Internet am Arbeitsplatz Internet und E-Mail sind mittlerweile ein unverzichtbarer und fester Bestandteil des modernen Geschäftslebens. Allerdings bergen diese Kommunikationsformen für die Arbeitgeber auch Risiken. Internet und E-Mail sind Einfallstore für Schadprogramme aller Art, welche das Unternehmensnetzwerk nachhaltig schädigen können. Auch wird der (privaten) Internetnutzung am Arbeitplatz häufig nachgesagt, sie habe einen negativen Einfluss auf die Produktivität der Mitarbeitenden. Viele Unternehmen überlegen sich deshalb, die private Internet- und E-Mail-Nutzung zu verbieten bzw. einzuschränken und die Nutzung zu überwachen. Vielfach herrscht aber Unsicherheit, ob ein Nutzungsverbot möglich bzw. eine Kontrolle und Überwachung der Nutzung überhaupt zulässig ist. Schliesslich ist die elektronische Kommunikation aus dem heutigen Berufs- und Privatleben nicht mehr wegzudenken und es ist allgemein bekannt, dass der Arbeitgeber die Persönlichkeit der Angestellten respektieren und schützen muss. Recht auf Internet am Arbeitsplatz? Ob die Angestellten Zugriff auf Internet und E-Mail haben, kann der Arbeitgeber selbst bestimmen. Dies gehört zu 50
i seinem Weisungsrecht gegenüber den Arbeitnehmern. Oftmals bestehen aber keine spezifischen Regeln für die Benutzung von Telekommunikationsmitteln am Arbeitsplatz. Ist die Benutzung von Internet und E-Mail am Arbeitsplatz nicht geregelt und wird es toleriert wie beispielsweise private Telefonate so können die Angestellten davon ausgehen, dass die private Nutzung in vernünftigem Rahmen zulässig ist. Ein Arbeitgeber, der diese gewohnheitsrechtliche Nutzung verhindern will, muss deshalb die private Nutzung ganz verbieten, sie so detailliert wie möglich regeln oder lediglich auf Zusehen hin erlauben. Ein totales Verbot dürfte aber gerade in der heutigen Informationsgesellschaft weder sinnvoll noch zweckmässig sein und zudem gegen die Pflicht des Arbeitgebers verstossen, die Persönlichkeit des Arbeitnehmers zu achten und zu schützen. Angestellte müssen nämlich die Möglichkeit haben, in vernünftigem Rahmen ihr (Privat-)Leben auch vom Arbeitsplatz aus organisieren zu können. Dies geschieht heute ebenso häufig über Internet und E-Mail wie über das Telefon. In der Schweiz gibt es bislang zum Thema private Internetnutzung am Arbeitsplatz nur wenige Gerichtsentscheide. Folge davon ist eine Unsicherheit sowohl auf Seiten der Angestellten wie auch der Arbeitgeber. In einem Urteil aus dem Jahre 2003 hielt das Bundesgericht fest, dass eine private Internetnutzung keine fristlose Entlassung ohne vorgängige Verwarnung rechtfertigt, sofern die Nutzung sich auf wenige Male beschränke. Ein weiterer Entscheid aus dem Jahr 2008 erachtete eine fristlose Entlassung wegen privater Internetnutzung trotz vorgängiger Abmahnung (welche sich auf stundenlanges Surfen bezog) als unzulässig, da die private Internetnutzung nach der Abmahnung nur in geringem Umfang erfolgt sei. Ein am Rande vergleichbarer Fall aus dem Jahre 2002 handelte von einem leitenden Angestellten, der sich während der Arbeitszeit mit Computerspielen vergnügt hatte. Das Bundesgericht entschied diesbezüglich, dass eine fristlose Entlassung auch hier nur nach ausdrücklicher Verwarnung zulässig sei. Ein allgemeiner Hinweis an die Belegschaft, Computerspiele seien verboten, genügte nach Ansicht des Gerichts nicht. Was ist mit der Überwachung? Während die Regelung der Nutzung von Internet und E-Mail an sich kaum rechtliche Probleme aufwirft und mehrheitlich in der Kompetenz des Arbeitgebers steht, stellen sich bei der Überwachung des firmeninternen Netzwerkverkehrs umso mehr Schwierigkeiten. Meist wissen die Unternehmen nicht genau, wie mit dem Thema Internet am Arbeitsplatz rechtlich korrekt umzugehen