Noch
bis zum neuen Datenschutzrecht nach der DS-GVO

Der externe Datenschutzbeauftragte

Als Dienstleister übernehme ich alle Aufgaben des betrieblichen Datenschutzbeauftragten für Ihr Unternehmen.

Mehr Informationen

Datenschutz-Audits

Mit einer Zertifizierung nach dem Standard DS-BvD-GDD-01 kann Ihr Unternehmen nach außen dokumentieren, dass Sie den Datenschutz ernst nehmen und die Daten Ihrer Kunden bei Ihnen sicher sind.

Mehr Informationen

Computerforensik

Wer hat wann welche Tätigkeiten am PC oder Smartphone durchgeführt? Die Computerforensik findet die Antworten...

Mehr Informationen

Datenschutz

Ein hohes Datenschutzniveau ist heute ein wichtiges Qualitätsmerkmal für viele Unternehmen. Ein externer Datenschutzbeauftragter gewährleistet die Umsetzung der gesetzlichen Vorgaben.

Mehr Informationen

Datenschutz-Audits

Mit einem Datenschutz-Audit kann ein Unternehmen die Einhaltung der datenschutzrechtlichen Vorschriften nach außen dokumentieren. Für Auftragsdatenverarbeitungen ist insbesondere der Standard DS-BvD-GDD-01 interessant.

Mehr Informationen

Gutachten

Ob zur Strafverfolgung durch die Behörden, zur Beweisführung in zivilrechtlichen Verfahren oder zur Bewertung von Hard- und Software - häufig kann ein IT-Gutachen die benötigten Nachweise liefern.

Mehr Informationen

Computer-Forensik

Computerstraftaten haben in den letzten Jahren enorm zugenommen. Zur Beweisführung aber auch zur Verteidigung gegen unberechtigte Beschuldigungen können computerforensische Gutachten den entscheidenden Beitrag liefern.

Mehr Informationen

gdd-mitglied-pos
2016_01_29_Logo_Mitglieder_lowres

Die private Nutzung der betrieblichen Kommunikationsmittel

30. Januar 2018

Bei nahezu allen unserer Kunden ist es zu Beginn der Zusammenarbeit ein Thema: „Wir müssen in Ausnahmefällen oder bei Ausscheiden von Mitarbeitern auf deren E-Mailpostfach zugreifen können. Dürfen wir das?“ Die Antwort kann leider in den meisten Fällen nicht mit einem eindeutigen „Ja“ beantwortet werden. 

Nicht nur E-Mail ist ein Thema

Neben dem Wunsch oder der Erforderlichkeit, in den beschriebenen Fällen auf E-Mailpostfächer zugreifen zu können, gibt es noch weitere Sachverhalte rund um das Thema der privaten Nutzung betrieblicher Kommunikationsmittel, aber dazu später. Bleiben wir vorerst beim Beispiel „Zugriff auf E-Mails“.

Unter Umständen sind Sie Diensteanbieter!

Fangen wir bei den Rahmenbedingungen an. In § 3 Nr. 6 (Telekommunikationsgesetz bzw. TKG) wird definiert, dass derjenige als „Diensteanbieter“ gilt, der „Telekommunikationsdienste ganz oder teilweise geschäftsmäßig erbringt“. Ob ein Arbeitgeber, der die private Nutzung der betrieblichen Kommunikationsmittel gestattet, nun tatsächlich diese Dienste zumindest teilweise geschäftsmäßig erbringt war bereits häufiger Gegenstand sehr uneinheitlicher gerichtlicher Entscheidungen. Eine eindeutige Aussage kann daher leider nicht getroffen werden. Die Aufsichtsbehörden sehen den Arbeitgeber bei erlaubter privater Nutzung der betrieblichen Kommunikationsmittel jedoch regelmäßig als Diensteanbieter im Sinne des TKG an. Um Risiken zu vermeiden empfehlen wir daher, weiterhin von dieser Rechtslage auszugehen. Und diese Eigenschaft des Arbeitgebers als Diensteanbieter führt dann unmittelbar zum Fernmeldegeheimnis gemäß § 88 TKG Abs. 2.  Alle Diensteanbieter werden durch diese Regelung verpflichtet, das Fernmeldegeheimnis zu wahren. Dem Fernmeldegeheimnis unterliegen neben den Kommunikationsinhalten auch die näheren Umstände, also die Metadaten. Hierzu zählen insbesondere, wer, wann, mit wem, wie lange, an welchem Ort kommuniziert hat. Es gilt darüber hinaus auch für erfolglose Verbindungsversuche (§ 88 Abs. 1 Satz 2 TKG).

 

Private Nutzung ≠ Arbeitsverhältnis

Was ändert sich nun durch die Erlaubnis zur privaten Nutzung der betrieblichen Kommunikationsmittel? Ganz einfach: Diese findet nicht mehr im Rahmen des Dienst- und Arbeitsverhältnisses statt. Für diesen (privaten) Teil der Kommunikation gilt das Fernmeldegeheimnis. Die Folge ist, dass gemäß § 88 Abs. 3 TKG ein Zugriff auf Inhalte oder Umstände der Kommunikation außer für die „Erbringung der Telekommunikationsdienste einschließlich des Schutzes ihrer technischen Systeme“ verboten ist.

