Den Einsatz von Internet und E-Mail regeln

Transcription

Den Einsatz von Internet und E-Mail regeln
Technologieberatungsstelle
beim DGB NRW e.V.
Den Einsatz von Internet und E-Mail regeln
Handlungshilfe für die betriebliche Interessenvertretung
Reihe
Arbeit, Gesundheit,
Umwelt, Technik
TBS NRW / Heft 74
Heft 74
1
Impressum
Autor/-innen:
Gaby Dietsch, TBS NRW
Jürgen Fickert, TBS NRW
Stefanie Wallbruch, TBS NRW
Alle drei Autor-/innen haben langjährige Beratungserfahrungen
im Themenfeld Internet und E-Mail.
Grafik und Layout:
Klaus Kukuk, Syndikat medienpool
Bildnachweis:
S. 1 © Fotolia
S. 5 © DGB Landesvorstand NRW
S. 13 © Syndikat medienpool
S. 15 © Syndikat medienpool
S. 16 © E.Cebrian
S. 18 © Fotolia
S. 20 © depositphotos
S. 29 © DGB-Index Gute Arbeit
S. 30 © Research in Motion (RIM)
S. 34 © 123rf
S. 35 © depositphotos
S. 39 © TBS NRW
Copyright und Herausgeber
Technologieberatungsstelle beim DGB NRW e. V.
Westenhellweg 92-94
44137 Dortmund
Tel.: 0231 249698-0
Fax: 0231 249698-41
E-Mail: tbs-hauptstelle@tbs-nrw.de Internet: www.tbs-nrw.de
Die TBS ist eine vom Ministerium für Arbeit, Integration
und Soziales des Landes Nordrhein-Westfalen geförderte Einrichtung
1. Auflage
ISBN 978-3-924793-93-7
Dortmund, November 2012
Den Einsatz von Internet und E-Mail regeln
Heft-Nr. 74
2
TBS NRW / Heft 74
Inhalt
Inhalt
Vorwort 5
Einleitung 7
1. Grundlagen zur Internettechnik10
2. 2.1 Internetdienste und -standards10
2.2 Technische Grundlagen der Protokollierung und Überwachung
12
2.3 Verschlüsselung und digitale Signaturen
14
2.4 Technik des Intranets15
3. Internet16
3.1 Zugang zum Internet 16
3.2 Private Nutzung16
3.3 Missbrauchskontrolle17
4. Intranet18
5. E-Mail 20
5.1 Privates E-Mailen im Betrieb?20
5.2 Zugriff auf E-Mails bei Abwesenheit
23
5.3 Archivierung von E-Mails25
5.4 Unternehmensrichtlinien zur Nutzung von E-Mail und Internet
27
5.5 Gute Arbeit bei der E-Mail-Nutzung
29
6. Auf dem Weg zur Betriebs-/Dienstvereinbarung 34
6.1 Rechte der Interessenvertretung 34
6.2 Informationsbedarf zur Regelung von Internet-/E-Mail/Intranet
35
6.3 Regelungsbausteine einer Betriebs-/Dienstvereinbarung zu
Internet, Intranet, E-Mail
36
Anhang38
TBS NRW / Heft 74
3
4
TBS NRW / Heft 74
Vorwort
D
er britische Physiker und Informatiker Timothy Berners-Lee
entwickelte vor 20 Jahren die Grundlagen für das heutige
Internet. Wohl niemand ahnte damals, wie nachhaltig diese Erfindung die Welt beeinflussen würde. Inzwischen hat das Internet alle Lebensbereiche durchdrungen, es hat unser Privatleben,
unsere Arbeitswelt und unsere Wirtschaft radikal verändert. Ein
Ende dieser Entwicklung ist nicht abzusehen, ganz im Gegenteil:
In den letzten Jahren ist das Netz immer interaktiver geworden,
das so genannte Web 2.0 hat Plattformen wie Facebook oder
Twitter hervorgebracht, auf denen jeder seine eigenen Inhalte
verbreiten und mit anderen Usern in Kontakt treten kann. Dieser
Trend verändert nicht nur das private Kommunikations- und Sozialverhalten. Auch Unternehmen nutzen die Möglichkeiten des Web 2.0 zunehmend für ihre Werbestrategien.
In vielen Betrieben wird der zunehmende Einfluss des Internets auf die Arbeitsabläufe
kontrovers diskutiert. Thema ist zum Beispiel der Zugang zum Netz oder die Nutzung
von Internet und E-Mail zu privaten Zwecken. Eine Umfrage des Fachverbands BITKOM
vom Frühjahr 2012 hat ergeben, dass rund 59 Prozent der deutschen Unternehmen die
private Internetnutzung dulden und etwa 30 Prozent privates Surfen und Mailen komplett verbieten.
Andererseits haben Innovationen wie Smartphones und Tablet-PCs dafür gesorgt, dass
viele Arbeitnehmer auch nach Feierabend ständig für den Arbeitgeber erreichbar sind.
Beruf und Freizeit werden immer weniger trennbar, Stress ist häufig die Folge. Der Autobauer VW zieht daraus Konsequenzen und hat veranlasst, dass seine Mitarbeiter nach
Dienstschluss keine beruflichen E-Mails mehr über ihre Handys empfangen können.
Die TBS NRW hat sich bereits vor mehr als zehn Jahren in einer Broschüre mit dem Thema Internet am Arbeitsplatz beschäftigt. Die technischen Möglichkeiten und juristischen
Anforderungen haben sich seitdem erheblich verändert. Die vorliegende Broschüre geht
auf diese Veränderungen ein und gibt praktikable und juristisch abgesicherte Regelungsempfehlungen für den Betriebsalltag.
Ich wünsche Euch viel Spaß beim Lesen und viel Erfolg bei Eurer wichtigen Arbeit als
betriebliche Interessenvertretung!
Euer Andreas Meyer-Lauber
TBS NRW / Heft 74
5
6
TBS NRW / Heft 74
Einleitung
1. Einleitung
Die Nutzung des Internets ist in den Betrieben zur Normalität geworden. Die technischen
Voraussetzungen sind optimal, um nahezu jeden Arbeitsplatzrechner zu vernetzen. Betriebe und Organisationen sind „online“ und der Gebrauch des Internets ist unterdessen
ein fester Bestandteil vieler Arbeitsaufgaben von Beschäftigten.
Es wird auf Internet- bzw.- Intranetplattformen, unabhängig von Zeit und Ort zusammengearbeitet, über das Internet telefoniert, kleine Direktnachrichten verschickt (Instant
Messaging). Selbst in der Produktion verschmelzen Produktionstechnik und Internet zunehmend. Kritisch wird es, wenn betriebliche Internetanwendungen zu Rationalisierungen und im Extremfall zu betriebsbedingten Kündigungen führen. So haben z.B. viele
Versandhäuser ihre papierenen Kataloge eingestellt und bieten ihre Produkte nur noch
per Internet an.
Betriebs-und Personalräte stehen noch immer vor der Herausforderung, das Thema der
Internet- und E-Mail-Nutzung zu regeln, um den Beschäftigten gesetzliche „Leitplanken“
bereitzustellen, die sie vor einer Leistungs- und Verhaltenskontrolle und vor den Folgen
von Rationalisierungsmaßnahmenzu schützen. Umso wichtiger wird dies dadurch, dass
die Vielfalt der Internetnutzung nicht mehr allein auf das „Surfen im Netz“ beschränkt
ist. Denn das Internet wird zunehmend durch die Entwicklung des Web 2.0 abgelöst.
Das Web 2.0 umfasst den verändertenGeist des Internets und steht für das sogenannte
„Mitmachweb“.
Es geht beim Web 2.0 nicht mehr nur darum, Informationen zu konsumieren. Stattdessen
soll jeder Nutzer und jede Nutzerin Inhalte bereitstellen, ergänzen, kommen-tieren und
teilen. Nicht nur einige große Medienunternehmen erzeugen Inhalte, sondern die Nutzer und Nutzerinnen publizieren selbst.Möglich wird dieser Austausch durch ein-fache
Werkzeuge, die es denNutzern ermöglichen, Beträge einzustellen (z.B. Wikis, Blogs) oder
über soziale Netze (z.B. Facebook, Twitter) Informationen an die Internet-Gemeinschaft
weiterzugeben und zu verbreiten.
Der Trend zur Nutzung von Facebook, Twitter, YouTube, Xing und Co gewinnt zunehmend an Beliebtheit und ist für viele bereits zur Selbstverständlichkeit geworden. Dies
kann am Arbeitsplatz besonders kritisch werden,besonders dann, wenn Meinungen zum
Betrieb oder über den Chef über die sozialen Medien verbreitet werden. So hat das Landesarbeitsgericht Hamm im Urteil vom 10.10.2012 ( 3 Sa 644/12 ) entschieden, dass die
fristlose Kündigung eines Auszubildenden aufgrund Äußerungen über seinen Arbeitgeber
wie „Menschenschinder und Ausbeuter“ auf seinem Facebook-Profil wirksam sei.
Social Media beschreibt Systeme zum Aufbau internetbasierter, teils selbst organisierter
Gemeinschaften, Netzwerke und Anwendungen zur Kommunikation und Kontaktpflege. In dieser „Gemeinschaft“ vernetzen sich „Freunde“, Arbeitskollegen und Bekannte,
um Nachrichten, Fotos oder Informationen auszutauschen. Privates und Berufliches wird
unweigerlich vermischt. Wer ist Freund? Wer ist Kollege oder Kunde? Wer kennt mich
woher?
Solche Fragen des täglichen Lebens werden in der virtuellen Welt nicht gestellt. Eine
kleine Unachtsamkeit und alle Welt erfährt, was einem gefällt, missfällt oder welche Meinung man zu politischen oder betrieblichen Themen hat. (Näheres dazu s. TBS Broschüre
„Soziale Netze im Betrieb“ Nr. 75).
TBS NRW / Heft 74
7
Einleitung
Diese neuen Möglichkeiten der Internetnutzung, insbesondere im Hinblick auf die Kommunikation und Zusammenarbeit, nutzen auch zunehmend zahlreiche Unternehmen. In
Anlehnung an den Begriff des Web 2.0 ist von Enterprise 2.0 die Rede. Es wird versucht,
ganze Arbeitsabläufe von Betrieben durch Wikis, Blogs, also durch Werkzeuge zum Wissensmanagement, zur Innen- und Außenkommunikation und zur Projektkoordination zu
nutzen und virtuelle Gruppen zu unterstützen.
Ein weiterer Trend in den Unternehmen ist die Verlagerung und die Speicherung von Daten durch entsprechende Cloud -Anwendungen außerhalb betrieblicher IT. Informationsund Kommunikationsleistungen werden nicht gekauft, sondern bedarfs- und fallweise
über Netze (z. B. das öffentliche oder private Internet) gemietet. Es kann sich um
• Software handeln (SaaS – Software as a Service),
• um Plattformen für die Entwicklung und den Betrieb von IT-Anwendungen (PaaS –
Plattform as a Service) oder auch
• um IT-Basis-Infrastruktur, also z.B. Speicherplatz (IaaS – Infrastructure as a Service).
Die Ausgestaltung ist dabei sehr vielfältig und reicht von Verträgen mit kurzer Laufzeit
(Stunden oder Tage), über die Nutzung nach Verfügbarkeit (auf Abruf) bis zur Abrechnung nach Verbrauch. In diesem Zusammenhang nimmt insbesondere in Konzernen die
Zentralisierung der IT und der Abbau der örtlichen IT zu. An dieser Stelle rückt das Thema
des Konzern-Datenschutzes und der Rationalisierung in der IT-Abteilung in den Fokus der
Arbeit der Interessenvertretungen.
Die Nutzer und Nutzerinnen werden kaum einen Unterschied erkennen, wenn die Anwendungen über den Browser bereitgestellt werden und die Speicherung der Daten in der
„Cloud“ erfolgt. In dieser „Cloud („Wolke“) werden die Daten im Internet gespeichert
und dann zur Verfügung gestellt, wenn die Nutzerinnen und Nutzer diese Daten benötigen. So können Kalendereinträge (z.B. Google-Kalender), umfassende Kundendatenbanken, Reisekostenabrechnungen, E-learning-Inhalte etc. in der „Cloud“ abgelegt und
von jedem internetfähigen Rechner (insbesondere auch mobilen Endgeräten) aufgerufen
werden (Näheres dazu s. TBS Broschüre „Virtualisierung und Cloud Computing“, Nr. 73).
Auch im Bereich des „herkömmlichen“ Internet gibt es neue Problemfelder, mit denen
die Interessenvertretungen konfrontiert werden. Während in der gesellschaftlichen Praxis
die Grenzen zwischen privater und betrieblicher Nutzung verschwimmen, gibt es in den
Betrieben und Verwaltungen verstärkt Tendenzen, den Beschäftigten die private Nutzung
von E-Mail und Internet zu verbieten und sie vermehrt zu überwachen.
Gleichzeitig erfolgt eine zunehmende Ausdehnung der Arbeit in die Freizeit durch permanente Erreichbarkeit und Bearbeitung betrieblicher E-Mails nach Feierabend.
Daher geht es in dieser Broschüre um die „klassischen“ Regelungsprobleme zur Verhinderung einer unangemessenen Leistungs- und Verhaltenskontrollen beim Surfen, bei der
E-Mail-Nutzung oder im Intranet.
Diese Handlungshilfe unterstützt Betriebs- und Personalräte/innen bei der Durchsetzung
betrieblicher Regelungen und stellt ihnen Handlungsmöglichkeiten und Eckpunkte für
eine Betriebs-/ bzw. Dienstvereinbarung zur Verfügung.
