E-Mail und Internet am Arbeitsplatz: privat und dienstlich trennen!

Um rechtskonform zu überwachen, wie Beschäftigte das Internet nutzen, sollten Arbeitgeber den dienstlichen und privaten Einsatz von Web und E-Mail strikt trennen. Wichtig dabei: die Vorgaben der Datenschutz-Grundverordnung (DSGVO / GDPR) und des neuen Bundesdatenschutzgesetzes (BDSG) zu beachten.

Risiko Internet und E-Mail am Arbeitsplatz

Sind Arbeitnehmer im Internet unterwegs, ist das mit zahlreichen Risiken verbunden. Daher schränken Arbeitgeber Internet und E-Mail am Arbeitsplatz häufig ein oder möchten die Nutzung zumindest kontrollieren. Besonders das private Surfen erscheint ihnen als unnötiges Risiko. Zudem könnte es die Beschäftigten von ihrer Arbeit ablenken.

Doch viele Unternehmen organisieren die Internetnutzung nicht eindeutig mithilfe von Betriebsvereinbarungen und Benutzer-Richtlinien. Sondern sie sprechen kein ausdrückliches Verbot aus,  dulden das private Surfen oder erlauben es sogar.

In seinen Hinweisen zur Umsetzung der Datenschutz-Grundverordnung in Sachen Beschäftigten-Datenschutz (PDF) berichtet der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg von der Beschwerde eines ausgeschiedenen Mitarbeiters:

• Der Mitarbeiter kritisierte, dass sein Arbeitgeber sein personalisiertes E-Mail-Konto nicht unmittelbar nach seinem Ausscheiden gelöscht hatte.
• Das Unternehmen hatte die Nutzung von E-Mail und Internet am Arbeitsplatz nicht klar geregelt und bekam nun große Probleme, so die Aufsichtsbehörde.

Die Datenschutz-Grundverordnung und das neue Bundesdatenschutzgesetz machen deutlich: Der Datenschutz im Beschäftigungs-Kontext umfasst geeignete und besondere Maßnahmen, um die menschliche Würde, die berechtigten Interessen und die Grundrechte der betroffenen Person zu wahren. Das gilt vor allem im Hinblick auf

• die Transparenz der Verarbeitung,
• die Übermittlung personenbezogener Daten innerhalb einer Unternehmens-Gruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und
• die Überwachungs-Systeme am Arbeitsplatz.

Protokollieren kann zum Datenschutz-Risiko werden

So mancher Arbeitgeber ist sich nicht hinreichend darüber im Klaren, dass er beim Umgang mit personenbezogenen Daten der Beschäftigten und deren Kommunikations-Partnern datenschutzrechtliche Grenzen zu beachten hat.

Auch aufseiten der Beschäftigten besteht Aufklärungsbedarf, welche Form der Nutzung zulässig ist und welche Folgen sich daraus ergeben.

Viele Mitarbeiter leiten aus der erlaubten Privatnutzung des Telefons auch eine Erlaubnis für das Internet ab und nutzen ohne weitere Regelung E-Mails und Webdienste für private Zwecke.

Handelt der Arbeitgeber nicht, wird er ohne Zutun zum Telekommunikations-Anbieter. Greift er dann auf Verbindungsdaten möglicherweise privater Internet-Sitzungen und E-Mails zu, verstößt er gegen das Fernmelde-Geheimnis und das Recht des Mitarbeiters auf informationelle Selbstbestimmung.

Somit muss die Privatnutzung moderner Kommunikations-Verfahren geregelt werden, sei es durch ein ausdrückliches Verbot oder eine Erlaubnis. Um bei einer Erlaubnis den dienstlichen Datenverkehr im Rahmen der datenschutzrechtlichen Möglichkeiten überwachen zu können, sind allerdings klare Regeln nötig.

TOMs und Einwilligung

Organisatorische und technische Maßnahmen (TOMs) müssen sicherstellen, dass dienstlich und privat motivierte Internet-Nutzung strikt getrennt ist. Bevor ein Arbeitgeber ein Kontrollsystem einführt, um die Internet-Aktivitäten zu überwachen und zu protokollieren, ist die Zustimmung der Mitarbeitervertretung erforderlich. Zudem müssen die Mitarbeiter dem Kontrollverfahren in schriftlicher Form zustimmen.

Stimmt ein Mitarbeiter nicht zu, ist es empfehlenswert, die Privatnutzung des Internets in diesem Fall ausdrücklich zu verbieten. Denn andernfalls sind keine Kontrollen oder Stichproben zulässig, ohne gegen das Fernmeldegeheimnis zu verstoßen. Eine Betriebsvereinbarung sollte auch den Fall der Urlaubs-Vertretung und Erkrankung (Weiterleitung von E-Mails an Dritte) regeln.

Nichts zu regeln, ist keine Lösung

Unternehmen sollten sich verdeutlichen, welche Folgen es hat, die Internetnutzung nicht klar zu regeln. Die Protokollierung kann dann schnell zum Datenschutz-Problem werden:

• Verbot der Privatnutzung: Arbeitgeber darf überwachen, ob die Mitarbeiter das Verbot einhalten, Protokollierung der Internetnutzung bedarf der Zustimmung der Mitarbeitervertretung

• Duldung der Privatnutzung: Arbeitgeber wird zum Telekommunikations-Anbieter und muss Fernmelde-Geheimnis wahren, Hinweis: Regelung zur Internet-Nutzung erforderlich

• Erlaubnis der Privatnutzung: Unternehmen tritt als TK-Anbieter auf, Trennung privater und dienstlicher Nutzung ist erforderlich, um Kontrollen durchführen zu können

Protokollierung der Internetnutzung regeln!

Schwammige Richtlinien führen im Zweifelsfall immer zu Problemen. Empfehlen Sie als Datenschutzbeauftragter deshalb,

• eine organisatorische und technische Trennung der dienstlichen und privaten Internet-Nutzung einzuführen (spezielle E-Mail-Accounts und Internet-Zugänge für die Privatnutzung verwenden),
• das Vorgehen bei dienstlich motivierter Privatnutzung zu regeln (private E-Mail aus dienstlichem Anlass)
• zu kontrollieren, ob die Mitarbeiter die Richtlinien (Betriebsvereinbarung) zur Internet-Nutzung einhalten, da sich andernfalls eine Duldung ableiten lassen könnte,
• die Privatnutzung inhaltlich und zeitlich sinnvoll zu beschränken und
• eine schriftliche Vereinbarung darüber zu treffen, dass angemessene Kontrollen (Stichproben, Überprüfung bei Verdacht auf Missbrauch) als Voraussetzung für eine erlaubte Privatnutzung erlaubt sind