Vorschlag für ein Management-Konzept

Regelung der Internet-/Intranet-Nutzung bei der ...

1. Zielsetzung

Dieses Manifest ist eine Empfehlung des Konzerns an die einzelnen Unternehmen und enthält Leitlinien für den konzernweiten sowie unternehmensinternen Einsatz von Internet-Technologien (Internet-Zugang, Intranet, elektronische Post, weitere Netzwerkdienste).

 

2. Internet-Zugang

Das Internet als Verbund von Millionen weltweit verteilter Rechner bietet insbesondere für die Zusammenarbeit von Firmen mit ihren Kunden und Zulieferern wachsende Möglichkeiten. Insbesondere können Informationen schnell und einfach am Ort der Arbeit zugänglich gemacht und ausgetauscht werden.

Der Zugang zum Internet sollte sich ausschließlich nach sachlichen Kriterien, nicht nach persönlichen Gründen richten. Da - im Unterschied zum Telefon - die Grenzkosten der Nutzung gegen Null gehen, ist ein großzügiger Umgang mit dieser Ressource betriebswirtschaftlich gut vertretbar. Stellt der Internet-Zugang für eine Organisationseinheit (Abteilung/Kostenstelle oder ein Projektteam)ein nützliches Arbeitsmittel dar, so sollen alle mit entsprechenden Arbeitsaufgaben betraute Mitarbeiterinnen und Mitarbeiter der betroffenen Organisationseinheit (nicht nur ausgewählte einzelne Personen) den Zugang erhalten.

Es wird empfohlen, ein Antragsverfahren für den Internet-Zugang vorzusehen, und darüber hinaus die jeweiligen Führungskräfte darauf aufmerksam zu machen, dass sie ihrerseits die Nützlichkeit eines Internet-Zugangs für die Arbeit in ihrem Verantwortungsbereich untersuchen, ihren Mitarbeiterinnen und Mitarbeitern bekannt machen und die technischen Voraussetzungen dann schnell realisieren.

[Der Internet-Zugang kann als Netzwerk-Service für jeden vernetzten Arbeitsplatzrechner ohne investive Kosten realisiert werden; bei entsprechender Netzwerkverwaltung lässt sich der administrative Aufwand auch sehr gering halten].

 

3. Elektronische Post

Die elektronische Post (Mail) wird grundsätzlich an jedem mit einem Arbeitsplatzrechner ausgestatteten Arbeitsplatz zur Verfügung gestellt. Das Mail-System soll so konfiguriert werden, dass sowohl weltweiter Versand als auch Empfang von Nachrichten möglich sind.

Es gilt der Grundsatz, dass allein Sender und Empfänger, nicht aber weitere Personen, für ihre jeweiligen Mails verantwortlich sind. Es werden daher weder automatischen Kopien der Mails hergestellt, noch erhalten Administratoren Zugriff auf die Mail-Inhalte.

Um später auftretende Konflikte zu vermeiden, empfiehlt es sich, einige Spielregeln für den Umgang mit der Mail vorab festzulegen:

  • Es sollte eine einheitliche Benutzungsoberfläche für alle Teilnehmer am Mail-System zur Verfügung gestellt werden, in der der jeweilige Status der Mails deutlich erkennbar ist.
  • Es sollten Richtlinien verabredet werden, welche Mails mit Anforderungen einer Empfangsbestätigung versendet werden und wie man mit den Prioritätsstufen (Kennzeichnung von Mails als besonders wichtig) umgehen sollte, insbesondere wenn das Medium für die Übermittlung von Arbeitsanweisungen verwendet wird.
  • Das Mail-System dient der Kommunikation innerhalb des Unternehmens und der Abwicklung der mit der Arbeit verbundenen Kontakte nach außen. Es ist allgemein bekannt, daß kaum jemand das Mailsystem ausnahmslos zu dienstlichen Zwecken nutzt. Auch persönliche Post wird über den geschäftlichen Zugang versendet und empfangen; das Medium eignet sich insbesondere für schnelle sporadische Mitteilungen. Daraus entstehen keine Probleme, jedenfalls nicht, solange das Maß nicht überschritten wird. Den Mitarbeiterinnen und Mitarbeitern sollte diese Situation, unterstützt durch Fallbeispiele, verdeutlicht werden.
  • Besondere Regelungen sind für den Urlaubs- oder Abwesenheitsfall erforderlich. Es wird empfohlen, daß die Mitarbeiterinnen und Mitarbeiter jeweils eine Person ihres Vertrauens benennen, die im Falle der Abwesenheit Zugang zum Mail-Account erhält und dann persönliche Post aussortieren kann, während die dienstliche Post bearbeitet oder an die entsprechenden Stellen weitergeleitet werden kann. Alternativ dazu kann den Mitarbeiterinnen und Mitarbeitern eine Software-Lösungangeboten werden, die es erlaubt, während der Urlaunszeit erhaltene Mail automatisch mit einem kurzen durch den Empfänger verfaßten Schreiben zurückzusenden mit der Option, die Mail an eine andere, vom Empfänger benannte Personen weiterleiten zu können [bei Lotus Notes und Microsoft Exchange/Outlook möglich].
  • Die elektronische Post ist ein "flüchtiges" Medium, dessen Vertraulichkeitsgrad dem einer Postkarte vergleichbar ist. Eine Nachricht ist in der Regel nur einen Mausklick davon entfernt, um an beliebige Stellen innerhalb und auch außerhalb des Unternehmens verteilt werden zu können. Deshalb bedarf es ebenfalls besonderer Spielregeln für den Umgang mit vertraulicher Information oder mit rechtsverbindlichen Dokumenten. Daher sollte konzernweit eine einheitliche Verschlüsselungsmethode für Mails mit vertraulichem Inhalt bereitgestellt werden.