Hierzu gehört auch eine benutzerfreundliche Gestaltung der Internetanwendungen. So
gibt es mittlerweile gesetzliche Anforderungen für „barrierefreie“ Internetauftritte, die
„Barrierefreie-Informationstechnik-Verordnung – BITV 2.0“. Sie ist für Bundesverwaltungen verbindlich und sollte vom Grundsatz her auch von Unternehmen umgesetzt werden.
8
TBS NRW / Heft 74
Einleitung
Kapitel 2 behandelt die „Grundlagen der Internettechnik“. Es werden die technischen
Komponenten sowie der Aufbau des Internets beschrieben und aufgezeigt, an welchen
Stellen eine Leistungs- und Verhaltenskontrolle über die Protokollierung der Zugriffe erfolgt.
Kapitel 3 steigt dann in die betriebliche Nutzung des Internets ein und gibt Hinweise zur
privaten Nutzung im Betrieb und zur Missbrauchskontrolle.
Kapitel 4 erläutert kurz die Entwicklung und die Nutzungsmöglichkeiten des modernen
Intranets im Betrieb.
Kapitel 5 beschäftigt sich ausführlich mit der E-Mail-Nutzung im Betrieb, mit den Archivierungsvorschriften und den entsprechenden Regelungsaspekten in einer Betriebs- bzw.
Dienstvereinbarung. „Gute Arbeit“ sollte auch bei der Internet-Arbeit selbstverständlich
sein und findet in Kapitel 5.5 Berücksichtigung.
Kapitel 6 soll den Interessenvertretungen den „Weg zur Dienst- bzw. Betriebsvereinbarung“ aufzeigen und Handlungsmöglichkeiten im Umgang mit Internetanwendungen
aufzeigen.
TBS NRW / Heft 74
9
Grundlagen zur Internettechnik
2. Grundlagen zur Internettechnik
Ein Leben und Arbeiten ohne das Internet können wir uns heute kaum vorstellen. Dabei
ist das Internet im Vergleich zum Radio oder zum Telefon ein junges Kommunikationsmittel, das es mit seinen wesentlichen Leistungsmerkmalen erst seit 1993 gibt. Während
wir jedoch Radio hören können, ohne dass wir dabei elektronische Spuren hinterlassen,
ist dies beim Surfen im Internet nicht möglich. Daher geht es in diesem Kapitel um technische Grundlagen, die für das Verständnis des Internets und die Themen der folgenden
Kapitel, wie die Leistungs- und Verhaltenskontrolle, zentral sind.
2.1 Internetdienste und -standards
Das Internet besteht aus einer Vielzahl von weltweit vernetzten Computern und großen
Rechenzentren, in denen die Internetdokumente gespeichert oder E-Mails übertragen
werden. In seinem technischen Kern handelt es sich jedoch um IT-Standards, die sogenannten Internetprotokolle.
Diese bilden die Grundlage, um Informationsseiten aus dem weltweiten Internet abzurufen und mit Hilfe eines Browsers am Bildschirm anzuzeigen oder um eine E-Mail zu
schreiben und weltweit zu versenden. Neben dem Surfen und dem E-Mail-Versand gibt
es weitere Internetdienste, z.B. den direkten Down- und Upload von PC zu PC über das
Web(FTP), Chats (eine Unterhaltung, Austausch von Texten in Echtzeit), Diskussionsforen, Radio oder Telefonie. Einen Überblick gibt die Tabelle auf Seite 11.
In dieser Broschüre geht es um diese zentralen, weltweit normierten Internetdienste.
Daneben bieten Privatfirmen eigene Internetdienste an. Beispiele hierbei sind InstantMessaging-Dienste oder Twitter als schneller Kommunikationsdienst in Echtzeit oder
soziale Netzwerke wie Facebook. Sie bieten besondere Dienstleistungen, bringen aber
auch spezifische Datenschutzprobleme mit sich. Wegen ihrer betriebspraktischen Bedeutung konzentrieren wir uns in dieser Broschüre auf das Surfen und E-Mail.
Telefonieren über das Internet (VoIP)
In den Anfängen war das Internet aufgrund geringer Bandbreite der Netze nur geeignet, relativ einfache Dokumente mit Texten und Grafiken zu übertragen. Da die Datenübertragung im Internet „zerstückelt“ erfolgt, war an eine Sprachverbindung nicht
zu denken. In den letzten Jahren sind die Bandbreiten massiv gesteigert worden.
Dadurch wurden höhere Datenströme erreicht, die zusätzliche technische Anforderungen und Dienste unter dem Namen Internet-Telefonie oder VoIP für „voice over
(Stimme über) Internet Protocol“ ermöglichen. Bekannt ist vor allem der Dienst „Skype“. Hier kann nicht nur das Gespräch, sondern auch ein Bild weltweit zu geringen
Internetkosten übertragen werden.
Telefonate sind nach dem Fernmeldegesetz besonders geschützt. Die Vertraulichkeit
der Gespräche wurde bei den klassischen Anbietern von Telefonie-Dienstleistungen
(in früheren Zeiten ausschließlich die Deutsche Bundespost) auch technisch gewährleistet. VoIP- Anwendungen bringen hier erhebliche Probleme für Datenschutz und
Datensicherheit mit sich, da das gesprochene Wort standardmäßig nicht verschlüsselt
übertragen wird und grundsätzlich auf dem Weg der Datenübertragung abgehört
werden kann.
Betriebs- und Personalräte/innen sollten vereinbaren, dass Geschäftsführungen und
IT-Abteilungen z.B. durch Verschlüsselung die Vertraulichkeit der Telefonate gewährleisten (vergl. TBS Broschüre „VoIP - Telefonieren übers Internet“; Handlungshilfe für
die betriebliche Interessensvertretung; Nr. 65, 12/2006).
10
TBS NRW / Heft 74
Grundlagen zur Internettechnik
Internetdienst
Verwendetes Protokoll
(Beispiel)
Beschreibung
Anwendungen
World Wide Web
Hypertext Transfer
Protocol (HTTP) oder
HTTP Secure (HTTPS)
Zur Übertragung
von Webseiten
Webbrowser
E-Mail
Simple Mail Transfer
Protocol (SMTP), Post
Office Protocol Version
3 (POP3),
Zum Versand elektronischer Briefe
(E-Mails)
E-Mail-Programm
Dateiübertragung (File Transfer)
File Transfer Protocol
(FTP)
Zur Übertragung
von Dateien
FTP-Server und -Clients
Namensauflösung
Domain Name System
(DNS)
Mit diesem Dienst
werden Namen
z. B. de.wikipedia.
org in IP-Adressen
übersetzt
Meistens im Betriebssystem integriert
Usenet
Network News Transfer Diskussionsforen zu News Client
Protocol (NNTP)
allen erdenklichen
Themen
SSH
SSH Protocol
Zur verschlüsselten ssh, unter Windows
Benutzung entfern- z. B. PuTTY oder
ter Rechner
WinSCP
Peer-to-Peer-Systeme
eDonkey, Gnutella,
FastTrack
z. B. Tauschbörsen eMule, FrostWire,
zum Austausch von
Dateien
Internet-Telefonie (VoIP)
H.323, Session Initiation Protocol (SIP)
Telefonieren
Video-Chat
H.264, QuickTimeStreaming
Video-Telefonie
Virtual Private Network VPN
GRE, IPsec, PPTP
Kopplung von
OpenVPN
LANs über das
Internet, optional
mit Verschlüsselung
und Authentifizierung
Internetradio
Hypertext Transfer
Protocol (HTTP)
Radio hören/
senden
Netzwerkadministration
Simple Network Management Protocol
(SNMP)
Dient der Fernkonfi-guration,
-wartung und
-überwachung von
Netzwerkkomponenten wie z. B.
Routern
Internet Relay Chat
IRC-Protokoll
„Ur“-Chatdienst
Verschiedene Clientprogramme, z. B.
XChat (Linux, bzw.
Windows)
Instant Messaging
Verschiedene proprietäre Protokolle
Kurznachrichten
von Person zu
Person
Je nach System, z. B.
ICQ/AIM, MSN oder
Yahoo Messenger
Überblick über wichtige Internetdienste (Quelle: www.wikipedia.org, verändert)
TBS NRW / Heft 74
11
Grundlagen zur Internettechnik
2.2 Technische Grundlagen der Protokollierung und Überwachung
Firmen, öffentliche Einrichtungen oder auch Privatpersonen können eigene Internetadressen buchen, den Internetauftritt gestalten und speichern und so ihre Internetseiten
weltweit zugänglich machen. In den Anfängen waren die Internetseiten recht einfach
gestaltet. Heute können die Dokumente neben Text und Grafik auch Fotos, Video oder
Musik enthalten. Wichtig für den Aufbau des Internets - und die Möglichkeiten der
Überwachung -ist, dass jeder Computer im weltweiten Internet und jede Internetseite
als Datei eindeutig bezeichnet ist und somit identifiziert werden kann. Für IT-Geräte wie
PCs oder Server wird diese eindeutige Identifizierung im Web IP-Adresse genannt. Die
Identifizierung von Internetseiten erläutern wir am Beispiel der Startseite der TBS NRW:
www.tbs-nrw.de/tbs/index,id,60.html
„www.tbs-nrw.de“ ist der eindeutige Domänenname der TBS NRW e.V. in Deutschland.
Die drei Buchstaben „www“ für World Wide Web beschreiben, dass der Internetauftritt der TBS nach entsprechenden technischen Standards gebildet wird. Charakteristisch
für das Web ist, dass Dokumente auch aus verschiedenen Internetauftritten durch „Hyperlinks“ oder Links verknüpft werden können, und man von einem zu einem anderen Dokument springen kann. Dies ermöglicht das Surfen durch das weltweite Web.
Die weiteren Informationen der IP-Adresse sind ähnlich aufgebaut wie Dateinamen in
Microsoft-Programmen, mit Angabe von Verzeichnissen und Unterverzeichnissen. Hierdurch wird die Datei eindeutig identifiziert.
Die oben angegebene Adresse der TBS-Internetseite wird technisch URL für Uniform
Resource Locators (einheitlicher Ressourcen- oder Quellenanzeiger) genannt, da sie eine
Datei, also IT-Ressource, im weltweiten Netz identifiziert und auf einem Computer lokalisiert. Ruft ein Betriebsrat oder eine Betriebsrätin bzw. Personalrat oder Personalrätin
ein entsprechendes Dokument aus einem Internetauftritt von seinem PC aus ab, so wird
der Dokumentenname nicht nur auf seinem PC angezeigt, sondern auch auf Servern des
Unternehmens gespeichert.
Es kann also beim Surfen grundsätzlich protokolliert und kontrolliert werden, von welchem PC aus welche Internetseiten aufgerufen wurden. Beim Schreiben und Versenden
einer E-Mail mit einer individuellen Adresse ist die Möglichkeit der personenbezogenen
Internet-Provider
wer, wann, wie lange,
welche IP-Seiten
E-Mail
E-Commerce
TK-Verbindung
Telearbeit
Firmen,
Vereine
Informationen
abrufen
Privatpersonen
Webserver
Protokoll mit Webadresse, wie,
wieviel, wie lange, Cache
Intranet
Betriebs- und
Personalräte
• Router-Software
Protokoll: IP-Nr., wie groß, wie viel
• Telefonanlage
A- & B-Nummer, wie lange
• Firewall
je nach Software und
Konfiguration alles möglich!
• Client / PC
• Browser (Cache, History)
Datenspuren im Internet: Datenfluss und Datenspeicherung beim Surfen im Web
12
TBS NRW / Heft 74
Grundlagen zur Internettechnik
Zuordnung noch offensichtlicher. Die folgende Grafik („Datenspuren Im Internet“) zeigt,
welche Daten beim Abruf einer Internetseite aus dem Web grundsätzlich auf welchen
Computersystemen inner- und überbetrieblich gespeichert werden können.
Es wird deutlich, dass die Protokolldaten auf verschiedenen EDV-Anlagen erfasst und
verarbeitet werden können, z.B. lokal auf dem PC, auf dem Webserver oder dem Router
(Rechner zur Koppelung verschiedener IT-Netze, z.B. LAN und Internet), der Firewall
(Software zum Schutz des betrieblichen Computernetzes vor Viren oder Sabotage) oder
beim Internetprovider. Diese technischen Protokolle werden häufig auch Log-Datei oder
Log-Protokoll genannt. Die Protokollierung muss natürlich bei der betrieblichen Regelung
beachtet und geregelt werden. Bei dem Versenden einer E-Mail gilt dies entsprechend.
Dabei ist es von besonderer Bedeutung, dass die Übertragung der Dateien oder E-Mails
im Internet grundsätzlich unverschlüsselt erfolgt. Als diese Kommunikationstechnologien
entwickelt wurden, spielten Datenschutz und Datensicherheit nur eine geringe Rolle. Erst
später wurden sicherere Internetstandards, wie z.B. https entwickelt. Sie ermöglichen es,
die Informationen weitgehend abhörsicher zu übertragen. Der Standard lässt sich nicht
für E-Mail anwenden, hier müssten Daten oder Anhänge zusätzlich verschlüsselt werden.
Alte und neue Internetadressen: von IPv4 zu IPv6
Der Begriff Internetadresse ist nicht eindeutig. Die Startseite des TBS-Internetauftritts hat (im Juli 2012) die Internetadresse http://www.tbs-nrw.de/tbs/index,id,60.
html. Andererseits bezeichnet man mit Internetadresse auch die Identifikation einer
Internet-Ressource, eines bestimmten Computers oder PCs.
Diese Internetadresse hat heute, beim Standard IP Version 4 (IPv4) z. B. die Nummer 192.0.2.42. Hiermit können gut 4 Milliarden Internetadressen gebildet werden.
