Im Rahmen ihrer beruflichen Tätigkeiten verfügen die Arbeitnehmer über einen Computer, darüber hinaus häufig auch über einen Internetanschluss und eine E-mail-Adresse.
Im Allgemeinen gestattet der Arbeitgeber die Nutzung der IT-Infrastruktur zu nicht-beruflichen Zwecken. Diese Nutzung muss aber in jedem Fall in einem vernünftigen Rahmen bleiben und darf das ordnungsgemäße Funktionieren des Unternehmens nicht beeinträchtigen.
Welche Interessen sind im Spiel?
Der Arbeitnehmer hat ein Recht auf die Achtung seines Privatlebens am Arbeitsplatz. Darunter fällt vor allem das Briefgeheimnis. Der Arbeitnehmer muss jedoch seinen Arbeitsvertrag erfüllen und hat auch die Verpflichtung zur Loyalität seinem Arbeitgeber gegenüber.
Der Arbeitgeber hat das Recht, seine Güter zu schützen: vertrauliche Daten dürfen nicht verbreitet oder weitergeleitet werden, sein Datensystem muss ordnungsgemäß funktionieren können (Verhinderung von Virusinfektionen, Datenstaus, Systemüberlastungen,…).
Die Verpflichtung, die Arbeitnehmer über die Nutzung der IT-Infrastruktur zu informieren
Der Arbeitgeber muss den Arbeitnehmer darüber in Kenntnis setzen, inwieweit er die Nutzung der IT-Infrastruktur zu persönlichen Zwecken gestattet, welchen Einschränkungen eine solche Nutzung unterliegt, welche Mittel er zur Kontrolle der Infrastruktur einsetzt und inwiefern diese Kontrollmittel eingesetzt werden. Er muss demnach deutlich machen, ob er den Arbeitnehmern die Nutzung von E-mails oder Internet oder die Speicherung und Nutzung persönlicher Dateien gestattet.
Hierbei können beispielsweise die nachfolgenden Informationen gegeben werden:
die Nutzung der IT-Infrastruktur zu privaten Zwecken (Nutzungszeiträume und –dauer, Art und Weise der Speicherung der Daten auf der Festplatte,…);
Gründe und Zwecke einer eventuellen Kontrolle, Art der dabei erhobenen Daten, Ausmaß und Umstände der Kontrollen; Personen, denen die erhobenen Daten zugänglich sind;
Einsatz von Software, die den Zugriff auf bestimme Webseiten verhindert oder Ketten-E-mails oder übergroße Dateien blockiert;
Art und Weise der Erhebung sowie Nutzung der aus der Überwachung gewonnenen Daten;
Personen, die zur Nutzung der erhobenen Daten berechtigt sind; die Umstände, in denen eine solche Nutzung gestattet ist;
Aufbewahrungsdauer der aus der Überwachung gewonnenen Daten;
Entscheidungen, die der Arbeitgeber bei einer Kontrolle fällen könnte;
Die Rolle der Arbeitnehmervertreter bei der Umsetzung der Überwachungsrichtlinien;
Modalitäten des Auskunftsrechts der Arbeitnehmer über die sie betreffenden Daten.
Im Hinblick auf Transparenz und Aufrichtigkeit in den Arbeitsbeziehungen empfiehlt die nationale Kommission den Arbeitgebern die Aufstellung unternehmensinterner Verhaltensregeln oder anderer Dokumente dieser Art in Bezug auf die Nutzung der IT-Infrastruktur sowie auf die Kontrollmodalitäten.
Wann und wie darf der Arbeitgeber die IT-Infrastruktur überwachen?
Der Arbeitgeber hat nicht das Recht, die Nutzung der IT-Infrastruktur durchgehend zu kontrollieren - selbst dann nicht, wenn die Nutzung zu Privatzwecken vollständig untersagt ist (ggf. bestehende gesetzliche Bestimmungen ausgenommen).
