Technologieberatungsstelle beim DGB NRW e.v. Den Einsatz von Internet und E-Mail regeln Handlungshilfe für die betriebliche Interessenvertretung Reihe Arbeit, Gesundheit, Umwelt, Technik Heft 74 TBS NRW / Heft 74 1
Impressum Autor/-innen: Gaby Dietsch, TBS NRW Jürgen Fickert, TBS NRW Stefanie Wallbruch, TBS NRW Alle drei Autor-/innen haben langjährige Beratungserfahrungen im Themenfeld Internet und E-Mail. Grafik und Layout: Klaus Kukuk, Syndikat medienpool Bildnachweis: S. 1 Fotolia S. 5 DGB Landesvorstand NRW S. 13 Syndikat medienpool S. 15 Syndikat medienpool S. 16 E.Cebrian S. 18 Fotolia S. 20 depositphotos S. 29 DGB-Index Gute Arbeit S. 30 Research in Motion (RIM) S. 34 123rf S. 35 depositphotos S. 39 TBS NRW Copyright und Herausgeber Technologieberatungsstelle beim DGB NRW e. V. Westenhellweg 92-94 44137 Dortmund Tel.: 0231 249698-0 Fax: 0231 249698-41 E-Mail: tbs-hauptstelle@tbs-nrw.de Internet: www.tbs-nrw.de Die TBS ist eine vom Ministerium für Arbeit, Integration und Soziales des Landes Nordrhein-Westfalen geförderte Einrichtung 1. Auflage ISBN 978-3-924793-93-7 Dortmund, November 2012 Den Einsatz von Internet und E-Mail regeln Heft-Nr. 74 2 TBS NRW / Heft 74
Inhalt Inhalt Vorwort 5 1. Einleitung 7 2. Grundlagen zur Internettechnik 10 2.1 Internetdienste und -standards 10 2.2 Technische Grundlagen der Protokollierung und Überwachung 12 2.3 Verschlüsselung und digitale Signaturen 14 2.4 Technik des Intranets 15 3. Internet 16 3.1 Zugang zum Internet 16 3.2 Private Nutzung 16 3.3 Missbrauchskontrolle 17 4. Intranet 18 5. E-Mail 20 5.1 Privates E-Mailen im Betrieb? 20 5.2 Zugriff auf E-Mails bei Abwesenheit 23 5.3 Archivierung von E-Mails 25 5.4 Unternehmensrichtlinien zur Nutzung von E-Mail und Internet 27 5.5 Gute Arbeit bei der E-Mail-Nutzung 29 6. Auf dem Weg zur Betriebs-/Dienstvereinbarung 34 6.1 Rechte der Interessenvertretung 34 6.2 Informationsbedarf zur Regelung von Internet-/E-Mail/Intranet 35 6.3 Regelungsbausteine einer Betriebs-/Dienstvereinbarung zu Internet, Intranet, E-Mail 36 Anhang 38 TBS NRW / Heft 74 3
4 TBS NRW / Heft 74
Vorwort Der britische Physiker und Informatiker Timothy Berners-Lee entwickelte vor 20 Jahren die Grundlagen für das heutige Internet. Wohl niemand ahnte damals, wie nachhaltig diese Erfindung die Welt beeinflussen würde. Inzwischen hat das Internet alle Lebensbereiche durchdrungen, es hat unser Privatleben, unsere Arbeitswelt und unsere Wirtschaft radikal verändert. Ein Ende dieser Entwicklung ist nicht abzusehen, ganz im Gegenteil: In den letzten Jahren ist das Netz immer interaktiver geworden, das so genannte Web 2.0 hat Plattformen wie Facebook oder Twitter hervorgebracht, auf denen jeder seine eigenen Inhalte verbreiten und mit anderen Usern in Kontakt treten kann. Dieser Trend verändert nicht nur das private Kommunikations- und Sozialverhalten. Auch Unternehmen nutzen die Möglichkeiten des Web 2.0 zunehmend für ihre Werbestrategien. In vielen Betrieben wird der zunehmende Einfluss des Internets auf die Arbeitsabläufe kontrovers diskutiert. Thema ist zum Beispiel der Zugang zum Netz oder die Nutzung von Internet und E-Mail zu privaten Zwecken. Eine Umfrage des Fachverbands BITKOM vom Frühjahr 2012 hat ergeben, dass rund 59 Prozent der deutschen Unternehmen die private Internetnutzung dulden und etwa 30 Prozent privates Surfen und Mailen komplett verbieten. Andererseits haben Innovationen wie Smartphones und Tablet-PCs dafür gesorgt, dass viele Arbeitnehmer auch nach Feierabend ständig für den Arbeitgeber erreichbar sind. Beruf und Freizeit werden immer weniger trennbar, Stress ist häufig die Folge. Der Autobauer VW zieht daraus Konsequenzen und hat veranlasst, dass seine Mitarbeiter nach Dienstschluss keine beruflichen E-Mails mehr über ihre Handys empfangen können. Die TBS NRW hat sich bereits vor mehr als zehn Jahren in einer Broschüre mit dem Thema Internet am Arbeitsplatz beschäftigt. Die technischen Möglichkeiten und juristischen Anforderungen haben sich seitdem erheblich verändert. Die vorliegende Broschüre geht auf diese Veränderungen ein und gibt praktikable und juristisch abgesicherte Regelungsempfehlungen für den Betriebsalltag. Ich wünsche Euch viel Spaß beim Lesen und viel Erfolg bei Eurer wichtigen Arbeit als betriebliche Interessenvertretung! Euer Andreas Meyer-Lauber TBS NRW / Heft 74 5
6 TBS NRW / Heft 74
