Experten-Interview: Datensicherheit und Compliance

Die Debatte rund um das Thema Datenschutz und Datenlecks und damit verbundenen Compliance-Fragen reißt angesichts ständig neuer Skandale und einer Vielzahl noch immer ungeklärter Rechtsfragen nicht ab. Die damit verbundenen Fragen verunsichern nicht nur Unternehmen, sondern auch deren Mitarbeiter. Gerade im Zusammenhang mit Social Media scheint die Medienkompetenz bei allen Beteiligten noch deutlich ausbaubar, zumal oft hilfreiche Regelungen wie Social Media Guidelines fehlen. Erfreulicherweise widmen sich langsam auch Publikumsmedien der Frage: “Was dürfen Arbeitgeber und was sollten Arbeitnehmer beachten?” So fragte jüngst auch die Redaktion von Cosmopolitan bei uns mit einem umfassenden Fragenkatalog an und hat auch einen entsprechenden Artikel veröffentlicht.

Da verständlicherweise nur ein kleiner Teil der Inputs der von uns befragten Expertinnen Eingang ins Heft fand, stellen wir an dieser Stelle einmal die Antworten auf die wohl drängensten Fragen online.

Die Antworten gaben Corinna Lapp, Rechtsanwältin und Mediatorin mit dem Tätigkeitsgebiet IT-Recht und Alexandra Groß, Mitglied im Vorstand von Fink & Fuchs PR und unter anderem verantwortlich für den Bereich Personal.

1. Was kann und darf der Arbeitgeber mit Hilfe der Firmen-IT hinsichtlich persönlicher Mitarbeiter-Informationen überprüfen und herausfinden?

Corinna-Lapp-Spezialgebiet-IT-Recht-und-Datenschutzrecht-Social-Media-Governance-Compliance

Corinna Lapp, Rechtsanwältin und Mediatorin mit dem Spezialgebiet IT-Recht und Datenschutzrecht

Corinna Lapp: Als Konsequenz der verschiedenen Datenschutzskandale wurden die Vorschriften zum Schutz von persönlichen Informationen über die Mitarbeiter deutlich verschärft. Personenbezogene Daten der Mitarbeiter dürfen nach der neuen Regelung in § 32 BDSG nur dann erhoben, verarbeitet oder genutzt werden, wenn es für das Arbeitsverhältnis erforderlich ist. Erforderlich bedeutet, dass es keine anderen Möglichkeiten für den Arbeitgeber gibt, den gleichen Zweck ohne die Erhebung von personenbezogenen Daten zu erreichen. Arbeitgeber dürfen erst dann zur Aufdeckung von Straftaten ermitteln, wenn ein konkreter Verdacht gegen einen bestimmten Mitarbeiter besteht und dokumentiert ist. Auch dann sind nur solche Ermittlungen zulässig, die für die Aufdeckung erforderlich sind und schutzwürdige Interessen der Beschäftigten nicht unverhältnismäßig einschränken.

2. Darf der Arbeitgeber Mitarbeiter mittels Webcam am Arbeitsplatz beobachten?

Corinna Lapp: Die ständige Kontrolle über Kameras ist grundsätzlich im Arbeitsverhältnis verboten. Nur in speziellen Fällen können Ausnahmen gelten, beispielsweise im Kassenbereich einer Bank. Sofern ein Betriebsrat existiert, ist dieser in jedem Fall zu beteiligen, bevor eine solche Überwachung eingerichtet wird. Auch der betriebliche Datenschutzbeauftragte muss eingeschaltet werden.

3. Ist es technisch möglich, die Internet-Nutzung von Mitarbeitern nachzuverfolgen?

Alexandra-Groß-Mitglied-im-Vorstand-von-Fink-&-Fuchs-PR-Personal-und-Compliance

Alexandra Groß, Mitglied im Vorstand von Fink & Fuchs PR und für Personalfragen zuständig

Alexandra Groß: Dies ist technisch problemlos möglich, da der Datenverkehr in Unternehmensnetzen zur Betriebssicherheit ohnehin kontinuierlich analysiert wird. So haben Video-Downloads von Mitarbeitern schon komplette Firmennetze lahmgelegt. Dennoch ist die Analyse des Datenverkehrs einzelner Mitarbeiter nur ausnahmsweise zulässig. Soweit die private Nutzung des Internet im Unternehmen verboten ist, ist die Kontrolle für den Arbeitgeber einfacher. Allerdings unterliegt jede Maßnahme, die der Überwachung der Arbeitsleistung dienen kann, der Mitbestimmung des Betriebsrats. In vielen Unternehmen gibt es sogenannte Systemnutzungs- und Compliance-Regeln oder Betriebsvereinbarungen, die den Besuch bestimmter Websites verbieten und das Vorgehen beim Verdacht von Missbrauch regeln.