Obwohl diese Anzahl schon gewaltig erscheint, reicht sie durch die massive
Verbreitung neuer Smartphones und Tablet-Computer mittlerweile nicht mehr
aus, und seit Sommer 2012 wird der neue Standard IPv6 angewendet. In IPv6 hat
eine Internetadresse z.B. den folgenden Aufbau: 2001:0db8:85a3:0000:0000:8a
2e:0370:7344.
Es können nun Tausende von Milliarden (!) Internetadressen gebildet werden, um
z.B. elektronische Komponenten und Geräte in Autos, im Haushalt, auf der Arbeit
durch eine eigene IP-Adresse zu identifizieren. Datenschutzbeauftragte sehen hier
gewaltige Probleme.
Der Bundesdatenschutzbeauftragte Schaar kritisiert z.B., „dass die Hersteller von
Smartphone-Software überwiegend die weltweite eindeutige Hardware-Kennung
der Geräte als Bestandteil der IP-Adresse verwenden“. Damit nähmen sie „billigend in Kauf, dass das Verhalten der Nutzer individuell zugeordnet werden kann“
(Quelle: www.heise.de).
TBS NRW / Heft 74
13
Grundlagen zur Internettechnik
2.3 Verschlüsselung und digitale Signaturen
Verfahren zur Verschlüsselung von Texten gibt es bereits seit Jahrtausenden. Mit der
Computertechnik sind die Verschlüsselungsverfahren immer aufwändiger und raffinierter
geworden und bilden eine eigene Wissenschaft, die Kryptographie. Ziel ist es, einen Originaltext so zu verschleiern, dass er nur dem rechtmäßigen Empfänger verständlich ist.
Ein sehr einfaches Verfahren ist die Cäsar-Verschlüsselung. Hierbei wird systematisch ein
Buchstabe des Alphabets durch einen anderen ersetzt, das A durch das D, das B durch
das M, usw.
Es muss nun zwischen einer automatisierten Verschlüsselung, z.B. bei der Datenübertragung, und einer individuell vereinbarten Verschlüsselung unterschieden werden. Bei der
Datenübertragung in einem betrieblichen IT-Netz zwischen einem PC und einem Server
ist die Datei während der Datenübertragung in aller Regel automatisiert verschlüsselt
(vgl. auch VPN, s.u.). Auf PC und Server ist die Datei allerdings in Klarschrift gespeichert
und lesbar. Der Schutz ist begrenzt auf den Übertragungsweg.
Bei einer „individuellen“ Verschlüsselung müssen sich Absender und Empfänger zuvor
auf ein Verschlüsselungsverfahren verständigen. In der Praxis muss hierzu ein sogenannter Schlüssel ausgetauscht werden. Dies ist eine organisatorische Herausforderung. Daher
bieten IT-Dienstleister an, die Verwaltung und Verteilung der geheimen Schlüssel gegen
Gebühr zu organisieren. Diese Verfahren werden bei hohen Anforderungen an Datenschutz und Datensicherheit genutzt.
Einfacher geht es heute mit vielen Computerprogrammen, die standardmäßig Verschlüsselungsverfahren anbieten, z.B. Acrobat Reader oder MS Word. Hierzu verschlüsselt der
Absender die Datei mit einem Passwort. Das stellt er dem Empfänger auf vertraulichem
Weg zur Verfügung. Danach übersendet er die verschlüsselte Datei im E-Mail-Anhang
und der Empfänger kann sie entschlüsseln. Diese Technik wird zunehmend auch in der
Kommunikation der Interessenvertretungen genutzt.
Geschäftsbriefe mit der digitalen Signatur sichern (De-Mail Gesetz)
Manchmal werden Verfahren der Verschlüsselung und der digitalen Signatur miteinander verwechselt. Mit der Verschlüsselung soll die Geheimhaltung, die hohe Vertraulichkeit eines
Dokumentes vor Dritten, gewährleistet werden. Mit der digitalen Signatur wird ein Dokument nicht verschleiert. Es kann von
allen gelesen werden. Hiermit soll gewährleistet werden, dass
die Inhalte eines Dokumentes nicht unbemerkt verändert werden, z.B. der Kaufpreis eines Artikels oder das Lieferdatum. Dies hat natürlich im
Geschäftsverkehr zwischen Unternehmen einen hohen Stellenwert bei Bestellungen,
Vertragsbestimmungen usw. aber auch zwischen Behörden und Bürgern. Daher hat
es in Deutschland und der EU mehrere Anläufe gegeben, rechtlich sichere und praktikable Gesetze zur Unterstützung einer digitalen Signatur zu erlassen. Zuletzt ist
im April 2011 das De-Mail-Gesetz im Bundestag verabschiedet worden. Es regelt
insbesondere die Zulassung von IT-Dienstleistern, die entsprechende elektronische
Dienste zur Gewährleistung der digitalen Signatur anbieten und durchführen. Auch
eine Verschlüsselung ist möglich.
14
TBS NRW / Heft 74
Grundlagen zur Internettechnik
Zunehmend werden auch Verschlüsselungsprogramme kostenfrei im Internet angeboten. Eine sichere E-Mail-Kommunikation ist auch für private PC-Nutzerinnen und -nutzer
wichtig. Das Bundesamt für Sicherheit in der Informationstechnik (www.BSI.bund.de)
bietet Bürgerinnen und Bürgern eine kostenfreie Verschlüsselungssoftware z.B. für E-Mail
an. Sie kann unter „www.gpg4win.de“ heruntergeladen werden.
2.4 Technik des Intranets
Unternehmen können eigene innerbetriebliche Computernetze nach den Internetstandards aufbauen. Sie werden dann Intranet genannt und enthalten z.B. zentrale betriebliche Dokumente wie Telefonverzeichnisse, Organigramme, Qualitätsmanagementhandbücher usw. Auch hier können alle Informationsabrufe wie beim Surfen protokolliert
werden.
Weiterhin ist es möglich, über das Intranet die Computer an unterschiedlichen Unternehmensstandorten miteinander zu vernetzen und die Daten über das Web zu übertragen.
Normalerweise würde diese Datenübertragung unsicher und ungeschützt sein. Da dies
für Unternehmen mit ihren sensiblen Unternehmensdaten natürlich nicht akzeptabel ist,
werden die Daten zwar über das weltweite Internet übertragen, jedoch durch einen geschützten „Tunnel“. Praktisch heißt dies, dass die Datenpakete verschlüsselt und somit
abhörsicher im Internet übertragen werden. Dieses Sicherheitskonzept wird als VPN (virtuelles privates Netzwerk) bezeichnet und bildet heute einen Standard für eine gesicherte
betriebliche Datenübertragung.
Hauptstelle/Stammsitz
Heimarbeiter mit
VPN client software
Wireless client mit
VPN client software
Firewall
Zweigniederlassung 1
Firewall
Zweigniederlassung 2
Firewall
Beispielhafter Aufbau eines webgestützten Intranets mit VPN-Verschlüsselung
TBS NRW / Heft 74
15
Internet
3. Internet
In diesem Kapitel geht es um den Internet-Dienst
www (world wide web), der zum Aufruf von Seiten,
„Surfen“ und Recherchieren dient und üblicherweise
(streng genommen: verkürzt) als „Internet“ bezeichnet wird. Im Folgenden wird auf die Regelungsbereiche zum „Internet“ eingegangen, die unserer Erfahrung nach in Betrieben häufig zu Konflikten führen,
d.h.
• Zugang zum Internet,
• private Nutzung und
• Missbrauchskontrolle.
Das damit zusammenhängende Thema
der Unternehmensrichtlinien zur Internet-Nutzung wird im Kapitel E-Mail mitbehandelt.
3.1 Zugang zum Internet
Recherchen im Internet gehören heute
zum Standard im Betrieb. In manchen
Betrieben entscheiden Vorgesetzte
dennoch nach Gutdünken, wer einen
Internetzugang erhält. Das verletzt den
Grundsatz der Gleichbehandlung.
Beschäftigte, die nicht an einem PC-Arbeitsplatz arbeiten, haben nicht
immer einen Internetzugang und können damit von wichtigen, auch innerbetrieblichen
Informationsquellen und Kommunikationsmöglichkeiten abgekoppelt und dadurch benachteiligt sein.
Formulierung in einer Betriebs-/Dienstvereinbarung
„Der Zugang zum Internet wird als Arbeitsmittel zur Verfügung gestellt und ist an
eine persönliche Berechtigung gebunden. Die Berechtigung wird erteilt, wenn die
Internet-Nutzung zur Unterstützung der Arbeit sinnvoll ist.
Grundsätzlich wird davon ausgegangen, dass die umfassenden Informationsmöglichkeiten des Internets an allen Arbeitsplätzen sinnvoll genutzt werden können. Anträge
auf Erteilung einer Berechtigung können nur aus triftigen Gründen abgelehnt werden.
Für Arbeitsplätze, die nicht standardmäßig über einen Bildschirmarbeitsplatz verfügen, gibt es eine ausreichende Anzahl von Rechnern mit Internet-Zugang.“
3.2 Private Nutzung
Es kommt vor, dass Arbeitgeber die Genehmigung zum privaten Surfen daran knüpfen,
dass die Nutzerinnen und Nutzer eine Einverständniserklärung dazu abgeben, dass der
Arbeitgeber kontrollieren darf, was genau diese im Internet gemacht haben.
Dies kann jedoch nur zulässig sein, wenn die private Nutzung vorher nicht erlaubt war
(betriebliche Übung, siehe Ausführungen im Kapitel 5 E-Mail). Selbst bei genereller Zulässigkeit sind bei der Ausgestaltung einer solchen Einverständniserklärung die Persönlichkeitsrechte zu beachten.
16
TBS NRW / Heft 74
Internet
Das LAG Rheinland-Pfalz hat geurteilt, dass eine private Internetnutzung von etwa einer
Stunde im Monat auf jeden Fall keine arbeitsvertragliche Pflichtverletzung ist (2.3.2006,
AZ: 4 Sa 958/05):
„Vergleichbar ist der Umfang der Nutzung etwa mit privaten Gesprächen während der
Arbeitszeit mit Kollegen, privaten Telefongesprächen in geringfügigem Umfang, Zigarettenpausen oder sonstige als noch sozial adäquat anzuerkennende Tätigkeiten, die nicht
unmittelbar mit dem Arbeitsverhältnis in Beziehung stehen.“
(Zitat aus der Urteilsbegründung).
3.3 Missbrauchskontrolle
Eine Leistungs- oder Verhaltenskontrolle mit Hilfe der Verbindungsdaten wäre selbst bei
rein dienstlicher Nutzung von Internet und E-Mail für den Normalfall eine datenschutzrechtlich problematische Zweckentfremdung der (aus technischen Gründen anfallenden)
Protokolldaten und sollte nicht zugelassen sein.
Formulierung in einer Betriebs-/Dienstvereinbarung
Alternative 1:
„Protokollierungen von Verbindungsdaten (z.B. Zustellungszeitpunkt, Ausgangszeitpunkt, Adressaten/Empfänger, Größe) und die Abspeicherung der E-Mails oder von
Internet-Seiten werden nur zur Sicherstellung des ordnungsgemäßen Betriebes der ITSysteme, der Systemsicherheit, der Datensicherheit und des Datenschutzes genutzt.
Sie werden nicht zur Leistungs- oder Verhaltenskontrolle der Mitarbeiter/innen genutzt. Widerrechtlich gewonnene Daten unterliegen einem Verwertungsverbot.“
Manche Arbeitgeber wollen aber die Möglichkeit haben, Missbrauch (z.B. stundenlanges
privates Surfen) zu kontrollieren. Dies ist dann auf konkrete Verdachtsfälle einzugrenzen.
Formulierung in einer Betriebs-/Dienstvereinbarung
Alternative 2:
„Protokollierungen von Verbindungsdaten (z.B. Zustellungszeitpunkt, Ausgangszeitpunkt, Adressaten/Empfänger, Größe) und die Abspeicherung der
E-Mails oder von Internet-Seiten werden nicht zur Leistungs- oder Verhaltenskontrolle der Mitarbeiter/innen genutzt. Dies gilt nicht, wenn Tatsachen bekannt werden, die den Verdacht einer erheblichen Verletzung der Arbeitspflichten begründen, und der BR/PR einer entsprechenden Auswertung
vorher zugestimmt hat. Die Kontrolle der Protokolldaten des BR/PR ist unzulässig.
Widerrechtlich gewonnene Daten unterliegen einem Verwertungsverbot.“
Sicherlich müssen die entscheidenden Datenschutz- und Datensicherheitsmaßnahmen
sowohl zum Surfen im Internet als auch beim E-Mail-Verkehr durch die IT-Abteilung des
Unternehmens eingestellt und gewährleistet werden. Einzelne Sicherheitseinstellungen
auf dem PC oder Notebook können jedoch auch die Beschäftigten selbst realisieren. Es
geht dabei besonders um Cookies oder die Internethistorie. Details hängen immer vom
benutzten Browser wie Internet Explorer oder Firefox ab. Jeweils aktuelle Informationen
findet man z.B. unter den Internetauftritten „www.verbraucher-sicher-online.de“ der
Technischen Universität Berlin oder unter „www.bsi-fuer-buerger.de“.
TBS NRW / Heft 74
17
Intranet
4. Intranet
Das Intranet ist ein betriebliches
EDV-Netz, das nach den technischen
Standards des Internets aufgebaut ist,
dessen Informationen und Funktionen
aber im Gegensatz zum Internet nicht
von der Öffentlichkeit,
sondern nur intern von Betriebs-, Verwaltungs- bzw.
Konzernangehörigen
genutzt werden können.
Ein Intranet kann genutzt werden, um betrieblich
relevante Informationen und Unterlagen, z.B. Telefonverzeichnisse, Qualitätshandbücher, Organisationspläne, Betriebs-/Dienstvereinbarungen zur Verfügung zu stellen.