Einleitung 1. Einleitung Die Nutzung des Internets ist in den Betrieben zur Normalität geworden. Die technischen Voraussetzungen sind optimal, um nahezu jeden Arbeitsplatzrechner zu vernetzen. Betriebe und Organisationen sind online und der Gebrauch des Internets ist unterdessen ein fester Bestandteil vieler Arbeitsaufgaben von Beschäftigten. Es wird auf Internet- bzw.- Intranetplattformen, unabhängig von Zeit und Ort zusammengearbeitet, über das Internet telefoniert, kleine Direktnachrichten verschickt (Instant Messaging). Selbst in der Produktion verschmelzen Produktionstechnik und Internet zunehmend. Kritisch wird es, wenn betriebliche Internetanwendungen zu Rationalisierungen und im Extremfall zu betriebsbedingten Kündigungen führen. So haben z.b. viele Versandhäuser ihre papierenen Kataloge eingestellt und bieten ihre Produkte nur noch per Internet an. Betriebs-und Personalräte stehen noch immer vor der Herausforderung, das Thema der Internet- und E-Mail-Nutzung zu regeln, um den Beschäftigten gesetzliche Leitplanken bereitzustellen, die sie vor einer Leistungs- und Verhaltenskontrolle und vor den Folgen von Rationalisierungsmaßnahmenzu schützen. Umso wichtiger wird dies dadurch, dass die Vielfalt der Internetnutzung nicht mehr allein auf das Surfen im Netz beschränkt ist. Denn das Internet wird zunehmend durch die Entwicklung des Web 2.0 abgelöst. Das Web 2.0 umfasst den verändertengeist des Internets und steht für das sogenannte Mitmachweb. Es geht beim Web 2.0 nicht mehr nur darum, Informationen zu konsumieren. Stattdessen soll jeder Nutzer und jede Nutzerin Inhalte bereitstellen, ergänzen, kommen-tieren und teilen. Nicht nur einige große Medienunternehmen erzeugen Inhalte, sondern die Nutzer und Nutzerinnen publizieren selbst.möglich wird dieser Austausch durch ein-fache Werkzeuge, die es dennutzern ermöglichen, Beträge einzustellen (z.b. Wikis, Blogs) oder über soziale Netze (z.b. Facebook, Twitter) Informationen an die Internet-Gemeinschaft weiterzugeben und zu verbreiten. Der Trend zur Nutzung von Facebook, Twitter, YouTube, Xing und Co gewinnt zunehmend an Beliebtheit und ist für viele bereits zur Selbstverständlichkeit geworden. Dies kann am Arbeitsplatz besonders kritisch werden,besonders dann, wenn Meinungen zum Betrieb oder über den Chef über die sozialen Medien verbreitet werden. So hat das Landesarbeitsgericht Hamm im Urteil vom 10.10.2012 ( 3 Sa 644/12 ) entschieden, dass die fristlose Kündigung eines Auszubildenden aufgrund Äußerungen über seinen Arbeitgeber wie Menschenschinder und Ausbeuter auf seinem Facebook-Profil wirksam sei. Social Media beschreibt Systeme zum Aufbau internetbasierter, teils selbst organisierter Gemeinschaften, Netzwerke und Anwendungen zur Kommunikation und Kontaktpflege. In dieser Gemeinschaft vernetzen sich Freunde, Arbeitskollegen und Bekannte, um Nachrichten, Fotos oder Informationen auszutauschen. Privates und Berufliches wird unweigerlich vermischt. Wer ist Freund? Wer ist Kollege oder Kunde? Wer kennt mich woher? Solche Fragen des täglichen Lebens werden in der virtuellen Welt nicht gestellt. Eine kleine Unachtsamkeit und alle Welt erfährt, was einem gefällt, missfällt oder welche Meinung man zu politischen oder betrieblichen Themen hat. (Näheres dazu s. TBS Broschüre Soziale Netze im Betrieb Nr. 75). TBS NRW / Heft 74 7
Einleitung Diese neuen Möglichkeiten der Internetnutzung, insbesondere im Hinblick auf die Kommunikation und Zusammenarbeit, nutzen auch zunehmend zahlreiche Unternehmen. In Anlehnung an den Begriff des Web 2.0 ist von Enterprise 2.0 die Rede. Es wird versucht, ganze Arbeitsabläufe von Betrieben durch Wikis, Blogs, also durch Werkzeuge zum Wissensmanagement, zur Innen- und Außenkommunikation und zur Projektkoordination zu nutzen und virtuelle Gruppen zu unterstützen. Ein weiterer Trend in den Unternehmen ist die Verlagerung und die Speicherung von Daten durch entsprechende Cloud -Anwendungen außerhalb betrieblicher IT. Informationsund Kommunikationsleistungen werden nicht gekauft, sondern bedarfs- und fallweise über Netze (z. B. das öffentliche oder private Internet) gemietet. Es kann sich um Software handeln (SaaS Software as a Service), um Plattformen für die Entwicklung und den Betrieb von IT-Anwendungen (PaaS Plattform as a Service) oder auch um IT-Basis-Infrastruktur, also z.b. Speicherplatz (IaaS Infrastructure as a Service). Die Ausgestaltung ist dabei sehr vielfältig und reicht von Verträgen mit kurzer Laufzeit (Stunden oder Tage), über die Nutzung nach Verfügbarkeit (auf Abruf) bis zur Abrechnung nach Verbrauch. In diesem Zusammenhang nimmt insbesondere in Konzernen die Zentralisierung der IT und der Abbau der örtlichen IT zu. An dieser Stelle rückt das Thema des Konzern-Datenschutzes und der Rationalisierung in der IT-Abteilung in den Fokus der Arbeit der Interessenvertretungen. Die Nutzer und Nutzerinnen werden kaum einen Unterschied erkennen, wenn die Anwendungen über den Browser bereitgestellt werden und die Speicherung der Daten in der Cloud erfolgt. In dieser Cloud ( Wolke ) werden die Daten im Internet gespeichert und dann zur Verfügung gestellt, wenn die Nutzerinnen und Nutzer diese Daten benötigen. So können Kalendereinträge (z.b. Google-Kalender), umfassende Kundendatenbanken, Reisekostenabrechnungen, E-learning-Inhalte etc. in der Cloud abgelegt und von jedem internetfähigen Rechner (insbesondere auch mobilen Endgeräten) aufgerufen werden (Näheres dazu s. TBS Broschüre Virtualisierung und Cloud Computing, Nr. 73). Auch im Bereich des herkömmlichen Internet gibt es neue Problemfelder, mit denen die Interessenvertretungen konfrontiert werden. Während in