Das Firmen-Netzwerk und die Privat-Nutzung – was ist erlaubt?

Stellt ein Unternehmen seinen Mitarbeitern E-Mail-Konten zur Verfügung, dürfen diese grundsätzlich nur für betriebliche Zwecke genutzt werden. Die Praxis und der Alltag an den meisten Arbeitsplätzen sieht anders aus: Schon aus Gründen eines guten Betriebsklimas werden kurze persönliche Erledigungen am Arbeitsplatz toleriert. Dazu zählen beispielsweise ein privates Telefonat ebenso wie eine private Google-Suche oder der Aufruf des eigenen E-Mail-Postfachs.

Oft geht es in diesem Kontext eher um die Frage der Arbeitszeit und der Abgrenzung zu Pausen. „Und jedem Anfang wohnt ein Zauber inne“ wusste schon Hermann Hesse und deshalb waren sich Arbeitnehmer und Arbeitgeber wenigstens zu Anfangs einig, dass niemand den anderen Schaden zufügt.

Und dennoch passiert auf technischer Ebene und genauerem Hinsehen sehr viel mehr, was ernsthafte rechtliche Folgen haben kann. Dann tauchen neue und kritische Fragen auf – im Extremfall mit ernsthaften juristischen Konsequenzen. Für beide Vertragsparteien – den Mitarbeiter und dem Unternehmen.

Zunächst einmal die zwei grundlegend zu unterscheidenden Szenarien:

Fall 1:

Die private Nutzung der Geschäfts-IT

Die Risiken:

  • Wer haftet, wenn über das private E-Mail-Konto oder eine privat aufgerufene Website Schadcode auf den Firmen-PC gelangt und den PC beschädigt (z.B. Virusbefall) oder verdächtige Anhaltspunkte einen ggf. teuren IT-Support-Einsatz auslösen?
  • Wer haftet, wenn ein Firmen-Laptop in einem fremden WLAN-Netzwerk im Zuge der privaten Nutzung (z.B. im Urlaub) gehackt wird? Welche Kriterien gibt es, um ein Firmengerät an fremde Kabel anzuschließen?
  • Unter welchen Aspekten wird das Unternehmen dem Mitarbeiter gegenüber mit Telekommunikationsanbietern gleichgestellt und was bedeutet das Fernmeldegeheimnis unter arbeitsrechtlichen Aspekten?
  • Welche rechtlichen und technischen Kontrollen hat ein Mitarbeiter über private Daten und Konten, falls diese eines Tages bei einer nicht einvernehmlichen Trennung auf dem Firmen-PC zurückbleiben?
  • Anhand welcher Kriterien und mit welchen Maßnahmen erfolgt die datenschutzrechtliche Trennung zwischen privaten Daten / Mails / Schriftstücken?
  • Was sagt der Datenschutz, wenn das Unternehmen auf (geschäftliche) Daten / Mails / Schriftstücke auf dem PC oder im Konto eines Mitarbeiters zugreifen möchte, weil der Mitarbeiter z.B. krank ist, im Urlaub ist oder ausgeschieden ist? Darf das Unternehmen dann alle Daten einsehen, um geschäftliche und private Daten voneinander zu trennen?
  • Unter welchen Umständen riskiert ein Mitarbeiter eine Abmahnung wegen Missbrauchs des Dienstrechners und was sind die Kriterien, um die geduldete private Nutzung von missbräuchlichen Verhalten abzugrenzen?
  • Kann (und darf) der Arbeitgeber sich den Chat- und Seitenverlauf ansehen und wie sind private Passwörter auf dem Firmen-PC geschützt, wenn ein Mitarbeiter sein privates E-Mail-Konto öffnet?
  • Was muss ein Unternehmen im Datenschutz kontrollieren, wenn die Nutzung eines Firmen-Laptops auch durch Familienangehörige des Mitarbeiters erfolgt?