Hierbei handelt es sich um weniger vertrauliche Informationen, die allen Unternehmensangehörigen zugänglich gemacht werden. Über ein Intranet können aber auch Verfahren
zur Beantragung von Dienstreisen oder Urlaub oder für Verbesserungsvorschläge usw.
durchgeführt, interne Stellen ausgeschrieben oder Seminare angeboten werden. In diesen Fällen werden Beschäftigtendaten erhoben und es sind Datenschutzmechanismen,
wie z.B. eingeschränkte Zugriffsrechte, erforderlich.
Mit zunehmender Nutzung des Intranets für das innerbetriebliche Wissen wird es immer
wichtiger, dass alle Beschäftigten Zugang dazu haben, um nicht von wichtigen Informationen abgeschnitten zu sein. Vielfach wird über das Intranet sogenannte Collaboration
Software, d.h. Software zur Unterstützung der Zusammenarbeit in einer Gruppe über
zeitliche und/oder räumliche Distanz hinweg (z.B. Microsoft Sharepoint) genutzt.
Hier werden umfassende Funktionen im Hinblick auf
• Kommunikation und Koordination (E-Mail, Instant Messaging, Kalenderverwaltung
und Projekt-Management),
• Kooperation (Desktop-Sharing oder Online-Whiteboards),
• Dokumenten-Management sowie
• Information-Sharing (Wikis, Blogs, Diskussionsforen etc.) bereitgestellt.
In diesem Zusammenspiel ist z.B. über das Intranet die Erstellung eines „Betrieblichen Sozialen Netzes“ eine Option, in dem Profile von Kollegen und Kolleginnen zur Verfügung
stehen, die berufliche Qualifikationen und Informationen, aber auch Fotos, Hobbies und
Statusmeldungen der Beschäftigten anzeigen. Ein betrieblicher Kleinanzeigenmarkt rundet das Angebot des Intranets ab.
Die hart geführten Diskussionen zur privaten Nutzung des Internets verschwimmen,
denn diese Form des Intranets lebt erst von der Bekanntgabe vieler auch persönlicher
Daten. Betriebs- und Personalräte müssen hier Rahmenbedingungen schaffen, die die
Preisgabe persönlicher Daten minimiert und auf Freiwilligkeit der Bekanntgabe der Daten
drängen und die Beschäftigten entsprechend sensibilisieren.
18
TBS NRW / Heft 74
Intranet
Formulierung in einer Betriebs-/Dienstvereinbarung
„Personenbezogene Daten von Beschäftigten, die im Intranet eine eigene Profilseite
haben, dürfen nur unter Beachtung des Bundesdatenschutzgesetzes eingetragen werden. Die Angaben der Informationen zur eigenen Personen sowie die Bereitstellung
eines Fotos erfolgen freiwillig.“
Alternative Formulierung:
„Die eigene Profilseite enthält automatisch die wichtigsten Personendaten, wie z. B.
Vor- und Nachname, Bereich, Abteilung, Funktion, dienstliche Telefonnummer und
dienstliche E-Mailadresse. Zusätzlich besteht die Möglichkeit, das eigene Profil mit
weiteren persönlichen Informationen zu ergänzen. Das sind unter anderem ein persönliches Foto, Themen, für die der Mitarbeiter als Ansprechpartner zur Verfügung
steht, erledigte Projekte, Fertigkeiten, Interessen und der Geburtstag. All diese zusätzlichen Informationen sind freiwillige Angaben des Mitarbeiters. Jeder Mitarbeiter kann selbst festgelegen, wer diese Informationen sehen darf (jeder, meine Kollegen, mein Team, mein Manager oder privat). Inhaltlich müssen diese Einträge einen
dienstlichen Bezug aufweisen. Jeder Mitarbeiter kann auf freiwilliger Basis ein Foto
von sich in seine Profilseite laden. Für dieses Foto gelten die folgenden Vorgaben:
• Portraitfoto, kein Ganzkörperbild und kein Gruppenfoto (kein Urlaubsfoto o.ä.)
• Auf dem Bild muss die Person abgebildet sein, zu der die Profilseite gehört.“
TBS NRW / Heft 74
19
E-Mail
5. E-Mail
In diesem Kapitel geht es um Regelungsschwerpunkte zum
Thema E-Mail, mit denen Interessenvertretungen häufig
konfrontiert werden:
•
•
•
•
•
Privates E-Mailen,
Zugriff des Arbeitgebers auf E-Mails bei längerer Abwesenheit der Nutzerinnen und Nutzer,
Archivierung,
Unternehmensrichtlinien zur Nutzung von E-Mail und
E-Mail-Stress.
E-Mails können einerseits formellen Charakter haben und dienstlichen Schriftverkehr
ersetzen. Andererseits ersetzen sie zunehmend Gespräche und haben einen informellen Charakter, der sich auch durch einen legeren Sprachgebrauch im Vergleich zum Geschäftsbrief auszeichnet. Gespräche und Telefonate, auch rein dienstliche, sind rechtlich
vor heimlichen Mithören geschützt. Wie verhält es sich mit E-Mails? Darf der Arbeitgeber
die E-Mails mitlesen?
5.1 Privates E-Mailen im Betrieb
Die rechtlichen Konsequenzen privater E-Mail-Nutzung sind vielen nicht bekannt.
Nach herrschender Rechtsauffassung wird ein Arbeitgeber, der die private Nutzung der
dienstlichen E-Mail-Adresse für privates E-Mailen zulässt oder duldet, zum „Diensteanbieter“ gemäß Telekommunikationsgesetz (TKG) und unterliegt damit dem Fernmeldegeheimnis § 88 TKG.
Die Verletzung des Fernmeldegeheimnisses (Kenntnisnahme persönlicher Daten, bereits
die Verbindungsdaten eines Telefonats oder einer E-Mail, oder die Unterdrückung privater Daten) ist strafbar. Das Fernmeldegeheimnis bezüglich der E-Mail-Inhalte und der
Protokolldaten der E-Mail-Verbindungen besteht für die Daten, die sich auf den Servern
des Arbeitgebers befinden.
Es gilt nicht für zugestellte E-Mails und E-Mail-Protokolle, die bereits auf dem Rechner
der Adressaten gespeichert sind.
§ 88 Fernmeldegeheimnis (Telekommunikationsgesetz)
(1) Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre
näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Das Fernmeldegeheimnis erstreckt sich auch auf
die näheren Umstände erfolgloser Verbindungsversuche.
(2) Zur Wahrung des Fernmeldegeheimnisses ist jeder Diensteanbieter verpflichtet.
Die Pflicht zur Geheimhaltung besteht auch nach dem Ende der Tätigkeit fort, durch
die sie begründet worden ist.
(3) Den nach Absatz 2 Verpflichteten ist es untersagt, sich oder anderen über das für
die geschäftsmäßige Erbringung der Telekommunikationsdienste einschließlich des
Schutzes ihrer technischen Systeme erforderliche Maß hinaus Kenntnis vom Inhalt
oder den näheren Umständen der Telekommunikation zu verschaffen (Satz 1). Sie
dürfen Kenntnisse über Tatsachen, die dem Fernmeldegeheimnis unterliegen, nur für
den in Satz 1 genannten Zweck verwenden. Eine Verwendung dieser Kenntnisse für
20
TBS NRW / Heft 74
E-Mail
andere Zwecke, insbesondere die Weitergabe an andere, ist nur zulässig, soweit dieses Gesetz oder eine andere gesetzliche Vorschrift dies vorsieht und sich dabei ausdrücklich auf Telekommunikationsvorgänge bezieht. (…)“
Das hat beispielsweise folgende Konsequenzen:
•
•
•
•
E-Mails dürfen nicht automatisch zu anderen Personen um- oder weitergeleitet werden, auch nicht bei Abwesenheit der Adressaten.
E-Mails dürfen nicht ausgefiltert werden, d.h. Spam-Mails müssen zugestellt werden
(z.B. in einem separaten Ordner), über virenbefallene E-Mails ist der vorgesehene
Adressat unter Angabe des Absenders zu informieren.
Mails dürfen vom Arbeitgeber nur in einer Weise archiviert werden, so dass die Eigentümer/Adressaten der E-Mail diese jederzeit löschen können. Diese Anforderung
kollidiert mit den meisten Archivierungskonzepten.
Jegliche Kontrolle von Verbindungsdaten (wer hat wem wann eine E-Mail geschickt)
ist verboten.
Die Konsequenzen gelten zunächst nur für die E-Mails mit privatem Inhalt. Bei fehlender
Trennung von den rein geschäftlichen E-Mails (in der Regel der Fall) gelten sie für alle
E-Mails.
Rechtslage bei rein dienstlicher Nutzung
(und einer persönlichen E-Mail-Adresse)
Auch bei rein dienstlicher Nutzung hindern die Persönlichkeitsrechte des Arbeitnehmers
den Arbeitgeber an einem willkürlichen Zugriff auf ein E-Mail-Konto des Arbeitnehmers.
Auch im dienstlichen E-Mail-Verkehr gibt es persönliche oder vertrauliche Mitteilungen, wie z.B. mit dem Betriebsrat/Personalrat, der Schwerbehindertenvertretung, dem
betriebsärztlichen Dienst, dem betrieblichen Datenschutzbeauftragten, der Personalabteilung usw. Grundrechte zum Persönlichkeitsschutz (das Recht auf informationelle
Selbstbestimmung sowie der verfassungsrechtliche Schutz vor ausufernder Online-Überwachung) stellen sicher, dass die Verhältnismäßigkeit gewahrt werden muss. Arbeitgeber
können nicht pauschal verlangen, Einblick in alle E-Mails nehmen zu können. Kann der
Arbeitgeber benötigte E-Mail-Inhalte direkt vom Beschäftigten fordern, so ist in der Regel
dieser Weg zu beschreiten.
Arbeitgeber dürfen Beschäftigte nicht pauschal anweisen, alle ihre eingehenden und/
oder ausgehenden E-Mails automatisch anderen Personen (z.B. Vertretung) zugänglich
zu machen. Dies gilt jedenfalls bei einer personenbezogenen E-Mail-Adresse. Bei personenbezogenen E-Mail-Adressen kann prinzipiell nicht ausgeschlossen werden, dass private E-Mails eingehen. Außerdem wäre auch das Kommunikationsgeheimnis Außenstehender berührt, denn Absender können nicht damit rechnen, dass ihre Nachrichten anderen
Personen zugehen, als sie beabsichtigt haben.
Bei Abwägung der Interessen kommt nur in Frage,
•
•
•
die Einsicht in die Inhalte auf absolute (zu benennende) Sonderfälle zu beschränken
(z.B. betriebswichtige E-Mails auf dem E-Mail-Konto eines Unfallopfers),
die Zahl der Einsicht nehmenden Personen zu beschränken und
ein Verwendungs- und Weitergabeverbot der Inhalte und der damit verbundenen
Erkenntnisse über die Kommunikationspartner festzulegen.
TBS NRW / Heft 74
21
E-Mail
Das Verfahren wird vereinfacht, wenn E-Mail-Empfänger dazu verpflichtet sind, dienstliche von privater bzw. vertraulicher E-Mail zu trennen und in entsprechende Ordner
abzulegen. Dienstliche E-Mail darf dann in Notfällen von einer Vertretung eingesehen
werden (s. 5.2).
Erlaubnis für privates E-Mailen widerrufen
Auf die datenschutzrechtlichen Konsequenzen privater E-Mail-Nutzung reagieren viele
Arbeitgeber reflexartig mit einem kategorischen Verbot. Doch so einfach ist das nicht.
Nur wenn die Erlaubnis privater Nutzung unter Vorbehalt gegeben wurde, kann der Arbeitgeber diese widerrufen.
Eine Betriebsvereinbarung, in der die private Nutzung erlaubt wurde, kann gekündigt
werden. Jedoch in allen anderen Fällen einer seit längerem geduldeten oder erlaubten
privaten Nutzung ist nach überwiegender Rechtsauffassung eine betriebliche Übung und
damit ein individualrechtlich einklagbarer Anspruch der Beschäftigten entstanden. Dieser
kann weder durch einseitige Erklärung vom Arbeitgeber oder gegenteilige betriebliche
Übung noch durch eine Betriebs- bzw. Dienstvereinbarung aufgehoben werden.
Dem Arbeitgeber bliebe hier nur, sich mit allen Beschäftigten über die Aufhebung der betrieblichen Übung zu einigen oder eine Änderungskündigung auszusprechen. Eine gute
Möglichkeit, die die bisherigen Rechte der Beschäftigten wahrt, besteht in einer Regelung
in einer Betriebs-/Dienstvereinbarung, die eine geringfügige private Nutzung zulässt.
Oder man verweist in einer Protokollnotiz zur Betriebsvereinbarung auf die bisherige
betriebliche Übung und deren Fortsetzung. Aber auch bei verordneter rein dienstlicher
Nutzung gilt: Selbst eine verbotenerweise versandte private E-Mail bleibt eine private EMail und unterliegt damit dem Schutz des § 88 TKG.
Grundsätzliche Erlaubnis zu privater Nutzung von E-Mail
In Notfällen sowie aus dienstlich veranlassten Gründen („ich komme später“) muss der
Arbeitgeber die private Nutzung zulassen. Ebenfalls muss der Arbeitgeber bei rein elektronischer Anbindung des Arbeitsplatzes ohne Telefon die private Kommunikation per EMail gestatten. Die Fachliteratur weist darauf hin, dass dienstliche Kommunikation nicht
bedeutet, dass jedes private Wort zu unterbleiben hat. Dieses könne die dienstliche Kommunikation sogar erleichtern.
