| 
Haben Sie einen Fehler gefunden? Bitte benachrichtigen Sie uns per E-Mail. Vielen Dank.
Das Prüfen und Überwachen von E-Mails und Internetverbindungen ist angesichts von gefährlichen, rechtswidrigen oder belästigenden Inhalten sowie drohenden Produktivitätsverlusten durch exzessives privates Surfen heute alles andere als ein Luxus. Da entsprechende Lösungen allerdings tief in persönliche Kommunikationswege eingreifen, kann hier ein Unternehmen nicht einfach nach Gutdünken verfahren. Etliche Aspekte sind entweder mitbestimmungspflichtig oder machen sogar das explizite Einverständnis jedes Betroffenen notwendig. Am besten geht man daher offen und gemeinsam mit den Beschäftigten (bzw. dem Betriebsrat) an eine Lösung heran, von der "alle etwas haben".
In Anbetracht der akuten Spam-Problematik dürfte man kaum auf Unverständnis stoßen, wenn man versucht, der unerwünschten E-Mail-Fluten Herr zu werden. Auch hinsichtlich der immer wiederkehrenden Wellen von Viren und Würmern sollte keine Überzeugungsarbeit notwendig sein. Wenn ein Betrieb dann gleichzeitig Mechanismen einrichten möchte, die seine Geschäftsgeheimnisse schützen und ein Übermaß an privater Nutzung ausschließen, so sollte das – gerade angesichts der angespannten Wirtschaftslage – ebenfalls keine Probleme bereiten.
Widerstand regt sich jedoch schnell, wenn sich Mitarbeiter übergangen fühlen und vermuten, dass über ihre Köpfe hinweg lediglich ein Überwachungssystem eingerichtet werden soll, mit dem ein misstrauisches Management ihnen bei jedem Mausklick auf die Finger schauen will. Auch die juristische Praxis zeigt, dass die meisten auftretenden Meinungsverschiedenheiten zwischen Mitarbeitern und Unternehmensleitung lediglich das "wie" einer betrieblichen Vereinbarung über den Einsatz von Security-Software behandeln, keineswegs das "ob". Das frühzeitige Einbinden des Betriebsrates schafft somit die besten Voraussetzungen zur konfliktfreien Aufstellung der entsprechenden Betriebsvereinbarung.
----------Anfang Textkasten----------
Was darf eigentlich mit einer E-Mail geschehen, die unter Spam- oder Viren-Verdacht steht? Automatismen sind bis zu einem gewissen Grade riskant, denn ein Unternehmen setzt sich damit der Gefahr aus, eine legitime Nachricht intern nicht richtig zuzustellen. Juristisch ist ist eine E-Mail mit der Ankunft auf dem Server "zugegangen", daher kann das anschließende Löschen die gleiche Wirkung haben, wie das Wegwerfen eines Briefes. Es ist daher ratsam, zumindest alle korrekt adressierten Mails einer Prüfung zu unterziehen. Danach besteht keine Pflicht den Absender bei Löschung zu informieren. Löscht man dagegen ohne Kenntnisnahme, so kann eine Information des Absenders vor einer Haftung schützen.
Ob E-Mails, die in eine "Quarantäne"-Zone eingeliefert wurden, von einem Menschen gelesen werden dürfen, ist rechtlich nicht einwandfrei geklärt. Die Juristen streiten sich, ob E-Mails eher einem Telefonat oder einem Schreiben gleichzusetzen sind. Das mag haarspalterisch erscheinen, doch bei Telefonaten ist das heimliche Mithören unzulässig, bei dienstlichen Schreiben hat der Arbeitgeber hingegen das Recht, diese zu lesen, auch wenn der Verfasser nichts davon erfährt. Es sprechen gute Gründe dafür, die E-Mail dem Schreiben gleichzustellen, denn beide verkörpern in Buchstaben die Gedanken des Verfassers, sind nicht flüchtig und man kann den Empfängerkreis nicht von vornherein überblicken. Andererseits unterfällt E-Mail nach Meinung vieler dem Telekommunikationsgesetz und damit dem Fernmeldegeheimnis.
So oder so muss der Arbeitnehmer Kenntnis von einer Überwachung und potenziellen Einsichtnahme haben und bei erkennbar privaten Nachrichten darf kein Administrator prüfen, selbst wenn private E-Mails nicht gestattet sind. Auch eine automatisierte Analyse von Kommunikationsinhalten (z. B. Worthäufigkeiten zur Spam-Filter-Verbesserung) ist nur bei geschäftlichen E-Mails ohne Weiteres statthaft. Ist ein privater Inhalt nicht auszuschließen, wäre die Zustimmung jedes Empfängers erforderlich. Auch hier gelangt man letztlich zum Schluss, dass die beste Lösung eine einvernehmliche offene Regelung unter Beteiligung aller Betroffenen ist.