    •  

    4. Intranet-Nutzung

    Die Nutzung der Internet-Techniken innerhalb eines Unternehmens und Konzerns bietet die Chance, den Informiertheitsgrad der Mitarbeiterinnen und Mitarbeiter und die Transparenz über die Arbeitsabläufe zu verbessern. Insbesondere lassen sich mehr Entscheidungsbefugnisse auf der direkten Arbeitsebene ansiedeln und damit Verantwortlichkeit und Initiative stärken.

    Es gilt der Grundsatz, daß an jedem Ort der Arbeit die für die Erfüllung der Arbeit erforderlichen Informationen in verständlicher Form zur Verfügung gestellt werden. Durch den Einsatz entsprechender Systeme sollen die Teamorientierung der Arbeit sowie ein motivierender statt kontrollierender Führungsstil gefördert werden.

    Elektronische "Schwarze Bretter" eignen sich besonders gut für übergreifende und gemeinschaftliche Aufgabenstellungen (z.B. Informationen über die eigenen Produkte und Dienstleistungen, betriebliches Vorschlagswesen, Problem- und Lösungs-Datenbanken für technische Fragen, Kundeninformationssysteme). Beim Aufbau solcher Informationssysteme ist zu unterscheiden zwischen Systemen mit konzern- und unternehmensweit geltenden Inhalten, für die es zentrale Zuständigkeiten gibt und Systemen mit nur lokalen oder bestimmte Personengruppen betreffenden Inhalten, für die die Verantwortlichkeit dann auch dezentral festgelegt werden sollte.

     

    5. Mitarbeiterqualifizierung

    Um die verfügbaren Internet-Techniken besser nutzen zu können, soll den Mitarbeiterinnen und Mitarbeitern eine spezielle Schulung angeboten werden (, deren Absolvierung oder der Nachweis vergleichbarer Kenntnisse gleichzeitig Voraussetzung für die Erteilung des Zugriffs ist).

    Die Themen der Schulung umfassen neben der Einführung in die Handhabung der entsprechenden Software (Mailsystem, Browser, eventuell weitere Programme) Hilfen zur intelligenten Navigation und insbesondere auch zur Sicherheit im Netz. Dem weit verbreiteten Irrtum, allein durch technische Schutzmaßnahmen wie Firewalls u.ä, lasse sich Sicherheit im Netz garantieren, muß frühzeitig entgegengetreten werden; es kommt genauso auf das Sicherheitsbewußtsein der handelnden Personen an.

    Zur Unterstützung der Navigation empfiehlt es sich, den Mitarbeiterinnen und Mitarbeitern zusätzliche Hilfsmittel, wie z.B. Bookmark-Systeme mit den Adressen der wichtigsten Geschäftspartner oder Link-Listen im Intranet zur Verfügung zu stellen.