Argumente für das private E-Mailen
Wie oben bereits erwähnt, wollen manche Arbeitgeber das private E-Mailen verbieten,
um nicht dem Fernmeldegeheimnis nach Telekommunikationsgesetz zu unterliegen.
Doch dies ist weder im Interesse der Beschäftigten noch des Unternehmens.
Eine auch private Nutzung des Mediums E-Mail innerhalb des Arbeitstages ist üblich
(übrigens auch und gerade im Management), und durch ein Verbot würden die Nutzerinnen und Nutzer kriminalisiert und auch loyalen Mitarbeiterinnen und Mitarbeitern
eine böswillige Absicht unterstellt. Ein Verbot könnte demotivierend wirken und seine
Überwachung könnte zu einer Verschlechterung der Unternehmenskultur hin zu mehr
Misstrauens- und Kontrollkultur führen.
Gespräche zwischen Personen, die dienstlich häufig Kontakt haben, enthalten neben
dienstlichen auch häufig private Elemente - das ist bei E-Mails genauso. Die gute Kon-
22
TBS NRW / Heft 74
E-Mail
taktpflege führt auch zu gelegentlichen rein privaten Gesprächen (auf dem Flur, per Telefon). Dies sollte auch beim zunehmenden Ersatz solcher direkter Gespräche durch zeitversetzte Kommunikation via E-Mail nicht wegfallen und kann auch nicht im Interesse
eines Arbeitgebers sein.
Möglichkeiten zur Trennung privater und dienstlicher E-Mails
Die beste Möglichkeit wäre die vom Bundesamt für Sicherheit in der Informationsverarbeitung (BSI) empfohlene Einrichtung doppelter E-Mail-Adressen, nämlich einer personenbezogenen E-Mail-Adresse (vorname.name@betrieb.de) sowie einer funktionsbezogenen E-Mail-Adresse (z.B. Sekretariat@betrieb.de, Disposition@betrieb.de, Personalrat@
behoerde.de), über die normale Dienstgeschäfte abgewickelt werden. Geschäftspartnerinnen und -partnern wird nur die funktionsbezogene E-Mail-Adresse bekanntgegeben.
Hiermit ist eine gute Trennung von geschäftlichen und persönlichen/vertraulichen/privaten E-Mails sichergestellt. Bei Abwesenheit können die E-Mails der funktionsbezogenen
Adresse automatisch umgeleitet werden. Auch eine Archivierung wird erleichtert.
Als Alternative dürfen private E-Mails im Betrieb nicht mit der betrieblichen E-Mail-Adresse, jedoch mit einer Web-Mail-Adresse (z.B. von web, gmx, t-online, yahoo) gesendet
und empfangen werden. Dies setzt voraus, dass eine private Nutzung des Internets nicht
ausgeschlossen ist. Hiermit sind die privaten einigermaßen von den dienstlichen E-Mails
getrennt. Wenn für dienstliche E-Mails eine personenbezogene betriebliche E-Mailadresse genutzt wird, sind eingehende private E-Mails jedoch nicht ausgeschlossen und es gibt
weiterhin dienstliche vertrauliche und persönliche E-Mails (diese sollten die Nutzerinnen
und Nutzer in privaten Ordnern ablegen). Für die Nutzerinnen und Nutzer ist es außerdem umständlich, die privaten E-Mails nicht in ihrem betrieblichen E-Mail-Postfach zu
verwalten, sondern extra eine Internetseite öffnen zu müssen. Die E-Mail-Anhänge der
privaten E-Mails könnten zudem Viren enthalten, da diese nicht die Virenprüfung der
betrieblichen Firewall durchlaufen, so dass die PCs der Nutzerinnen und Nutzer mit einem
eigenen Virenscanner ausgerüstet sein müssen.
5.2 Zugriff auf E-Mails bei Abwesenheit
Eine Regelung für den Zugriff auf dringende E-Mails in Abwesenheit von Beschäftigten
ist erheblich einfacher, wenn es für die geschäftsrelevante dienstliche Kommunikation nur
funktionsbezogene E-Mailadressen statt persönlicher E-Mailadressen gibt.
Bei einer rein funktionsbezogenen E-Mail-Adresse (z.B. arbeitsvorbereitung@betrieb.de)
können bei Abwesenheit von Beschäftigten deren E-Mails automatisch an eine Vertretung umgeleitet werden oder die Vertretung hat dieselbe Gruppen-E-Mailadresse.
Bei persönlichen E-Mail-Adressen wäre dies nicht zulässig, wie oben beschrieben. Die
Alternative bietet dann die Einschaltung des Abwesenheitsassistenten mit einem Hinweis
auf die Vertretung.
„Ich bin bis zum tt.mm.jj nicht erreichbar. Diese Nachricht wird nicht weitergeleitet. Ich
werde sie nach meiner Rückkehr bearbeiten. In dringenderen Fällen wenden Sie sich
bitte an meine Vertretung name@betrieb.de.“
Bei nicht vorhersehbaren Abwesenheiten (z.B. Krankheit, Unfall) kann die Nachricht
allerdings in der Regel nicht mehr von den Betroffenen abgesetzt werden. Dies müsste
dann über die zuständige technische Systemadministration schnellstmöglich nach Bekanntwerden der Abwesenheit veranlasst werden.
TBS NRW / Heft 74
23
E-Mail
Falls die bis dahin im Postfach bereits aufgelaufenen E-Mails zeitkritische geschäftsrelevante Nachrichten enthalten können, müssen diese von der zuständigen Vertretung in
Anwesenheit des/der betrieblichen Datenschutzbeauftragten oder eines BR-/PR-Mitgliedes gesichtet werden. Dabei ist zu beachten, dass nur die geschäftsrelevanten Nachrichten gelesen werden und jede andere Nachricht unverzüglich geschlossen wird, sobald
diese als vertraulich erkennbar ist. Auch ein Rückgriff auf bereits abgelegte ältere E-Mails
kann in Abwesenheit des Beschäftigten kurzfristig erforderlich sein. Um für solche Fälle
sicherzustellen, dass nur geschäftsrelevante E-Mails gelesen werden können, sollten die
Beschäftigten dazu angehalten werden, private und vertrauliche E-Mails nach dem Lesen
entweder zu löschen oder in einen separaten Ordner „privat“ zu verschieben. Dieser
Ordner ist tabu für Dritte.
Ein besonderer Fall liegt vor, wenn bei nicht freigestellten Mitgliedern der Interessenvertretung ein namentliches E-Mail-Postfach sowohl für geschäftliche E-Mails als auch für
E-Mails der Interessenvertretung verwendet wird. Die Vertretung kann bei Sichtung der
E-Mails auch Betriebsrats- (bzw. Personalrats-) Mails lesen. Eine Möglichkeit wäre, dass
die Vertretung nur durch ein anderes Betriebsratsmitglied (bzw. Personalratsmitglied) erfolgen darf. Eine andere Lösung besteht darin, den nicht freigestellten Mitgliedern der Interessenvertretung zusätzliche spezielle persönliche Betriebsrats- (bzw. Personalrats-) EMailadressen zu geben, etwa nach dem Muster BR.vorname.nachname@xyz.de,und den
Beschäftigten entsprechend bekanntzugeben. Diese Lösung ist auch für andere Personen
mit besonderem Vertrauensschutz anzuwenden, wie z.B. Schwerbehindertenvertretung,
JAV, betriebliche/r Datenschutzbeauftragte/r, Gleichstellungsbeauftragte/r.
Formulierung in einer Betriebs-/Dienstvereinbarung:
„Die Eigentümer persönlicher E-Mail-Adressen stellen für geplante Abwesenheiten
sicher, dass die Absender und eine zuständige Vertretung über ihre Abwesenheit informiert werden. Bei ungeplanter Abwesenheit erstellt ein autorisierter Systemverwalter auf Veranlassung des Vorgesetzten die Abwesenheitsmeldung und gewährt
der Vertretung die Zugriffsrechte für die Zeit des Beginns der Abwesenheit bis zur
Abwesenheitsmeldung auf das persönliche Postfach. Sollte die Kenntnis bestimmter
älterer E-Mails kurzfristig während der Abwesenheit des Eigentümers für einzelne
Geschäftsvorgänge erforderlich sein, dürfen diese ebenfalls gezielt für bestimmte Absender gesichtet werden. E-Mail-Ordner mit der Bezeichnung „privat“ dürfen nicht
gelesen werden. Die Sichtung der E-Mails erfolgt im Beisein des/der betrieblichen
Datenschutzbeauftragten (bzw. Betriebsrats-/Personalratsmitglieds) Die Vertretung
und der/die Beschäftigte, an den die E-Mail ursprünglich gerichtet war, werden hierüber informiert. Stellt eine Vertretung bei der Einsicht in eine E-Mail fest, dass diese
vertraulichen Charakter hat, ist diese unverzüglich zu schließen. Informationen daraus dürfen nicht weitergegeben oder verwertet werden.
BR/PR, betriebliche Datenschutzbeauftragte, Schwerbehindertenvertretung haben
für ihre Aufgaben jeweils von ihrer sonstigen betrieblichen Funktion getrennte EMail-Adressen.“
24
TBS NRW / Heft 74
E-Mail
5.3 Archivierung von E-Mails
In den Anfängen war die E-Mail ein persönliches und schnelles Kommunikationsmittel.
Sie wurde vom Beschäftigten gespeichert und bei Bedarf gelöscht. Mittlerweile ist in den
meisten Betrieben die E-Mail ein Bestandteil des regulären Geschäftsverkehrs wie auch
die Geschäftspost. In großen Unternehmen wird sie häufig mit einem Geschäftszeichen
versehen und systematisch in EDV-Ordnern abgelegt. Zusätzlich werden E-Mails häufig
archiviert. Diese Tendenz wird durch die Verwaltungsanweisung „Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU)“ des Bundesfinanzministeriums verstärkt. Die GDPdU verpflichtet die Unternehmen, Betriebsprüfern der Finanzämter den elektronischen Zugriff zu relevanten Dokumenten und Dateien, z.B. aus der
Finanzbuchhaltung, zur Verfügung zu stellen. Betroffen sind hiervon Dokumente insbesondere der Abgabenordnung (AO) und Geschäftsbriefe nach dem Handelsgesetzbuch
(HGB). Es kann sich hierbei also auch um E-Mails handeln, wenn z.B. Kunden gelieferte
Produkte reklamieren. Über das Ausmaß der Verpflichtungen streiten sich die Rechtsexperten und Praktiker.
Unsere Beratungserfahrungen zeigen, dass das Thema Archivierung von E-Mails zunehmend relevant wird und z. B. Archivierungsverfahren, Zugriffsrechte und Löschfristen
geregelt werden müssen.
Die Verwaltungsanweisung des Bundesfinanzministers, die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GdPdU) enthält Regeln zur Aufbewahrung digitaler Unterlagen und schreibt insbesondere vor, dass digital erstellte Steuerunterlagen digital und unveränderbar aufbewahrt werden müssen. Das kann sich auch
auf E-Mails beziehen, zielt aber hauptsächlich auf die Buchführungssysteme.
Die Abgabenordnung (AO) als zentrales deutsches Steuergesetz verpflichtet in § 147
AO zur Aufbewahrung empfangener Geschäfts- und Handelsbriefe und der Wiedergabe von versendeten Handelsbriefen, allen Unterlagen, die für die Steuer relevant
sind.
Das Handelsgesetzbuch (HGB) verpflichtet zur ordnungsgemäßen Buchführung und
insbesondere dazu, alle abgesandten Handelsbriefe wiedergeben zu können. Hier ist
die Form der Wiedergabe jedoch nicht festgelegt (auf Papier oder elektronischen Dokumenten).
Geschäfts- und Handelsbriefe im Sinne des Handelsgesetzbuches (HGB) und der Abgabenordnung (AO) sind nur solche Schriftstücke bzw. E-Mails, die für die Besteuerung des Unternehmens und für die Erstellung des Jahresabschlusses eine Bedeutung
haben. Dies gilt u.a. für angenommene Angebote sowie für Auftragsbestätigungen
und Bestellungen.
Einige Arbeitgeber verbieten das private E-Mailen im Betrieb, weil private E-Mails nicht
archiviert werden dürfen. Zum anderen archivieren manche Unternehmen noch vor der
Zustellung der E-Mails an den Empfänger pauschal alle eingehenden E-Mails, um sicherzugehen, dass die E-Mails im Original aufbewahrt werden.
Damit sind weit mehr als die vorgeschriebenen Geschäfts- und Handelsbriefe und insbesondere alle persönlichen und vertraulichen E-Mails archiviert, und zwar über 6-10 Jahre.
Da E-Mails von oder zu persönlichen E-Mail-Adressen auch personenbezogene Daten
sind, ist ein solches Vorgehen mit dem Bundesdatenschutzgesetz (§ 3a Datenvermeidung
TBS NRW / Heft 74
25
E-Mail
und Datensparsamkeit, § 20 Abs. 2 Löschanspruch bei nicht mehr erforderlichen Daten)
nicht zu vereinbaren und damit unzulässig.
Auch Bewerbungsunterlagen – und damit gleichsam per E-Mail eingegangene Bewerbungen – müssen spätestens zwei Monate nach Abschluss des Stellenbesetzungsverfahrens gelöscht werden. Sie dürfen nur im Fall einer Klage nach AGG oder dem
schriftlichen Einverständnis der Bewerber/innen länger aufbewahrt werden. Selbst die
Zustimmung der Bewerber/innen zu einer längeren Speicherung rechtfertigt keine Archivierung über einen Zeitraum von 6-10 Jahren.