Fall 2:

Fremde Geräte von Mitarbeitern im Firmen-Netzwerk (BYOD – die Bring your own Device Philosophie)

Die Risiken:

  • Wer haftet, wenn über das private Laptop des Mitarbeiters ein Virus den Firmen-Server verschlüsselt?
  • Wer gewährleistet, dass Sicherheitseinstellungen auf privaten Geräten zu jeder Zeit und bei Bedarf so vorgenommen werden und eingestellt bleiben, dass die IT-Sicherheit nicht kompromittiert wird?
  • Welche Kosten verursacht der Mehraufwand, wenn der Firmen-Administrator Standard-Einstellungen für das ganze Netzwerk auf privaten Endgeräten extra einstellen muss, weil das Administrator-Kennwort von privaten Geräten nur der Mitarbeiter selbst verwaltet?
  • Wer haftet für Schäden an privaten Geräten, die während der Arbeitszeit bzw. im Diensteinsatz entstehen?
  • Welche arbeitsrechtlichen Aspekte entstehen, wenn private und berufliche Tätigkeiten auf ein und demselben Gerät parallel nebeneinander her laufen und anhand welcher Kriterien werden Arbeitszeiten und Überstunden bewertet? (Arbeitszeitgesetz, Mindestlohngesetz, Arbeitsschutzgesetz)
  • Kann das Übertragen/Kopieren/Synchronisieren von Kunden-Kontakten / Telefonbüchern auf private Geräte dem Mitarbeiter als Veruntreuung von Firmendaten angelastet werden? Insb. wenn es eines Tages zu einer nicht einvernehmlichen Trennung käme?
  • Was sagt der Datenschutz, wenn personenbezogene Daten, die das Unternehmen von seinen Kunden erhebt, auf privaten Datenträgern eines Mitarbeiters landen und diese beim nächsten Strandurlaub verloren gehen?
  • Wer verwaltet und kontrolliert eine ausreichende Backup-Strategie von Daten, die auf privaten Geräten im Zuge des Arbeitsdienstes erstellt und gespeichert werden?
  • Welche sonstigen rechtlichen Anforderungen gibt es – z.B. steuerrechtliche oder lizenzrechtliche Fragen?

Welche Antworten gibt es auf die Risiken und welche Empfehlungen gibt es?

Das Allerwichtigste sind klare und offene Regelungen zwischen Unternehmen und Mitarbeiter. Nur so können sich die Parteien einander orientieren und Vertrauensstellungen und damit die IT-Sicherheit aufrechterhalten. Zu den klassischen Regelungen in diesem Spannungsfeld zählen Betriebsvereinbarungen und (sofern erforderlich) eine BYOD-Richtlinie.

Betriebsvereinbarungen

Allein durch die (längere) Duldung privater Internetnutzung durch den Arbeitgeber, kann eine Art Gewohnheitsrecht („betriebliche Praxis“) entstehen, was in der Rechtsprechung einer Erlaubnis durch eine Betriebsvereinbarung gleichkommen könnte. Der Arbeitgeber wird dann als Telekommunikationsdienstanbieter betrachtet und der Inhalt der Kommunikation geht ihn nichts mehr an – das regelt das Telekommunikationsgesetz und die Verletzung des Fernmeldegeheimnisses zieht hohe Strafen nach sich.

Achten Sie stattdessen auf klare Verhältnisse, wenn es um die private Internetnutzung geht:

  • Definieren Sie in einer verbindlichen Richtlinie ein klares Verbot der privaten Nutzung von geschäftlichen Konten.
  • Erlauben Sie stattdessen (z.B. während Pausen) die private Nutzung des Internets und weisen Sie betroffene Mitarbeiter darauf hin, dass möglicherweise durch Firewalls und Sicherheitssoftware die Verbindungen ins Internet protokolliert, ausgewertet und ggf. auf Grund von Filter-Einstellungen gesperrt werden können.
  • Bieten Sie Ihren Mitarbeitern Alternativen an:
    • Stellen Sie ein Gäste-WLAN kostenlos ohne Protokollierung bereit. Definieren Sie, dass private Geräte (z.B. ein Mobiltelefon) auch nur in diesem Gäste-WLAN genutzt werden darf (und nicht ans Firmennetzwerk angeschlossen werden darf).
    • Der Mail-Konflikt lässt sich leicht umgehen. Kostenlose private Mailaccounts bekommt Ihr Mitarbeiter unabhängig vom Arbeitgeber an jeder Ecke des Internets. Machen Sie Ihrem Mitarbeiter deutlich, er muss nicht mit der Firmenadresse hantieren. Und abrufen kann er private Mails im Zweifel ganz leicht mit dem privaten Smartphone.
  • Wenn im Ausnahmefall (z.B. in einem Notfall) doch der dienstliche Mailaccount für Privates genutzt wird, empfehlen Juristen eine klare Kennzeichnung der Mails. Wenn Sie zum Beispiel im Betreff das Schlüsselwort „PRIVAT“ schreiben, ist die Grenze Ihrer Privatsphäre deutlich gezogen. Muss das Unternehmen an den Account, darf es solche Nachrichten auf keinen Fall öffnen.

