Leitung des Forums: Walter Michnik Arbeitskreis
Protokollführung: Waltraud Kaiser Arbeitskreis
Referent: Günther Schneider Arbeitskreis

Wie im Vortrag sind IT Sichtweisen, Bedenken und Hinweise zur Situation in den Firmen, die Sicht der Anwesenden angesprochen worden. Man hat auch über die unterschiedlichsten Sichtweisen zu Internet & E-Mail Betriebsvereinbarungen diskutiert und viele Anregungen für die eigene Betriebsratsarbeit bekommen. Das betrifft auch das Thema Spam und Umgang in den Unternehmen damit.

Aufgrund der unterschiedlichsten Regelungen in den Betrieben, ob private Nutzung Internet ja/nein, ist dieses Thema “zeittechnisch” innerhalb des Forums, bei rechtlichen und arbeitsrechtlichen Verstößen nicht abschließend zu bewältigen.

Die Kultur im World Wide Web und der vertrauensvolle Umgang in den Unternehmen mit diesen Medien, ist in Zukunft vielleicht nicht mehr vorhanden, wenn alles bis ins Detail geregelt wird und man in seiner Arbeit nicht beruhigt arbeiten kann. Selbstverständlich muss alles soweit geregelt sein, das die MA geschützt sind.

Die Aufgaben für die Betriebsräte sind klar definiert:
die Kollegen, angepasst an die jeweilige Betriebsvereinbarung (neue, geänderte Internetfunktionen/Schnittstellen SAP (ISS = Internetselfservices) bei Kundenkontakt oder der Datenerfassung zwecks Abrechnung usw.) auch ordnungsgemäß geschult und aufgeklärt sind und das der Arbeitgeber sich an BetrVG & BV hält (Ausschuss Neue Technologien, Berufsbildungsausschuss usw.)

Ein großes Thema sind Auswertungen, da sind sich alle einig, dass der Betriebsrat sich in diesen Gremien beteiligt und auch Auswertungen die benötigt werden dem Betriebsrat vorgelegt werden müssen, man muss sich auch über den Zweck und das Ziel dieser Auswertungen Gedanken machen, insbesondere über die, die nicht benötigt werden.

Unsinnige Auswertungen müssen in Frage gestellt werden und wenn nötig auch Rechtshilfen in Anspruch genommen werden um den Arbeitgeber zum Verzicht auf diese Auswertungen zu bewegen, wenn nötig auch per einstweiliger Verfügung (Einigungsstelle usw.).

Die Situation in denen sich die MA befinden wenn ihre E-Mails protokolliert und geprüft werden, insbesondere bei längerer Abwesenheit, können zu Konflikten, die bei nicht geregelten Abläufen mit Vorgesetzten entstehen, führen. Rechtliche Verstöße dazu wurden erklärt und diskutiert.

Das hat auch dazu beigetragen, wenn man nicht mit dem Internet arbeiten muss, dass einige sagen: “Internet Nein Danke, ich möchte meinen

Arbeitsplatz nicht gefährden” egal welche Regelung vorliegt und gelebt oder nicht gelebt wird!

Es sind bei den Teilnehmern des Forums unterschiedliche Internetregelungen in Anwendung. Festgestellt hat das Forum 3 das es viele positive Effekte hat aber auch negative Effekte. Ein perfekte BV für alle Unternehmen gibt es nicht, vielmehr muss sie der Kultur und dem Unternehmen und dem Schutz der Mitarbeiter angepasst sein. E-Mail ist ein separates Thema und verbirgt viele rechtliche Probleme bei AG & Mitarbeitern und hat für rege Diskussion gesorgt.

Einleitung:
Der Einsatz von Informationssystemen am Arbeitsplatz und deren rasche technologische Entwicklung wirft eine Vielzahl datenschutzrechtlicher Fragen auf. Moderne Telefonanlagen, Personalcomputer und Telefaxgeräte gehören längst zu unverzichtbaren Hilfsmitteln der Kommunikation am Arbeitsplatz. Zusätzlich ist in den letzten Jahren eine schnell wachsende Entwicklung der Internet- und Emailnutzung in Betrieben zu beobachten. Gerade weil der betriebliche Einsatz von Internet und E-Mail oft zunächst langsam anläuft, werden die Folgen nicht sofort offensichtlich. Zugleich trifft die Einführung dieser neuen Kommunikationstechniken sehr viele Beschäftigte. Die Klärung datenschutzrechtlicher Fragen bezüglich der Internet- und Emailnutzung am Arbeitsplatz kann so zu einem aktuellen Konfliktfeld werden. In dem Forum 3 wurde sehr rege diskutiert und zuerst wurden die datenschutzrechtlichen und arbeitsrechtlichen Anforderungen betrachtet. Sämtliche im Bereich des Interneteinsatzes in Unternehmen vorgesehenen Maßnahmen sind nicht nur vor dem Hintergrund der hier angesprochenen datenschutzrechtlichen, sondern auch der arbeitsrechtlichen Anforderungen zu sehen. So sind die vorgesehenen Maßnahmen insbesondere hinsichtlich ihrer Auswirkungen auf die Art der Arbeit und die Anforderungen an den Arbeitnehmer mit dem Betriebsrat zu beraten. Unter bestimmten Voraussetzungen ist eine Kontrolle der Internet- oder Emailnutzung der Arbeitnehmer möglich. Ist in dem betreffenden Betrieb die private Internet– oder Email Nutzung erlaubt, ist der Arbeitgeber zahlreichen speziellen datenschutzrechtlichen Verpflichtungen der Informations- und Kommunikationsdienstgesetz (z.B. aus dem Telekommunikationsgesetz –TKG- und dem Teledienstdatenschutzgesetz -TDDSG-) unterworfen. Um nicht diesen weit reichenden Datenschutzverpflichtungen zu unterliegen, kann es für den Arbeitgeber ratsam sein, die private Nutzung von Internet und Email über die betrieblichen EDV-Systeme zu untersagen oder über Betriebsvereinbarungen zu regeln. Bei einem ausdrücklichen Verbot der privaten Internet- und Emailnutzung, d.h. einer ausschließlich dienstlichen Nutzung von Internet und Email, brauchen die datenschutzrechtlichen Bestimmungen der Telekommunikationsgesetze nicht beachtet zu werden. Für die rein dienstliche Nutzung des Internets finden nur die aushilfsmäßigen Datenschutzbestimmungen des Bundesdatenschutzgesetzes Anwendung, wonach eine Interessenabwägung zwischen dem Interesse des Arbeitgebers an einem Schutz vor Missbrauch und Schutz der Datensicherheit und dem Schutz des Arbeitnehmers an der Wahrung der Persönlichkeitsrechte vorzunehmen ist. Dabei zeigt sich, dass je nach geschützter Zielrichtung und Interessenlage die Zulässigkeit von Kontrollen unter Anwendung des Verhältnismäßigkeitsprinzips letztlich im Einzelfall bestimmt werden muss. Insbesondere die inhaltliche Vollkontrolle bleibt dem Arbeitgeber – wie bei dienstlichen Telefonaten versagt.