     

    6. Kontrolle des Internet-Zugangs

    Der Zugriff auf das Internet kann durch die Server, die den Kontakt zum Arbeitsplatz vermitteln, umfäglich protokolliert und ausgewertet werden. Aus diesen Protokollen können nicht nur die Benutzeridentifikation, Datum und Uhrzeit des Zugriffs sowie die übertragene Datenmenge hervorgehen, sondern vor allem auch die Zieladresse des Zugriffs, d.h. anhand des Protokolls wäre genau nachvollziehbar, wer wann was gelesen hat. Dies aber kann einen Eingriff in die Persönlichkeitsrechte der Mitarbeiterinnen und Mitarbeiter darstellen. Bei den meisten verwendeten Servern ist es möglich, im einzelnen festzulegen, was protokolliert wird.

    Es ist zu prüfen, ob ein alle Einzelheiten umfassendes detailliertes Protokoll überhaupt erforderlich ist, oder ob es z.B. ausreicht, nur die übertragene Datenmenge pro Rechner zu protokollieren und auf das Festhalten der Zieladresse zu verzichten.

    Alleinverantwortlichkeit von Absender und Empfänger für die Mails bedeutet, daß jeder Benutzer selber entscheiden muß, ob sie oder er die ein- und ausgehenden Mails für sich persönlich protokollieren will; seitens des Systems sollte kein solches Protokoll geführt werden. Die Mail ist nicht vergleichbar mit dem Postbuch, in dem früher Einschreiben eingetragen wurden. Man kann erwägen, für die verschlüsselt versendete elektronische Post ein solches Protokoll zu führen (unter der Voraussetzung, daß es sich bei solchen Mails um vertrauliche Informationen mit hohem Wichtigkeitsgrad handelt, für die ein Nachweis der Versendung betrieblich nützlich ist).

    Wird der Internet-Zugang protokolliert, so sollten dabei folgende Grundsätze beachtet und "vor Ort" in konkreten Verfahren festgelegt werden:

  • Der Umfang der Protokolldaten sollte festgelegt sein und den Benutzern bekannt gegeben werden (z.B. Datum, Uhrzeit, Rechner- oder Benutzerkennung, Fehlercode, Anzahl der übertragenen Bytes, Rechner- oder Benutzeridentifikation, eventuell Zieladresse des angeforderten Dokuments, Fehlercode der Übertragung).
  • Die Verwendung der Protokolldaten muß an genau definierte Zwecke gebunden werden, zum Beispiel: zur Aufrechterhaltung der Systemsicherheit, zur Analyse und Korrektur technischer Fehler im Netz, zur Optimierung der Rechnerleistungen im Netzwerk und eventuell zur Ermittlung der Kosten verbrauchter Ressourcen zwecks interner Leistungsverrechnung.
  • Der Zugriff auf die Protokolldaten muß auf das technische Personal begrenzt bleiben, das für den Netzwerkbetrieb und die Bereitstellung der verfügbaren Services zuständig ist. Diese Personen sind verpflichtet, sich an die beschriebene (und ihnen bekannt gegebene) Zweckbindung zu halten und außerhalb der beschriebenen Zwecke keine Detailinformationen aus den Protokollen weiterzugeben.
  • Die Speicherdauer der Protokolldateien wird so kurz gehalten, wie dies zur Erfüllung der beschriebenen Zwecke erforderlich ist.
  • Die Protokolldaten bleiben am Ort des Servers, an dem sie angefallen sind. Weitergegeben werden nur Berichte, deren Inhalt sich an derbeschriebenen Zweckbindung orientiert.
  • In begründeten Fällen von Mißbrauch oder bei Verdacht strafbarer Handlungen kann eine weitergehende Einsicht in die Protokolldaten vorgenommen werden. Dabei sollte ein Verfahren gewählt werden, daß die betroffene Person von dem Verdacht in Kenntnis setzt und die zuständige Arbeitnehmer-Interessenvertretung einbezieht, etwa durch eine an zwei Passwörter gebundene Zugriffsmöglichkeit oder durch gleichwertige organisatorisch festgelegte Verfahren. Einzige Ausnahme: in Fällen dringender Gefahr für die Sicherheit kann ein Zugriff nur durch das mit der Netzwerkadministration betraute Personal erfolgen - dann aber ist die zuständige Arbeitnehmer-Interessenvertretung umgehend nachträglich über den Vorgang zu informieren.
  • Der Arbeitnehmer-Interessenvertretung kann das Recht zugesichert werden, in Fällen begründeten Mißbrauchs durch die Administration oder sonstige namens der Arbeitgeberseite handelnde Personen technische Sicherungs-Vorkehrungen zu verlangen, die die Beteiligung der Arbeitnehmervertretung technisch erzwingen und die durch die Administration vorgenommenen Zugriffe elektronisch protokollieren.
  • Um die Einhaltung der genannten Regelungen zwingend zu machen, wird ein "Beweisverwertungsverbot" verabredet: Werden Informationen aus den Protokolldateien unter Verletzung der vorgenannten Regelungen gewonnen oder weiterverarbeitet, so sind sie zur Begründung personeller Maßnahmen nicht mehr zugelassen.

