|
|
 |
|
Betriebs-/Dienstvereinbarung für den Einsatz von E-Mail und Internet
| Private Nutzung erlauben? |
Der Ausgangspunkt für Auseinandersetzungen zum Thema Internet/ E-Mail ist häufig die Frage: Ist die private Nutzung erlaubt? In welchem Umfang? Darf sie vom Arbeitgeber kontrolliert werden? Was geschieht bei Missbrauch?
Dabei hat sich bei vielen Arbeitgebern mittlerweile herumgesprochen, dass es rechtliche Folgen hat, wenn man die private Nutzung erlaubt. Häufige Reaktion: „Wenn wir bei privater Nutzung alle möglichen Gesetze einhalten müssen, dann verbieten wir sie lieber."
Richtig ist: Wenn die private Nutzung erlaubt wird, gilt der Arbeitgeber als „Provider" (als jemand, der geschäftsmäßig Telekommunikationsdienste erbringt oder daran mitwirkt) und muss das Fernmeldegeheimnis aus dem Telekommunikationsgesetz und das Teledienste-Datenschutzgesetz einhalten. Damit ist eine Missbrauchskontrolle erst einmal ausgeschlossen.
Falsch ist, dass das Verbot die einzige Möglichkeit ist, das Problem zu lösen. Außerdem ist ein Verbot in vielen Fällen nicht gewollt: die Arbeitnehmer und ihre Vertretungen wollen sich die Möglichkeit der privaten Nutzung offen halten und auch die Arbeitgeber haben häufig im Prinzip nichts dagegen, solange der betriebliche Ablauf nicht gestört wird.
Bevor mögliche Lösungen diskutiert werden, soll hier kurz die Technik der (dienstlichen) Internetnutzung erläutert werden.
| Technik und Protokollierung der Internet-/ E-Mailnutzung |
Beim Aufruf einer Internetseite werden die Anfragen von Arbeitsplatzcomputer in der Regel über einen Proxy-Server und eine Firewall ins Internet weitergeleitet. Dabei entstehen an vielen Stellen Daten, die zur Leistungs- und Verhaltenskontrolle geeignet sind.
Beispiel für Spuren der Nutzung/Protokolle
Diese Protokolle werden zum Teil von den Systemverwaltern benötigt, um die Sicherheit und den ordnungsgemäßen Betrieb der Systeme sicherzustellen. Andererseits möchte der Betriebsrat eine Leistungs- und Verhaltenskontrolle weitgehend ausschließen.
In der Abwägung der Persönlichkeitsrechte der Betroffenen auf der einen Seite und den Notwendigkeiten der betrieblichen Abläufe auf der anderen gibt es im Zusammenhang mit der Protokollierung der Internet- / E-Mailnutzung folgende Regelungsansätze:
| Zweck festlegen: |
|
Der Zweck der Protokollierung sollte bestimmt werden, z.B.: Fehlerbehebung, Sicherheit, Abrechnung. Dabei kann es sinnvoll sein, für diese Daten die besondere Zweckbindung des §31 BDSG festzulegen.
| Datenumfang beschränken |
|
Es muss nicht alles protokolliert werden, was Mit Hilfe der Software möglich ist. So ist es z. B. häufig sinnvoll, die internen E-Mails nicht zu protokollieren (wie die Daten der internen Telefongespräche ja auch in der Regel nicht festgehalten werden).
| Zugriff beshränken |
|
Der Zugriff auf die Protokolldaten sollte auf die entsprechenden Mitarbeiter der EDV-Abteilung beschränkt sein.
| Auswertungen festlegen. |
|
Wenn es Auswertungen der Protokolldaten, z.B. mit spezieller Software, gibt, sollten diese abschließend festgelegt werden.
| Speicherdauer beschränken |
|
Die Daten sollten nicht länger als unbedingt erforderlich gespeichert werden. Zur Fehlersuche können die Daten weniger Tage oft ausreichen.