 

Auf Wunsch der Teilnehmer wurden auch einige Textpassagen aus Präsentationen mit in das Protokoll eingepflegt. Diese Themen sind:

  • techn. Hintergrund bei Vernetzung der Datenverarbeitung
  • Firewall-System was ist das?
  • Regelungen zum Internet/ aus Sicht AG & BR & MA
  •  Beteiligungsrechte des BR
  •  Regelung durch BV
  •  Kontrollmöglichkeiten des Arbeitgebers
  •  Technische Sicherheit
  •  Schutz des Unternehmens
  •  Kontrollbefugnisse bei Erlaubnis der privaten Nutzung
  •  Fazit
  • Beispielsformulierung für Arbeitsvertrag, Richtlinie oder BV
  • „Chef, ich darf doch im Büro surfen, sagt das Gericht!“

Beim Datenschutz am elektronischen Arbeitsplatz richtet sich der Umfang des Arbeitnehmerdatenschutzes danach, ob dem Arbeitnehmer die private Nutzung der Informations- und Kommunikationstechniken gestattet ist oder nicht. Während der Arbeitnehmerdatenschutz bei der privaten Internet-/Emailnutzung durch die bereichsspezifischen Regelungen der Telekommunikations- und Telekommunikationsgesetze sehr weitgehend ist, bleibt bei Anwendung des BDSG bei einer dienstlichen Nutzung des Internet/Email die Frage offen, wann die Voraussetzungen gem. §§ 4, 27, 28 BDSG vorliegen und damit eine Ausnahme vom Datenverarbeitungsverbot zu bejahen ist. Aufgrund der noch ausstehenden Rechtsprechung in diesem Bereich, besteht die Möglichkeit, überwiegende Interessen des Arbeitgebers anzunehmen und dem Arbeitgeber so einen großen Spielraum bei der Wahrnehmung seiner Datenverarbeitungsinteressen zu gewähren.
Die Diskussion über den Umfang des Datenschutzes bei neuen Kommunikationsformen am Arbeitsplatz wie Internet und Email steht aber erst am Anfang, einschlägige Rechtsprechung fehlt bislang. Zur Vermeidung späterer Streitigkeiten über den Umfang der Kontrollbefugnisse des Arbeitgebers ist es daher in jedem Fall empfehlenswert, klare Regelungen über die dienstliche Nutzung und die Gestattung der privaten Nutzung des Internet zu treffen.

Technischer Hintergrund
Durch die zunehmende Vernetzung der Datenverarbeitung in Betrieben gewinnt der Datenschutz am Arbeitsplatz immer mehr an Bedeutung. In der Vergangenheit wurde Informations- und Kommunikationstechnik (IuK-Technik) nur für einzelne betriebliche Funktionen wie Lohn- und Gehaltsabrechnung, Buchführung oder Gleitzeitkontrolle eingesetzt. Dementsprechend ging es im Hinblick auf Datenschutz am elektronischen Arbeitsplatz bislang überwiegend um die Frage der Datenerhebung und -verarbeitung innerhalb begrenzter EDV-Systeme.
Dagegen ist die gegenwärtige Situation aufgrund zunehmender technischer Konvergenz geprägt von einer Vernetzung bislang getrennter IuK-Techniken. Diese Vernetzung vollzieht sich in mehreren Schichten: Die Telekommunikationsebene und die Ebene der Dienstleistungen über die Telekommunikationsträger überlagern sich ebenso wie Intranet, Extranet, Internet etc. Die einzelnen Datenflüsse werden dadurch immer weniger überschaubar.
Gleichzeitig steigen mit der zunehmenden Komplexität der Netzstrukturen auch die Anforderungen an die datenschutz- und datensicherheitsgerechte Verarbeitung der Datenmengen. Denn zwangsläufig entstehen bei jeder Nutzung von technischen Geräten oder Software auch personenbezogene Daten. Der jeweilige Nutzer hinterlässt Datenspuren, die z.B. Zeit, Dauer und Art seiner Nutzung dokumentieren.
Nutzt ein Arbeitnehmer den PC am Arbeitsplatz (aus dienstlichem oder privatem Anlass) um im Internet zu recherchieren oder versendet er eine Email, so entstehen dabei Verbindungsdaten. Je nach Einstellungen der Überwachungsfunktionen in der Firewall werden auch Nutzungsdaten und Inhaltsdaten mit aufgezeichnet. Diese werden auf ihrem Weg zwischen Sender und Empfänger an mehreren Stellen zwischengespeichert, wobei an jeder dieser Stellen die Möglichkeit besteht, die Daten zu kontrollieren. Die Mitarbeiteraktivitäten können direkt am betrieblichen Email-/Internet-Server oder beim Provider kontrolliert werden.
In der Praxis kommt der Datenprotokollierung im Firewall-System des Arbeitgebers die größte Bedeutung zu.