der gesellschaftlichen Praxis die Grenzen zwischen privater und betrieblicher Nutzung verschwimmen, gibt es in den Betrieben und Verwaltungen verstärkt Tendenzen, den Beschäftigten die private Nutzung von E-Mail und Internet zu verbieten und sie vermehrt zu überwachen. Gleichzeitig erfolgt eine zunehmende Ausdehnung der Arbeit in die Freizeit durch permanente Erreichbarkeit und Bearbeitung betrieblicher E-Mails nach Feierabend. Daher geht es in dieser Broschüre um die klassischen Regelungsprobleme zur Verhinderung einer unangemessenen Leistungs- und Verhaltenskontrollen beim Surfen, bei der E-Mail-Nutzung oder im Intranet. Diese Handlungshilfe unterstützt Betriebs- und Personalräte/innen bei der Durchsetzung betrieblicher Regelungen und stellt ihnen Handlungsmöglichkeiten und Eckpunkte für eine Betriebs-/ bzw. Dienstvereinbarung zur Verfügung. Hierzu gehört auch eine benutzerfreundliche Gestaltung der Internetanwendungen. So gibt es mittlerweile gesetzliche Anforderungen für barrierefreie Internetauftritte, die Barrierefreie-Informationstechnik-Verordnung BITV 2.0. Sie ist für Bundesverwaltungen verbindlich und sollte vom Grundsatz her auch von Unternehmen umgesetzt werden. 8 TBS NRW / Heft 74
Einleitung Kapitel 2 behandelt die Grundlagen der Internettechnik. Es werden die technischen Komponenten sowie der Aufbau des Internets beschrieben und aufgezeigt, an welchen Stellen eine Leistungs- und Verhaltenskontrolle über die Protokollierung der Zugriffe erfolgt. Kapitel 3 steigt dann in die betriebliche Nutzung des Internets ein und gibt Hinweise zur privaten Nutzung im Betrieb und zur Missbrauchskontrolle. Kapitel 4 erläutert kurz die Entwicklung und die Nutzungsmöglichkeiten des modernen Intranets im Betrieb. Kapitel 5 beschäftigt sich ausführlich mit der E-Mail-Nutzung im Betrieb, mit den Archivierungsvorschriften und den entsprechenden Regelungsaspekten in einer Betriebs- bzw. Dienstvereinbarung. Gute Arbeit sollte auch bei der Internet-Arbeit selbstverständlich sein und findet in Kapitel 5.5 Berücksichtigung. Kapitel 6 soll den Interessenvertretungen den Weg zur Dienst- bzw. Betriebsvereinbarung aufzeigen und Handlungsmöglichkeiten im Umgang mit Internetanwendungen aufzeigen. TBS NRW / Heft 74 9
Grundlagen zur Internettechnik 2. Grundlagen zur Internettechnik Ein Leben und Arbeiten ohne das Internet können wir uns heute kaum vorstellen. Dabei ist das Internet im Vergleich zum Radio oder zum Telefon ein junges Kommunikationsmittel, das es mit seinen wesentlichen Leistungsmerkmalen erst seit 1993 gibt. Während wir jedoch Radio hören können, ohne dass wir dabei elektronische Spuren hinterlassen, ist dies beim Surfen im Internet nicht möglich. Daher geht es in diesem Kapitel um technische Grundlagen, die für das Verständnis des Internets und die Themen der folgenden Kapitel, wie die Leistungs- und Verhaltenskontrolle, zentral sind. 2.1 Internetdienste und -standards Das Internet besteht aus einer Vielzahl von weltweit vernetzten Computern und großen Rechenzentren, in denen die Internetdokumente gespeichert oder E-Mails übertragen werden. In seinem technischen Kern handelt es sich jedoch um IT-Standards, die sogenannten Internetprotokolle. Diese bilden die Grundlage, um Informationsseiten aus dem weltweiten Internet abzurufen und mit Hilfe eines Browsers am Bildschirm anzuzeigen oder um eine E-Mail zu schreiben und weltweit zu versenden. Neben dem Surfen und dem E-Mail-Versand gibt es weitere Internetdienste, z.b. den direkten Down- und Upload von PC zu PC über das Web(FTP), Chats (eine Unterhaltung, Austausch von Texten in Echtzeit), Diskussionsforen, Radio oder Telefonie. Einen Überblick gibt die Tabelle auf Seite 11. In dieser Broschüre geht es um diese zentralen, weltweit normierten Internetdienste. Daneben bieten Privatfirmen eigene Internetdienste an. Beispiele hierbei sind Instant- Messaging-Dienste oder Twitter als schneller Kommunikationsdienst in Echtzeit oder soziale Netzwerke wie Facebook. Sie bieten besondere Dienstleistungen, bringen aber auch spezifische Datenschutzprobleme mit sich. Wegen ihrer betriebspraktischen Bedeutung konzentrieren wir uns in dieser Broschüre auf das Surfen und E-Mail. Telefonieren über das Internet (VoIP) In den Anfängen war das Internet aufgrund geringer Bandbreite der Netze nur geeignet, relativ einfache Dokumente mit Texten und Grafiken zu übertragen. Da die Datenübertragung im Internet zerstückelt erfolgt, war an eine Sprachverbindung nicht zu denken. In den letzten Jahren sind die Bandbreiten massiv gesteigert worden. Dadurch wurden höhere Datenströme erreicht, die zusätzliche technische Anforderungen und Dienste unter dem Namen Internet-Telefonie oder VoIP für voice over (Stimme über) Internet Protocol ermöglichen. Bekannt ist vor allem der Dienst Skype. Hier kann nicht nur das Gespräch, sondern auch ein Bild weltweit zu geringen Internetkosten übertragen werden. Telefonate sind nach dem Fernmeldegesetz besonders geschützt. Die Vertraulichkeit der Gespräche wurde bei den klassischen Anbietern von Telefonie-Dienstleistungen (in früheren Zeiten ausschließlich die Deutsche Bundespost) auch technisch gewährleistet. VoIP- Anwendungen bringen hier erhebliche Probleme für Datenschutz und Datensicherheit mit sich, da das gesprochene Wort standardmäßig nicht verschlüsselt übertragen wird und grundsätzlich auf dem Weg der Datenübertragung abgehört werden kann. Betriebs- und Personalräte/innen sollten vereinbaren, dass Geschäftsführungen und IT-Abteilungen z.b. durch Verschlüsselung die Vertraulichkeit der Telefonate gewährleisten (vergl. TBS Broschüre VoIP - Telefonieren übers Internet ; Handlungshilfe für die betriebliche Interessensvertretung; Nr. 65, 12/2006). 10 TBS NRW / Heft 74
