dem Fernmelde- geheimnis § 88 TKG. Die Verletzung des Fernmeldegeheimnisses (Kenntnisnahme persönlicher Daten, bereits die Verbindungsdaten eines Telefonats oder einer E-Mail, oder die Unterdrückung pri- vater Daten) ist strafbar. Das Fernmeldegeheimnis bezüglich der E-Mail-Inhalte und der Protokolldaten der E-Mail-Verbindungen besteht für die Daten, die sich auf den Servern des Arbeitgebers befinden. Es gilt nicht für zugestellte E-Mails und E-Mail-Protokolle, die bereits auf dem Rechner der Adressaten gespeichert sind. § 88 Fernmeldegeheimnis (Telekommunikationsgesetz) (1) Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommuni- kationsvorgang beteiligt ist oder war. Das Fernmeldegeheimnis erstreckt sich auch auf die näheren Umstände erfolgloser Verbindungsversuche. (2) Zur Wahrung des Fernmeldegeheimnisses ist jeder Diensteanbieter verpflichtet. Die Pflicht zur Geheimhaltung besteht auch nach dem Ende der Tätigkeit fort, durch die sie begründet worden ist. (3) Den nach Absatz 2 Verpflichteten ist es untersagt, sich oder anderen über das für die geschäftsmäßige Erbringung der Telekommunikationsdienste einschließlich des Schutzes ihrer technischen Systeme erforderliche Maß hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen (Satz 1). Sie dürfen Kenntnisse über Tatsachen, die dem Fernmeldegeheimnis unterliegen, nur für den in Satz 1 genannten Zweck verwenden. Eine Verwendung dieser Kenntnisse für 20 TBS NRW / Heft 74
E-Mail andere Zwecke, insbesondere die Weitergabe an andere, ist nur zulässig, soweit die- ses Gesetz oder eine andere gesetzliche Vorschrift dies vorsieht und sich dabei aus- drücklich auf Telekommunikationsvorgänge bezieht. (…)“ Das hat beispielsweise folgende Konsequenzen: • E-Mails dürfen nicht automatisch zu anderen Personen um- oder weitergeleitet wer- den, auch nicht bei Abwesenheit der Adressaten. • E-Mails dürfen nicht ausgefiltert werden, d.h. Spam-Mails müssen zugestellt werden (z.B. in einem separaten Ordner), über virenbefallene E-Mails ist der vorgesehene Adressat unter Angabe des Absenders zu informieren. • Mails dürfen vom Arbeitgeber nur in einer Weise archiviert werden, so dass die Ei- gentümer/Adressaten der E-Mail diese jederzeit löschen können. Diese Anforderung kollidiert mit den meisten Archivierungskonzepten. • Jegliche Kontrolle von Verbindungsdaten (wer hat wem wann eine E-Mail geschickt) ist verboten. Die Konsequenzen gelten zunächst nur für die E-Mails mit privatem Inhalt. Bei fehlender Trennung von den rein geschäftlichen E-Mails (in der Regel der Fall) gelten sie für alle E-Mails. Rechtslage bei rein dienstlicher Nutzung (und einer persönlichen E-Mail-Adresse) Auch bei rein dienstlicher Nutzung hindern die Persönlichkeitsrechte des Arbeitnehmers den Arbeitgeber an einem willkürlichen Zugriff auf ein E-Mail-Konto des Arbeitnehmers. Auch im dienstlichen E-Mail-Verkehr gibt es persönliche oder vertrauliche Mitteilun- gen, wie z.B. mit dem Betriebsrat/Personalrat, der Schwerbehindertenvertretung, dem betriebsärztlichen Dienst, dem betrieblichen Datenschutzbeauftragten, der Personal- abteilung usw. Grundrechte zum Persönlichkeitsschutz (das Recht auf informationelle Selbstbestimmung sowie der verfassungsrechtliche Schutz vor ausufernder Online-Über- wachung) stellen sicher, dass die Verhältnismäßigkeit gewahrt werden muss. Arbeitgeber können nicht pauschal verlangen, Einblick in alle E-Mails nehmen zu können. Kann der Arbeitgeber benötigte E-Mail-Inhalte direkt vom Beschäftigten fordern, so ist in der Regel dieser Weg zu beschreiten. Arbeitgeber dürfen Beschäftigte nicht pauschal anweisen, alle ihre eingehenden und/ oder