Firewall-System was ist das?
Firewall-System: Wird ein betriebsinternes Informationssystem -Intranet– an das Internet angeschlossen, so müssen Sicherheitsvorkehrungen zum Schutz der Datensicherheit im internen Netz getroffen werden. Kernstück solcher Sicherheitslösungen sind Firewall-Systeme („Brandschutzmauern“), die zwischen beide Netze geschaltet werden, so dass der gesamte Datenverkehr zwischen den beiden Netzen nur über das Firewall-System läuft. Dieses enthält neben Virenscannern, die alle eingehenden und bei Bedarf auch die abgehenden Dateien bezüglich versteckter Viren überprüft, leistungsfähige Protokollierungsmöglichkeiten, um sicherheitsrelevante Angriffe auf das betriebsinterne Netz zu erkennen. Je nach Programmierung können in einem Logfile alle ein- und ausgehenden Emails sowie aus dem Internet herunter geladene Dateien gespeichert werden mit der Möglichkeit, diese Daten auszuwerten. Die Protokollierungen an der Firewall dienen somit der Feststellung von sicherheitsrelevanten Angriffen auf das interne Netz. Sie können jedoch auch dazu benutzt werden, die Internetnutzung der Beschäftigten zu kontrollieren.

Unterschiedliche Sichtweisen zur Internetnutzung?
Aus Sicht Arbeitgeber
Nutzt der Arbeitgeber IuK-Technik an den Arbeitsplätzen der Mitarbeiter, so bestimmen auch Aspekte der Datensicherheit und des Datenschutz es diese Nutzung. Häufig haben Arbeitnehmer und Arbeitgeber unterschiedliche Interessen bei oder Vorstellungen von der Nutzung.
Der Arbeitgeber hingegen wird häufig ein nachvollziehbares Interesse daran haben, die Sicherheit seines Unternehmens zu gewährleisten, die Leistung der Mitarbeiter zu prüfen oder zu fördern und zu diesem Zweck auch personenbezogene Daten der Betroffenen verwenden zu können. Zudem unterliegt ihm die Gestaltung des Arbeitsplatzes und auch die Ausgestaltung der Nutzung von Informations- und Kommunikationstechniken. Die gesetzlichen Datenschutz- und Datensicherheitsvorschriften legen für die Lösung dieser Interessenkonflikte Wertungen fest, die beim Ausgleich zwingend zu beachten sind.

Aus Sicht des der Mitarbeiter
Der Mitarbeiter ist regelmäßig daran interessiert, über die Preisgabe und Verwendung seiner persönlichen Daten selbst zu bestimmen. Er möchte bei der Nutzung moderner Informations- und Kommunikationstechnik im Rahmen der Vorgaben des Arbeitgebers möglichst überwachungsfrei sein.

Beteiligungsrechte des Betriebsrats
Die im Betriebsverfassungsgesetz normierten Beteiligungsrechte des Betriebsrats ergänzen die datenschutzrechtlichen Bestimmungen. Es ist eine der Aufgaben des Betriebsrates, auch die Einhaltung des Datenschutzes im Unternehmen sicherzustellen. Es handelt sich insbesondere um die nachfolgenden Rechte:
Für Betriebsratsmitglieder gelten Sonderregeln ((Schutz der Betriebsratstätigkeit vor jedweden Störungen), wenn die Nutzung von Internet und Email auch in der Funktion als Betriebsrat gestattet wird.

 

Allgemeine Aufgaben:
Überwachungsrecht gem. § 80 I Nr.1 BetrVG
Auf Grund der Generalklausel des § 75 II BetrVG haben der Arbeitgeber und der Betriebsrat die freie Persönlichkeitsentfaltung der Arbeitnehmer zu schützen und zu fördern.
Diese Regelung wird durch das Mitwirkungsrecht des § 80 I Nr.1 BetrVG dahingehend konkretisiert, dass der Betriebsrat die Einhaltung der zugunsten des Arbeitnehmers geltenden Rechtsvorschriften zu überwachen hat. Zu diesen Rechtsvorschriften gehören auch die Regelungen des BDSG und die den Datenschutz betreffenden Bundesspezialgesetze.

Informationsanspruch gem. §§ 80 II, 111 BetrVG
Nach den §§ 80 II, 111 BetrVG hat der Betriebsrat jederzeit einen umfassenden Auskunfts- und Informationsanspruch zur Durchführung seiner Aufgaben. Der Auskunfts- und Informationsanspruch erstreckt sich auf alle betrieblichen Vorgänge und erfasst daher auch die Verarbeitung von Daten der Arbeitnehmer.