Die steuerrelevanten Daten eines Unternehmens befinden sich größtenteils in den Buchhaltungssystemen. Die E-Mails, die aus handels- oder steuerrechtlichen Gründen zu
archivieren sind, machen nur einen kleinen Teil des gesamten E-Mailverkehrs aus. Das
Unternehmen muss ein Verfahren finden, das möglichst alle relevanten E-Mails und möglichst wenige darüber hinaus archiviert.
Der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V.
(BITKOM) schlägt dafür ein teils automatisches, teils durch Fachbenutzer gesteuertes
Verfahren vor (www.bitkom.org; Leitfaden E-Mail-Archivierung 2005). Danach wird nur
der gesamte E-Mail-Verkehr von z.B. Stammkunden und Stammlieferanten automatisch
gespeichert, so dass der größte Teil der Handels- und Geschäftsbriefe erfasst wäre. Der
Rest könnte manuell archiviert werden.
Die E-Mails besonders sensibler Funktionen (z.B. BR/PR) sollten ausdrücklich ausgenommen sein. Außerdem müssen die Zugriffsrechte auf das Archiv stark begrenzt werden.
Formulierung in einer Betriebs-/Dienstvereinbarung:
„(1) Der E-Mail-Verkehr mit den Stammkunden und Stammlieferanten wird automatisch gespeichert. Sonstige gesetzlich zu archivierende E-Mails werden manuell
archiviert. Eingehende und ausgehende E-Mails von Betriebsrats-/Personalratsmitgliedern, Jugend- und Auszubildendenvertretung, betrieblichen Datenschutzbeauftragten, Schwerbehindertenvertretung, Betriebsarzt werden nicht automatisch archiviert. Diese Funktionsträger tragen die Verantwortung für ihre E-Mail-Verwaltung
und Archivierung selbst.
(2) Zugriff auf das E-Mail-Archiv haben nur Unternehmensangehörige, die zu Wirtschafts- oder Betriebsprüfungen berechtigt sind. Außerdem dürfen die externen Prüfer sowie die Strafverfolgungsbehörden zu Strafverfolgungszwecken auf das Archiv zugreifen.
(3) Den Beschäftigten ist auf Anfrage unverzüglich Auskunft zu erteilen über die im
Archiv gespeicherten E-Mails mit ihrem Absender oder ihrer Adresse.
(4) Die E-Mails werden nur solange archiviert wie gesetzlich vorgeschrieben und danach gelöscht.“
Eine andere Möglichkeit besteht darin, zunächst alle E-Mails in ein „Zwischenarchiv“
einzustellen. Jeder hat innerhalb einer Frist (von z.B. 6 Wochen) die Möglichkeit, E-Mails
dort herauszunehmen bzw. Kategorien für die Archivierung zuzuordnen. Nur die E-Mails
festgelegter Kategorien werden nach Fristablauf ins Langzeitarchiv verschoben. Wichtig:
Das Löschen von E-Mails muss auch eine Löschung im Zwischenarchiv bewirken. Die
Zugriffsrechte für das Zwischenarchiv sind extra festzulegen (Zugriff nur auf die eigenen
E-Mails).
26
TBS NRW / Heft 74
E-Mail
5.4 Unternehmensrichtlinien zur Nutzung von E-Mail und Internet
In von Arbeitgebern vorgelegten Unternehmensrichtlinien sollen Mitarbeiterinnen und
Mitarbeiter beispielsweise darauf hingewiesen werden,
•
•
•
•
•
wie sie mit evtl. virenbefallenen E-Mails umgehen sollen,
dass sie keine E-Mail-Anhänge unbekannter Absender öffnen sollen,
dass sie keine Verstöße gegen Persönlichkeitsrechte, Urheberrechte oder strafrechtliche Bestimmungen (z.B. Kinderpornografie) begehen dürfen,
dass sie keine E-Mails verschicken dürfen, die den Betriebsfrieden stören,
dass E-Mails mit vertraulichem Inhalt verschlüsselt zu übermitteln sind.
Im Zusammenhang mit Nutzungsrichtlinien zum Internet gibt es zunehmend auch Richtlinien zum Umgang mit sozialen Netzen in Betrieben (siehe TBS-Broschüre „Soziale Netze
im Betrieb“, Nr. 75)
Regelungen von Unternehmensrichtlinien können Mitbestimmungsrechte des Betriebsrats/Personalrats berühren. Wenn etwa Firewall, Internet- oder E-Mail-Filter, Virenscanoder Spamverfahren beschrieben werden, so sind das EDV-Systeme, die der Mitbestimmung nach § 87(1)6 BetrVG bzw. § 72(3) LPVG NRW unterliegen.
Ebenso gilt das für Kontrollen, die mit Protokolldaten durchgeführt werden sollen. Auch
§ 87(1) 1 BetrVG bzw. § 72(4) 9 LPVG NRW kann berührt sein, wenn z.B. geregelt wird,
wer unter welchen Bedingungen einen Internet- oder E-Mail-Zugang bekommt (Gleichbehandlungsgrundsatz). Die mitbestimmungsbezogenen Inhalte sollten in einer Betriebsoder Dienstvereinbarung behandelt werden.
Probleme mit Unternehmensrichtlinien können sich ergeben, wenn die verbotenen Tatbestände recht unbestimmt sind, Verstöße aber mit personellen Einzelmaßnahmen geahndet
werden sollen. Das wäre z.B. ein Verbot der Verbreitung „radikaler“ oder „politischer“,
„aggressiver“ oder „abschätziger“ Inhalte. Solche Formulierungen sind zu vermeiden.
Dagegen ist folgende Formulierung rechtlich eindeutig:
„Unzulässig ist das Abrufen oder Verbreiten von Inhalten, die gegen persönlichkeitsrechtliche, urheberrechtliche oder strafrechtliche Bestimmungen verstoßen.“
Statt die Verantwortung für die Vermeidung der Aufrufe unerwünschter Internetseiten
den Beschäftigten aufzuerlegen, ist eine präventive automatische Filterung beanstandeter Seiten durch die IT-Abteilung zu bevorzugen. Auch dann, wenn dies nicht ganz
trennscharf erfolgen kann. Das gleiche gilt für den Virenschutz und die Verschlüsselung.
Das Unternehmen sollte für den Virenschutz automatische Verfahren einsetzen und alle
Rechner mit Software zur Verschlüsselung ausstatten sowie ergänzend durch Schulungen
dafür sorgen, dass Beschäftigte in ihrer Verantwortung entlastet werden und möglichst
keine Fehler mehr machen können.
TBS NRW / Heft 74
27
E-Mail
Formulierung in einer Betriebs-/Dienstvereinbarung
(1) IT-Richtlinien unterliegen der Mitbestimmung durch den Betriebsrat/Personalrat
und sind in der Anlage x zu dieser Betriebs-/Dienstvereinbarung hinterlegt.
Alle Benutzer werden im Rahmen einer Informationsveranstaltung mit den gültigen
(2) IT-Richtli­nien vertraut gemacht. Dies umfasst ihre Rechte und Pflichten aus den
bestehenden Regelungen.
(3) Die Benutzer können sich bei Fragen an ihre/n jeweilige/n Vorgesetzte/n, den
betrieblichen Datenschutzbeauftragten oder die IT-Leitung wenden. Sie erhalten ein
Informationsblatt, welches die für den Standort geltenden besonderen Regeln und die
Grundsätze des Datenschut­zes enthält.
(4) Benutzer, deren E-Mails (z.B. vertrauliche oder personenbezogene Daten) zu verschlüsseln sind, werden im Umgang mit Verschlüsselungssoftware geschult und unterstützt.“
(5) Bei Bedarf folgende ergänzende Regelung zum Thema Haftung: „Fehler, die daraus resultieren, dass Benutzer ohne Vorsatz oder grobe Fahrlässigkeit gehandelt haben, führen nicht zu arbeits- oder zivilrechtlichen Konsequenzen seitens des Arbeitgebers. Vorsatz bzw. grobe Fahrlässigkeit sind vom Arbeitgeber nachzuweisen.“
(6) Der Arbeitgeber trägt dafür Sorge, dass geeignete Datenschutz- und Sicherheitsmechanismen etwa zur Abwehr von Viren, Würmern, „Trojanischen Pferden“ und
anderer schädlicher Software ohne Zutun der Benutzer stets aktuell eingesetzt werden (z. B. Virenscanner, Spam- Filter, Firewalls etc.). Dazu zählen arbeitgeberseitige
Aufforderungen zur Änderung von Passwörtern entsprechend der Form der Vorgaben.
(7) Zur Verhinderung der Nutzung des Internetzugangs für rassistische, sexuell belästigende oder diskriminierende, rechtswidrige oder gegen die Systemsicherheit gerichtete Aktivitäten setzt der Arbeitgeber entsprechende Filter ein. Der Einsatz der
Filtersoftware unterliegt der Mitbestimmung durch die Interessenvertretung.
Immer wieder tauchen in Nutzungsrichtlinien Formulierungen auf, mit denen Unternehmen ihren Mitarbeiterinnen und Mitarbeitern generell verbieten wollen, E-Mails zu verschicken, die „geeignet sind, den Interessen des Unternehmens oder dessen Ansehen
in der Öffentlichkeit zu schaden“. Dem steht allerdings neben der Unbestimmtheit der
Formulierung auch die Redefreiheit nach Art. 5 Grundgesetz entgegen: „Jeder hat das
Recht, seine Meinung in Wort, Schrift und Bild frei zu äußern und zu verbreiten und sich
aus allgemein zugänglichen Quellen ungehindert zu unterrichten.“ Eine Grenze ergibt
sich allerdings dann, wenn Personen durch Äußerungen beleidigt werden. Betriebsgeheimnisse oder personenbezogene Daten dürfen auch auf diesem Weg nicht weitergegeben werden.
Eine weitere Grenze ergibt sich durch die allgemeinen Loyalitätspflichten von Beschäftigten gegenüber ihrem Arbeitgeber. So durften nach bisheriger bundesdeutscher
Rechtsprechung Missstände im Unternehmen nicht ohne weiteres nach außen getragen
werden. Sogenannten „Whistleblowern“ hat der Europäische Gerichtshof für Menschenrechte (EGMR) jedoch mit seiner viel beachteten Entscheidung vom 21.7.2011 den Rücken gestärkt.
Ein „Whistleblower“ ist, wörtlich übersetzt, „jemand, der mit der Trillerpfeife Alarm
schlägt“. Verwendet wird der Begriff laut wissenschaftlichem Dienst des Bundestages
für Personen, „die schwerwiegende Missstände in ihrem Arbeitsumfeld aus primär
uneigennützigen Motiven aufdecken“.
28
TBS NRW / Heft 74
E-Mail
In dem Verfahren ging es um eine Altenpflegerin, die ihren Arbeitgeber - ein Pflegedienstleistungsunternehmen - wegen Betrugs (zu wenig Personal für die pflegebedürftigen Bewohner) angezeigt hatte und daraufhin fristlos entlassen wurde. In allen Instanzen
der deutschen Arbeitsgerichte war ihre Kündigungsschutzklage erfolglos geblieben. Erst
der EGMR bewertete ihre Meinungsäußerungsfreiheit höher als ihre Loyalitätspflicht. Die
unbestritten schädigende Wirkung der Strafanzeige auf den Ruf und die Geschäftsinteressen des Arbeitgebers wurden als weniger wichtig angesehen als das große Interesse der
Öffentlichkeit, über Mängel in der Altenpflege Bescheid zu wissen.
Zumal die weitergegebenen Informationen im Kern stimmten, zumindest nicht wissentlich
oder leichtfertig falsche Angaben gemacht wurden (auch wenn das Verfahren gegen den
Arbeitgeber mangels hinreichenden Tatverdachts eingestellt wurde). Außerdem habe die
Arbeitnehmerin zu Recht keine anderen Abhilfemöglichkeiten als die Strafanzeige gesehen.
Der EGMR verurteilte den deutschen Staat, der Arbeitnehmerin Schadensersatz zu leisten.
Das Urteil hat eine unmittelbare Wirkung auf die deutsche Rechtsprechung.
5.5 Gute Arbeit bei der E-Mail-Nutzung
In vielen Betrieben ist eine Informationsüberlastung an der Tagesordnung durch
•
•
•
•
E-Mail-Flut,
häufige Unterbrechungen der Arbeit, z.B. durch Telefonanrufe, Ansprache durch
Kollegen oder Kunden,
die Erfordernis, eine eingehende E-Mail sofort bearbeiten zu müssen,
„Multitasking“, z.B. während einer Besprechung oder eines telefonischen Kundengesprächs gleichzeitige Bearbeitung von E-Mails.
Das alles kann krank machen.
Die psychischen Erkrankungen nehmen von Jahr zu Jahr stetig zu. Dies wird in einer Broschüre des Bundesarbeitsministeriums von Dezember 2011 auf aktuelle Entwicklungen
der Arbeitswelt zurückgeführt und insbesondere auf die Stressoren durch die Kommunikationstechnologie. Dort heißt es:
„Auf der Ebene der konkreten Arbeitsaufgaben hat vor allem die Kommunikationstechnologie zu einer starken Fragmentierung der Arbeitsvollzüge und zur Informationsüberlastung geführt. Arbeitsunterbrechungen und Multitasking haben deutlich zugenommen
(Beermann, Brennscheidt, Siefer, 2008; Mark Gonzalez, Harris, 2005).
In der repräsentativen BIBB/IAB-Erwerbstätigenbefragung 2006 geben 59% der Erwerbstätigen an, verschiedene Aufgaben gleichzeitig erledigen zu müssen – im Jahr
1999 waren es 42%.