| Aggregieren / Anonymisieren |
|
Für bestimmte Zwecke, z.B. für die Zuordnung der Kosten, reichen aggregierte Daten. Für andere Zwecke, z.B. Statistiken, sind anonymisierte Daten ausreichend.
| Bei Mißbrauchskontrolle abgestuftes Verfahren |
|
Für den Fall, dass ein Betriebs-/Personalrat eine Mißbrauchskontrolle akzeptiert, sind abgestufte Verfahren denkbar, die eine permanente Kontrolle verhindern, z.B. bei Missbrauchsverdacht Gespräch mit dem Betroffenen, Einsicht in die Daten nur unter Hinzuziehung des Betriebs-/Personalrates oder Einschalten der Protokollierung erst bei begründetem Missbrauchsverdacht.
In einer Betriebsvereinbarung muss festgelegt werden, welche dieser Ideen umgesetzt werden sollen, um die Nutzung der Protokolle zu beschränken.
| Regelung der privaten Nutzung |
Wie geht man nun mit der privaten Nutzung um? Außer den oben erwähnten Möglichkeiten generelles Verbot und genereller Verzicht auf Kontrolle kann man
1. die private und technische Nutzung technisch trennen. Die private Nutzung läuft dann z.B. über einen anderen Proxyserver und wird nicht protokolliert. Dies bedeutet allerdings zusätzlichen technischen Aufwand und schließt die von Arbeitgeber oft gewünschte Kontrolle der privaten Nutzung im Falle des Mißbrauchs weiterhin aus.
2. die private Nutzung den gleichen Bedingungen unterwerfen wie die dienstliche. Dazu müssen die Beschäftigten eine Erklärung unterschreiben, in der sie einwilligen, dass ihre private Nutzung den gleichen Protokollierungen und Auswertungsmöglichkeiten unterliegt wie die dienstliche.
Weitere Regelungen in einer Betriebsvereinbarung:
Neben den üblichen einleitenden Bestimmungen (Präambel, Gegenstand, Geltungsbereich etc.) sind es vor allen Dingen die folgenden Regelungsgegenstände, die zu Diskussionen Anlaß geben:
| Wer hat Zugang? |
|
Um alle Beschäftigen an der Technik teilhaben zu lassen, erscheint es sinnvoll alle Arbeitsplätzen mit E-Mail und WWW-Zugang auszustatten. Zumindest für die Arbeitsplätze mit Computeranschluss ist das häufig unproblematisch festzuschreiben. Wenn nur bestimmte Arbeitsplätze mit dem Zugang ausgestattet werden, sollte sich die Auswahl aus der Notwendigkeit der Arbeit ergeben. Wenn der interne Informationsaustausch über das Intranet von einiger Bedeutung ist, müssen Regelungen für die Beschäftigten ohne eigenen Computeranschluss getroffen werden.
| Für welche Zwecke? |
|
Viele Arbeitgeber dulden die gelegentliche private Nutzung des Internets. Gleichzeitig soll aber häufig die eigentlich selbstverständliche Tatsache, daß diese Arbeitsmittel für die Erledigung der Arbeit zur Verfügung gestellt werden, betont werden. Die private Nutzung völlig zu verbieten ist nicht sinnvoll, da sich bestimmte Angelegenheiten über E-Mail schneller abwickeln lassen als mit (in der Regel erlaubten) privaten Telefonaten. Außerdem fallen keine nennenswerten Telekommunikations-Kosten an.
| Sperrung bestimmter Inhalte |
|
Wenn durch zusätzliche Software und Filter bestimmte Adressen oder z.B. bestimmte Typen von E-Mailanhängen gesperrt werden sollen, ist es wichtig darauf zu achten, dass dadurch die Arbeit nicht behindert wird und dass durch die Software keine zusätzlichen Protokolle mit Möglichkeiten der Leistungs- und Verhaltenskontrolle entstehen.