Normsetzungsbefugnis:
Mitbestimmungsrecht gem. § 87 I Nr. 6 BetrVG
Gemäß § 87 I Nr.6 BetrVG hat der Betriebsrat bei der Einführung und Anwendung von technischen Einrichtungen, die dazu geeignet sind, das Verhalten oder die Leistung der Mitarbeiter zu überwachen, ein Mitbestimmungsrecht (soweit gem. § 87 I BetrVG keine gesetzliche oder tarifliche Regelung besteht). Die Vorschrift dient mehreren Zwecken:
Zum einen soll sie als präventiver Schutz rechtlich unzulässige Eingriffe in Persönlichkeitsrechte des Einzelnen bereits im Vorfeld verhindern. Zudem sichert es dem Betriebsrat ein Mitbeurteilungsrecht bei der schwierigen Ermittlung der Grenze zwischen zulässiger und unzulässiger Datenverarbeitung. Schließlich gewährleistet die Mitbestimmung des Betriebsrates, dass zulässige Eingriffe in das Persönlichkeitsrecht auf das unbedingt erforderliche Maß reduziert werden. Besondere Aktualität hat dieses Mitbestimmungsrecht durch den Einsatz neuer IuK-Techniken gewonnen. Ihre Einführung und Anwendung unterliegt dem Mitbestimmungsrecht des Betriebsrats schon dann, wenn die jeweilige Informations- und Kommunikationstechnik zur Überwachung geeignet ist. Ob die Überwachung auch tatsächlich erfolgen soll, ist hingegen für das Mitbestimmungsrecht nicht relevant.

Wichtige Beteiligungsrechte des Betriebsrates:

  • Überwachungsrecht gem. § 80 I Nr.1 BetrVG
  • Informationsanspruch gem. §§ 80 II, 111 BetrVG
  • Mitbestimmungsrecht gem. § 87 I Nr.6 BetrVG

Zur Herbeiführung einer normativen Wirkung sollten mitbestimmte Regelungen in Form einer Betriebsvereinbarung unter Beachtung der entsprechenden Formerfordernisse erfolgen.

Regelung durch Betriebsvereinbarung
Insbesondere für große Unternehmen ist der Weg, die Zulässigkeit einer Datenerhebung und Nutzung durch individuelle Einwilligung (§ 4 a BDSG) sicherzustellen, häufig wenig praktikabel.
Zum einen ist hiermit ein nicht unerheblicher Verwaltungsaufwand verbunden, zum anderen kann die Verweigerung der Einwilligung durch einzelne Arbeitnehmer den Nutzen eines Datenverarbeitungssystems und den Wert, der mit ihm erzielten Ergebnisse maßgeblich verringern. Besteht daher Bedarf nach einer einheitlichen Regelung, so kommt hierfür – sofern ein Betriebsrat oder sogar Gesamt- oder Konzernbetriebsrat besteht – der Abschluss einer (Gesamt-/Konzern-) Betriebsvereinbarung in Betracht. Dem

Betriebsrat steht ohnehin hinsichtlich der Einführung und Anwendung eines Datenverarbeitungssystems ein Mitbestimmungsrecht zu (vgl. § 87 I Nr. 6 BetrVG). Dieses Recht entfällt auch nicht durch die Einholung einer individuellen Einwilligung zur Datenerhebung oder -verarbeitung. Die Möglichkeit, die Internetnutzung am Arbeitsplatz und deren Kontrolle im Rahmen der Verhandlung zu regeln, ist allerdings nicht schrankenlos. Nach der Rechtsprechung des Bundesarbeitsgerichts sind Betriebsvereinbarungen zwar Erlaubnisnormen i.S.d. § 4 BDSG, sie dürfen jedoch nicht gegen zwingende Normen des BetrVG verstoßen und auch nicht die individuellen Rechte der Betroffenen beeinträchtigen.
Die inhaltliche Gestaltungsfreiheit von Arbeitgeber und Betriebsrat beim Abschluss einer Betriebsvereinbarung über die Zulässigkeit und den Umfang von Kontrollen der Internetnutzung wird durch § 75 II BetrVG eingeschränkt, wonach Arbeitgeber und Betriebsrat die freie Entfaltung der Persönlichkeit der Arbeitnehmer zu fördern und zu schützen haben. Eine Vereinbarung über die Einführung von Kontrollsystemen darf also stets nur so weit gehen, wie es das allgemeine Persönlichkeitsrecht der Arbeitnehmer aus Art. 2 I GG i.V.m. Art. 1 GG erlaubt, denn die Zulässigkeit von Eingriffen in die Persönlichkeitsrechte kann nicht durch das Mitbestimmungsrecht erweitert werden.
In einer entsprechenden Betriebsvereinbarung kann auch die private Nutzung und deren Einschränkung geregelt werden.

Kontrollmöglichkeiten des Arbeitgebers
Vereinbarung von Nutzung und Kontrollrechten:
Die einfachste und für alle Beteiligten transparenteste Lösung ist, Kontrollrechte des Arbeitgebers umfassend in der Betriebsvereinbarung zu regeln. Bei der Festlegung des Umfanges kann sich dabei an den unten stehenden Grundsätzen orientiert werden.