Über Arbeitsunterbrechungen klagen 46% der Befragten, 1999 waren es 34%. Baethge & Rigotti (2010) zeigen in einem Forschungsüberblick, dass Arbeitsunterbrechungen
und Multitasking als Stressoren einen substantiellen Beitrag zur Erklärung des psychosozialen Wohlbefindens von Arbeit-nehmerinnen und Arbeitnehmern leisten.“
Die DGB-Umfrage „Gute Arbeit“ von März 2012 hat ergeben, dass fast zwei Drittel der
6000 repräsentativ ausgewählten Beschäftigten der Meinung sind, dass sie immer mehr
Arbeit in der gleichen Zeit leisten müssen. Auch die Grenzen zwischen Arbeit und Freizeit
verschwimmen zunehmend. 27 % der Befragten glauben, dass Unternehmen erwarten,
TBS NRW / Heft 74
29
dass sie auch nach Feierabend oder am Wochenende erreichbar sind. Überlange Arbeitszeiten, fehlendes Abschalten und mangelnde Erholung erhöhen die psychischen Fehlbelastungen. Die Ergebnisse der Repräsentativumfrage zeigt die folgende Grafik.
Quelle: © DGB-Index Gute Arbeit GmbH; Ergebnisse der
Repräsentativumfrage 2011; Berlin 2012, S. 3.
30
TBS NRW / Heft 74
E-Mail
Arbeit und Erreichbarkeit auch nach Feierabend
Falls das Unternehmen die Erreichbarkeit wirklich erwartet, kann der Betriebsrat/Personalrat im Rahmen der Mitbestimmung tätig werden, denn Bereitschaft ist Arbeitszeit.
Häufig gibt es jedoch eine „freiwillige“ Bereitschaft zur Arbeitstätigkeit in der Freizeit,
weil das Gefühl besteht, die Arbeit in der zur Verfügung stehenden Zeit nicht schaffen
zu können.
Auch kurze Diensttelefonate oder der E-Mail-Abruf „nach der
Arbeit“ sind Arbeitszeit. Nimmt das Unternehmen die in der
Freizeit geleistete Arbeit an, ist diese Zeit Arbeitszeit und unterliegt der Mitbestimmung.
Was kann die Interessenvertretung tun?
Um etwas verändern zu können, muss zunächst die IstSituation erhoben werden (z.B. im Rahmen einer Gefährdungsbeurteilung). So muss das Ausmaß des Problems wahrgenommen und auch für die Beschäftigten
selbst transparent gemacht werden. Dadurch kann die Anzahl der geleisteten Freizeitarbeitsstunden im Betrieb öffentlich deutlich gemach werden.
Nach einem BAG-Urteil vom 6. 5. 2003 muss der Arbeitgeber über die Arbeitszeitdaten
seiner Beschäftigten Bescheid wissen. Er hat die Verantwortung für die Durchführung der
geltenden Gesetze (Arbeitszeitgesetz, Betriebsverfassungsgesetz usw.), Tarifverträge und
Betriebsvereinbarungen.
Auskunftsanspruch bei „Vertrauensarbeitszeit“
BAG, Beschluss vom 6. 5. 2003 - 1 ABR 13/02 (Leitsätze)
„Zur Wahrnehmung seiner Überwachungsaufgabe nach § 80 Abs. 1 Nr. 1 BetrVG
benötigt der Betriebsrat im Hinblick auf die Einhaltung der gesetzlichen Ruhezeiten und der tariflichen wöchentlichen Arbeitszeit Kenntnis von Beginn und Ende der
täglichen und vom Umfang der tatsächlich geleisteten wöchentlichen Arbeitszeit der
Arbeitnehmer.
Der Arbeitgeber hat seinen Betrieb so zu organisieren, dass er die Durchführung der
geltenden Gesetze, Tarifverträge und Betriebsvereinbarungen selbst gewährleisten
kann. Er muss sich deshalb über die genannten Daten in Kenntnis setzen und kann
dem Betriebsrat die Auskunft hierüber nicht mit der Begründung verweigern, er wolle
die tatsächliche Arbeitszeit der Arbeitnehmer wegen einer im Betrieb eingeführten
„Vertrauensarbeitszeit“ bewusst nicht erfassen.“
Damit hat der Arbeitgeber eine Auskunftspflicht gegenüber der Interessenvertretung
über Beginn und Ende der täglichen Arbeitszeit der Beschäftigten einschließlich der in der
„Freizeit“ geleisteten Tätigkeiten.
Der Betriebsrat kann gerichtlich die Unterlassung von Freizeitarbeit gegenüber dem Arbeitgeber durchsetzen. In einem Urteil vom 22.3.2012 (54 BV 7072/11) hat das Arbeitsgericht Berlin einem Arbeitgeber untersagt, Arbeitsleistungen eines Beschäftigten
entgegenzunehmen, die mittels mobiler Arbeitsmittel außerhalb der Arbeitszeit ohne Zustimmung erbracht wurden. Das heißt: Bereits das Lesen dienstlicher E-Mails außerhalb
der Arbeitszeit ist eine Arbeitsleistung, die der Arbeitgeber zu unterbinden hat.
TBS NRW / Heft 74
31
E-Mail
Auch könnte die faktische Rufbereitschaft oder Bereitschaftsdienst formell geregelt und
damit vergütet oder in Freizeit (z.B. mit Ampelregelung) ausgeglichen werden.
Einen anderen Weg, der inzwischen Schule macht, hat der Betriebsrat von VW für die tariflichen Beschäftigten eingeschlagen. Auf deren Smartphones werden mittels technischer
Einstellung am E-Mailserver außerhalb der Arbeitszeit keine E-Mails mehr weitergeleitet.
Allerdings wurde die telefonische Erreichbarkeit nicht eingeschränkt.
Wenn es um die Erreichbarkeit (innerhalb oder außerhalb der regulären Arbeitszeit) eines
Teams geht, können zur Belastungsreduzierung einerseits Servicezeiten festgelegt werden, andererseits eine Arbeitsteilung. So muss jeweils nur ein Teammitglied erreichbar
sein. Die anderen können ungestört arbeiten bzw. ihre Freizeit genießen.
Dringlichkeit der Bearbeitung von E-Mails
Häufig gibt es die (auch unausgesprochene oder vermutete) Erwartung, dass E-Mails
umgehend gelesen und beantwortet werden, so als hätte man den Kommunikationspartner oder -partnerin am Telefon. Während ein Telefon aber manchmal besetzt sein kann
oder der Gesprächspartner oder -partnerin nicht erreichbar ist, können E-Mails dauernd
zugestellt werden.
Auch wenn eine neue E-Mail automatisch auf dem Bildschirm aufpoppt, fordert sie sozusagen zur sofortigen Bearbeitung auf und lenkt von der gerade durchgeführten Arbeit
ab. Wird die Funktion Instant Messaging (Funktion zum schnellen Nachrichtenaustausch)
genutzt, so können die Teammitglieder voneinander sehen, wer gerade online ist. Damit
geht in der Regel die Erwartung einher, dass die gesendete Nachricht umgehend beantwortet wird.
Mit der Erwartung der sofortigen Antwort nimmt die E-Mail-Bearbeitung von unterwegs
mit Mobiltelefon und Smartphone einen immer höheren Stellenwert ein. Diese haben
sehr viel kleinere Displays und ergonomisch wesentlich ungünstigere Tastaturen als Arbeitsplatzrechner oder Notebooks. Längere Texte können dort nicht erfasst werden.
Das Fixiertsein auf den E-Mail-Eingang führt mit dazu, dass E-Mail-Bearbeitung gleichzeitig mit anderen die Aufmerksamkeit erfordernden Tätigkeiten (z.B. Besprechungen)
durchgeführt wird. Es trägt also zum psychisch belastenden Multitasking bei.
Dem kann im Betrieb durch entsprechende Regelungen entgegengesteuert werden. Darin wird klargemacht, dass E-Mails keinen höheren Stellenwert haben als die andere Arbeit
und Beschäftigte nicht zu einer umgehenden Bearbeitung verpflichtet sind. Einzelne Betriebe geben sogar an ihre Beschäftigten die Empfehlung aus, E-Mails nur noch zweimal
täglich abzurufen und zu bearbeiten.
Formulierung in einer Betriebs-/Dienstvereinbarung:
„Die Beschäftigten können mit den E-Mail-Programmen die Anzeige eingehender
und ausgehender E-Mails den persönlichen Arbeitsbedingungen anpassen. Sie werden in der Handhabung und Nutzung umfassend geschult. Eingehende Post wird
nicht automatisch am Bildschirm angezeigt. Sie sind nicht verpflichtet, eingehende
E-Mails sofort oder zu vorgegebenen Zeiten zu lesen oder zu bearbeiten. Im internen
elektronischen Briefverkehr wird keine automatische Lesebestätigung angewendet.“
32
TBS NRW / Heft 74
E-Mail
E-Mail-Flut
Die zunehmende E-Mail-Flut hat zum Teil auch etwas damit zu tun, dass E-Mails unnötig breit verteilt
werden („an alle“). Betriebliche Guidelines (Richtlinien)
können regeln, wer was bekommen soll.
Statt über Wissenswertes per E-Mail zu
informieren (Bringprinzip), könnte
das Wissen auch so organisiert werden, dass die Informationen bei Bedarf
geholt werden können
(Holprinzip). Eine Möglichkeit wäre eine übersichtlich
gestaltete Wissensdatenbank mit einer guten Suchfunktion. Zusammenarbeit kann mit
Kollaborationswerkzeugen zur gemeinsamen
Bearbeitung und Weiterentwicklung von Dokumenten (die dann nicht mehr per E-Mail
hin- und hergeschickt werden müssen) unterstützt werden. Nach einer Pressemeldung
vom 7. 2. 2011 will z.B. der internationale IT-Dienstleister Atos Origin bis zum Jahr 2014
ganz ohne E-Mails auskommen, indem statt dessen Kollaborationswerkzeuge und Soziale
Netze genutzt werden.
(s. http://de.atos.net/de-de/newsroom/press_releases/2011/2011_02_08_05.htm).
E-Mail kontra persönliches Gespräch
Der Ersatz persönlicher Gespräche durch E-Mail-Austausch verändert die Kommunikation. Schriftliche Kommunikation führt häufiger zu Missverständnissen. Konflikte sollten
nicht per E-Mail ausgetragen, sondern im persönlichen Gespräch geklärt werden.
„Arbeitspsychologen vermuten, dass die soziale Kompetenz leidet, wenn ein persönlicher Austausch nicht mehr stattfindet. Teams müssen sich ab und zu treffen, und Telearbeiter und Außendienstler die Chance auf Teilnahme an Meetings haben.“(Regine
Rundnagel auf „www.ergo-online.de“)
Ein Unternehmen hat z.B. die Regelung getroffen, dass freitags keine internen E-Mails
ausgetauscht werden. Stattdessen soll das persönliche Gespräch von Angesicht zu Angesicht oder per Telefon gesucht werden.
TBS NRW / Heft 74
33
Auf dem Weg zur Betriebsvereinbarung
6. Auf dem Weg zur Betriebs-/Dienstvereinbarung
6.1 Rechte der Interessenvertretung
Auf Grund der umfangreichen Protokollierung der Kommunikation
(s. Kapitel 2) eignen sich Internet- und E-Mail-Systeme zur Leistungsund Verhaltenskontrolle. Sie unterliegen damit der Mitbestimmung
nach § 87 (1) 6 BetrVG durch den Betriebsrat bzw. § 72 (3) LPVG
NRW durch den Personalrat.
In den Verhandlungen von Betriebs- oder Dienstvereinbarungen geht
es daher um die konkrete Ausgestaltung der Rechte von Beschäftigten
und Interessenvertretungen (vergleiche 6.3).
Die Interessenvertretung hat kein Mitbestimmungsrecht, ob ein Arbeitgeber die private Nutzung zulässt oder nicht. Hier kann jedoch der
Gleichbehandlungsgrundsatz greifen.
Durch verschiedene Urteile ist klar, dass eine Interessenvertretung Zugang zu Internet
und E-Mail haben muss (BAG-Urteil vom 3.9.2003; Entscheidungen des Bundesarbeitsgerichts sind unter www.bundesarbeitsgericht.de zu finden). Das gilt für jedes einzelne
Mitglied (Urteil LAG Düsseldorf vom 2.9.2008). Außerdem darf die Interessenvertretung im Intranet Informationen veröffentlichen, ohne dass das Unternehmen diese Informationen vorher prüft (BAG-Urteil vom 3.9.2003). Der Arbeitgeber darf Informationen der Interessenvertretung nicht aus dem Intranet entfernen (Urteil LAG Hamm vom
7.6.2004).
Zu den Aufgaben der Interessenvertretung gehört auch die Überwachung der Einhaltung
von zugunsten der Beschäftigten geltenden Gesetze (vgl. § 80(1) BetrVG sowie § 64
Ziffer 2 LPVG NRW), z.B. Datenschutzgesetze, Arbeitsschutzgesetze und -verordnungen.
Beschäftigtendatenschutz
Neben den Beteiligungsrechten der Interessenvertretung nach BetrVG oder LPVG NRW
geben insbesondere die gesetzlichen Bestimmungen des Bundesdatenschutzgesetzes
BDSG viele Hinweise und Handlungsansätze bei der Formulierung betrieblicher Regelungen. Erwähnt seien hier beispielsweise
•
•
•
§ 4 zur Zulässigkeit der Datenverarbeitung und -nutzung,
§ 4e mit der Meldepflicht/Verfahrensverzeichnis,
§ 9 mit der Anforderung zu technischen und organisatorischen Maßnahmen eines
Datensicherheitskonzepts.
Die Gewerkschaften fordern seit vielen Jahren ein spezielles Datenschutzrecht im Arbeitsverhältnis. Ein erster Ansatz ist vor einigen Jahren mit dem § 32 BDSG zur „Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses“
geschaffen worden. Er enthält allerdings nur eine allgemeine Generalklausel.