Grundlagen zur Internettechnik Internetdienst Verwendetes Protokoll (Beispiel) Beschreibung Anwendungen World Wide Web Hypertext Transfer Protocol (HTTP) oder HTTP Secure (HTTPS) Zur Übertragung von Webseiten Webbrowser E-Mail Dateiübertragung (File Transfer) Simple Mail Transfer Protocol (SMTP), Post Office Protocol Version 3 (POP3), File Transfer Protocol (FTP) Zum Versand elektronischer Briefe (E-Mails) Zur Übertragung von Dateien E-Mail-Programm FTP-Server und -Clients Namensauflösung Domain Name System (DNS) Mit diesem Dienst werden Namen z. B. de.wikipedia. org in IP-Adressen übersetzt Meistens im Betriebssystem integriert Usenet Network News Transfer Protocol (NNTP) Diskussionsforen zu allen erdenklichen Themen News Client SSH SSH Protocol Zur verschlüsselten Benutzung entfernter Rechner ssh, unter Windows z. B. PuTTY oder WinSCP Peer-to-Peer-Systeme edonkey, Gnutella, FastTrack z. B. Tauschbörsen zum Austausch von Dateien emule, FrostWire, Internet-Telefonie (VoIP) H.323, Session Initiation Telefonieren Protocol (SIP) Video-Chat H.264, QuickTime- Video-Telefonie Streaming Virtual Private Network VPN GRE, IPsec, PPTP Kopplung von LANs über das Internet, optional mit Verschlüsselung und Authentifizierung OpenVPN Internetradio Netzwerkadministration Hypertext Transfer Protocol (HTTP) Simple Network Management Protocol (SNMP) Radio hören/ senden Dient der Fernkonfi-guration, -wartung und -überwachung von Netzwerkkomponenten wie z. B. Routern Internet Relay Chat IRC-Protokoll Ur -Chatdienst Verschiedene Clientprogramme, z. B. XChat (Linux, bzw. Windows) Instant Messaging Verschiedene proprietäre Protokolle Kurznachrichten von Person zu Person Je nach System, z. B. ICQ/AIM, MSN oder Yahoo Messenger Überblick über wichtige Internetdienste (Quelle: www.wikipedia.org, verändert) TBS NRW / Heft 74 11
Grundlagen zur Internettechnik 2.2 Technische Grundlagen der Protokollierung und Überwachung Firmen, öffentliche Einrichtungen oder auch Privatpersonen können eigene Internetadressen buchen, den Internetauftritt gestalten und speichern und so ihre Internetseiten weltweit zugänglich machen. In den Anfängen waren die Internetseiten recht einfach gestaltet. Heute können die Dokumente neben Text und Grafik auch Fotos, Video oder Musik enthalten. Wichtig für den Aufbau des Internets - und die Möglichkeiten der Überwachung -ist, dass jeder Computer im weltweiten Internet und jede Internetseite als Datei eindeutig bezeichnet ist und somit identifiziert werden kann. Für IT-Geräte wie PCs oder Server wird diese eindeutige Identifizierung im Web IP-Adresse genannt. Die Identifizierung von Internetseiten erläutern wir am Beispiel der Startseite der TBS NRW: www.tbs-nrw.de/tbs/index,id,60.html www.tbs-nrw.de ist der eindeutige Domänenname der TBS NRW e.v. in Deutschland. Die drei Buchstaben www für World Wide Web beschreiben, dass der Internetauftritt der TBS nach entsprechenden technischen Standards gebildet wird. Charakteristisch für das Web ist, dass Dokumente auch aus verschiedenen Internetauftritten durch Hyperlinks oder Links verknüpft werden können, und man von einem zu einem anderen Dokument springen kann. Dies ermöglicht das Surfen durch das weltweite Web. Die weiteren Informationen der IP-Adresse sind ähnlich aufgebaut wie Dateinamen in Microsoft-Programmen, mit Angabe von Verzeichnissen und Unterverzeichnissen. Hierdurch wird die Datei eindeutig identifiziert. Die oben angegebene Adresse der TBS-Internetseite wird technisch URL für Uniform Resource Locators (einheitlicher Ressourcen- oder Quellenanzeiger) genannt, da sie eine Datei, also IT-Ressource, im weltweiten Netz identifiziert und auf einem Computer lokalisiert. Ruft ein Betriebsrat oder eine Betriebsrätin bzw. Personalrat oder Personalrätin ein entsprechendes Dokument aus einem Internetauftritt von seinem PC aus ab, so wird der Dokumentenname nicht nur auf seinem PC angezeigt, sondern auch auf Servern des Unternehmens gespeichert. Es kann also beim Surfen grundsätzlich protokolliert und kontrolliert werden, von welchem PC aus welche Internetseiten aufgerufen wurden. Beim Schreiben und Versenden einer E-Mail mit einer individuellen Adresse ist die Möglichkeit der personenbezogenen Internet-Provider wer, wann, wie lange, welche IP-Seiten Webserver Protokoll mit Webadresse, wie, wieviel, wie lange, Cache E-Commerce Firmen, Vereine E-Mail Privatpersonen Telearbeit TK-Verbindung Informationen abrufen Intranet Betriebs- und Personalräte Router-Software Protokoll: IP-Nr., wie groß, wie viel Telefonanlage A- & B-Nummer, wie lange Firewall je nach Software und Konfiguration alles möglich! Client / PC Browser (Cache, History) Datenspuren im Internet: Datenfluss und Datenspeicherung beim Surfen im Web 12 TBS NRW / Heft 74
