|  |
Private Nutzung von E-Mail: Herausforderung für die IT-Compliance
E-Mails sind aus dem heutigen Geschäftsleben nicht mehr wegzudenken. Sie gehören zu den Grundpfeilern der Kommunikation mit Kunden, Partnern und Dienstleistern, aber auch zwischen den Mitarbeitern. Da auch der private Informationsaustausch immer mehr über E-Mails funktioniert, möchten viele Arbeitnehmer die dienstlichen Zugänge dafür nutzen. Doch welche Auswirkungen hat eine entsprechende Erlaubnis für die IT-Compliance?
Gestattet ein Unternehmen seinen Mitarbeitern grundsätzlich die private Nutzung der dienstlichen E-Mail-Systeme, dann wird es vor dem Gesetz zum Telekommunikationsanbieter. In diesem Fall kommen das Bundesdatenschutzgesetz (BDSG) sowie das Telekommunikationsgesetz (TKG) zum Tragen und das Unternehmen muss das Fernmeldegeheimnis wahren. Es darf daher nicht mehr alle E-Mails seiner Mitarbeiter aufbewahren, da die Erhebung von personenbezogenen Daten auf ein Minimum beschränkt werden muss. Eine vollständige Speicherung von Inhalten und Verbindungsdaten stellt dann einen Verstoß gegen das Fernmeldegeheimnis dar – und das ist durch das Grundgesetz von allerhöchster Instanz geschützt.
Datenschutz vs. Aufbewahrungspflichten
Andererseits ist das Unternehmen natürlich weiterhin verpflichtet, geschäftlich relevanten E-Mail-Verkehr gemäß der in verschiedenen Verordnungen festgelegten Regeln zu kontrollieren, aufzubewahren und zu archivieren. Die Einführung eines entsprechenden Kontrollsystems, etwa zum systematischen Erfassen von Vermittlungsdaten ausgehender und eingehender E-Mails, bedarf aber der Zustimmung des Personalrates, zum Beispiel in Form einer Dienstvereinbarung. Darin sollten eindeutige Regelungen für die E-Mail- und Internetnutzung durch die Mitarbeiter festgelegt werden. Zudem muss klargestellt sein, unter welchen Umständen persönliche Mails durch Dritte eingesehen werden dürfen oder welche Nutzungsdaten zu welchem Zweck protokolliert werden.
Die gewählte Verfahrensweise ist allen Beschäftigten bekannt zu geben und die Mitarbeiter sollten eine schriftliche Einwilligung erteilen. Wer diese verweigert, dem kann das Unternehmen die private Nutzung des Internets und des E-Mail-Dienstes untersagen. Eine solche Einwilligung ist besonders dann nötig, wenn Stichproben gegen die unerlaubte Nutzung von E-Mail oder Internet geplant sind. Ohne Einwilligung der Mitarbeiter würden solche Stichproben einen Verstoß gegen das Telekommunikationsgeheimnis darstellen.
Privat oder dienstlich?
Bei der Frage, ob das Unternehmen E-Mails der Mitarbeiter lesen darf, ist zwischen dienstlichen und privaten E-Mails zu unterscheiden. Wird eine E-Mail im Namen des Arbeitgebers verschickt oder empfangen, gilt das Unternehmen als „Benutzer" und darf diese grundsätzlich lesen. Jedoch muss selbst bei einer systematischen Überwachung des E-Mail-Verkehrs dem allgemeinen Persönlichkeitsrecht des Arbeitnehmers Rechnung getragen werden. Hierbei ist immer sorgfältig zwischen dem Persönlichkeitsrecht und dem Weisungsrecht des Unternehmens abzuwägen. Entsprechend sind die Maßnahmen mit der geringsten Eingriffsintensität zu wählen, zum Beispiel stichprobenartige Überwachungen sowie die Kontrolle des Sende- beziehungsweise Empfangszeitpunkts oder der Empfängeradresse, aber nicht des Inhalts der E-Mail selbst.
Erkennbar private E-Mails dürfen auch bei einem Verbot des Versendens und Empfangens privater E-Mails im Normalfall nicht gelesen werden. Gleiches gilt natürlich, wenn die Privatnutzung erlaubt ist. In diesem Fall darf der Arbeitgeber normalerweise nicht einmal die Verbindungsdaten aufzeichnen. Daher sollten die Arbeitnehmer bei ihren Kommunikationspartnern darum bitten, dass an sie gerichtete private E-Mails im Betreff deutlich mit „privat“ gekennzeichnet werden. Ausgehende private E-Mails sollten natürlich in gleicher Weise gekennzeichnet werden. Damit sind sie ausdrücklich vor unerwünschter Einsichtnahme durch den Arbeitgeber geschützt.
Auch das Lesen fremder E-Mails im Vertretungsfall, etwa bei Erkrankung des Mitarbeiters, ist bei erlaubter privater Nutzung ohne vorherige Zustimmung des Betroffenen unzulässig. Die Mitarbeiter müssen daher eine entsprechende schriftliche Einwilligung erteilen.