ist. Die rechtlichen Grundlagen zur Überwachung am Arbeitsplatz finden sich in Art. 26 der Verordnung 3 zum Arbeitsgesetz (ArGV 3), in Art. 328b OR und im Bundesgesetz über den Datenschutz (DSG). Gerade die letzten zwei Normen beziehen sich allerdings nicht auf eine spezifische Form der Überwachung und Datenbearbeitung und müssen also bezüglich der elektronischen Überwachung sinn- und zweckgemäss interpretiert werden. Art. 26 ArGV 3 bestimmt, dass Überwachungs- und Kontrollsysteme, die das Verhalten der Arbeitnehmer am Arbeitsplatz überwachen sollen, nicht eingesetzt werden dürfen. Diese Bestimmung lässt sich ohne weiteres auf das Firmennetzwerk anwenden. Weiter äussert sich Art. 328b OR zum Zweckbindungs- und Verhältnismässigkeitsprinzip, indem er bestimmt, dass der Arbeitgeber Daten nur bearbeiten darf, wenn sie sich auf die Eignung für 51
das Arbeitsverhältnis beziehen oder für die Durchführung des Arbeitsvertrages erforderlich sind. Des Weiteren beschlägt auch das DSG in Ergänzung zu Art. 328b OR den Schutz der Persönlichkeit der Angestellten. Grundsätze der Überwachung Im Gegensatz zur Regelung der Nutzung von Internet und E-Mail, welche mehrheitlich im Belieben des Arbeitgebers steht und darüber hinaus auch nicht zwingend ist, muss die Überwachung, zumindest die personenbezogene, geregelt sein. Die Angestellten haben ein Recht zu wissen, dass Protokolle und Logdateien erstellt werden und diese personenbezogen ausgewertet werden können. Die Überwachung muss in einer ersten Phase immer anonym erfolgen, d.h. ohne dass das Ergebnis der Überwachung einzelnen Personen zugeordnet werden kann. Dies genügt zur Feststellung, ob sich die Angestellten an das Nutzungsreglement halten. Demgegenüber wäre eine ständige personenbezogene Überwachung mittels Logdateien oder entsprechender Spionage-Software wie beispielsweise sogenannter «Keylogger» gesetzlich nicht zulässig. Bei Unternehmen, in denen Mitarbeitende immer die gleiche Arbeitsstation benutzen und die IP-Adresse der einzelnen Stationen bekannt ist, erweist sich aber die anonyme Kontrolle als nicht einfaches Unterfangen. Schon die Logdatei einer Firewall oder eines sogenannten Proxy-Servers kann in dieser Situation die genaue Rekonstruktion der Internetzugriffe der einzelnen Arbeitsstationen ermöglichen. Erst bei genügend konkreten Hinweisen auf einen Missbrauch darf die Auswertung tatsächlich personenbezogen erfolgen, vorausgesetzt die Angestellten wurden im Vorfeld über die Möglichkeit der personenbezogenen Auswertung bzw. Überwachung informiert. Überwachung des E-Mail- Verkehrs Wie bei der Überwachung der Internetnutzung ist eine Kontrolle der E-Mail-Nutzung durch ständige personenbezogene Auswertungen der Protokollierungen nicht zulässig. Die gesendeten und/oder empfangenen E- Mails dürfen daher nicht mittels einem Scanner nach bestimmten vordefinierten Stichwörtern ausgewertet werden und dann z.b. gesperrt, gelöscht oder mit Kopie an den Systemadministrator/Vorgesetzten geschickt werden. Diese Vorgehensweise würde eine systematische Verhaltensüberwachung darstellen und die Gefahr der Persönlichkeitsverletzung wäre latent. Private E-Mails unterstehen zudem dem Brief- und Fernmeldegeheimnis, weshalb dieses zusätzlich zu beachten ist. Private E-Mails dürfen vom Arbeitgeber grundsätzlich nicht eingesehen werden selbst wenn die private E-Mail-Nutzung untersagt sein sollte und sie dürfen nur im Rahmen eines Strafverfahrens auf richterlichen Beschluss hin verwertet werden. Geschäftliche E-Mails 52
