Wenn ein Unternehmen seinen Beschäftigten Internetzugang und E-Mail als Arbeitsmittel zur Verfügung stellt, so ist damit üblicherweise eine private Nutzung nicht erlaubt, es sei denn, dies wird ausdrücklich eingeräumt. Allerdings kann sich durch Duldung einer nicht ausdrücklich erlaubten privaten Nutzung eine betriebliche Übung ergeben. Deshalb wird allenthalben geraten, die Angelegenheit zu regeln.
Die dabei zu beachtenden rechtlichen Rahmenbedingungen hängen davon ab, ob der Anbieter der Dienste ein sog. Provider ist oder nicht. Als gesetzliche Regelungen sind zu beachten:
Die IuK-Dienste-Gesetze sind für Provider gemacht, die IuK-Dienste anbieten. Wenn ein Arbeitgeber seinen Beschäftigten die private Nutzung ausdrücklich erlaubt, gilt er nach überwiegender herrschender Meinung als Provider im Sinne dieser Gesetze. Erlaubt er nur die dienstliche Nutzung, so sind ebenfalls nach herrschender Meinung die Beschäftigten nicht als Dritte zu sehen, die IuK-Dienste in Anspruch nehmen. Der Arbeitgeber lässt in diesem Falle sozusagen nur für sich selber arbeiten und ist kein Provider. Folglich finden die IuK-Dienste-Gesetze in diesem Fall keine Anwendung. Unklar ist der Fall, wenn der Arbeitgeber die private Nutzung nicht ausdrücklich erlaubt, aber eine geringfügige persönliche Nutzung nicht als Missbrauch verfolgt und dies auch ausdrücklich erklärt .
Im Folgenden werden die wichtigsten rechtlichen Rahmenbedingungen im Zusammenhang mit einer Regelung von Internetzugang und Mailnutzung erörtert.
Einschränkungen durch die IuK-Dienste-Gesetze
Diese Gesetze kommen nur zur Anwendung, wenn der Arbeitgeber als Provider von Telekommunikationsdiensten gegenüber seinen Beschäftigten anzusehen ist. Die Regelungen über das Fernmeldegeheimnis (§ 85 TKG) werden allgemein auf die anderen Formen der Telekommunikation übertragen. Danach ist jede Art der privaten Telekommunikation geschützt, nicht nur die jeweiligen Inhalte, sondern auch die Verbindungsdaten. Trennt der Arbeitgeber dienstliche und private Nutzung nicht, so obliegt, ebenfalls wieder nach der sich herausbildenden herrschenden Meinung, die gesamte Telekommunikation demselben Schutz wie die private Telekommunikation.
Nach § 87 TKG ist der Arbeitgeber zu angemessenen Schutzmaßnahmen verpflichtet. Es gibt keine allgemeine Vorgabe, was als angemessen zu gelten hat; dies ist vielmehr in jedem Einzelfall zu entscheiden. Nach § 89 TKG gibt es aber zulässige Eingriffe in das Fernmeldegeheimnis:
- Verbindungsdaten dürfen zweckgebunden ausgewertet werden, um Entgelte für die Telekommunikationsdienste zu ermitteln (was bei kostenloser Zurverfügungstellung entfällt).
- Ebenfalls dürfen Verbindungsdaten zum Erkennen und Beseitigen von Störungen benutzt werden.
- Auf solche Daten darf auch für das Aufklären und Unterbinden einer rechtswidrigen Inanspruchnahme der Telekommunikationsdienste zugegriffen werden, allerdings nur unter der Voraussetzung, dass tatsächliche Anhaltspunkte für ein rechtswidriges Verhalten vorliegen der Verdacht darf sich nicht erst aus der Auswertung der Protokolle begründen.
TDG, TDSV und TDDSG verpflichten ferner den Diensteanbieter, einer unzulässigen Datenverwendung strukturell vorzubeugen: Es sollen so wenig personenbezogene Daten wie möglich verwendet werden, Internetzugang und Mail sollen, soweit technisch möglich, unter Wahrung der Anonymität der Benutzer angeboten werden.