ausgehenden E-Mails automatisch anderen Personen (z.B. Vertretung) zugänglich zu machen. Dies gilt jedenfalls bei einer personenbezogenen E-Mail-Adresse. Bei perso- nenbezogenen E-Mail-Adressen kann prinzipiell nicht ausgeschlossen werden, dass priva- te E-Mails eingehen. Außerdem wäre auch das Kommunikationsgeheimnis Außenstehen- der berührt, denn Absender können nicht damit rechnen, dass ihre Nachrichten anderen Personen zugehen, als sie beabsichtigt haben. Bei Abwägung der Interessen kommt nur in Frage, • die Einsicht in die Inhalte auf absolute (zu benennende) Sonderfälle zu beschränken (z.B. betriebswichtige E-Mails auf dem E-Mail-Konto eines Unfallopfers), • die Zahl der Einsicht nehmenden Personen zu beschränken und • ein Verwendungs- und Weitergabeverbot der Inhalte und der damit verbundenen Erkenntnisse über die Kommunikationspartner festzulegen. TBS NRW / Heft 74 21
E-Mail Das Verfahren wird vereinfacht, wenn E-Mail-Empfänger dazu verpflichtet sind, dienst- liche von privater bzw. vertraulicher E-Mail zu trennen und in entsprechende Ordner abzulegen. Dienstliche E-Mail darf dann in Notfällen von einer Vertretung eingesehen werden (s. 5.2). Erlaubnis für privates E-Mailen widerrufen Auf die datenschutzrechtlichen Konsequenzen privater E-Mail-Nutzung reagieren viele Arbeitgeber reflexartig mit einem kategorischen Verbot. Doch so einfach ist das nicht. Nur wenn die Erlaubnis privater Nutzung unter Vorbehalt gegeben wurde, kann der Ar- beitgeber diese widerrufen. Eine Betriebsvereinbarung, in der die private Nutzung erlaubt wurde, kann gekündigt werden. Jedoch in allen anderen Fällen einer seit längerem geduldeten oder erlaubten privaten Nutzung ist nach überwiegender Rechtsauffassung eine betriebliche Übung und damit ein individualrechtlich einklagbarer Anspruch der Beschäftigten entstanden. Dieser kann weder durch einseitige Erklärung vom Arbeitgeber oder gegenteilige betriebliche Übung noch durch eine Betriebs- bzw. Dienstvereinbarung aufgehoben werden. Dem Arbeitgeber bliebe hier nur, sich mit allen Beschäftigten über die Aufhebung der be- trieblichen Übung zu einigen oder eine Änderungskündigung auszusprechen. Eine gute Möglichkeit, die die bisherigen Rechte der Beschäftigten wahrt, besteht in einer Regelung in einer Betriebs-/Dienstvereinbarung, die eine geringfügige private Nutzung zulässt. Oder man verweist in einer Protokollnotiz zur Betriebsvereinbarung auf die bisherige betriebliche Übung und deren Fortsetzung. Aber auch bei verordneter rein dienstlicher Nutzung gilt: Selbst eine verbotenerweise versandte private E-Mail bleibt eine private E- Mail und unterliegt damit dem Schutz des § 88 TKG. Grundsätzliche Erlaubnis zu privater Nutzung von E-Mail In Notfällen sowie aus dienstlich veranlassten Gründen („ich komme später“) muss der Arbeitgeber die private Nutzung zulassen. Ebenfalls muss der Arbeitgeber bei rein elekt- ronischer Anbindung des Arbeitsplatzes ohne Telefon die private Kommunikation per E- Mail gestatten. Die Fachliteratur weist darauf hin, dass dienstliche Kommunikation nicht bedeutet, dass jedes private Wort zu unterbleiben hat. Dieses könne die dienstliche Kom- munikation sogar erleichtern. Argumente für das private E-Mailen Wie oben bereits erwähnt, wollen manche Arbeitgeber das private E-Mailen verbieten, um nicht dem Fernmeldegeheimnis nach Telekommunikationsgesetz zu unterliegen. Doch dies ist weder im Interesse der Beschäftigten noch des Unternehmens. Eine auch private Nutzung des Mediums E-Mail innerhalb des Arbeitstages ist üblich (übrigens auch und gerade im Management), und durch ein Verbot würden die Nut- zerinnen und Nutzer kriminalisiert und auch loyalen Mitarbeiterinnen und Mitarbeitern eine böswillige Absicht unterstellt. Ein Verbot könnte demotivierend wirken und seine Überwachung könnte zu einer Verschlechterung der Unternehmenskultur hin zu mehr Misstrauens- und Kontrollkultur führen. Gespräche zwischen Personen, die dienstlich häufig Kontakt haben, enthalten neben dienstlichen auch häufig private Elemente - das ist bei E-Mails genauso. Die gute Kon- 22 TBS NRW / Heft 74