Kontrolle bei Missbrauchsverdacht
Bei einem konkreten Missbrauchsverdacht, etwa „ausschweifendem“ E-Mail-Verkehr, Austausch von Dateien mit strafbarem Inhalt oder Verrat von Geschäftsgeheimnissen, ist eine Protokollierung und Einsichtnahme von E-Mails durch das Unternehmen erlaubt. Allerdings muss dies vorher bekannt gegeben werden und neben der Dienstvereinbarung mit dem Personalrat eine schriftliche Einwilligungserklärung aller Betroffenen vorliegen. Eine Protokollierung darf aber auch ohne Einwilligung der Betroffenen erfolgen, wenn sie zu Zwecken der Datensicherung, der Datenschutzkontrolle, zu Abrechnungszwecken oder zur Sicherung des ordnungsgemäßen Betriebs der Verfahren erforderlich ist. Eine Auswertung dieser Protokolle zur Verhaltens- und Leistungskontrolle ist jedoch nicht zulässig.
Maßnahmen zum Schutz des Fernmeldegeheimnisses
Neben der Wahrung des Fernmeldegeheimnisses ist der Arbeitgeber als Erbringer geschäftsmäßiger Telekommunikationsdienste gemäß TKG zu angemessenen technischen Vorkehrungen und sonstigen Maßnahmen zum Schutz des Fernmeldegeheimnisses verpflichtet. Diese Maßnahmen können zu einem erheblichen Mehraufwand führen. Dazu zählen zum Beispiel Zutritts- und Zugriffsbeschränkungen, Verschlüsselungen sowie der Schutz der Firewall-Auswertungsprotokolle vor unbefugter Einsichtnahme. Da das TKG in erster Linie auf gewerbliche Betreiber von Telekommunikationsanlagen zielt, dürfen die daraus abgeleiteten Anforderungen an Unternehmen für die zu treffenden technischen Schutzvorkehrungen aber nicht überzogen sein. Daher muss anhand jedes Einzelfalls geprüft werden, ob dem Arbeitgeber die Einhaltung des in § 109 I TKG genannten Katalogs von Sicherheitsmaßnahmen zuzumuten ist.
Für die meisten Unternehmen gilt auf jeden Fall: Durch eine klare Regelung für die Nutzung der betrieblichen E-Mail-Konten erspart man sich eine Reihe von Problemen. Aus Compliance-Gesichtspunkten sind solche Regeln unvermeidlich. Damit schafft ein unternehmen die Basis, um relevante E-Mails aufbewahren und später im Fall der Fälle einsehen zu können. Dann kann man bedenkenlos technische Lösungen einsetzen, um automatisch alle relevanten E-Mails zu speichern – ob per Archivierungssystem oder in einer Art Blackbox.09/2009, Sven Sauer
| | Sven Sauer ist Gründungsmitglied von OPTIMAL SYSTEMS und verantwortet heute als CIO die technologisch-strategische Ausrichtung der Produktentwicklung.
|
Kommentare zu diesem Beitrag | | |
Weitere Beiträge zu diesem Thema | | |
|  | | Versehentliche Verstöße gegen geltende Security-Richtlinien kommen häufiger vor und verursachen größere Schäden als vorsätzliches missbräuchliches Handeln eigener Mitarbeiter. Zu diesem Schluss kommt eine aktuelle IDC-Studie ... | |  | | Das am 1. September 2009 in Kraft getretene Bundesdatenschutzgesetz ahndet den Verlust von personenbezogenen Daten künftig deutlich strenger als zuvor ... | |  | | Die IT-Sicherheit scheint ein Opfer der Wirtschaftskrise geworden zu sein. Dabei sind unternehmens- und risikogerecht implementierte Sicherheitskonzepte trotz sinkender Budgets umsetzbar. | |  | | Die finanziellen Schäden, die Unternehmen durch Datendiebstähle entstehen, sind nur schwer zu beziffern. Aktuelle Studien sind sich in ihren Einschätzungen allerdings darüber einig, dass Hacker und andere Cyberkriminelle ... | |  | | Das „IT-Infrastruktur Compliance Reifegradmodell“ von Microsoft | |
Beiträge aus anderen Themenbereichen | | |
|  | | Um auf die Anforderungen des Marktes schneller und flexibler reagieren zu können, hat die Volkswagen Zubehör GmbH ihr Finanzreporting einer radikalen Frischzellenkur unterzogen... | |  | | Am 12. Oktober 2010 dreht sich auf dem Kongress der VOICE Days plus alles um aktuelle Strategien für die erfolgreiche Gestaltung der Kundeninteraktion. Interview mit Nils Müller, CEO & Founder TrendONE und Keynote-Speaker... | |  | | Gerade in kleineren und mittelständischen Unternehmen wird oft aus Zeit- und Budgetgründen die Optimierung der eigenen Website für Suchmaschinen vernachlässigt... | |
| | | |