Keine Vereinbarung von Nutzung und Kontrollrechten:
Sollte hingegen nur eine Gestattung oder ein Verbot der privaten Nutzung ausgesprochen oder vereinbart worden sein, stellt sich die Frage, wie die tatsächliche Einhaltung solcher Vereinbarungen kontrolliert werden kann. Denn jede Vereinbarung, deren Einhaltung in der Praxis nicht (lückenlos) kontrolliert werden kann, ist auf Dauer faktisch wertlos. Auch zu beachten sind in diesen Fällen mögliche

Mitbestimmungsrechte des Betriebsrats:
In das Recht auf informationelle Selbstbestimmung kann bei der Auswertung von Protokollen eines Log-Systems bzw. anderer Überwachungseinrichtungen dadurch eingegriffen werden, dass die Verbindungs- und Inhaltsdaten der Nutzung durch die Beschäftigten eingesehen werden. Das Recht des Arbeitnehmers auf informationelle Selbstbestimmung ist jedoch nicht schrankenlos, sondern findet dort seine Grenze, wo die Kontrollmaßnahmen des Arbeitgebers rechtlich zulässig sind. Von entscheidender Bedeutung ist daher die Frage, unter welchen konkreten Voraussetzungen diese Eingriffe in die Rechte des Arbeitnehmers individual-rechtlich zulässig sind.

Technische Sicherheit
Aus Gründen der Datensicherheit ist eine Überwachung und Kontrolle der technischen Einrichtungen zur Aufrechterhaltung des Betriebs und im Falle der Wartung möglich. Dem Arbeitgeber muss die Auswertung der entsprechenden Protokolle möglich sein, um Gefährdungen der Datensicherheit frühzeitig zu erkennen. Das gilt zunächst einmal unabhängig von der rein geschäftlichen oder auch privaten Nutzung sowohl des Email- als auch des Internetanschlusses.
Die Wahrung der Datensicherheit rechtfertigt jedoch nicht die unbeschränkte und vollständige Überwachung der Beschäftigten. Insoweit ist insbesondere zu beachten, dass

  • personenbezogene Daten bei diesen Maßnahmen so weit wie möglich vermieden werden,
  • die Verwendung dieser Informationen regelmäßig beschränkt ist (vgl. z.B. § 31 BDSG) und nur in besonderen Fällen (z.B. Einwilligung des Betroffenen oder Verfolgung strafrechtlicher Tatbestände durch die Verfolgungsbehörden) durchbrochen werden darf bzw. kann,keine sonstigen Vereinbarungen (z.B. Betriebsvereinbarungen) entgegenstehen.
  • Soweit die entstandenen Protokolle nicht mehr benötigt werden, sind diese zu vernichten oder zu sperren.

Schutz des Unternehmens
Der Arbeitgeber muss ebenso befugt sein, sich selbst präventiv vor möglichen Eingriffen seitens der Strafverfolgungsbehörden zu schützen. Das gewinnt ganz besonders an Bedeutung, wenn es z.B. um Kinderpornographie geht. Schon wenn nur der begründete Verdacht besteht, dass sich auf den Computern des Unternehmens Informationen mit strafrechtlicher Relevanz (z.B. auch Beweise) befinden, dann besteht die Gefahr, dass diese Arbeitsmittel durch die Strafverfolgungsbehörden beschlagnahmt werden. Wird ein Server komplettbeschlagnahmt, kann das das Aus für die interne oder externe weitere Kommunikation bedeuten (z.B. Email- oder Internet-Cache-Server). Dem Arbeitgeber ist es hier ebenfalls gestattet, sich im Wege präventiver Maßnahmen- und bei begründetem Verdacht auch nachträglich vor diesen Gefahren angemessen zu schützen. Letzten Endes ist aber immer eine Einzelfallbetrachtung notwendig, denn die eingesetzten Mittel müssen auch in einem angemessenen Verhältnis zum erstrebten Zweck stehen.
So sollte vom Arbeitgeber zunächst die Sperrung bestimmter WWW-Adressen erwogen werden. Sollte hiervon eine Internetadresse betroffen sein, die fälschlicherweise nicht angezeigt wird, kann dem Benutzer die Möglichkeit gegeben werden, über ein Formblatt (z.B. auch eine Webseite im Intranet) die Freischaltung zu beantragen. Daneben steht es dem Arbeitgeber aus seinem Direktionsrecht zu, die Freischaltung des Internetanschlusses je nach Arbeitsaufgabe einzugrenzen oder durch Kontrollsoftware das Herunterladen unerwünschter Inhalte aus dem Internet automatisch zu sperren.

Kontrollbefugnisse bei Erlaubnis der privaten Nutzung
Wenn ein Arbeitgeber seinen Arbeitnehmern die private Nutzung von Internet oder Email erlaubt, ist er ihnen gegenüber Telekommunikations- bzw. Telediensteanbieter. Der Arbeitgeber ist daher den Arbeitnehmern gegenüber zur Einhaltung des Telekommunikationsgeheimnisses verpflichtet, es gelten die gleichen Grundsätze wie beim privaten Telefonieren. Eingehende private, aber fälschlich als Dienstpost behandelte.
Emails sind daher den betreffenden Mitarbeitern unverzüglich nach Bekannt werden ihres privaten Charakters zur alleinigen Kenntnis zu geben.
Eine Protokollierung der Nutzung darf ohne Einwilligung erfolgen, wenn sie nur zu Zwecken der Datenschutzkontrolle, der Datensicherung, zur Sicherung des ordnungsgemäßen Betriebs der Verfahren oder zu Abrechnungszwecken erforderlich ist, oder der Verdacht auf eine strafrechtlich relevante Nutzung vorliegt. Sollte der Mitarbeiter zur Kostenerstattung verpflichtet sein, können aber die Abrechnungsdaten festgehalten werden. Bezüglich der Filterung und Löschung von Spam-Emails gelten die Ausführungen zu 5) (vgl. unten) entsprechend: Durch die vorherige Einwilligung des Arbeitnehmers kann der Arbeitgeber die Anwendbarkeit der §§ 206 Abs.2, 303 a StGB sicherheitshalber ausschließen.