    •  

    Bezüglich der Zugriffe auf Dokumente im unternehmensinternen Intranet sollte auf eine Protokollierung verzichtet werden. Ausnahmen sind denkbar, um zum Beispiel die Akzeptanz angebotener Services zu testen. In diesem Fall sollte die Protokollierung aber zeitlich befristet, auf die gelesenen Seiten konzentriert und auf ein Festhalten der zugreifenden Stelle oder Person verzichtet werden.

    Workflow-Funktionen, mit deren Hilfe sich verschiedene Schritte einer Arbeitsfolge einsehen und einzelnen Personen oder Arbeitsplätzen zuordnen lassen, können einerseits sinnvolle Instrumente zur Selbststeuerung der Arbeit (innerhalb einer Arbeitsgruppe oder eines Projektteams oder zur standortübergreifenden Koordination von laufenden Arbeiten beispielsweise in Form eines beim Über- oder Unterschreiten kritischer Schwellenwerte ansprechenden Alarmsystems) sein, andererseits aber auch zu eine Verletzung der Persönlichkeitsrechte führen. Im Vordergrund steht immer die Absicht, sie Systeme so einzusetzen, daß in problematische Arbeitsabläufe sofort korrigierend eingegriffen werden kann. Das Unternehmen wirde solche Systeme so einrichten, daß der Schwerpunkt deutlich auf einer Verbesserung der Prozesse gelegt wird und eine Überwachung von Leistung oder Verhalten der Mitarbeiterinnen und Mitarbeiter weitestgehend ausgeschlossen bleibt. In Grenzfällen kann es dennoch erforderlich sein, ergänzende Regelungen abzuschließen. Deren Grundsatz sollte es sein, die Verbreitung von Daten mit hohem Detaillierungsgrad auf die jeweils betroffenen Arbeitsgruppen zu begrenzen und Außenstehenden keinen Zugriff zu erlauben, solange diese Daten noch auf die einzelnen Personen bezogen werden können; eine weitergehende Verarbeitung soll entweder eine Zusammenfassung von Daten mit noch hohem Detaillierungsgrad oder deren Anonymisierung voraussetzen.

     

    7. Nutzung der Technik durch die Betriebsräte

    Die Arbeitnehmervertretungen erhalten eine Ausstattung, die ihnen die Teilnahme an der unternehmensinternen elektronisch vermittelten Kommunikation ohne Einschränkungen erlaubt: vernetzter PC mit Internet-Zugang, Mail-Account für die Betriebsräte als Gremium und für die Einzelpersonen, Einrichtung einer eigenen geschlossenen user group für die Kommunikation zwischen den Betriebsräten.

    Auch die Arbeitnehmer-Interessenvertretung unterliegt einer Zweckbindung, soweit es sich um die Verwendung personenbezogener Daten handelt. Diese Zweckbindung bestimmt sich in Deutschland aus dem Betriebsverfassungsgesetz, insbesondere den dort genannten Aufgaben der Betriebsräte.

    Der Arbeitnehmervertretung wird angeboten, im unternehmensinternen Intranet eine eigene Präsentation in eigener Verantwortung zu betreiben. Für die Gestaltung dieser Sites steht ihnen die technische Unterstützung durch das Unternehmen zur Verfügung.

     

    8. Weitere Rechte der Betriebsräte

    Einmal jährlich findet eine Beratung der Internet-Strategie (v.a.der geplanten business-to-business-Nutzung) des Unternehmens mit einer Erörterung der zu erwartenden Auswirkungen auf Beschäftigung, Arbeitsabläufe und Qualifizierungsbedarf statt. Auf Antrag einer Seite ist diese Beratung zu wiederholen.

    Unternehmen und Arbeitnehmer-Interessenvertretung sind sich darüber einig, dass für viele Themen der Internet-Technik heute noch keine abschließende Regelungen möglich sind. Daher hat jede Seite das Recht, neue Themen, insbesondere solche mit Regelungsbedarf für den Schutz der Persönlichkeitsrechte von Mitarbeiterinnen und Mitarbeitern, anzumelden und auf eine einvernehmliche Lösung hinzuwirken.