Unabhängig vom jeweiligen IT-Werkzeug muss die Überwachung stets in Abstufungen erfolgen ("progressive Kontrollverdichtung“): in einer ersten Stufe muss sie punktuell sein und ohne Identifizierung der Arbeitnehmer stattfinden. Wenn sich dabei Hinweise und Verdachtsfälle ergeben, kann der Arbeitgeber die Überwachung verstärken und individualisierte Überprüfungen durchführen, bei denen die betreffenden Arbeitnehmer identifiziert werden.
Kontrolle der E-mail-Nutzung
Der Arbeitgeber muss das Briefgeheimnis achten:
Es wird davon ausgegangen, dass jede elektronische Nachricht, die auf einem Computer des Arbeitgebers empfangen oder versendet wird, im Rahmen der beruflichen Tätigkeiten empfangen oder versendet wird, d.h. der Arbeitgeber selbst als Empfänger bzw. Versender angesehen wird.
Es handelt sich dabei jedoch um eine vereinfachte Annahme, denn die Nachricht kann privater Natur sein.
Ist dies der Fall, so darf der Arbeitgeber die entsprechende Nachricht an oder von seinem Arbeitnehmer nicht öffnen. Tut er es doch, so verletzt er das Briefgeheimnis, was einen Straftatbestand darstellt. Der Rechtsprechung zufolge findet dieses Verbot selbst dann Anwendung, wenn der Arbeitgeber zuvor die nicht-berufliche Nutzung der IT-Infrastruktur untersagt hat.
Der Grundsatz des Briefgeheimnisses kann jedoch im Rahmen einer strafrechtlichen Untersuchung oder durch einen Gerichtsbeschluss aufgehoben werden.
Kontrolle der E-mail beruflicher Art:
Was nicht als „persönlich“ markiert ist, muss als beruflich angesehen werden, so dass der Arbeitgeber darauf zugreifen darf.
Er darf Verkehrs- und Log-Daten wie z.B. Menge, Häufigkeit, Größe, Format der angehängten Dateien erheben. Diese Informationen werden kontrolliert, ohne dass dabei die betroffene Person identifiziert wird.
Falls Unregelmäßigkeiten festgestellt werden, darf der Arbeitgeber in einer zweiten Stufe die betroffenen Personen identifizieren und den Inhalt der beruflichen E-mails kontrollieren.
Empfehlungen für die E-mail-Nutzung:
E-mails privater und beruflicher Natur voneinander unterscheiden:
Um zu vermeiden, dass die Vertraulichkeit von Nachrichten persönlicher Art durch den Arbeitgeber verletzt werden könnte, empfiehlt die nationale Kommission:
Die Installierung einer doppelten Mailbox, bei der E-mails beruflicher bzw. privater Natur voneinander getrennt werden;
die Archivierung der Nachrichten persönlicher Natur in einem als „persönlich“ gekennzeichneten Ordner;
die Markierung von Nachrichten privater und persönlicher Natur durch den Arbeitnehmer (dieser sollte seine Mailpartner dazu auffordern, das gleiche zu tun).
Kann der Arbeitgeber in Abwesenheit des Arbeitnehmers auf dessen Mailbox zugreifen, um das ordnungsmäße Funktionieren des Betriebs zu gewäherleisten?
Nachdem die Arbeitnehmer und die Personalvertretungsorgane darüber in Kenntnis gesetzt worden sind, wird folgendes empfohlen:
das automatische Versenden einer Abwesenheitsbenachrichtigung an den Absender einer E-mail, mit Angabe der in dringenden Fällen zur Verfügung stehenden Personen;
das Benennen eines Stellvertreters, der ein speziell definiertes Zugriffsrecht auf die Mailbox seines Arbeitskollegen besitzt (er kann Nachrichten beruflicher Art lesen und bearbeiten, jedoch nicht Nachrichten, die als persönlich gekennzeichnet sind);
die Weiterleitung aller eingehenden Nachrichten an einen Stellvertreter.
Jeder Arbeitnehmer muss wissen, wer sein Stellvertreter ist.