Eine darüber hinaus gehende Kontrolle ist nicht zulässig. Das heißt: Ohne eine entsprechende Regelung in einer Vereinbarung, Weisung, Richtlinie oder Betriebsvereinbarung oder ohne die Einwilligung des Arbeitnehmers hat der Arbeitgeber letztlich keinerlei Kontrollbefugnisse.

Fazit
Beim Datenschutz am elektronischen Arbeitsplatz richtet sich der Umfang des Arbeitnehmerdatenschutzes danach, ob dem Arbeitnehmer die private Nutzung der Informations- und Kommunikationstechniken gestattet ist oder nicht.
Während der Arbeitnehmerdatenschutz bei der privaten Internet-/Emailnutzung durch die bereichsspezifischen Regelungen der Telekommunikations- und Telekommunikationsgesetze sehr weitgehend ist, bleibt bei Anwendung des BDSG bei einer dienstlichen Nutzung des Internet/Email die Frage offen, wann die Voraussetzungen gem. §§ 4, 27, 28 BDSG vorliegen und damit eine Ausnahme vom Datenverarbeitungsverbot zu bejahen ist. Aufgrund der noch ausstehenden Rechtsprechung in diesem Bereich, besteht die Möglichkeit, überwiegende Interessen des Arbeitgebers anzunehmen und dem Arbeitgeber so einen großen Spielraum bei der Wahrnehmung seiner Datenverarbeitungsinteressen zu gewähren.
Die Diskussion über den Umfang des Datenschutzes bei neuen Kommunikationsformen am Arbeitsplatz wie Internet und Email steht aber erst am Anfang, einschlägige Rechtsprechung fehlt bislang. Zur Vermeidung späterer Streitigkeiten über den Umfang der Kontrollbefugnisse des Arbeitgebers ist es daher in jedem Fall empfehlenswert, klare Regelungen über die dienstliche Nutzung und die Gestattung der privaten Nutzung des Internet zu treffen.
Beim Datenschutz am elektronischen Arbeitsplatz richtet sich der Umfang des Arbeitnehmerdatenschutzes danach, ob dem Arbeitnehmer die private Nutzung der Informations- und Kommunikationstechniken gestattet ist oder nicht.
Während der Arbeitnehmerdatenschutz bei der privaten Internet-/Emailnutzung durch die bereichsspezifischen Regelungen der Telekommunikations- und  Telekommunikationsgesetze sehr weitgehend ist, bleibt bei Anwendung des BDSG bei einer dienstlichen Nutzung des Internet/Email die Frage offen, wann die Voraussetzungen gem. §§ 4, 27, 28 BDSG vorliegen und damit eine Ausnahme vom Datenverarbeitungsverbot zu bejahen ist. Aufgrund der noch ausstehenden Rechtsprechung in diesem Bereich, besteht die Möglichkeit, überwiegende Interessen des Arbeitgebers anzunehmen und dem Arbeitgeber so einen großen Spielraum bei der Wahrnehmung seiner Datenverarbeitungsinteressen zu gewähren.

Beispielsformulierung für Arbeitsvertrag, Richtlinie oder Betriebsvereinbarung

Hintergrund und Anwendungsbereich
Wie schon im Laufe der vorangegangenen Darstellung erläutert, hat der Arbeitnehmer keinesfalls aufgrund seines Arbeitsvertrages ein Recht, Internet und Email für eigene Zwecke zu nutzen. Die Entscheidung, ob und in welchem Umfang er den Arbeitnehmern die private Nutzung von Internet und Email ermöglicht, liegt allein beim Arbeitgeber. Diese Ausgangssituation legt den Schluss nahe, dass eine Regelung, insbesondere ein ausdrückliches Verbot nicht erforderlich ist, wenn der Arbeitnehmer den ihm zur Verfügung gestellten Zugang nicht privat nutzen soll. In der Praxis ist jedoch dringend davon abzuraten, das Ob und das Wie der Nutzung ungeregelt zu lassen, denn auch ein regelungsloser Zustand bezüglich der dienstlichen und privaten Nutzung von Email und Internet kann durch ein Gericht als Duldung einer stattfindenden Nutzung gewertet werden und dazu führen, dass eine sog. „betriebliche Übung“ geschaffen wird. Letztlich ist es also möglich, dass die Regelungslosigkeit faktisch wie eine Erlaubnis der privaten Nutzung gewertet wird.
Der Arbeitgeber hat verschiedene Möglichkeiten, um eine Regelung vorzunehmen. Zunächst kann er eine Regelung im jeweiligen Arbeitsvertrag mit dem Arbeitnehmer vornehmen. Mit steigender Zahl der Arbeitnehmer ist diese Möglichkeit jedoch wegen des hohen Aufwands unpraktikabel, insbesondere, wenn bestehende Arbeitsverträge ergänzt werden müssen. Um zu vermeiden, dass eine große Anzahl von Einzelvereinbarungen mit den Arbeitnehmern abgeschlossen werden muss, kann der Arbeitgeber die Regelung jedoch auch in einer unternehmensinternen Richtlinie zusammenfassen, die als Teil des Arbeitsvertrages gilt.
Schließlich kann er, sofern ein Betriebsrat besteht, auch mit diesem eine Betriebsvereinbarung abschließen, die die Modalitäten der Nutzung regelt. Auch hierbei gilt: Nicht von der Mitbestimmung umfasst ist, ob die Nutzung des Internets überhaupt zugelassen wird. Bei allen Vorgehensweisen sind die regelungsbedürftigen Punkte weitestgehend identisch.
Für die Situation, dass der Arbeitgeber eine private Nutzung in begrenztem Maß erlaubt, ist im Folgenden daher als Beispiel für eine mögliche Formulierung eine Kernregelung aufgeführt, die gleichermaßen Aufnahme in den Arbeitsvertrag, eine unternehmensinterne Richtlinie oder eine Betriebsvereinbarung finden kann. Die Beispielsformulierungen sind selbstverständlichunverbindlich und sollten in jedem Fall unternehmensintern verhandelt bzw. geprüft, angepasst oder ergänzt werden (z.B. Ziffer 3.1)