Ein Verbot ist allerdings nur wirksam, wenn es kontrolliert und durchgesetzt wird. Die stillschweigende Duldung der privaten Nutzung führt zu einer so genannten betrieblichen Übung, auf die sich die Mitarbeiter berufen können. Letztlich darf nur bei konkretem Verdacht von Verstößen gegen die arbeitsvertraglichen Pflichten ermittelt werden. Nicht zuletzt deshalb sperren sehr viele Unternehmen gezielt den Zugriff auf bestimmte Websites wie Youtube, Facebook, Amazon oder Hotmail, bei denen tendenziell von einer privaten Nutzung ausgegangen wird.

Im Falle einer PR-Agentur, bei Pressestellen oder anderen öffentlich vernetzten Abteilungen gehören einige der letztgenannten Plattformen jedoch schon häufig zum Arbeitsalltag, was eine Sperrung absurd erscheinen lässt.

4. Bei manchen Unternehmen ist die private Internet-Nutzung während der Arbeitszeit gestattet. Welche Grenzen gibt es und worauf sollten Mitarbeiter beim Surfen am Arbeitsplatz achten?

Alexandra Groß: Wenn dies nicht explizit geregelt ist, wird von mündigen Mitarbeitern ein entsprechendes Fingerspitzengefühl erwartet, wie vergleichweise bei Zigarettenpausen. Grundsätzlich sind für private Erledigungen die Pausen vorgesehen. Die exzessive private Nutzung des Internets während der Arbeitszeit kann letztlich bis zur Kündigung führen. Da im Web oftmals die IP-Adressen von Surfern zusammen mit den besuchten Websites gespeichert werden, empfiehlt es sich, private, vertrauliche Angelegenheiten vom privaten PC zu Hause zu erledigen. Der Besuch von Porno-Sites, gewaltverherrlichenden Web-Angeboten oder sonstigen zweifelhaften Angeboten kann sowohl das Ansehen des Arbeitgebers in der Öffentlichkeit als auch die Sicherheit der IT gefährden und daher zur außerordentlichen Kündigung ohne vorherige Abmahnung berechtigen.

Nicht zu vergessen ist die Nutzung privater Mobilgeräte wie Smartphones oder Tablet-PC mit Internetzugang. Auch deren Nutzung ist während der Arbeitszeit – gerade in sicherheitssensiblen Bereichen – oft eindeutig untersagt. Wobei der Arbeitsgeber hier natürlich keinen Zugriff auf die Daten hat, da es ja ein privates Gerät ist. Stets zulässig ist die private Nutzung von Telefon oder E-Mail in Notfällen, etwa Erkrankung eines Angehörigen oder überraschend anfallende Überstunden (“ich komme heute später nach Hause”).

5. Darf ein Mitarbeiter über den Firmenrechner online einkaufen, Bankgeschäfte abwickeln oder Tickets buchen?

Corinna Lapp: Soweit diese Erledigungen für den Arbeitgeber erfolgen (Dienstreise, Geschenk für Kunden etc.) sind sie zulässig. Wird der Einkauf auf Rechnung des Arbeitgebers getätigt, kommt es darauf an, ob der Mitarbeiter dazu berechtigt ist. Das gleiche gilt bei dienstlicher Veranlassung, beispielsweise wenn wegen Überstunden ein Taxi für die Heimfahrt gerufen werden muss. Für private Erledigungen gilt, was oben bereits dargestellt wurde.

6. In welchem Umfang dürfen private E-Mails verschickt werden und kann der Arbeitgeber auf diese E-Mails zugreifen?

Corinna Lapp: Arbeitgeber sind nicht verpflichtet, Mitarbeitern (abgesehen von Notfällen) private E-Mails zu gestatten. Wenn sie private E-Mails verbieten und dieses Verbot auch durchsetzen, können alle E-Mails ohne Einschränkung eingesehen werden, wie auch alle andere geschäftliche Korrespondenz. Private E-Mails darf der Arbeitgeber nicht öffnen und nicht lesen. Bei erlaubter oder geduldeter privater Nutzung von E-Mails steht der Arbeitgeber daher vor Problemen bei der Kontrolle. In diesem Jahr soll es eine neue Regelung zum Schutz der Arbeitnehmerdaten geben, die auch diesen Bereich regeln wird.

7. Darf der Mitarbeiter in Facebook & Co über seine Arbeit und seinen Arbeitgeber schreiben?

Alexandra Groß: Social Networks bringen völlig neue Herausforderungen mit sich. Bei rein privater Nutzung empfiehlt es sich, nur in sehr begrenztem Rahmen auf Fragenstellungen des eigenen Arbeitgebers und der damit verbundenen Aufgaben einzugehen. Es gelten die arbeitsvertraglichen Regelungen zu Vertraulichkeit und Treuepflicht. Auch wenn es nicht im Vertrag formuliert ist, gilt diese Pflicht als ungeschriebene Regel. Informationen aus dem Arbeitsverhältnis können dem Arbeitgeber massiv schaden: Konkurrenten oder Kriminelle erhalten gegebenenfalls verwertbare Informationen, die Sicherheit der IT kann gefährdet werden oder der Ruf des Unternehmens geschädigt.