E-Mail taktpflege führt auch zu gelegentlichen rein privaten Gesprächen (auf dem Flur, per Te- lefon). Dies sollte auch beim zunehmenden Ersatz solcher direkter Gespräche durch zeit- versetzte Kommunikation via E-Mail nicht wegfallen und kann auch nicht im Interesse eines Arbeitgebers sein. Möglichkeiten zur Trennung privater und dienstlicher E-Mails Die beste Möglichkeit wäre die vom Bundesamt für Sicherheit in der Informationsverar- beitung (BSI) empfohlene Einrichtung doppelter E-Mail-Adressen, nämlich einer perso- nenbezogenen E-Mail-Adresse (vorname.name@betrieb.de) sowie einer funktionsbezo- genen E-Mail-Adresse (z.B. Sekretariat@betrieb.de, Disposition@betrieb.de, Personalrat@ behoerde.de), über die normale Dienstgeschäfte abgewickelt werden. Geschäftspartner- innen und -partnern wird nur die funktionsbezogene E-Mail-Adresse bekanntgegeben. Hiermit ist eine gute Trennung von geschäftlichen und persönlichen/vertraulichen/priva- ten E-Mails sichergestellt. Bei Abwesenheit können die E-Mails der funktionsbezogenen Adresse automatisch umgeleitet werden. Auch eine Archivierung wird erleichtert. Als Alternative dürfen private E-Mails im Betrieb nicht mit der betrieblichen E-Mail-Ad- resse, jedoch mit einer Web-Mail-Adresse (z.B. von web, gmx, t-online, yahoo) gesendet und empfangen werden. Dies setzt voraus, dass eine private Nutzung des Internets nicht ausgeschlossen ist. Hiermit sind die privaten einigermaßen von den dienstlichen E-Mails getrennt. Wenn für dienstliche E-Mails eine personenbezogene betriebliche E-Mailadres- se genutzt wird, sind eingehende private E-Mails jedoch nicht ausgeschlossen und es gibt weiterhin dienstliche vertrauliche und persönliche E-Mails (diese sollten die Nutzerinnen und Nutzer in privaten Ordnern ablegen). Für die Nutzerinnen und Nutzer ist es außer- dem umständlich, die privaten E-Mails nicht in ihrem betrieblichen E-Mail-Postfach zu verwalten, sondern extra eine Internetseite öffnen zu müssen. Die E-Mail-Anhänge der privaten E-Mails könnten zudem Viren enthalten, da diese nicht die Virenprüfung der betrieblichen Firewall durchlaufen, so dass die PCs der Nutzerinnen und Nutzer mit einem eigenen Virenscanner ausgerüstet sein müssen. 5.2 Zugriff auf E-Mails bei Abwesenheit Eine Regelung für den Zugriff auf dringende E-Mails in Abwesenheit von Beschäftigten ist erheblich einfacher, wenn es für die geschäftsrelevante dienstliche Kommunikation nur funktionsbezogene E-Mailadressen statt persönlicher E-Mailadressen gibt. Bei einer rein funktionsbezogenen E-Mail-Adresse (z.B. arbeitsvorbereitung@betrieb.de) können bei Abwesenheit von Beschäftigten deren E-Mails automatisch an eine Vertre- tung umgeleitet werden oder die Vertretung hat dieselbe Gruppen-E-Mailadresse. Bei persönlichen E-Mail-Adressen wäre dies nicht zulässig, wie oben beschrieben. Die Alternative bietet dann die Einschaltung des Abwesenheitsassistenten mit einem Hinweis auf die Vertretung. „Ich bin bis zum tt.mm.jj nicht erreichbar. Diese Nachricht wird nicht weitergeleitet. Ich werde sie nach meiner Rückkehr bearbeiten. In dringenderen Fällen wenden Sie sich bitte an meine Vertretung name@betrieb.de.“ Bei nicht vorhersehbaren Abwesenheiten (z.B. Krankheit, Unfall) kann die Nachricht allerdings in der Regel nicht mehr von den Betroffenen abgesetzt werden. Dies müsste dann über die zuständige technische Systemadministration schnellstmöglich nach Be- kanntwerden der Abwesenheit veranlasst werden. TBS NRW / Heft 74 23