BYOD-Richtlinie

Bei einem BYOD-System benutzen Angestellte für die Arbeit ihre eigenen Geräte. Das erscheint praktisch und kostengünstig. Bei genauerem Hinsehen zeigen sich allerdings Gefahren für Sicherheit und Datenschutz. Es ist Chefsache, Regelungen in Arbeitsverträgen und im Betrieb zu treffen.

BOYD birgt einige erhebliche Risiken, die ein Unternehmen kaum kontrollieren kann. Kommen dann noch branchenspezifische Vorschriften (z.B. Health Insurance Portability and Accountability Act (HIPAA) für das Gesundheitswesen, der Payment Card Industry Data Security Standard (PCI) oder ein Information Security Management System (ISMS) auf Grundlage einer ISO/IEC Zertifizierung) hinzu, wird die Installation von wirksamen Sicherheitsmechanismen zusammen mit erforderlichen Mitarbeiterschulungen so aufwendig, dass die Ersparnisse die Ausgaben nicht rechtfertigen.

Wir raten im Rahmen unserer Praxiserfahrung in den meisten Praxis-Fällen von BYOD-Einsätzen ab und verweisen auf eine bessere Alternative, die sowohl für Mitarbeitende wie für die Arbeitgeber Vorteile hat: Sie heisst englisch Choose Your own Device (CYOD) oder zu Deutsch „Wählen Sie Ihr Arbeitsgerät“. Angestellte können so ihre persönlichen Favoriten wählen und das Unternehmen könnte verdiente Mitarbeiter besser honorieren und an sich binden. Die private Nutzung kann dann im Rahmen von Betriebsvereinbarungen geregelt werden.

Im Übrigen verweisen wir an den Branchenverband Bitkom, der in Zusammenarbeit mehrerer Fach-Arbeitskreise einen Leitfaden zum Einstieg in das BYOD-Thema geschaffen hat. Er hilft Führungskräften im Unternehmen über die Einführung von BYOD zu entscheiden oder ein BYOD-Projekt umzusetzen. Der Leitfaden gibt einen ersten Überblick über bestehende rechtliche, technische und organisatorische Anforderungen, welche jedes Unternehmen mit Bezug auf seine individuellen Gegebenheiten prüfen sollte.

https://www.bitkom.org/Bitkom/Publikationen/BYOD-Bring-Your-Own-Device.html

IT-Analyse und ISMS-Beratung

Gerne helfen wir Ihnen mit unserem IT-Service und bringen Struktur in Ihre technischen organisatorischen Abläufe.

Eine IT-Infrastrukturanalyse deckt Handlungsfelder auf, die Ihnen zeigen, an welchen Stellen Risiken bestehen und wo Regelungen geschaffen werden müssen. Zusammen mit unseren Erfahrungen zur ISMS-Beratung unterstützen wir Sie beim Aufbau eines zertifizierbaren Managementsystem, z.B.  nach ISO/IEC 27001.

Bitte beachten Sie, dass die spezifische Rechtsberatung durch das Rechtsdienstleistungsgesetz reglementiert ist. Demnach können wir Sie in juristischen Fragen nicht direkt beraten und vermitteln bei Bedarf fachlich spezialisierte Rechtsanwälte in IT-Fragen.