Ich sehe was, was du nicht siehst! – Internet- und E-Mail-Nutzung am Arbeitsplatz

Hillary Clinton könnte das Thema noch die Präsidentschaft kosten: Seit Monaten wird der Kandidatin der Demokraten vorgeworfen, einen privaten Server für dienstliche E-Mails genutzt zu haben. Rund 60.000 Mails soll sie in ihrer Zeit als US-Außenministerin von 2009 bis 2013 über den privaten Account verschickt oder empfangen haben. Ob die E-Mail-Affäre, die im Endspurt des Wahlkampfes noch einmal „aufgewärmt“ wurde, möglicherweise Konsequenzen hat, wird sich heute Nacht zeigen.

Der Umgang mit vertraulichen, personenbezogenen Daten ist aber nicht nur im US-Präsidentschaftswahlkampf ein heißes Eisen. Auch hierzulande beobachten Unternehmen und Organisationen mit wachsender Sorge, dass Betriebs- und Geschäftsgeheimnisse unter anderem durch die private Nutzung des Internets und von E-Mail-Diensten am Arbeitsplatz in Gefahr geraten. Denn bei der Nutzung von unsicheren Seiten oder E-Mail-Diensten können sehr leicht Schadprogramme die Rechner von Unternehmen befallen und sich über das Unternehmensnetzwerk ausbreiten. Gibt es einen begründeten Verdacht, dass eine Gefährdungslage vorliegt, ist es meist unumgänglich, sowohl die Nutzungsdaten des Internets als auch den ein- und ausgehenden E-Mail-Verkehr nach Auffälligkeiten zu untersuchen, um Schaden für das Unternehmen abzuwenden. Davon betroffen sind dann meist auch personenbezogene Nutzungsdaten.

Aber ist eine solche Überprüfung von Nutzugsdaten überhaupt zulässig, und wenn ja, in welchen Fällen? Die Interessen der betroffenen Parteien sind hier durchaus divergent. Sie bewegen sich zwischen den Aufbewahrungspflichten und Schutzinteressen des Unternehmens einerseits und den datenschutzrechtlichen Vorgaben zum Schutz der informationellen Selbstbestimmung des Arbeitnehmers andererseits.

Unternehmen müssen beispielsweise zwingend den E-Mail-Verkehr archivieren, um gegebenenfalls gegenüber Vertragspartnern oder zuständigen Behörden erforderliche Nachweise, wie etwa über Kosten und Auslagen, erbringen zu können. Dementsprechend besagt § 28 BDSG auch, dass eigene Geschäftszwecke ein zulässiger Grund für das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten sein können. Die Datenverarbeitung stellt damit also ein Mittel zur Verfolgung geschäftlicher Ziele dar, ohne dabei selbst unmittelbarer Geschäftszweck zu sein. Notwendig ist aber stets, die beiderseitigen Belange der Parteien im Hinblick auf die Erforderlichkeit und Verhältnismäßigkeit der vorgesehenen Datenverarbeitung abzuwägen.

Viele Unternehmen haben im Rahmen ihres bestehenden Compliance-Management-Systems bereits unternehmensinterne Regelungen zur Frage der privaten Nutzung des Internets sowie des Umgangs mit privaten E-Mails am Arbeitsplatz in Form einer Richtlinie getroffen. Diese Richtlinien reichen vom Komplettverbot der privaten Nutzung bis hin zu einer uneingeschränkten Erlaubnis. Letztere wird jedoch meist mit umfangreichen Kontroll- und Zugriffsrechten seitens des Unternehmens verknüpft, mit denen sich die Arbeitsnehmer für die entsprechende Nutzung einverstanden erklären müssen. Mit einer solchen Richtlinie ist ein sicherer Rahmen für alle Beteiligten vorhanden. Wer keine solche Richtlinie hat, sollte eine einführen – denn wer hier zu wenig tut, könnte das irgendwann bereuen. Hillary Clinton weiß das.

Ansprechpartner: Prof. Dr. Ines Zenke/Dr. Christian Dessau