i hingegen dürfen vollständig protokolliert und auch inhaltlich gesichert werden. Aufgrund der unterschiedlichen rechtlichen Einordnung von privaten und geschäftlichen E-Mails wäre es an sich wichtig, diese voneinander unterscheiden zu können. Oftmals ist dies jedoch nicht möglich, da ein privates E-Mail nicht ohne weiteres als solches erkennbar ist. Ist allerdings aus dem Absender oder gegebenenfalls der Betreffzeile nicht ersichtlich, dass ein E-Mail privater Natur ist, darf ein Arbeitgeber davon ausgehen, dass es sich um ein geschäftliches E-Mail handelt und entsprechend Einsicht nehmen. Prävention vor Überwachung Die erste Stufe allfälliger Massnahmen gegen die missbräuchliche Nutzung von Internet und E-Mail sollte immer die Prävention des Missbrauchs, also die rechtliche und technische Regelung der Nutzung sein. Ist die Regelung der Nutzung so detailliert wie möglich ausgearbeitet und auf die konkreten betrieblichen Bedürfnisse zugeschnitten, lässt sich bereits schon in vielen Fällen eine personenbezogene Überwachung vermeiden. Primär ist Zweck und Umfang der Nutzung zu regeln. Auch eine Regelung, welche Inhalte erlaubt sind, sollte nicht vernachlässigt werden. Nicht zu vergessen sind in diesem Zusammenhang, nebst WWW und E-Mail, andere vielgenutzte Dienste, wie z.b. Instant-Messengers und Filesharing-Programme, welche einerseits die Gefahr mit sich bringen, Schadprogramme einzuschleusen, andererseits, im Falle der Filesharing-Programme, erheblich Bandbreite konsumieren können. Dieses Nutzungsreglement muss den Angestellten rechtsverbindlich zur Kenntnis gebracht werden. Wo möglich wird es als Anhang in den Arbeitsvertrag aufgenommen oder als Zusatzvereinbarung von den Angestellten unterzeichnet. Denkbar ist auch eine Lösung analog den AGB in Online-Shops, so dass die Angestellten 53
vor der Nutzung des Systems jeweils die Nutzungsbedingungen per Mausklick anerkennen und akzeptieren müssen. Diese vertragliche Regelung ist noch kein Garant für die rechtskonforme Nutzung des Computersystems durch die Angestellten. Auch technische Massnahmen können und sollten ihren Beitrag dazu leisten. So kann die Gefahr, dass Angestellte eigenmächtig Software installieren, damit gebannt werden, dass der physische Zugriff mittels Laufwerkssperren oder Sperrung der USB-Ports blockiert wird oder Benutzerrechte so restriktiv wie möglich vergeben werden. Auch das Sperren von ausführbaren Attachements oder der Einsatz von Filtersoftware und Virenscannern schränkt die Möglichkeit des Missbrauchs bereits von vornherein stark ein. In Bezug auf die Internetnutzung kann die Regelung zeitbasiert und/oder inhaltebasiert vorgenommen werden. Fazit Es versteht sich von selbst, dass Unternehmen ein Interesse daran haben, bei der privaten Internet- und E-Mail- Nutzung am Arbeitsplatz einen massvollen Umgang zu etablieren. Um klare Verhältnisse zu schaffen, empfiehlt es sich deshalb, mit den Mitarbeitern Vereinbarungen zu treffen. Dies kann durch eine Regelung im Arbeitsvertrag oder durch Erlass eines Nutzungsreglements erfolgen. Des Weiteren können auch technische Präventionsmassnahmen ergriffen werden. Es gilt aber immer zu beachten, dass eine ständige und systematische Überwachung der Angestellten unzulässig ist und zu einem erheblichen Reputationsschaden führen kann. Wie brisant das systematische Durchforsten von Angestelltendaten werden kann, zeigten die Beispiele der systematischen Mitarbeiterüberwachung der Deutschen Bahn oder der Deutschen Telekom. Um sich bei Unklarheiten nicht der Gefahr der (unter Umständen systematischen) Persönlichkeitsverletzung auszuliefern und um einen Verstoss gegen das Datenschutzgesetz zu verhindern, lohnt es sich, Auskünfte bei kompetenter Stelle einzuholen, bevor gehandelt wird. Kontakt Christian Leupi Rechtsanwalt MAS Business Information Technology Kaufmann Rüedi Rechtsanwälte Zürichstrasse 12 CH-6004 Luzern Tel. +41 (0)41 417 10 70 Fax +41 (0)41 417 10 77 christian.leupi@krlaw.ch www.krlaw.ch 54