E-Mail Falls die bis dahin im Postfach bereits aufgelaufenen E-Mails zeitkritische geschäftsrele- vante Nachrichten enthalten können, müssen diese von der zuständigen Vertretung in Anwesenheit des/der betrieblichen Datenschutzbeauftragten oder eines BR-/PR-Mitglie- des gesichtet werden. Dabei ist zu beachten, dass nur die geschäftsrelevanten Nachrich- ten gelesen werden und jede andere Nachricht unverzüglich geschlossen wird, sobald diese als vertraulich erkennbar ist. Auch ein Rückgriff auf bereits abgelegte ältere E-Mails kann in Abwesenheit des Beschäftigten kurzfristig erforderlich sein. Um für solche Fälle sicherzustellen, dass nur geschäftsrelevante E-Mails gelesen werden können, sollten die Beschäftigten dazu angehalten werden, private und vertrauliche E-Mails nach dem Lesen entweder zu löschen oder in einen separaten Ordner „privat“ zu verschieben. Dieser Ordner ist tabu für Dritte. Ein besonderer Fall liegt vor, wenn bei nicht freigestellten Mitgliedern der Interessenver- tretung ein namentliches E-Mail-Postfach sowohl für geschäftliche E-Mails als auch für E-Mails der Interessenvertretung verwendet wird. Die Vertretung kann bei Sichtung der E-Mails auch Betriebsrats- (bzw. Personalrats-) Mails lesen. Eine Möglichkeit wäre, dass die Vertretung nur durch ein anderes Betriebsratsmitglied (bzw. Personalratsmitglied) er- folgen darf. Eine andere Lösung besteht darin, den nicht freigestellten Mitgliedern der In- teressenvertretung zusätzliche spezielle persönliche Betriebsrats- (bzw. Personalrats-) E- Mailadressen zu geben, etwa nach dem Muster BR.vorname.nachname@xyz.de,und den Beschäftigten entsprechend bekanntzugeben. Diese Lösung ist auch für andere Personen mit besonderem Vertrauensschutz anzuwenden, wie z.B. Schwerbehindertenvertretung, JAV, betriebliche/r Datenschutzbeauftragte/r, Gleichstellungsbeauftragte/r. Formulierung in einer Betriebs-/Dienstvereinbarung: „Die Eigentümer persönlicher E-Mail-Adressen stellen für geplante Abwesenheiten sicher, dass die Absender und eine zuständige Vertretung über ihre Abwesenheit in- formiert werden. Bei ungeplanter Abwesenheit erstellt ein autorisierter Systemver- walter auf Veranlassung des Vorgesetzten die Abwesenheitsmeldung und gewährt der Vertretung die Zugriffsrechte für die Zeit des Beginns der Abwesenheit bis zur Abwesenheitsmeldung auf das persönliche Postfach. Sollte die Kenntnis bestimmter älterer E-Mails kurzfristig während der Abwesenheit des Eigentümers für einzelne Geschäftsvorgänge erforderlich sein, dürfen diese ebenfalls gezielt für bestimmte Ab- sender gesichtet werden. E-Mail-Ordner mit der Bezeichnung „privat“ dürfen nicht gelesen werden. Die Sichtung der E-Mails erfolgt im Beisein des/der betrieblichen Datenschutzbeauftragten (bzw. Betriebsrats-/Personalratsmitglieds) Die Vertretung und der/die Beschäftigte, an den die E-Mail ursprünglich gerichtet war, werden hier- über informiert. Stellt eine Vertretung bei der Einsicht in eine E-Mail fest, dass diese vertraulichen Charakter hat, ist diese unverzüglich zu schließen. Informationen dar- aus dürfen nicht weitergegeben oder verwertet werden. BR/PR, betriebliche Datenschutzbeauftragte, Schwerbehindertenvertretung haben für ihre Aufgaben jeweils von ihrer sonstigen betrieblichen Funktion getrennte E- Mail-Adressen.“ 24 TBS NRW / Heft 74
Sie können auch lesen