Grundlagen zur Internettechnik Zuordnung noch offensichtlicher. Die folgende Grafik ( Datenspuren Im Internet ) zeigt, welche Daten beim Abruf einer Internetseite aus dem Web grundsätzlich auf welchen Computersystemen inner- und überbetrieblich gespeichert werden können. Es wird deutlich, dass die Protokolldaten auf verschiedenen EDV-Anlagen erfasst und verarbeitet werden können, z.b. lokal auf dem PC, auf dem Webserver oder dem Router (Rechner zur Koppelung verschiedener IT-Netze, z.b. LAN und Internet), der Firewall (Software zum Schutz des betrieblichen Computernetzes vor Viren oder Sabotage) oder beim Internetprovider. Diese technischen Protokolle werden häufig auch Log-Datei oder Log-Protokoll genannt. Die Protokollierung muss natürlich bei der betrieblichen Regelung beachtet und geregelt werden. Bei dem Versenden einer E-Mail gilt dies entsprechend. Dabei ist es von besonderer Bedeutung, dass die Übertragung der Dateien oder E-Mails im Internet grundsätzlich unverschlüsselt erfolgt. Als diese Kommunikationstechnologien entwickelt wurden, spielten Datenschutz und Datensicherheit nur eine geringe Rolle. Erst später wurden sicherere Internetstandards, wie z.b. https entwickelt. Sie ermöglichen es, die Informationen weitgehend abhörsicher zu übertragen. Der Standard lässt sich nicht für E-Mail anwenden, hier müssten Daten oder Anhänge zusätzlich verschlüsselt werden. Alte und neue Internetadressen: von IPv4 zu IPv6 Der Begriff Internetadresse ist nicht eindeutig. Die Startseite des TBS-Internetauftritts hat (im Juli 2012) die Internetadresse http://www.tbs-nrw.de/tbs/index,id,60. html. Andererseits bezeichnet man mit Internetadresse auch die Identifikation einer Internet-Ressource, eines bestimmten Computers oder PCs. Diese Internetadresse hat heute, beim Standard IP Version 4 (IPv4) z. B. die Nummer 192.0.2.42. Hiermit können gut 4 Milliarden Internetadressen gebildet werden. Obwohl diese Anzahl schon gewaltig erscheint, reicht sie durch die massive Verbreitung neuer Smartphones und Tablet-Computer mittlerweile nicht mehr aus, und seit Sommer 2012 wird der neue Standard IPv6 angewendet. In IPv6 hat eine Internetadresse z.b. den folgenden Aufbau: 2001:0db8:85a3:0000:0000:8a 2e:0370:7344. Es können nun Tausende von Milliarden (!) Internetadressen gebildet werden, um z.b. elektronische Komponenten und Geräte in Autos, im Haushalt, auf der Arbeit durch eine eigene IP-Adresse zu identifizieren. Datenschutzbeauftragte sehen hier gewaltige Probleme. Der Bundesdatenschutzbeauftragte Schaar kritisiert z.b., dass die Hersteller von Smartphone-Software überwiegend die weltweite eindeutige Hardware-Kennung der Geräte als Bestandteil der IP-Adresse verwenden. Damit nähmen sie billigend in Kauf, dass das Verhalten der Nutzer individuell zugeordnet werden kann (Quelle: www.heise.de). TBS NRW / Heft 74 13
Grundlagen zur Internettechnik 2.3 Verschlüsselung und digitale Signaturen Verfahren zur Verschlüsselung von Texten gibt es bereits seit Jahrtausenden. Mit der Computertechnik sind die Verschlüsselungsverfahren immer aufwändiger und raffinierter geworden und bilden eine eigene Wissenschaft, die Kryptographie. Ziel ist es, einen Originaltext so zu verschleiern, dass er nur dem rechtmäßigen Empfänger verständlich ist. Ein sehr einfaches Verfahren ist die Cäsar-Verschlüsselung. Hierbei wird systematisch ein Buchstabe des Alphabets durch einen anderen ersetzt, das A durch das D, das B durch das M, usw. Es muss nun zwischen einer automatisierten Verschlüsselung, z.b. bei der Datenübertragung, und einer individuell vereinbarten Verschlüsselung unterschieden werden. Bei der Datenübertragung in einem betrieblichen IT-Netz zwischen einem PC und einem Server ist die Datei während der Datenübertragung in aller Regel automatisiert verschlüsselt (vgl. auch VPN, s.u.). Auf PC und Server ist die Datei allerdings in Klarschrift gespeichert und lesbar. Der Schutz ist begrenzt auf den Übertragungsweg. Bei einer individuellen Verschlüsselung müssen sich Absender und Empfänger zuvor auf ein Verschlüsselungsverfahren verständigen. In der Praxis muss hierzu ein sogenannter Schlüssel ausgetauscht werden. Dies ist eine organisatorische Herausforderung. Daher bieten IT-Dienstleister an, die Verwaltung und Verteilung der geheimen Schlüssel gegen Gebühr zu organisieren. Diese Verfahren werden bei hohen Anforderungen an Datenschutz und Datensicherheit genutzt. Einfacher geht es heute mit vielen Computerprogrammen, die standardmäßig Verschlüsselungsverfahren anbieten, z.b. Acrobat