Festzuhalten bliebt, dass eine Anwendungspflicht der Regelungen aus den IUK-Dienste-Gesetzen die Auswertungsmöglichkeiten von Server- und Firewall-Protokollen wesentlich eingeschränkt. Das Wegfallen des Provider-Status begründet aber nicht die Aufhebung sämtlicher Beschränkungen der Nutzungsüberwachung.
Rahmenbedingungen des Bundesdatenschutzgesetzes
Das Bundesdatenschutzgesetz (BDSG) ist auf jeden Fall anzuwenden, soweit die wesentlich spezielleren IuK-Dienste-Gesetze nicht greifen, also auch im Falle, dass der Arbeitgeber nicht als Provider zu betrachten ist, was nach Auffassung vieler Experten der Fall ist, wenn die private Nutzung nicht erlaubt ist.
Nach § 28 BDSG ist die Verarbeitung personenbezogener Daten nur dann zulässig,
- wenn sie der Zweckbestimmung des Arbeitsverhältnisses dient oder
- soweit sie zur Wahrung berechtigter Interessen des Arbeitgebers erforderlich ist und ein schutzwürdiges Interesse des Arbeitnehmers nicht überwiegt.
Im Gesetz ist ist nicht konkretisiert, was der Zweckbestimmung des Arbeitsverhältnisses dient, was berechtigte Interessen des Arbeitgebers oder schutzwürdige Interessen der Arbeitnehmer sind ein weites Feld für Interpretationen. Nach häufig vertretener Auslegung umfasst dies auch die Prüfung von Daten über Tatsachen, die die Verwirklichung des Arbeitsvertragszwecks gefährden können, wobei die Zulässigkeit allerdings nur in einzelfallbezogener Betrachtung ermittelt werden kann.
Aus § 31 BDSG leiten viele Interpreten des Datenschutzgesetzes die Erlaubnis ab, Protokollierung und Verarbeitung personenbezogener Daten zu den Zwecken der Datensicherheit und zur Gewährleistung eines ordnungsgemäßen Betriebs der Datenverarbeitung verwenden zu dürfen, allerdings unter Beachtung des Grundsatzes von weitgehender Vermeidung personenbezogener Daten und der Datensparsamkeit (§3a BDSG), eine ebenfalls in hohem Maße interpretationsbedürftige Angelegenheit.
Fazit: Ob Provider oder nicht, ob eine private Nutzung erlaubt ist oder nicht, die Bestimmungen des Datenschutzes sind in jedem Fall zu beachten. So stimmen die Rechtsexperten auch in der Auffassung überein, dass die Einsicht in die Inhaltsdaten einer Mail beispielsweise den gleichen Schutz genießt wie das gesprochene Wort eines Telefonats, unabhängig vom Providerstatus des Arbeitgebers.
Mitbestimmung des Betriebsrats
Es ist nicht streitig, dass die Einrichtungen zur Abwicklung der Telekommunikationsdienste den Tatbestand der Mitbestimmung gemäß § 87 Abs. 1 Nr. 6 BetrVG erfüllen. Interessanter ist die Betrachtung über die Reichweite dieser Mitbestimmung. Sicherlich umfasst sie nicht die Tatsache, ob ein Unternehmen seinen Beschäftigten eine persönliche Nutzung erlaubt oder nicht. § 87 Abs.1 Nr. 6 BetrVG findet aber in beiden Fällen Anwendung, da eine sehr detaillierte Überwachung des Arbeitnehmerverhaltens allein schon durch die Auswertbarkeit der Serverprotokolle objektiv möglich ist.
§ 76 Abs. 5 BetrVG sagt über die Einigungsstelle als Endstation der erzwingbaren Mitbestimmung, dass sie nach billigem Ermessen die Belange des Betriebes und der Beschäftigten in angemessener Form gegeneinander abzuwägen hat. Also stellt sich die Frage, was die abzuwägenden Belange beider Seiten sind.