Hier ist aufgrund fehlender Medienkompetenz schon viel Schaden für Unternehmen aber auch für die Karriere von einzelnen Mitarbeitern entstanden. Moderne Unternehmen haben gemeinsam mit ihren Mitarbeitern so genannte Social Media Guidelines aufgestellt, die der Belegschaft Hilfestellungen bzgl. der Nutzung von Social Networks und vor allem dem Umgang mit Firmeninformationen geben. Letztlich ist privates Social Networking Privatsache und wenn ein Mitarbeiter zu seinem Job Stellung bezieht, muss er auch privat für entsprechende Konsequenzen einstehen.

Schwieriger wird die Frage, wenn private Social Media Accounts auch für berufliche Zwecke eingesetzt werden. Hier besteht noch große Rechtsunsicherheit. Einerseits ist die Abgrenzung privat und geschäftlich schwierig und darüber hinaus stellt sich irgendwann die Frage, wer eigentlich der Eigentümer eines für Firmenzwecke genutzten Accounts ist. Experten gehen davon aus, dass überwiegend beruflich genutzte Social Media Accounts unter bestimmten Voraussetzungen sogar dem Arbeitgeber zugesprochen werden könnten. Deshalb empfehle ich Mitarbeitern in solchen Fällen die Eröffnung von zwei Accounts, einem privaten und einem für berufliche Zwecke.

8. Ist es zulässig, dass Kollegen sich unbemerkt in den Rechner eines andere Mitarbeiters einloggen?

Corinna Lapp: Die Systeme müssen so konfiguriert sein, dass jeder Mitarbeiter sich nur mit seinem Namen und Passwort (Benutzerprofil) anmelden kann und dann nur auf Daten und Vorgänge zugreifen kann, für die er eine Berechtigung besitzt. Dies ist für personenbezogene Daten im Bundesdatenschutzgesetz und für die meisten anderen Daten in anderen Regelungen (z.B. Grundsätze ordnungsgemäßer Buchführung für steuerlich relevante Vorgänge) vorgeschrieben.

Maßgebend ist der Zugriff an sich, nicht das einzelne Gerät. Wenn also der Kollege sich mit seinem eigenen Benutzerprofil an einem fremden PC anmeldet, allerdings nur Zugriff auf seine eigenen Daten erhält, ist dies korrekt. Zugriff auf persönliche Daten eines anderen Mitarbeiters oder sonstige Daten außerhalb seines Zuständigkeitsbereichs darf er dabei nicht erhalten.

9. Welche Sicherheitsregeln sollten Arbeitnehmer in Bezug auf Compliance in jedem Fall beachten?

Alexandra Groß: Am besten beschränkt man das private Surfen, Mailen oder Social Networking – wenn überhaupt gestattet – auf ein Minimum oder so genannte dringende Fälle. Vermieden werden sollte vor allem der Besuch von Web-Angeboten, die Risiken für das Image des Arbeitgebers und auch für die eigene Reputation in sich bergen. Nicht zuletzt ist sehr genau abzuwägen, über welche beruflichen Inhalte man sich in welcher Form äußert. Bei einer gemischten beruflichen und privaten Nutzung ist eine klare Trennung der Königsweg. Und bei Unsicherheit sollte man den Vorgesetzten fragen oder um klare Regelungen im Sinne von Social Media Guidelines bitten.

Aufgrund der dynamischen technischen Entwicklung und den immer neuen Angeboten gerade im Web 2.0 sollte man sich immer wieder die folgenden Fragen stellen: Was nutze ich überhaupt, wo nutze ich die Angebote und was stelle ich von mir oder über andere ins Netz? Dabei sind auch im Web 2.0 unter anderem Urheberrechte, arbeitsrechtliche Vertraulichkeitsverpflichtungen oder Persönlichkeitsrechte Dritter zu beachten. Das gilt für die private Internet-Nutzung am Arbeitsplatz, aber genauso am eigenen Rechner zu Hause, beispielsweise bei der Veröffentlichung von Bildern oder der Bewertung von Produkten und Personen.

Corinna Lapp: Man sollte sich bei allen Veröffentlichungen immer die Frage stellen, ob man mit diesem Text oder diesen Informationen/Bildern in zehn Jahren über Google oder andere Suchmaschinen noch gefunden werden will. Immer dann, wenn diese Frage NICHT klar mit “Ja” beantwortet wird, sollte die Veröffentlichung unterbleiben. Auch der Möglichkeit, scheinbar unerkannt und anonym Informationen zu geben, sollte man kritisch gegenüberstehen.

In Amerika wurde eine Plattform untersucht, bei der die Teilnehmer anonym Kinofilme bewerten können. Es genügt jedoch, von einer anderen Person sechs ihrer Lieblingsfilme zu erfahren, um ihr Profil zu identifizieren. Auch bei Kommentaren oder Bewertungen über andere Personen oder Unternehmen ist große Vorsicht geboten. Aussagen über Tatsachen müssen stets richtig und nachprüfbar sein. Meinungen und Bewertungen dürfen nicht beleidigend sein und keine Schmähkritik enthalten.


< Zurück zur Übersicht

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

*

Time limit is exhausted. Please reload CAPTCHA.