Wie unterscheiden?

Nun sieht man der Kommunikation „von außen“ ja nicht an, ob sie gerade privat oder im Rahmen der beruflichen Tätigkeit erfolgt. Die Folge ist, dass ein Zugriff auf E-Mailpostfächer in diesem Fall gar nicht mehr zulässig wäre. Egal aus welchem Grund, denn man wird mit einem solchen Zugriff den Schutz technischer Systeme nicht begründen können.

Kein Zugriff auf nichts…

Da jegliche Telekommunikation durch das TKG geschützt wird, beschränkt sich das Verbot des Zugriffs nicht auf das oben beschriebene Beispiel der Kommunikation per E-Mail. Genauso fallen Telefonie, Fax, Internet und SMS unter die durch das Fernmeldegeheimnis geschützte Übermittlung.

… also wirklich gar nichts!

Die Folge ist, dass bei erlaubter privater Nutzung des Firmen-Internetzugangs eine Überwachung des Netzwerkverkehrs, eine Spam- oder Virenfilterung (also eine Veränderung der Inhalte) oder Zugriffe auf Logs der Firewall durch Mitarbeiter der IT nicht mehr zulässig sind. Eine Situation, die – abgesehen vom Zugriff auf E-Mails bei Abwesenheit – für kein Unternehmen tragbar ist. Ist die private Nutzung von Telefonen oder Mobiltelefonen erlaubt, wird auch hier die Luft bezüglich Zu- und Eingriffen durch den Arbeitgeber eng.

2-stufige Lösung

Wie schafft man es nun, den Mitarbeitern die private Nutzung der Kommunikationsmittel zu erlauben ohne dabei jegliche Zugriffe auf zumindest die Metadaten zu verlieren? Hierfür wird in der Regel ein zweistufiges Vorgehen gewählt.

Im ersten Schritt wird jegliche private Nutzung betrieblicher Kommunikationsmittel grundsätzlich verboten. Den Mitarbeitern wird allerdings angeboten, per einzelvertraglicher Regelung die private Nutzung zu erlauben. Ein Bestandteil dieser Regelung ist die Vereinbarung, dass der Mitarbeiter darüber informiert wird, dass der Arbeitgeber im Rahmen des Betriebs seiner Anlagen (seien es Netzwerk, Telefonie, Mobiltelefone oder E-Mailserver) auf die vom Fernmeldegeheimnis betroffenen Daten Zugriff nehmen wird, sofern es notwendig ist. Die Notwendig ergibt sich nicht nur aus dem Schutz der Anlagen, wie in § 88 TKG beschrieben, sondern eben auch aus dem Wunsch, Eindringlinge zu entdecken, potenzielle Gefahren wie Spam oder Viren im Netzwerk zu entdecken und zu eliminieren, bevor Schaden entstehen kann. Darüber hinaus möchte der Arbeitgeber gegebenenfalls ein Data leakage prevention system (DLP), also eine automatisierte Software zur Entdeckung und Verhinderung ungewollter Datenabflüsse betreiben. Alles das stellt im Rahmen der privaten Nutzung eigentlich einen Verstoß gegen das Fernmeldegeheimnis dar.

Neben der reinen Information darüber, welche Zugriffe der Arbeitgeber tätigen kann, enthält die Vereinbarung zwischen Arbeitgeber und Arbeitnehmer auch eine Zustimmungserklärung des Mitarbeiters und die Erklärung, dass er darüber informiert ist, dass er auf einen Teil des Schutzes des Fernmeldegeheimnisses verzichtet.

Private Nutzung von E-Mail immer verbieten

Sollte die private Nutzung des E-Mailpostfachs erlaubt werden, könnten auf den Arbeitgeber darüber hinaus weitere Pflichten, wie Backup oder im Rahmen des Rechts auf Datenübertragbarkeit (Art. 20 DS-GVO) die Herausgabe der privaten E-Mails im Rahmen des Arbeitgeberwechsels zukommen. Daher raten wir von der Erlaubnis der privaten Nutzung des Firmen E-Mailpostfachs stets ab. Hierzu können sich alle Mitarbeiter kostenlos bei den bekannten Anbietern eine private E-Mailadresse registrieren, die dann über Webmail abgerufen werden kann.

Betriebsrat nicht vergessen …

Bei allen Regelungen darf nicht vergessen werden, dass ein eventuell vorhandener Betriebsrat mit einzubeziehen ist. Zu dem gesamten Themenkomplex sollte eine umfassende Betriebsvereinbarung geschlossen werden.

… ePrivacy-Verordnung auch nicht

Wir sollten auch im Hinterkopf behalten, dass die ePrivacy-Verordnung aktuell verhandelt wird. Diese wird mit ziemlicher Sicherheit große Auswirkungen auf TMG und TKG haben. Daher wird dieser Artikel vermutlich nur Bestand bis zum Inkrafttreten (bzw. zum Ende der eventuell festgelegten Übergangsfrist) haben.

Ist die private Nutzung betrieblicher Kommunikationsmittel in Ihrem Unternehmen vollständig und sachgerecht geregelt? Falls nicht, rufen Sie uns an. Wir unterstützen Sie beim Entwurf praxistauglicher Regelungen bis hin zu einer Betriebsvereinbarung.