Reader oder MS Word. Hierzu verschlüsselt der Absender die Datei mit einem Passwort. Das stellt er dem Empfänger auf vertraulichem Weg zur Verfügung. Danach übersendet er die verschlüsselte Datei im E-Mail-Anhang und der Empfänger kann sie entschlüsseln. Diese Technik wird zunehmend auch in der Kommunikation der Interessenvertretungen genutzt. Geschäftsbriefe mit der digitalen Signatur sichern (De-Mail Gesetz) Manchmal werden Verfahren der Verschlüsselung und der digitalen Signatur miteinander verwechselt. Mit der Verschlüsselung soll die Geheimhaltung, die hohe Vertraulichkeit eines Dokumentes vor Dritten, gewährleistet werden. Mit der digitalen Signatur wird ein Dokument nicht verschleiert. Es kann von allen gelesen werden. Hiermit soll gewährleistet werden, dass die Inhalte eines Dokumentes nicht unbemerkt verändert werden, z.b. der Kaufpreis eines Artikels oder das Lieferdatum. Dies hat natürlich im Geschäftsverkehr zwischen Unternehmen einen hohen Stellenwert bei Bestellungen, Vertragsbestimmungen usw. aber auch zwischen Behörden und Bürgern. Daher hat es in Deutschland und der EU mehrere Anläufe gegeben, rechtlich sichere und praktikable Gesetze zur Unterstützung einer digitalen Signatur zu erlassen. Zuletzt ist im April 2011 das De-Mail-Gesetz im Bundestag verabschiedet worden. Es regelt insbesondere die Zulassung von IT-Dienstleistern, die entsprechende elektronische Dienste zur Gewährleistung der digitalen Signatur anbieten und durchführen. Auch eine Verschlüsselung ist möglich. 14 TBS NRW / Heft 74
Grundlagen zur Internettechnik Zunehmend werden auch Verschlüsselungsprogramme kostenfrei im Internet angeboten. Eine sichere E-Mail-Kommunikation ist auch für private PC-Nutzerinnen und -nutzer wichtig. Das Bundesamt für Sicherheit in der Informationstechnik (www.bsi.bund.de) bietet Bürgerinnen und Bürgern eine kostenfreie Verschlüsselungssoftware z.b. für E-Mail an. Sie kann unter www.gpg4win.de heruntergeladen werden. 2.4 Technik des Intranets Unternehmen können eigene innerbetriebliche Computernetze nach den Internetstandards aufbauen. Sie werden dann Intranet genannt und enthalten z.b. zentrale betriebliche Dokumente wie Telefonverzeichnisse, Organigramme, Qualitätsmanagementhandbücher usw. Auch hier können alle Informationsabrufe wie beim Surfen protokolliert werden. Weiterhin ist es möglich, über das Intranet die Computer an unterschiedlichen Unternehmensstandorten miteinander zu vernetzen und die Daten über das Web zu übertragen. Normalerweise würde diese Datenübertragung unsicher und ungeschützt sein. Da dies für Unternehmen mit ihren sensiblen Unternehmensdaten natürlich nicht akzeptabel ist, werden die Daten zwar über das weltweite Internet übertragen, jedoch durch einen geschützten Tunnel. Praktisch heißt dies, dass die Datenpakete verschlüsselt und somit abhörsicher im Internet übertragen werden. Dieses Sicherheitskonzept wird als VPN (virtuelles privates Netzwerk) bezeichnet und bildet heute einen Standard für eine gesicherte betriebliche Datenübertragung. Hauptstelle/Stammsitz Heimarbeiter mit VPN client software Firewall Wireless client mit VPN client software Zweigniederlassung 1 Firewall Zweigniederlassung 2 Firewall Beispielhafter Aufbau eines webgestützten Intranets mit VPN-Verschlüsselung TBS NRW / Heft 74 15
Internet 3. Internet In diesem Kapitel geht es um den Internet-Dienst www (world wide web), der zum Aufruf von Seiten, Surfen und Recherchieren dient und üblicherweise (streng genommen: verkürzt) als Internet bezeichnet wird. Im Folgenden wird auf die Regelungsbereiche zum Internet eingegangen, die unserer Erfahrung nach in Betrieben häufig zu Konflikten führen, d.h. Zugang zum Internet, private Nutzung und Missbrauchskontrolle. Das damit zusammenhängende Thema der Unternehmensrichtlinien zur Internet-Nutzung wird im Kapitel E-Mail mitbehandelt. 3.1 Zugang zum Internet Recherchen im Internet gehören heute zum Standard im Betrieb. In manchen Betrieben entscheiden Vorgesetzte dennoch nach Gutdünken, wer einen Internetzugang erhält. Das verletzt den Grundsatz der Gleichbehandlung. Beschäftigte, die nicht an einem PC-Arbeitsplatz arbeiten, haben nicht immer einen Internetzugang und können damit von wichtigen, auch innerbetrieblichen Informationsquellen und Kommunikationsmöglichkeiten abgekoppelt und dadurch benachteiligt sein. Formulierung in einer Betriebs-/Dienstvereinbarung Der Zugang zum Internet wird als Arbeitsmittel zur Verfügung gestellt und ist an eine persönliche Berechtigung gebunden. Die Berechtigung wird erteilt, wenn die Internet-Nutzung zur Unterstützung der Arbeit sinnvoll ist. Grundsätzlich wird davon ausgegangen, dass die umfassenden Informationsmöglichkeiten des Internets an allen Arbeitsplätzen sinnvoll genutzt werden können. Anträge auf Erteilung einer Berechtigung können nur aus triftigen Gründen abgelehnt werden. Für Arbeitsplätze, die nicht standardmäßig über einen Bildschirmarbeitsplatz verfügen, gibt es eine ausreichende Anzahl von Rechnern mit Internet-Zugang. 3.2 Private Nutzung Es kommt vor, dass Arbeitgeber die Genehmigung zum privaten Surfen daran knüpfen, dass die Nutzerinnen und Nutzer eine Einverständniserklärung dazu abgeben, dass der Arbeitgeber kontrollieren darf, was genau diese im Internet gemacht haben. Dies kann jedoch nur zulässig sein, wenn die private Nutzung vorher nicht erlaubt war (betriebliche Übung, siehe Ausführungen im Kapitel 5 E-Mail). Selbst bei genereller Zulässigkeit sind bei der Ausgestaltung einer solchen Einverständniserklärung die Persönlichkeitsrechte zu beachten. 16 TBS NRW / Heft 74