Kernregelung

  1.  Gegenstand und Geltungsbereich
    Diese [Vereinbarung/Weisung/Richtlinie/Betriebsvereinbarung] regelt die Grundsätze für die private Nutzung der Internet- und Email-Dienste von [Unternehmen] [falls vorhanden: …und Tochterfirmen] und gilt für alle Mitarbeiter, deren Arbeitsplätze über einen geschäftlichen Internet- bzw. Email-Zugang verfügen.
  2. Zielsetzung
    Ziel dieser [Vereinbarung / Weisung / Richtlinie / Betriebsvereinbarung] ist es, die Nutzungsbedingungen sowie die Maßnahmen zur Protokollierung und Kontrolle transparent zu machen, die Persönlichkeitsrechte der Mitarbeiter zu sichern und den Schutz ihrer personenbezogenen Daten zu gewährleisten.
  3. Internet und Email
    3.1 [Unternehmen] gestattet* die nur gelegentliche und im Verhältnis zur geschäftlichen Nutzung eindeutig unerhebliche** private Nutzung des geschäftlichen Internet- und Email-Anschlusses sowie der damit verbundenen Email-Adresse.3.2 Eine solche unerhebliche Nutzung wird nicht disziplinarisch sanktioniert bzw. geahndet, solange dabei keine Gesetze [soweit vorhanden: …oder interne Richtlinien] verletzt oder überschritten werden und die Verfügbarkeit des IT-Systems für dienstliche Zwecke nicht beeinträchtigt wird. [soweit vorhanden:
    Insbesondere die Regelungen der Richtlinie XXX (zur Datensicherheit) sind zu beachten.] 3.3 Absender und Empfänger von Emails sind allein für deren weitere Verwendung verantwortlich; sie entscheiden über Speicherung, Löschung und Weiterleitung im Rahmen der gesetzlichen und betrieblichen Regelungen. Unbeschadet dessen behält sich [Unternehmen] vor, Spam – Emails herauszufiltern und sofort zu löschen.
  4. Einwilligung und Vertretungsregelung
    4.1 Eine Unterscheidung von dienstlicher und privater Nutzung auf technischem Weg erfolgt nicht. Die Protokollierung und Kontrolle gemäß Ziffer 5 dieser [Vereinbarung/Weisung/Richtlinie/Betriebsvereinbarung] erstrecken sich auch auf den Bereich der privaten Nutzung des Internetzugangs.
    4.2 Durch die private Nutzung des Internetzugangs erklärt der Mitarbeiter seine Einwilligung in die Protokollierung und Kontrolle gemäß Ziffer 5 dieser [Vereinbarung/Weisung/Richtlinie/Betriebsvereinbarung] für den Bereich der privaten Nutzung. Insoweit stimmt er auch einer Einschränkung des Telekommunikationsgeheimnisses zu.
    4.3 Bei der Einrichtung einer Vertretungsregelung muss der Mitarbeiter damit rechnen, dass auch private Emails vom Vertreter gelesen werden können.4.4 Nach dem Ausscheiden oder bei längerer, insbesondere Krankheitsbedingter Abwesenheit des Mitarbeiters steht dem Arbeitgeber der Zugriff auf die Emails des Mitarbeiters in dem Umfang zu, den der ordnungsgemäße Geschäftsgang oder betriebliche Ablauf erfordert. Der Zugriff ist im Beisein des betrieblichen Datenschutzbeauftragten [falls vorhanden: und des Betriebsrats] durchzuführen. Der Mitarbeiter muss damit rechnen, dass auch private Emails dabei gelesen werden können.
  1. Leistungs- und Verhaltenskontrolle/Datenschutz für Email- und Internetnutzung/Sanktionen
    5.1 Soweit personenbezogene oder –beziehbare Daten aufgezeichnet werden, dürfen diese ausschließlich für die genannten Zwecke dieser [Vereinbarung /Weisung/ Richtlinie/ Betriebsvereinbarung] verwendet werden. Daten über das Benutzerverhalten dürfen ausschließlich zur Gewährleistung der Systemsicherheit, zur Optimierung und Steuerung des Systems, zur Fehleranalyse und -korrektur sowie zur Kostenstellenbezogenen Abrechnung der Systemkosten verwendet werden. Die Zugriffe auf diese Funktionen bleiben auf die mit der technischen Administration des Systems betrauten Personen begrenzt; diese Personen sind gem. § 5 BDSG und § 85 TKG verpflichtet. Der Mitarbeiter willigt ein, dass Daten, die den Verdacht bezüglich eines Verstoßes gegen die vorliegende [Vereinbarung/Weisung/ Richtlinie/ Betriebsvereinbarung] begründen, an die Geschäftsleitung & an den Betriebsrat weitergegeben werden.
    Soweit strafrechtlich relevante Inhalte betroffen sind, dürfen diese Daten auch an die Strafverfolgungsbehörden weitergegeben werden.
    5.2 Eine Verwendung der vorgenannten Daten zur weitergehenden Leistungs- oder Verhaltenskontrolle ist nicht gestattet. Die Regelungen der Absätze 5.3 – 5.6 bleiben hiervon unberührt.
    5.3 Bei einem ausreichend begründeten Verdacht kann [falls vorhanden: …mit Zustimmung des örtlichen Betriebsrates] eine gezielte Überprüfung eines Internet- und/oder Email-Accounts stattfinden. Bei der Überprüfung ist der betriebliche Datenschutzbeauftragte hinzuzuziehen.
    5.4 Maßnahmen, die den Missbrauch von Internet und/oder Email verhindern oder beweisen helfen, können bei Gefahr im Verzug (begründeter Verdacht) unmittelbar durchgeführt werden. In diesen Fällen ist der betriebliche Datenschutzbeauftragte [falls vorhanden: und der Betriebsrat] anschließend unverzüglich zu informieren.
    5.5 Ein Verstoß kann eben den arbeitsrechtlichen Folgen auch strafrechtliche Konsequenzen haben. [Unternehmen] behält sich vor, bei Verstößen gegen diese Vereinbarung die private Nutzung des Internet-/ Email-Zugangs im Einzelfall zu untersagen. Darüber hinaus kann ein Verstoß uneingeschränkte zivilrechtliche Schadensersatzpflichten auslösen, z. B. bei rechtswidriger Nutzung kostenpflichtiger Internetseiten.
  2. Verhaltensgrundsätze
    6.1 Bei der privaten Nutzung sind die gesetzlichen Vorschriften [falls vorhanden: …und die XXX internen Richtlinien] zu beachten.
    6.2 Darüber hinaus ist – im Rahmen der Einschränkungen gem. Ziffer 3 – nur eine solche Nutzung erlaubt, die das Geschäft von [Unternehmen] nicht stört oder mit ihm im Wettbewerb steht, die eigene oder die Arbeit anderer Mitarbeiter nicht behindert oder stört, keine zusätzlichen Kosten für [Unternehmen] verursacht, keine geschäftsmäßige Werbung beinhaltet, Dritten keine Informationen über oder Listen von Mitarbeitern zukommen lässt, keine geschäftsmäßigen oder privaten Verteilerlisten einbezieht.
    6.3 Generell unzulässig ist das Aufrufen kostenpflichtiger Internet-Seiten und das Zugreifen auf oder Verteilen von Material, das von anderen Personen als geschmacklos, Anstoß erregend oder respektlos angesehen werden könnte; Beispiele hierfür sind: Material, das sexuell eindeutige Bilder und Beschreibungen enthält, Material, das illegale Aktionen befürwortet, Material, das Intoleranz gegen Andere befürwortet
    6.4 Generell unzulässig ist auch die Verwendung der [Unternehmen] – UserID in öffentlichen „Chat-Räumen“ oder bei anderen Anlässen, bei denen es zur Zusendung von Werbe- oder so genannten Spam-Mails kommen kann.
    * Diese Formulierung kann durch den Zusatz „…unter dem Vorbehalt des jederzeitigen Widerrufs…ergänzt werden, da es sich um eine freiwillige Leistung des Arbeitgebers handelt und auf dieseWeise einer Selbstbindung entgegengewirkt werden kann.
    ** Die Unerheblichkeit der Nutzung in Ziffer 3.1 muss vom jeweiligen Unternehmen genauer definiert werden, z.B. durch eine beispielhafte, nicht abschließende Aufzählung