Im Jahr 2010 hat die Bundesregierung einen ersten Entwurf eines umfassenden Beschäftigtendatenschutzgesetzes vorgelegt. Dieser Entwurf ist von vielen Seiten kritisiert
worden und wird von den Gewerkschaften abgelehnt. Zurzeit ist nicht absehbar, ob und
wann die Bundesregierung einen überarbeiteten Entwurf in den Bundestag einbringt.
34
TBS NRW / Heft 74
Auf dem Weg zur Betriebsvereinbarung
6.2 Informationsbedarf zur Regelung von Internet/E-Mail/Intranet
Um die Auswirkungen des Einsatzes von Internet, E-Mail und Intranet auf die Beschäftigten einschätzen zu können und den Regelungsbedarf zu ermitteln, benötigt der Betriebsrat/Personalrat Informationen zur konkreten Nutzung im eigenen Betrieb bzw. zu
den Planungen.
Dabei muss beachtet werden, dass viele E-Mail-Programme wie z.B. Outlook, Lotus Notes oder Open X-change neben dem E-Mail-Programm weitere Funktionalitäten z.B. zur
Terminverwaltung enthalten.
Die folgenden Abschnitte enthalten zu solchen Themen keine Fragen oder Regelungshinweise. Im Folgenden ist ein Fragenkatalog zusammengestellt, der in dieser oder ähnlicher
Form vom Arbeitgeber beantwortet werden sollte.
Informationen zur Internet- und E-Mail-Nutzung
1. Welche IT-Komponenten (Hardware und Software) werden im Unternehmen eingesetzt und genutzt, um Internetdienste zu nutzen? Der Betriebsrat/Perso-
nalrat erwartet eine Skizze der Systemlandschaft, in der die Vernetzung, die Datenübertragung und die Speicherorte des Internetsystems dokumentiert
werden.
2. Für welche Aufgaben und IT-Funktionen sind mit welchen IT-Dienstleistern zu Internet/E-Mail welche Leistungsverträge (z.B. Hosting des Mailservers, Betrei-
ben der Firewall) abgeschlossen worden?
3. Welche Personen (im Betrieb, Unternehmen, Konzern, Dritte) haben im be-
trieblichen Internet-SystemBerechtigungen (z.B. Administration, Archivierung, Vertretungen) für welche Aufgaben?
4. Mit welcher Software werden welche Aktivitäten und Vorgänge der Internet-
dienste dokumentiert und protokolliert, zu welchen Zwecken und mit welchen Löschfristen?
5. Der Betriebsrat erwartet Muster der Protokolle sowie die Übergabe des Da
tenschutz- und Datensicherheitskonzepts entsprechend § 9 BDSG.
6. Wie soll der Schutz vertraulicher E-Mails (z.B. mit privaten Inhalten, von be
sonderen Funktionsträgern wie Betriebsrat, Personalrat, betrieblicher Daten
schutzbeauftragter, Schwerbehindertenvertretung, …) gewährleistet werden?
7. Welche Abrechnungsmodalitäten sind mit dem Internet-Provider vereinbart? (pauschal/Flatrate, nach Datenvolumen in welchen Stufen?)
8. Welche Schulungen zur Internet-Nutzung haben bisher stattgefunden
(mit welchen Teilnehmerinnen und Teilnehmern)? Welche sind für wann mit welchen Teilnehmerinnen und Teilnehmern geplant?
Informationen zur Intranet-Nutzung
1. 2. 3. 4. Angabe der Hardwarekonfiguration und der verwendeten Software.
Haben Personen von außerhalb der Betriebsstätten Zugriff? Welche?
Welche Informationen/Informationsarten werden in das Intranet eingestellt, zu welchem Zweck? Werden betriebliche Datenbanken an das Intranet ange-
bunden? Welche?
Welche Personengruppen werden voraussichtlich hauptsächlich diese Informa-
tionen abrufen? Welche Personen haben Zugriffsrechte?
TBS NRW / Heft 74
35
Auf dem Weg zur Betriebsvereinbarung
5. Handelt es sich um einen reinen Abruf von Informationen oder werden Ar-
beitsprozesse bearbeitet? Welche?
6. Wer stellt die Informationen ein und pflegt sie? Welche Abteilungen sind
betroffen?
7. Werden bestehende Informationsträger, wie Kataloge, Verzeichnisse o.ä.
überflüssig?
8. Welche Personengruppen waren bisher damit beschäftigt, diese Informations-
träger zu pflegen?
9. Sind Qualifizierungsmaßnahmen geplant? Für welche Gruppen mit welchen
Inhalten? Welche Schulungen haben bisher stattgefunden?
10. Welche Auswirkungen haben die Intranetanwendungen auf die Personalpla-
nung (Abbau von Arbeitsplätzen, Versetzungen, Einstellungen)? Fallen Tätig-
keiten oder Aufgabengebiete weg?
Aus dem konkreten betrieblichen Einsatz bzw. der Planung der Ermittlung der Risiken für
die Beschäftigten und den Anforderungen und Standpunkten der Interessenvertretung
ergeben sich die erforderlichen Regelungen einer Betriebs- bzw. Dienstvereinbarung. Auf
den folgenden Seiten machen wir einen Vorschlag.
6.3 Regelungsbausteine einer Betriebs-/Dienstvereinbarung
zu Internet, Intranet, E-Mail
Gegenstand und Geltungsbereich
•
•
•
Sachlich,
persönlich,
örtlich.
Zielsetzung der BV/DV
Wichtigste Stichpunkte:
•
Schutz der Persönlichkeitsrechte,
•
Schutz vor Leistungs- oder Verhaltenskontrollen.
Dokumentation der Hard- und Software in Anlagen zur BV/DV
Wichtigste Stichpunkte:
• Hardware mit Standorten (incl. E-Mail-Archiv).
• Software, die für E-Mail und Internet genutzt wird incl. Firewall und Virenprogramm.
• Datenfluss des E-Mail-Versands bzw. Empfangs sowie des Internet-Zugriffs.
• Protokolle.
• Zugriffsberechtigte und -berechtigungen.
• Anlagen sind Bestandteil der BV/DV.
Internet-Nutzung
•
•
Wichtigste Stichpunkte:
Zugang zum Internet für alle (Formulierungsbeispiel s. Kapitel 3.1)
Private Nutzung.
Formulierungsbeispiel:
„Das Unternehmen gestattet die Nutzung des Internet-Zugangs auch zu gelegentlichen privaten Zwecken, soweit hierdurch der Betriebsablauf nicht gestört wird.“
Oder Protokollnotiz zur BV/DV:
Formulierungsbeispiel
„Die private Nutzung von E-Mail und Internet ist auf Grund jahrelanger betrieblicher Übung in
geringfügigem Umfang zulässig und nicht reglementiert. Sie ist daher nicht Gegenstand dieser
Vereinbarung, jedoch zu berücksichtigen.“
36
TBS NRW / Heft 74
Auf dem Weg zur Betriebsvereinbarung
Intranet
Wichtigste Stichpunkte:
• Zwecke der Intranetnutzung
(z.B. Bereitstellung von Informationen, interaktive Durchführung von
Ideenmanagement, Büromaterialbestellung, Beantragung von Dienstreisen).
• Zugang für alle zum Intranet.
• Wichtige Informationen weiterhin auf schwarzem Brett zugänglich.
• Verantwortliche für das Einstellen von Informationen.
• Personenbezogene Beschäftigtendaten nicht im Intranet öffentlich zugänglich (ausgenommen Telefonverzeichnisse und Zuständigkeiten).
• Festlegung, welche Informationen über Beschäftigte auf Profilseiten erfolgen,
• Regelung zur Nutzung von weitergehenden Angeboten z.B. betriebsinterner Kleinanzeigenmarkt.
• Hochladen eines Fotos – freiwillig.
• Zugriffsrechte.
E-Mail-Nutzung
Wichtigste Stichpunkte:
•
Zugang für alle zur E-Mail-Nutzung (analog Formulierungsbeispiel für Internet).
•
Zugriff auf E-Mails des Benutzers/der Benutzerin nur durch Benutzer/Benuterinnen selbst.
Administratoren dürfen nicht zugreifen.
•
Außerdem:„Die Mitarbeiterinnen und Mitarbeiter verwalten ihre Postfächer, die E-Mails
und die Rechte hierauf selbst.“
•
Virenprüfung automatisiert, nicht durch Einsichtnahme in E-Mails.
•
Schutz vertraulicher E-Mails.
Formulierungsbeispiel:
„Da es sich bei E-Mail um ein flüchtiges Kommunikationsmittel mit geringem
Sicherheitsstandard handelt, werden geheimhaltungspflichtige sowie vertrauliche Informationen und Informationen, die besonderen Datenschutzvorschriften
unterliegen, nur in verschlüsselter Form ausgetauscht.“
•
•
•
•
Private Nutzung (mit betrieblicher E-Mail-Adresse oder mit Web-Mail)
Verfahren bei Abwesenheit (Formulierungsbeispiel siehe Kapitel 5.2 für den Fall, dass die
betrieblichen E-Mails über persönliche und nicht ausschließlich funktionsbezogene E-MailAdressen abgewickelt werden).
Keine Verpflichtung zur sofortigen Bearbeitung von E-Mails (Formulierungsbeispiel s.
Kapitel 5.5)
Archivierung (Formulierungsbeispiel s. Kapitel 5.3)
Unternehmensrichtlinien
(Formulierungsbeispiel zu E-Mail und Internet s. Kapitel 5.4)
Schutz vor Leistungs- und Verhaltenskontrolle
(Formulierungsbeispiele s. Kapitel 3.3)
Qualifizierung
Wichtigste Stichpunkte:
•
Qualifizierungsmaßnahmen für alle Nutzer anbieten insbesondere zu Datenschutz und
Datensicherheit bei der Nutzung von Internet, E-Mail und Intranet
Rechte des Betriebs-/Personalrats
Wichtigste Stichpunkte:
•
Kontrollrechte mit Zugang zu allen Geräten und Auskunft durch Systembetreuer gegenüber dem BR/PR
•
Zugang jedes BR-/PR-Mitglieds zu E-Mail, Internet, Intranet
•
Eigene Intranet-Bereiche für BR/PR
•
Von den betrieblichen E-Mail-Adressen getrennte BR/PR-E-Mail-Adressen
Schlussbestimmungen
TBS NRW / Heft 74
37
Anhang
Anhang
Weiterführende Links
Gesundheitliche Aspekte
www.ergo-online.de
Sozialnetz Hessen und Deutsches Netzwerk Büro
www.gutearbeit-online.de
Zeitschrift für Gesundheitsschutz und Arbeitsgestaltung
Datenschutz
http://www.bfdi.bund.de
Bundesbeauftragte für den Datenschutz
www.bsi.bund.de
Bundesamt für Sicherheit in der Informationstechnik (BSI); mit Standards zur Datensicherheit
www.datenschutz.de
Das Virtuelle Datenschutzbüro ist eine zentrale Informations- und Anlaufstelle für Datenschutzfragen; Verantwortlich: Landesbeauftragter für den Datenschutz des Landes
Schleswig-Holstein
www.ldi-nrw.de
NRW-Landesdatenschutzbeauftragter
www.heise.de
Heise Verlag, mit technischen Infos zu Datenschutz und Datensicherheit
www.gpg4win.de
kostenlose Verschlüsselungssoftware; BSI
www.anonym-surfen.de
Informationen zum anonymen Surfen im Netz; JonDos GmbH Zusammenarbeit mit TU
Dresden und Uni Regensburg
Weitere Links
www.bundesarbeitsgericht.de
BAG-Urteile
www.onlinerechte-fuer-beschaeftigte.de
Forum von ver.di
www.wgb20.de
Social Media Leitfaden der IGBCE
de.atos.net/de-de
Atos Homepage Deutschland; Verzicht auf E-Mail
38
TBS NRW / Heft 74
Die TBS wird von den Gewerkschaften in NRW sowie dem Ministerium für Arbeit, Integration und Soziales getragen und handelt im Rahmen eines Landesauftrages. Zentrales
Ziel ist die Gestaltung und Förderung eines arbeitnehmerInnenorientierten und sozialverträglichen Strukturwandels in NRW in den Geschäftsfeldern:
• Arbeit und EDV • Arbeit und Organisation • Arbeit und Ökonomie • Arbeit und Gesundheit
Dazu unterstützt die TBS Betriebs- und Personalräte sowie Mitarbeitervertretungen und
interessierte ArbeitnehmerInnen, sich konstruktiv in betriebliche Umgestaltungsprozesse
einzubringen. Sie bietet ihre Leistungen branchenübergreifend und flächendeckend in
NRW an. Besondere Berücksichtigung finden die Probleme von Klein- und Mittelunternehmen.
Die TBS bietet folgende Leistungen an:
• Beratung in Betrieben • Seminare und Veranstaltungen • Nutzung arbeitsorientierter Landesprogramme • Informationsmaterialien
Hauptstelle / Regionalstelle Dortmund
Westenhellweg 92-94
44137 Dortmund
Tel. 0231 / 24 96 98-0
Fax 0231 / 24 96 98-41
tbs-hauptstelle@tbs-nrw.de
tbs-ruhr@tbs-nrw.de
Regionalstelle Bielefeld
Stapenhorststraße 42b
33615 Bielefeld
Tel. 05 21 / 96 63 5-0
Fax 05 21 / 96 63 5-10
tbs-owl@tbs-nrw.de
Regionalstelle Düsseldorf
Kurfürstenstraße 10
40211 Düsseldorf
Tel. 0 211 / 17 93 10-0
Fax 0 211 / 17 93 10-29
tbs-d@tbs-nrw.de
www.tbs-nrw.de
TBS NRW / Heft 74
39
40
www.tbs-nrw.de
TBS NRW / Heft 74