----------Ende Textkasten----------
Plant ein Unternehmen die Einführung von IT-Security-Systemen, so ist der Betriebsrat ohnehin bereits im Planungsstadium soweit zu informieren, dass er das Vorhaben und seine Auswirkungen nachvollziehen kann (§ 80 Abs. 2 Betriebsverfassungsgesetz, BetrVG). Diese Pflicht besteht spätestens zu dem Zeitpunkt, an dem sich der Arbeitgeber für eine konkrete Lösung entscheiden will. Ein frühzeitiges Einbeziehen hilft einerseits "Fehlplanungen" aufgrund eines möglichen Widerspruchs des Betriebsrates zu vermeiden. Andererseits erhält der Betriebsrat beizeiten die Informationen, die er zur Willensbildung und zum Verständnis des technisch komplexen Problems benötigt, was Verzögerungen vermeidet.
Prinzipiell mitbestimmungspflichtig ist jegliche Einführung und Anwendung von "technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen" (§ 87 Abs. 1 Nr. 6 BetrVG). Nach der ständigen Rechtsprechung ist bereits jedes Instrument oder Verfahren als derartige technische Einrichtung anzusehen, das eine eigenständige Überwachung ermöglichen kann – es kommt nicht darauf an, dass die Überwachung der Arbeitnehmer tatsächlich beabsichtigt ist.
Hält man sich vor Augen, dass nach einer Entscheidung des Bundesarbeitsgerichtes (NJW 1984, 1476, 1485) bereits die Erfassung der Anzahl der geführten Telefonate eine Leistungskontrolle der Arbeitnehmer darstellt, kann die Grenze zur Mitbestimmungspflicht schnell überschritten sein. Dies wäre analog bei einem IT-Security-System bereits der Fall, wenn es beispielsweise pro Anwender statistische Daten über die Internetnutzung erhebt. Anders wäre es nur, wenn die Daten nicht auf einen einzelnen Nutzer oder eine eng begrenzte Nutzergruppe zurückführbar wären.
Da der Betriebsrat zudem verpflichtet ist, die Einhaltung von den Arbeitnehmer betreffenden Gesetzen zu überwachen (§ 80 BetrVG), kann eine Informationspflicht auch aus den Datenschutzrechten der Mitarbeiter erwachsen. Werden im Rahmen der IT-Security personenbezogene Mitarbeiterdaten erhoben und verarbeitet, so ist der Betriebsrat selbst dann zu unterrichten, wenn keine Leistungs- oder Verhaltenskontrolle möglich wäre. Sofern ausschließlich Belange des Arbeitnehmerdatenschutzes berührt sind, bleibt es allerdings bei einer Pflicht zur Unterrichtung, eine Anhörungspflicht oder Mitbestimmungsberechtigung erwüchse hieraus noch nicht.
Wie auch immer: Eine Betriebsvereinbarung sollte klarstellen, welche Sicherheitssysteme eingeführt werden, welche Möglichkeiten sie generell besitzen und welche das Unternehmen tatsächlich nutzen möchte, um welche Daten zu erheben. Der Umfang der Datenverarbeitung und gegebenenfalls Art und Umfang erlaubter privater Internetnutzung sollten ebenfalls festgelegt sein. Wesentlich ist zudem die Frage, wie Verstöße der Arbeitnehmer gegen die Betriebsvereinbarung geahndet werden.
Zu beachten ist außerdem, dass leitende Angestellte nicht dem Betriebsverfassungsrecht unterliegen; Vereinbarungen mit dem Betriebsrat haben somit für sie keine Gültigkeit. Daher muss man bei leitenden Angestellten eine Einwilligung auch für diejenigen Fragen einholen, die ansonsten durch eine Betriebsvereinbarung abgedeckt wären.
Sofern ein Unternehmen keinen Betriebsrat besitzt, kann die Einführung entsprechender Technik dennoch nicht willkürlich erfolgen. Jeder Arbeitnehmer hat das Recht, in solchen Angelegenheiten angehört zu werden (§ 82 BetrVG).
Eine Betriebsvereinbarung kann die Zustimmung eines Arbeitnehmers nur ersetzen, soweit die Erhebung und Verarbeitung von Daten im Rahmen der Zweckbestimmung des Arbeitsvertrags und der Kontrolle seiner Erfüllung sowie der Kostenkontrolle im Rahmen der betriebsverfassungsrechtlichen Bestimmungen erfolgt. In Persönlichkeits- und Datenschutzrechte darf man auch weiterhin nur nach Einwilligung des Betroffenen eingreifen. Die weitaus meisten IT-Security-Systeme erfassen beispielsweise personenbezogene Nutzungsdaten zu E-Mail oder WWW, zu deren Erhebung und Verarbeitung die Zustimmung jedes Arbeitnehmers erforderlich ist.