Beginnen wir bei der Arbeitgeberseite. Internetzugang und E-Mail sind Arbeitsmittel, die die Zugänglichkeit und Verteilung von Wissen sowie die interne und externe Kommunikation entscheidend verbessern und beschleunigen können. Aus Arbeitgebersicht soll dieser Arbeitsmitteleinsatz effizient und im Sinne einer Steigerung der Arbeitsproduktivität erfolgen. Die Ressourcen des Unternehmens (Kosten, Netzbelastung, aber auch die Arbeitszeit der Beschäftigten) sollen schonend behandelt werden. Ferner ist eine besondere Sorgfalt geboten, da beispielsweise über Downloads via Internetzugang und Mail-Attachments die Gefahr des Einschleppens von Viren hoch ist.
Aus Arbeitnehmersicht ergeben sich folgende Gesichtspunkte: Internet und Mail sind schnelle und ausgesprochen flüchtige Medien, deren normale Nutzung quasi zum Nulltarif erfolgt. Wenn eine persönliche Nutzung strikt verboten ist, erliegen die Beschäftigten schnell und oft der Gefahr, ihre Arbeitspflichten zu verletzen. Falsche Klicks auf Links zu Inhalten, die nichts mit der Arbeitsaufgabe zu tun haben, können in Bruchteilen von Sekunden erfolgen. Viele Firmen nehmen insbesondere bei der Mail die unscharfe Grenze zwischen Persönlichem und Beruflichem nicht nur billigend in Kauf, sondern begrüßen solches ausdrücklich. Man kann sich auf den Standpunkt stellen, dass allein die Fürsorgepflicht des Arbeitgebers es gebietet, seine Beschäftigten nicht der permananeten Bedrohung des Verletzens ihrer Arbeitspflichten auszusetzen. Eine Grenzziehung, was noch dienstliche Nutzung ist und was nicht mehr, ist nicht abschließend möglich oder liefe Gefahr, sich in einem Gestrüpp nicht mehr nachvollziehbarer Fallunterscheidungen zu verlieren.
Zum Schutz der Arbeitnehmer vor einer technischen Überwachung ihres Verhaltens wird die von den Betriebsräten verfolgte Politik daher in der Regel darauf abzielen, die personenbezogene Auswertung der Protokolldaten stärker einzuschränken, und zwar in dem Maße wie die persönliche Nutzung generell oder geringfügig nicht erlaubt ist.
Vor diesem Hintergrund verliert die Betrachtung, ob der Arbeitgeber Provider im Sinne der IuK-Dienste-Gesetze ist oder nicht, nahezu vollends an Bedeutung. Im Gegenteil, die gemäß § 87 Abs. 1 Nr. 6 BetrVG wahrzunehmende Mitbestimmung wird gerade im Falle des Verbots persönlicher Nutzung versuchen, die Kontrollmöglichkeiten der Arbeitgeberseite noch stärker einzugrenzen. Wenn dagegen ausgeschlossen ist, dass eine gelegentliche private, keine sonstigen Rechtsnormen verletzende Nutzung zu arbeitsrechtlichen Konsequenzen führt, braucht die Einschränkung der Kontrollmöglichkeiten weniger restriktiv gehandhabt zu werden.
Zweifellos schadet es dem Image eines Unternehmens, wenn es seinen Beschäftigten eine persönliche Nutzung von Internet und Mail strikt verbietet. Dies gilt natürlich in besonderem Maße für ein Unternehme, das im HighTech-Bereich tätig ist oder mit elektronisch vermittelter Kommunikation sein Geschäft betreibt.
Das folgende Beispiel aus einem großen Softwareunternehmen zeigt, wie ein Unternehmen durchaus eine private Nutzung von Mail und Internetzugang erlauben und dennoch klare Grenzen im eigenen Interesse ziehen kann. Anlass der vom Vorstandsvorsitzenden an alle Mitarbeiterinnen und Mitarbeiter verschickten Mail war der Irak-Krieg. Hier das Zitat [Name des Unternehmens anonymisiert]:
Liebe Kolleginnen und Kollegen,
es ist Teil unserer offenen, auf Vertrauen basierenden Unternehmenskultur, den Mitarbeitern die Nutzung von E-Mail und Internet am Arbeitsplatz auch für private Zwecke zu erlauben.
Im Zusammenhang mit der momentanen weltpolitischen Situation ist es in den vergangenen Tagen zu Situationen gekommen, die uns veranlassen, Sie heute darauf hinzuweisen, dass Sie bei der geschäftlichen oder privaten Nutzung [der Firmen-Mailadresse] stets als Vertreter [des Unternehmens] in Erscheinung treten. Sie sind damit mitverantwortlich für das Bild, das sich die Empfänger Ihrer Nachrichten [von unserem Unternehmen] machen. Ihre Adressaten setzen den Inhalt Ihrer Nachricht möglicherweise in Beziehung zur [unserem Unternehmen]. Der Inhalt Ihrer E-Mail wird nicht unbedingt als persönliche Meinungsäußerung wahrgenommen, sondern kann auch als Meinung des Unternehmens interpretiert werden. Dies gilt insbesondere bei politischen Meinungsäußerungen.
Ich möchte Sie deshalb im Namen des gesamten Vorstands darauf hinweisen, dass es ausdrücklich untersagt ist, die [Firmen-.Mailadresse] für Meinungsäußerungen mit politischem und religiösem Inhalt zu nutzen, oder diese zur Unterstützung von Ketten-E-Mails mit politischen oder religiösen Inhalten zu nutzen. ...
Im Folgenden ein Regelungsvorschlag, der auch dann noch als angemessen erscheinen kann, wenn ein Unternehmen sich nicht wie im soeben zitierten Beispiel dazu durchringen kann, seinen Beschäftigten eine persönliche Nutzung ausdrücklich zu erlauben:
Regelungsvorschlag
Das Unternehmen stellt Internet-Zugang und E-Mail als Arbeitsmittel für die dienstliche Nutzung zur Verfügung. Unternehmen und Betriebsrat stimmen in der Auffassung überein, dass eine Grenzziehung zwischen dienstlicher und persönlicher Nutzung schwierig und vor allem interpretationsbedürftig ist. Daher wird das Unternehmen eine nicht eindeutig als dienstliche Verwendung qualifizierbare Nutzung von Internet-Zugang und Mail-System dann nicht als missbräuchlich ansehen, wenn sie geringfügigen Umfangs ist und die Arbeitsabläufe nicht beeinträchtigt sowie nicht mit der Verursachung zusätzlicher Kosten bzw. zusätzlicher Ressourcenbelastung des Netzes verbunden ist.
Missbräuchlich im Sinne dieser Regelung allerdings ist jede Nutzung, die
- geeignet ist, den Interessen des Unternehmnens oder seines Ansehen in der Öffentlichkeit zu schaden,
- die Sicherheit des Firmennetzes beeinträchtigt,
- oder gegen geltende Rechtsvorschriften verstößt, wie vor allem das vorsätzliche Abrufen, Speichern oder Verbreiten von Inhalten, die gegen datenschutzrechtliche, persönlichkeitsrechtliche, urheberrechtliche oder strafrechtliche Bestimmungen verstoßen oder beleidigende, verleumderische, rassistische oder pornografische Äußerungen oder Abbildungen abrufen oder verbreiten.
Der Wortlaut meidet die ausdrückliche Erlaubnis privater Nutzung, stellt aber klar, dass eine gelegentliche persönliche Nutzung nicht als Missbrauch verfolgt wird. Wenn in diesem Sinne eine Verständigung erreicht werden kann, dann braucht nur noch das Verfahren geklärt zu werden, was im Falle eines begründeten Missbrauchsverdachts geschehen soll, insbesondere wie der zuständige Betriebsrat in einem solchen Fall einbezogen wird.
Ein gegen die Person eines Beschäftigten gerichteter Missbrauchsverdacht darf sich nicht erst aus einer Auswertung der Verbindungsdaten ergeben. Deshalb sind die Protokolldateien der betroffenen Server (Web/Proxy, Mail, Firewall) gegen ungeregelten Zugriff wirksam und überprüfbar zu schützen.