Der Umgang mit dem Kommunikationsmittel E-Mail führt zu vielen praktischen Fragen, die häufig diskutiert und vereinbart werden, u.a.:
| Vertraulichkeit der Inhalte |
|
Es sollte festgelegt werden, dass der Zugriff auf E-Mails grundsätzlich nur durch den Empfänger zulässig ist. Das sollte auch nicht durch die Art der Archivierung und die Speicherung von Kopien unterlaufen werden. Ein Zugriff durch den Administrator ist in vielen E-Mail-Systemen jedoch technisch nicht zu verhindern.
| Abwesenheits-/ Vertretungsregelung |
|
Die Frage, was bei geplanter oder ungeplanter Abwesenheit mit den eingegangenen Mails passiert, ist häufig umstritten. Durch die Vergabe von funktionsbezogenen und persönlichen E-Mail-Adressen lässt sich das Problem mildern. Die Mail-Systeme bieten die Funktionen Vertreter und Abwesenheitsagent. Ein Freischalten des Postfaches durch den Administrator sollte eine Notlösung bleiben.
| Verschlüsselung |
|
Vertrauliche Inhalte oder personenbezogene Daten sollten per E-Mail nur verschlüsselt verschickt werden, in vielen Betrieben fehlt dazu aber noch die nötige Infrastruktur.
| Weitere Funktionen (Kalender,Workflow) |
|
Weitere Funktionen der Mailsysteme, die in Richtung Groupware oder Workflow gehen, werfen so viele Fragen auf, daß sie nicht in einer Dienstvereinbarung zu E-Mail/Internet mit erledigt werden sollten.
| Nutzung durch den Betriebs-/Personalrat |
Um die Technik auch für seine Zwecke nutzen zu können, sollte der Betriebs-/Personalrat sich die Möglichkeit sichern, E-Mails über Verteiler an alle Beschäftigten zu schicken, eigene Informationsangebote im Intranet bereitzustellen und einen PC mit Internet-Zugang zur Verfügung zu haben.
Der Schulung der BenutzerInnen kommt eine besondere Bedeutung zu. Insbesondere ist der Umfang der Schulung oft strittig. Neben dem reinen Bedienwissen, das bei den modernen Mailprogrammen schon recht hohe Anforderungen stellt, sollten auch Fragen des Datenschutzes, der Datensicherheit und die Betriebs-/Dienstvereinbarung Inhalt der Schulung sein. Auch auf eine ausreichende Schulung der Administratoren sollten man achten.
Um die Maßnahmen zur Datensicherheit, die die Behörde nach §9 BDSG zu ergreifen hat, sollte sich der Betriebs-/Personalrat schon aufgrund seines Überprüfungsaufgabe nach §80 (1) Nr.1 BetrVG bzw. §68 (1) Nr. 2 BPersVG (oder entsprechender Regelung der Landesgesetze) kümmern. Daher sollte er sich das Datensicherheits-/ Datenschutzkonzept vorlegen lassen. Insbesondere die Frage, welche Daten unter welchen Voraussetzungen (z.B. Verschlüsselung) wohin übermittelt werden dürfen, ist häufig noch unklar und muss festgelegt werden. Das Datenschutzkonzept kann als Anlage der Dienstvereinbarung zugefügt werden.
Zu diesen speziellen Regelungsgegenständen kommen solche, die auch in anderen Betriebs-/Dienstvereinbarungen über EDV enthalten sind, wie Mitbestimmungsrechte bei Änderungen, Kontrollrechte, Verfahren bei Verstößen, Verwertungsverbot für Erkenntnisse aus unzulässiger Datennutzung, Schlußbestimmungen.
Die Fragen des Gesundheitsschutzes bei Bildschirmarbeit erhalten unter Umständen eine neue Bedeutung, da sich durch die Einführung dieser Techniken die Arbeitszeit am Bildschirm erhöht. Meist werden aber Regelungen zu diesem Thema separat abgeschlossen.
Ulrich Mott
|