Die Mitarbeiter sind dann umfassend darüber zu informieren, welche Daten über sie oder ihre Internetnutzung erhoben und verarbeitet werden. Sie müssen verstehen können, welche Nutzung erlaubt und welche verboten ist. Am Arbeitsplatz besteht kein gesetzlicher Anspruch auf private Nutzung des Internets, selbst wenn dies zuvor geduldet wurde. Da es sich um ein vom Arbeitgeber gestelltes Arbeitsmittel handelt, darf dieser den Umfang der erlaubten Nutzung bestimmen und (im zulässigen Rahmen) auch die Einhaltung der Vorgaben überwachen.
Gestattet der Arbeitgeber die private Internetnutzung unterliegt die Überwachung und Kontrolle mehr juristischen Regelungen als bei dienstlichen E-Mails. Ist eine (empfehlenswerte) Trennung zwischen dienstlichem und privatem Gebrauch nicht möglich, so gelten die verschärften Anforderungen generell. Doch auch bei nicht gestatteter privater Nutzung geht nicht "einfach alles". Der beste Weg sind auch hier klare Regelungen verbunden mit der Einsicht und dem Einverständnis der Mitarbeiter.
Die Zustimmung zu allen Maßnahmen hat schriftlich und freiwillig zu geschehen. Einen bereits unter Vertrag stehenden Arbeitnehmer kann man nicht zu einer erforderlichen Einwilligung zwingen. In diesem Fall müsste sich das Unternehmen auf zustimmungsfreie Maßnahmen beschränken oder den Mitarbeiter von überwachten Diensten ausnehmen (z. B. keine E-Mail- und Web-Nutzung).
Die persönliche Zustimmungserklärung kann im Arbeitsvertrag oder einer Anlage dazu erfolgen; ein Recht zum späteren Widerruf besteht nur, sofern dies in der Erklärung vorgesehen ist. Es ist sinnvoll, die Arbeitnehmer im Rahmen solch einer Einverständniserklärung auch über bestehende Betriebsvereinbarungen zu informieren. Sollte eine noch nicht eingestellte Person ihre Zustimmung verweigern, so ist der Arbeitgeber natürlich nicht verpflichtet, mit ihr dennoch einen Arbeitsvertrag zu schließen.
Nur in ganz bestimmten Fällen darf auch ohne Einwilligung überwacht werden: Wenn der dringende, konkrete Verdacht besteht, dass ein Mitarbeiter eine verbotene Handlung vornimmt und zuvor sämtliche weniger gravierenden Möglichkeiten ausgeschöpft worden sind. Beispielsweise hat das Bundesarbeitsgericht (2003-03-27, Az. 2 AZR 51/02) zugunsten eines Arbeitgebers entschieden, der in einem solchen Fall eine Videoüberwachung durchgeführt hatte, obwohl weder Betriebsrat noch Arbeitnehmer zugestimmt hatten. Derartige "verdeckte Maßnahmen" sind aber nur zulässig, wenn besondere Umstände, etwa eine notwehrähnliche Lage, den Eingriff rechtfertigen und dabei der Grundsatz der Verhältnismäßigkeit gewahrt bleibt. Der Arbeitgeber muss die eingangs genannten Bedingungen sorgfältig prüfen und sollte hierzu immer einen Anwalt und tunlichst den Betriebsrat hinzuziehen.
Ansonsten gilt: Überwacht ein Unternehmer seine Mitarbeiter ohne die erforderliche Zustimmung, wird er mit hoher Wahrscheinlichkeit gegen zahlreiche Gesetze verstoßen, die dem Datenschutz und dem Schutz des Fernmeldegeheimnisses dienen. Entsprechende Verstöße können nicht nur mit empfindlichen Geldstrafen, sondern auch mit Gefängnis geahndet werden.
Die offene Kommunikation zwischen Mitarbeitern, Betriebsrat und Unternehmensleitung ist die beste Grundlage für eine Lösung, die Vertrauen schafft und Ängste nimmt. Man sollte Mitarbeiter klar informieren, welche Nutzung von E-Mail und Internet erlaubt und für alle Beteiligten problemfrei ist und auf welche Nutzung im beiderseitigen Interesse zu verzichten ist. Auch über die Art der Daten, die die Sicherheitssoftware erfasst und bearbeitet, sollte man sich offen austauschen. Ziel des Dialogs sollte immer sein, das künftige Sicherheitspaket gemeinsam zu verabschieden. Dies schließt zudem weitestgehend aus, dass es hinterher zum "Sport" wird, die Maßnahmen möglichst effektiv zu umgehen...
Frank Brandenburg ist Geschäftsführer der Clearswift GmbH. Dr. Oliver Gießler ist Rechtsanwalt in der Kanzlei Hanselaw Hammerstein und Partner.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2003#5, Seite 14
|