Betriebsvereinbarung
über die Einführung und den Betrieb
einer Anti-Spam-Software

Einleitung

Die tägliche Flut unerwünschter Spam-Mails – nicht gewollter Werbemails sowie E-Mails mit gefährlichen, rechtswidrigen oder belästigenden Inhalten, wird immer größer. Um die Mitarbeiterinnen und Mitarbeiter vor einer Belästigung durch Spam-Mails zu schützen, ihnen die ungestörte Nutzung von E-Mails und des Internets im Rahmen und im Zusammenhang mit ihrer beruflichen Tätigkeit zu ermöglichen und um eine optimal arbeitende EDV zu gewährleisten, wird eine Anti-Spam-Software installiert.

§ 1 Gegenstand und Geltungsbereich

Diese Betriebsvereinbarung regelt die Einführung und den Betrieb einer Anti-Spam-Software. Sie gilt für alle Beschäftigten des Unternehmens.

§ 2 Dokumentation und Leistungsmerkmale

(1) Name und Versionsnurmmer der eingesetzten Anti-Spam-Software sind in der Anlage 1 dokumentiert.

(2) Die Software prüft alle im Unternehmen eingehenden E-Mails darauf, ob es sich um Spam-Mails handelt:

a) durch Überprüfung von öffentlich zugänglichen Listen mit Spam-Adressen bzw. Listen von Providern, von denen besonders viele Spam-Mails versendet werden oder die als unsicher eingestuft werden (sog. Blacklists) bzw. durch Überprüfung von Listen mit Adressen, von denen keine Spam-Mails zu erwarten sind (sog. Whitelists);

b) durch Vergleich des Nachrichtentextes der E-Mail mit Worten oder Wortfragmenten oder Inhalten wie zum Beispiel Weblinks, HTML-Inhalten oder ähnlichem, die häufig von Versendern von Spam-Mails benutzt werden (sog. Schlüsselwort-Kontrolle) oder

1. durch Abgleich mit einer lokalen Spam-Datenbank,
2. durch ein Scannen nach enthaltenen Viren.

Soweit interne Schlüsselwörter, interne Blacklists oder interne Whitelists verwendet werden, wird der Betriebsrat jeweils über die veränderte Liste umgehend informiert.

(3) Die Software kennzeichnet als Spam-Mails erkannte E-Mails. Die als Spam-Mail identifizierte E-Mail wird in ein paralleles Mailsystem (sog. Quarantäne-System) gestellt. Nach einer Zeit von maximal 42 Tagen werden die im Quarantäne-System enthaltenen E-Mails automatisch gelöscht. Den Mitarbeitern wird während dieses Zeitraums die Möglichkeit des Zugriffs auf die an sie adressierten, ausgefilterten Mails gegeben.

Die Rechtsprechung zum erlaubten Umgang mit ausgefilterten Mails ist noch nicht abgeschlossen. Grundsätzlich ist die elektronische Kommunikation der Mitarbeiterinnen und Mitarbeiter geschützt. Eingegriffen werden darf nur, wenn Gefahren für die Systemsicherheit des Unternehmens bestehen. Ob durch Spams die Systemsicherheit betroffen ist, ist nicht ganz eindeutig. Weil ein bekanntes Angriffsszenario auf Unternehmensnetzwerke (denial-of-services) unter anderem im massiven Versand von Spam-Mails gegen den Mailserver des Unternehmens besteht, muss man die Frage wohl bejahen. Aber dies ist nicht der Regelfall des Administratoren-Alltags. Deshalb darf das Unternehmen ausgefilterte eMail nicht standardmäßig löschen.

Auf der sicheren Seite ist das Unternehmen, wenn von den Mitarbeitern die Einwilligung zur Spamkontrolle eingeholt wird und diesen der Zugriff auf die ausgefilterten Mails ermöglicht wird.

Die Abfolge der einzelnen Analyseschritte ist in Anlage 2 dokumentiert. (Beispiel)

§ 3 Verhaltenskontrolle

Es besteht Einigkeit darüber, dass sich aus der Anzahl und Art der an die Mitarbeiterinnen und Mitarbeiter versendeten Spam-Mails keine Rückschlüsse auf deren Verhalten ziehen lassen.

Die inhaltliche Analyse von E-Mails, um sie als Spam-Mails zu identifizieren, erfolgt ausschließlich über technische Lösungen.

Mitarbeiterinnen und Mitarbeiter können für nicht zugestellte Mails nicht verantwortlich gemacht werden.

§ 4 Einwilligung der Mitarbeiterinnen und Mitarbeiter

Die Mitarbeiterinnen und Mitarbeiter werden mit dem in der Anlage 3 enthaltenen Informationsschreiben über den Einsatz der Anti-Spam-Software unterrichtet und um Einwilligung zur Spam-Kontrolle gebeten.

§ 5 Auswertungen

(1) Das Spam-Aufkommen von personenbezogenen eMail-Adressen wird nicht ausgewertet.

(2) Soweit das Spam-Aufkommen funktionsbezogener eMails ausgewertet wird, so wird darauf geachtet, dass dem jeweiligen Account jeweils mindestens fünf Personen zugeordnet sind. Andernfalls werden mehrere funktionsbezogene eMail-Accounts zusammengefasst.

§ 6 Berechtigungen

(1) Zugriff auf die Konfigurationseinstellungen, die ausgefilterten eMails und die Auswertungen haben ausschließlich die in Anlage 4 namentlich aufgeführten Mitarbeiter. Sie sind zum Stillschweigen über die Inhalte und Verbindungsdaten der eMails verpflichtet und werden auf die Einhaltung der Bestimmungen dieser Betriebsvereinbarung und des Fernmeldegeheimnisses ausdrücklich verpflichtet. Das Muster der Verpflichtungserklärung ist in Anlage 5 enthalten.

§ 7 Schlussbestimmungen

(1) Informationen, die unter Verletzung von Bestimmungen dieser Vereinbarung rechtswidrig gewonnen werden, sind unverzüglich zu vernichten und dürfen nicht zur Begründung personeller Einzelmaßnahmen verwendet werden. Das Unternehmen, der Betriebsrat und der Datenschutzbeauftragte sind sofort über die entsprechende Verletzungshandlung zu unterrichten.

(2) Die in den Anlagen enthaltenen Unterlagen sind Bestandteil dieser Vereinbarung. Sie sind auf dem aktuellen Stand zu halten. Änderungen bedürfen des gegenseitigen Einvernehmens.

(3) Macht eine Seite geltend, dass gegen Bestimmungen dieser Betriebsvereinbarung verstoßen worden ist oder neuer Regelungsbedarf entstanden ist, so sind hierüber Verhandlungen mit dem Ziel einer einvernehmlichen Regelung aufzunehmen. Kommt eine Einigung nicht zu Stande, so entscheidet eine gemäß § 76 Abs. 5 BetrVG zu bildende Einigungsstelle.

Weitere Dokumente zum Thema "Anti-Spam-Software" finden Sie in unserer Rubrik "Arbeitspapiere -> Internet und Netze -> Kontrolle" oder direkt per Mausklick aufrufbar hier und hier.