Internet Das LAG Rheinland-Pfalz hat geurteilt, dass eine private Internetnutzung von etwa einer Stunde im Monat auf jeden Fall keine arbeitsvertragliche Pflichtverletzung ist (2.3.2006, AZ: 4 Sa 958/05): Vergleichbar ist der Umfang der Nutzung etwa mit privaten Gesprächen während der Arbeitszeit mit Kollegen, privaten Telefongesprächen in geringfügigem Umfang, Zigarettenpausen oder sonstige als noch sozial adäquat anzuerkennende Tätigkeiten, die nicht unmittelbar mit dem Arbeitsverhältnis in Beziehung stehen. (Zitat aus der Urteilsbegründung). 3.3 Missbrauchskontrolle Eine Leistungs- oder Verhaltenskontrolle mit Hilfe der Verbindungsdaten wäre selbst bei rein dienstlicher Nutzung von Internet und E-Mail für den Normalfall eine datenschutzrechtlich problematische Zweckentfremdung der (aus technischen Gründen anfallenden) Protokolldaten und sollte nicht zugelassen sein. Formulierung in einer Betriebs-/Dienstvereinbarung Alternative 1: Protokollierungen von Verbindungsdaten (z.b. Zustellungszeitpunkt, Ausgangszeitpunkt, Adressaten/Empfänger, Größe) und die Abspeicherung der E-Mails oder von Internet-Seiten werden nur zur Sicherstellung des ordnungsgemäßen Betriebes der IT- Systeme, der Systemsicherheit, der Datensicherheit und des Datenschutzes genutzt. Sie werden nicht zur Leistungs- oder Verhaltenskontrolle der Mitarbeiter/innen genutzt. Widerrechtlich gewonnene Daten unterliegen einem Verwertungsverbot. Manche Arbeitgeber wollen aber die Möglichkeit haben, Missbrauch (z.b. stundenlanges privates Surfen) zu kontrollieren. Dies ist dann auf konkrete Verdachtsfälle einzugrenzen. Formulierung in einer Betriebs-/Dienstvereinbarung Alternative 2: Protokollierungen von Verbindungsdaten (z.b. Zustellungszeitpunkt, Ausgangszeitpunkt, Adressaten/Empfänger, Größe) und die Abspeicherung der E-Mails oder von Internet-Seiten werden nicht zur Leistungs- oder Verhaltenskontrolle der Mitarbeiter/innen genutzt. Dies gilt nicht, wenn Tatsachen bekannt werden, die den Verdacht einer erheblichen Verletzung der Arbeitspflichten begründen, und der BR/PR einer entsprechenden Auswertung vorher zugestimmt hat. Die Kontrolle der Protokolldaten des BR/PR ist unzulässig. Widerrechtlich gewonnene Daten unterliegen einem Verwertungsverbot. Sicherlich müssen die entscheidenden Datenschutz- und Datensicherheitsmaßnahmen sowohl zum Surfen im Internet als auch beim E-Mail-Verkehr durch die IT-Abteilung des Unternehmens eingestellt und gewährleistet werden. Einzelne Sicherheitseinstellungen auf dem PC oder Notebook können jedoch auch die Beschäftigten selbst realisieren. Es geht dabei besonders um Cookies oder die Internethistorie. Details hängen immer vom benutzten Browser wie Internet Explorer oder Firefox ab. Jeweils aktuelle Informationen findet man z.b. unter den Internetauftritten www.verbraucher-sicher-online.de der Technischen Universität Berlin oder unter www.bsi-fuer-buerger.de. TBS NRW / Heft 74 17
Intranet 4. Intranet Das Intranet ist ein betriebliches EDV-Netz, das nach den technischen Standards des Internets aufgebaut ist, dessen Informationen und Funktionen aber im Gegensatz zum Internet nicht von der Öffentlichkeit, sondern nur intern von Betriebs-, Verwaltungs- bzw. Konzernangehörigen genutzt werden können. Ein Intranet kann genutzt werden, um betrieblich relevante Informationen und Unterlagen, z.b. Telefonverzeichnisse, Qualitätshandbücher, Organisationspläne, Betriebs-/Dienstvereinbarungen zur Verfügung zu stellen. Hierbei handelt es sich um weniger vertrauliche Informationen, die allen Unternehmensangehörigen zugänglich gemacht werden. Über ein Intranet können aber auch Verfahren zur Beantragung von Dienstreisen oder Urlaub oder für Verbesserungsvorschläge usw. durchgeführt, interne Stellen ausgeschrieben oder Seminare angeboten werden. In diesen Fällen werden Beschäftigtendaten erhoben und es sind Datenschutzmechanismen, wie z.b. eingeschränkte Zugriffsrechte, erforderlich. Mit zunehmender Nutzung des Intranets für das innerbetriebliche Wissen wird es immer wichtiger, dass alle Beschäftigten Zugang dazu haben, um nicht von wichtigen Informationen abgeschnitten zu sein. Vielfach wird über das Intranet sogenannte Collaboration Software, d.h. Software zur Unterstützung der Zusammenarbeit in einer Gruppe über zeitliche und/oder räumliche Distanz hinweg (z.b. Microsoft Sharepoint) genutzt. Hier werden umfassende Funktionen im Hinblick auf Kommunikation und Koordination (E-Mail, Instant Messaging, Kalenderverwaltung und Projekt-Management), Kooperation (Desktop-Sharing oder Online-Whiteboards), Dokumenten-Management sowie Information-Sharing (Wikis, Blogs, Diskussionsforen etc.) bereitgestellt. In diesem Zusammenspiel ist z.b. über das Intranet die Erstellung eines Betrieblichen Sozialen Netzes eine Option, in dem Profile von Kollegen und Kolleginnen zur Verfügung stehen, die berufliche Qualifikationen und Informationen, aber auch Fotos, Hobbies und Statusmeldungen der Beschäftigten anzeigen. Ein betrieblicher Kleinanzeigenmarkt rundet das Angebot des Intranets ab. Die hart geführten Diskussionen zur privaten Nutzung des Internets verschwimmen, denn diese Form des Intranets lebt erst von der Bekanntgabe vieler auch persönlicher Daten. Betriebs- und Personalräte müssen hier Rahmenbedingungen schaffen, die die Preisgabe persönlicher Daten minimiert und auf Freiwilligkeit der Bekanntgabe der Daten drängen und die Beschäftigten entsprechend sensibilisieren. 18 TBS NRW / Heft 74
Intranet Formulierung in einer Betriebs-/Dienstvereinbarung Personenbezogene Daten von Beschäftigten, die im Intranet eine eigene Profilseite haben, dürfen nur unter Beachtung des Bundesdatenschutzgesetzes eingetragen werden. Die Angaben der Informationen zur eigenen Personen sowie die Bereitstellung eines Fotos erfolgen freiwillig. Alternative Formulierung: Die eigene Profilseite enthält automatisch die wichtigsten Personendaten, wie z. B. Vor- und Nachname, Bereich, Abteilung, Funktion, dienstliche Telefonnummer und dienstliche E-Mailadresse. Zusätzlich besteht die Möglichkeit, das eigene Profil mit weiteren persönlichen Informationen zu ergänzen. Das sind unter anderem ein persönliches Foto, Themen, für die der Mitarbeiter als Ansprechpartner zur Verfügung steht, erledigte Projekte, Fertigkeiten, Interessen und der Geburtstag. All diese zusätzlichen Informationen sind freiwillige Angaben des Mitarbeiters. Jeder Mitarbeiter kann selbst festgelegen, wer diese Informationen sehen darf (jeder, meine Kollegen, mein Team, mein Manager oder privat). Inhaltlich müssen diese Einträge einen dienstlichen Bezug aufweisen. Jeder Mitarbeiter kann auf freiwilliger Basis ein Foto von sich in seine Profilseite laden. Für dieses Foto gelten die folgenden Vorgaben: Portraitfoto, kein Ganzkörperbild und kein Gruppenfoto (kein Urlaubsfoto o.ä.) Auf dem Bild muss die Person abgebildet sein, zu der die Profilseite gehört. TBS NRW / Heft 74 19
E-Mail 5. E-Mail In diesem Kapitel geht es um Regelungsschwerpunkte zum Thema E-Mail, mit denen Interessenvertretungen häufig konfrontiert werden: Privates E-Mailen, Zugriff des Arbeitgebers auf E-Mails bei längerer Abwesenheit der Nutzerinnen und Nutzer, Archivierung, Unternehmensrichtlinien zur Nutzung von E-Mail und E-Mail-Stress. E-Mails können einerseits formellen Charakter haben und dienstlichen Schriftverkehr ersetzen. Andererseits ersetzen sie zunehmend Gespräche und haben einen informellen Charakter, der sich auch durch einen legeren Sprachgebrauch im Vergleich zum Geschäftsbrief auszeichnet. Gespräche und Telefonate, auch rein dienstliche, sind rechtlich vor heimlichen Mithören geschützt. Wie verhält es sich mit E-Mails? Darf der Arbeitgeber die E-Mails mitlesen? 5.1 Privates E-Mailen im Betrieb Die rechtlichen Konsequenzen privater E-Mail-Nutzung sind vielen nicht bekannt. Nach herrschender Rechtsauffassung wird ein Arbeitgeber, der die private Nutzung der dienstlichen E-Mail-Adresse für privates E-Mailen zulässt oder duldet, zum Diensteanbieter gemäß Telekommunikationsgesetz (TKG) und unterliegt damit dem Fernmeldegeheimnis 88 TKG. Die Verletzung des Fernmeldegeheimnisses (Kenntnisnahme persönlicher Daten, bereits die Verbindungsdaten eines Telefonats oder einer E-Mail, oder die Unterdrückung privater Daten) ist strafbar. Das Fernmeldegeheimnis bezüglich der E-Mail-Inhalte und der Protokolldaten der E-Mail-Verbindungen besteht für die Daten, die sich auf den Servern des Arbeitgebers befinden. Es gilt nicht für zugestellte E-Mails und E-Mail-Protokolle, die bereits auf dem Rechner der Adressaten gespeichert sind. 88 Fernmeldegeheimnis (Telekommunikationsgesetz) (1) Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Das Fernmeldegeheimnis erstreckt sich auch auf die näheren Umstände erfolgloser Verbindungsversuche. (2) Zur Wahrung des Fernmeldegeheimnisses ist jeder Diensteanbieter verpflichtet. Die Pflicht zur Geheimhaltung besteht auch nach dem Ende der Tätigkeit fort, durch die sie begründet worden ist. (3) Den nach Absatz 2 Verpflichteten ist es untersagt, sich oder anderen über das für die geschäftsmäßige Erbringung der Telekommunikationsdienste einschließlich des Schutzes ihrer technischen Systeme erforderliche Maß hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen (Satz 1). Sie dürfen Kenntnisse über Tatsachen, die dem Fernmeldegeheimnis unterliegen, nur für den in Satz 1 genannten Zweck verwenden. Eine Verwendung dieser Kenntnisse für 20 TBS NRW / Heft 74