Privates Surfen am Arbeitsplatz: Regelungen nach DS-GVO beachten

Privates Surfen und Mailen am Arbeitsplatz

Qualifiziertes Personal zu rekrutieren und langfristig zu binden ist eine Herausforderung für viele Arbeitgeberinnen. Die neu gewonnenen Mitarbeiter überzeugen sie häufig mit einer Reihe an „Benefits“ zum Bleiben. Neben kostenlosen Getränken, Fitnessprogrammen, flexiblen Arbeitszeitmodellen und der Ermöglichung von Home-Office, duldet die Arbeitgeberin häufig privates Surfen und Mailen am Arbeitsplatz

Die rechtlichen Fallstricke

Gründe dafür, dass die private Internet- und E-Mail-Nutzung im Büro rechtlich betrachtet komplex sind, liegen z.B. in folgenden Problemstellungen:

  • Auch wenn es selten passiert, kommt es immer wieder vor: eine Mitarbeiterin fällt unerwartet aus und wichtige Informationen befinden sich nur in ihrem Postfach. Hier läuft die Organisation Gefahr, einen Datenschutzverstoß zu begehen, wenn das Postfach bei erlaubter privater Nutzung ohne weiteres geöffnet wird. Zudem wird dabei gegen das Fernmeldegeheimnis (§ 3 Nr. 3 TTDSG) verstoßen. Das Unternehmen ist somit rechtlich nicht mehr in der Lage auf den betrieblichen E-Mail-Account der Mitarbeiterin zuzugreifen. Im Falle von längeren Abwesenheiten, Vertretungen oder nach der Beendigung eines Beschäftigungsverhältnisses kann dies zu massiven Problemen führen.
  • Das Telemediengesetz bewirkt, dass eine Organisation Gefahr läuft, als Anbieter von Telekommunikationsdienstleistungen betrachtet zu werden, wenn privates Surfen und Mailen am Arbeitsplatz erlaubt ist. Dies zieht Konsequenzen nach sich wie eine Meldepflicht und die Umsetzung von verpflichtenden Regelungen zum „Kundenschutz“. Das bedeutet, dass mit der Erlaubnis der privaten Internet-Nutzung eine Menge Bürokratie auf die Organisation zukommt. Auch hier sorgt das Fernmeldegeheimnis für Restriktionen. Die bloße Auswertung von Kommunikationsmetadaten wie Protokollen ist damit unzulässig. Aus IT-Sicherheitsgründen sind gerade diese Metadaten jedoch von enormer Bedeutung. Nur so sind Sie in der Lage, Angriffe zu erkennen und im Optimalfall zu verhindern.

Weitere Gründe dafür, privates Surfen und Mailen am Arbeitsplatz nicht zu erlauben

Es gibt noch einen weiteren ganz praktischen Grund, der dafür spricht, die private Nutzung der IT-Infrastruktur zu unterbinden: Mit jeder privat heruntergeladenen Datei und mit jedem solchen E-Mail-Anhang, der in der organisationseigenen IT-Umgebung landet, steigt die Gefahr von Schadsoftware in der IT-Infrastruktur, die diese im schlimmsten Fall lahmlegt.

Privat heruntergeladene Dateien und Anhänge kann die Organisation natürlich bei einer Erlaubnis unterbinden. Hier liegt jedoch auch einer der Knackpunkte: Zunächst gilt nämlich die private Nutzung der betrieblichen Infrastruktur immer als verboten. Die Geräte sind Eigentum des Betriebs oder der Organisation. Deshalb dürfen sie auch nur beruflich genutzt werden. Hierzu ist nichts weiter festzulegen. Wird nun allerdings aus bestimmten Gründen die private Nutzung erlaubt, müssen Sie sämtliche rechtlichen Grauzonen und Fallstricke diesbezüglich beleuchten, regeln und ausformulieren. Zudem sollten Sie die Umsetzung kontrollieren. Erlauben ist also wesentlich komplizierter als verbieten.

Wenn Sie nun als Arbeitgeberin hier erleichtert aufatmen, weil Sie privates Surfen und Mailen am Arbeitsplatz nicht erlaubt haben: Ganz so einfach ist es leider doch nicht. Die sogenannte ‚betriebliche Übung‘ kann dafür sorgen, dass die Privatnutzung doch als erlaubt gilt.