Bei einem endgültigen Weggang des Arbeitnehmers wird folgendes empfohlen:
Der Arbeitnehmer, der das Unternehmen verlässt, leitet alle Dokumente beruflicher Art an eine vorher festgelegte Person weiter (z.B. seinen Vorgesetzten);
er versichert, seinem Arbeitgeber alle Dokumente beruflicher Art ausgehändigt zu haben;
er kann Nachrichten (und andere Dokumente) privater Natur auf einen privaten Datenträger kopieren und sie dann aus dem Datensystem des Unternehmens entfernen;
der Arbeitgeber verpflichtet sich, alle IT-Konten des Arbeitnehmers zu blockieren und dessen Mailbox(en) bei Verlassen des Unternehmens zu löschen;
Personen, die eine Nachricht an das blockierte Konto schicken, werden automatisch über die Löschung der E-mail-Adresse in Kenntnis gesetzt und erhalten eine alternative Kontaktadresse.
Die Kontrolle der Internet-Nutzung
Der Internetzugang wird für berufliche Zwecke bereitgestellt.
Der Arbeitgeber kann bestimmte Bedingungen und Einschränkungen für die private Internetnutzung festlegen. Vor Durchführung der Kontrolle muss er gegenüber den Arbeitnehmern deutlich machen, welche Mittel dafür eingesetzt werden und welchen Modalitäten die Kontrolle unterliegt.
Er darf keinen bestimmten, identifizierbaren Arbeitnehmer überwachen, ohne zunächst in einer vorhergehenden Stufe eine allgemeine und nicht personalisierte Überwachung durchgeführt zu haben. So kann er beispielsweise eine allgemeine Liste der über einen bestimmten Zeitraum besuchten Webseiten aufstellen, aus der die Identität der Webseitenbesucher nicht hevorgeht. Ergeben sich daraus Hinweise auf eine Internetnutzung, die dem Unternehmen abträglich ist (z.B. durch eine außergewöhnlich lange Nutzungsdauer oder durch das Besuchen verdächtiger Websites), so kann der Arbeitgeber angemessene Kontrollmaßnahmen ergreifen und in einer zweiten Stufe eine individualisierte Überwachung durchführen.
Angesichts der Gefahr, das Datensystem über verdächtige Websites mit Viren zu infizieren, empfiehlt die nationale Kommission den Einsatz vorbeugender Schutzmaßnahmen wie z.B. die Herausfilterung nicht gestatteter Websites oder das Verbot von Programm-Downloads oder von Chat- und Messenger-Software.
Die Kontrolle der Datenträger und der Log-Dateien
Allgemein werden alle Dokumente und Dateien als beruflich betrachtet, die der Arbeitnehmer mit Hilfe der vom Arbeitgeber zur Verfügung gestellten Arbeitsgeräte erstellt. Gemäß des Grundsatzes der Privatsphäre am Arbeitsplatz kann der Arbeitnehmer jedoch, in einem vernünftigen Rahmen, Dokumente und Dateien erstellen, die er als persönlich kennzeichnet.
Die Überwachung der Datenträger und der Log-Dateien darf keine Individualisierung beinhalten, sondern muss in Bezug auf Zeitabstand und Volumen der kontrollierten Daten abgestuft werden.
Dateien oder Dokumente, die als privat gekennzeichnet sind, können nur in Anwesenheit des betroffenen Mitarbeiters vom Arbeitgeber geöffnet werden. Dieser muss dabei die Möglichkeit haben, der Öffnung zu widersprechen und muss bei der Kontrolle über diese Möglichkeit informiert werden.
Die nationale Kommission empfiehlt in diesem Zusammenhang, dass der Arbeitgeber die Verfügbarkeit der elektronischen Dokumente des Unternehmens während der Abwesenheit des Mitarbeiters gewährleistet, ohne dass dabei dessen „persönliche“ Ordner geöffnet werden müssen.
Darüber hinaus wird empfohlen, dass der Arbeitnehmer am Ende seines Arbeitsverhältnisses eine Kopie der in seinem Privat-Ordner gespeicherten Dokumente erhält und darüber hinaus die Möglichkeit hat, seine persönlichen Ordner aus dem Datensystem zu entfernen, ggf. in Anwesenheit eines Vertreters des Arbeitgebers (siehe Punkt 4).