Textpassagen die ins Protokoll “Forum 3” übernommen wurden sind zum Teil aus dem Leitfaden von BITKOM:
” Die Nutzung von Email und Internet im Unternehmen” & “Rechtliche Grundlagen und Handlungsoptionen”

„Chef, ich darf doch im Büro surfen, sagt das Gericht!“
04.05.2006. Das Landesarbeitsgerichts Köln hat jetzt ein Urteil veröffentlicht, wonach Angestellte unter bestimmten Voraussetzungen bis zu 100 Stunden im Jahr den geschäftlichen Netzzugang für private Surftouren nutzen dürfen.
Voraussetzung ist, dass der Arbeitgeber kein ausdrückliches Verbot für die Privatnutzung ausgesprochen hat. Da die private Nutzung des Internets am Arbeitsplatz für private Surfausflüge „sozialtypisch“ sei, müsse davon ausgegangen werden, dass ohne explizites Verbot durch den Arbeitgeber die private Nutzung toleriert werde. Diese Ansicht vertritt das Landesarbeitsgericht Köln (Az.: 4 Sa 1018/04). In dem entschiedenen Fall ging es um die Schadenersatzforderung eines Arbeitgebers an eine Mitarbeiterin, weil diese den geschäftlichen Internetzugang privat genutzt hatte. Da der Arbeitgeber die Nutzung nicht ausdrücklich verboten hatte, sah das Gericht keine Grundlage für die Schadensersatzforderung.