Warum Sie die Privatnutzung kontrollieren sollten

Nutzen die Mitarbeiter das Internet und die E-Mail-Accounts trotz fehlender Erlaubnis offenkundig privat und Sie als Arbeitgeberin dulden dieses Verhalten, so gilt die Privatnutzung mit allen Konsequenzen doch wieder als erlaubt. Dagegen hilft leider nur eine dokumentierte und angekündigte Kontrolle des Nutzungsverhaltens.

Doch ist das Überwachen der Mitarbeiter nicht aus datenschutzrechtlichen Gründen verboten? Das ist zum Teil richtig. Sie dürfen nicht ohne Weiteres sämtliche E-Mails und die besuchten IP-Adressen Ihrer Mitarbeiter untersuchen oder aufzeichnen. Erlaubt ist es jedoch, stichprobenartige Kontrollen durchzuführen. Folgende Punkte sollten Sie dabei beachten:

Do’s

  • Dokumentieren Sie Ihre Stichproben! Dabei genügt es, das Datum und das Ergebnis zu notieren, zu dem Sie gelangt sind. Wenn Sie eine Privatnutzung festgestellt haben, empfehlen wir auch zu notieren, dass Sie die entsprechende Mitarbeiterin belehrt und ggf. über Konsequenzen informiert haben (eine Kündigung aus diesem Grund ist je nach Häufigkeit und Schweregrad unter Umständen möglich).
  • Eine Protokollierung ist aus Gründen der Systemsicherheit in Ordnung, wenn Sie die Grundsätze des Datenschutzes dabei beachten.
  • Es empfiehlt sich bei der Stichprobenkontrolle nach einem bestimmten – ebenfalls dokumentierten – Schema vorzugehen. Dies sollte reihum alle Mitarbeiter einschließen, z.B. in alphabetischer Reihenfolge.
  • Die Mitarbeiter sollten darüber informiert werden, dass Sie Stichproben durchführen. Dabei müssen Sie auch darüber informieren, welche Daten Sie dabei erheben.

Dont‘s

  • Sie dürfen diese Kontrollen nicht für andere Zwecke benutzen. Nebenbei überprüfen, wie gut eine bestimmte Mitarbeiterin ihre E-Mails formuliert, wie viele E-Mails sie am Tag schreibt oder wie lange sie sich für berufliche Recherchen tatsächlich im Internet aufhält, ist nicht gestattet.
  • Auch sollten Sie vermeiden, bestimmte Mitarbeiter häufiger zu kontrollieren als andere.
  • Zu Dokumentationszwecken private E-Mails von Mitarbeitern ausdrucken und im Betrieb bekannt machen, wer unerlaubt privat surft oder gar auf welchen Seiten, schießt weit über das Ziel hinaus. Bitte dokumentieren Sie nur, was notwendig ist (Stichwort Datensparsamkeit) und belehren Sie die betreffenden Mitarbeiter unter vier Augen.
  • E-Mails von Geheimnisträgern wie z.B. der Datenschutzbeauftragten oder von Betriebsräten dürfen Sie nicht kontrollieren.

Lösungsmöglichkeiten

Was Sie beachten müssen, wenn Sie die Privatnutzung dennoch gestatten möchten

Es kann natürlich Gründe geben, warum Sie die Privatnutzung Ihren Mitarbeitern dennoch erlauben möchten. In einem solchen Fall sollten Sie die Bedingungen für die Nutzung möglichst detailliert festlegen. Diese können z.B. folgende Punkte umfassen:

  • Zu welchen Zeiten die Nutzung gestattet ist (z.B. in den Pausen)
  • Welcher Umfang erlaubt ist (z.B. die Anzahl der Stunden im Monat)
  • Welche Arten von Seiten besucht werden dürfen (z.B. Nachrichtenportale) und welche nicht (z.B. Facebook oder andere soziale Medien, wenn Sie das nicht möchten).
  • Ob und nach welchen Prinzipien Downloads bzw. der Empfang von E-Mail-Anhängen gestattet sind.
  • Sind private E-Mails gestattet, dürfen diese nur über private E-Mail-Konten (Web-Mail-Clients) versendet werden.
  • Die private Nutzung der betrieblichen E-Mail-Adresse wird untersagt. Eine weitere Möglichkeit besteht darin, dass private E-Mails im betrieblichen Account ausschließlich in einem als solchen gekennzeichneten Ordner abgelegt sind. Damit darf das E-Mail-Postfach dennoch in dringlichen Fällen auch in Abwesenheit der Mitarbeiterin geöffnet und auf wichtige betriebliche Inhalte durchsucht werden, die ansonsten nicht vorliegen. Den gekennzeichneten Ordner mit den privaten E-Mails dürfen Sie dabei nicht antasten, wenn er vorhanden ist.
  • Eine technische Unterscheidung zwischen privaten und betrieblichen Daten erfolgt nicht. Dementsprechend werden auch private Aktivitäten protokolliert (die Protokollierung sollten Sie detailliert beschreiben).

Die Gestattung der Privatnutzung und deren Bedingungen können Sie in Form einer Einwilligung, Betriebsvereinbarung, Richtlinie oder Dienstanweisung regeln. Grundsätzlich können Sie dabei auch weitere Anforderungen formulieren. Die private Internetnutzung sollte dabei unter Aufführung der oben genannten Gründe zunächst untersagt werden. Eine entsprechende Begründung sorgt bei den Mitarbeitern erfahrungsgemäß für ein entsprechendes Verständnis und Akzeptanz.

Was Sie zu einer Einwilligung der Privatnutzung beachten müssen

Holen Sie sich von Mitarbeitern, die das Internet privat nutzen möchten, eine Einwilligung ein – selbstverständlich muss diese freiwillig sein. Unter dieser Mindestvoraussetzung ist unserer Meinung nach die private Internetnutzung am Arbeitsplatz möglich. Die Einwilligung durch einzelne Mitarbeiter kann – wie jede Einwilligung – grundsätzlich jederzeit widerrufen werden. In diesem Fall ist es diesen Mitarbeiter nicht mehr gestattet, das Internet privat zu nutzen.

Wir weisen darauf hin, dass die Duldung der Internetnutzung ohne entsprechende Regelung dazu führt, dass Ihr Unternehmen nicht mehr in der Lage ist, aus IT-Sicherheitssicht dringend notwendige Protokollierungen auszuwerten oder in Notfällen auf das betriebliche Postfach von Mitarbeitern zuzugreifen. Wir empfehlen hierbei eine Regelung in Form einer Richtlinie, Dienstanweisung oder Betriebsvereinbarung und die Einholung einer individuellen, schriftlichen Einwilligung von den betroffenen Arbeitnehmern.

Fazit

Am einfachsten und sichersten fahren Sie, wenn Sie die private Nutzung von E-Mail und Internet nicht gestatten. Mit einer stichprobenartigen dokumentierten Kontrolle sind Sie dabei auf der sicheren Seite. Damit vermeiden Sie, dass die Privatnutzung aufgrund der ‚betrieblichen Übung‘ wegen einer Duldung doch als erlaubt gilt.

Sie möchten die Privatnutzung dennoch gerne erlauben, z.B. als ‚Goodie‘ für Ihre Mitarbeiter? Hier empfehlen wir, dass Sie genau festlegen, was wann erlaubt ist. Dies können Sie im Rahmen einer Richtlinie, Betriebsvereinbarung oder als Dienstanweisung regeln und für die Auswertung der Protokollierung eine entsprechende Einwilligung einholen.

Sie haben Fragen zur datenschutzrechtlich korrekten Umsetzung der Kontrolle und der dazugehörigen Dokumentation? Hier unterstützen wir Sie gerne mit unserer langjährigen Erfahrung. Selbstverständlich freuen wir uns auch bei anderen Fragen zum Datenschutz über Ihre Nachricht an das ENSECUR-Team!

Dieser Artikel stellt keine Rechtsberatung dar, sondern spiegelt nur unsere Erfahrungen als Datenschutzbeauftragte wieder.

Dieser Artikel erschien ursprünglich am 22.01.2020, die Aktualisierung erfolgte am 19.02.2021.

Hilfreicher Link:
Orientierungshilfe der Datenschutzaufsichtsbehörden zur datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz

Autoren: Steven Bösel & Mareike Fischer

Bild von ribkhan auf Pixabay 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert