Internet-Nutzung durch Mitarbeiter

Datenschutz verstehen – Internet-Nutzung durch Mitarbeiter

Ein wichtiger Bestandteil von organisatorischen Maßnahmen zum Datenschutz sind unternehmensinterne Richtlinien. Durch diese soll ein Standard etabliert werden, der von allen Mitarbeitern einzuhalten ist. Dies betrifft insbesondere die Nutzung des Internets und der IT, die von dem Verantwortlichen den Mitarbeitern für die Erfüllung ihrer betrieblichen Aufgaben ausgegeben wird. Insbesondere bei der Nutzung des Internets sind gewisse Besonderheiten einzuhalten. Dabei ergeben sich die rechtlichen Rahmenbedingungen nicht nur aus der DSGVO und dem BDSG-neu, sondern partiell auch aus weiteren nationalen Gesetzen, wie z.B. dem Telekommunikationsgesetz (TKG). In unserem Blogbeitrag erfahren Sie, wie Sie die Internet- und E-Mail-Nutzung durch Mitarbeiter Ihres Unternehmens regeln sollten, um datenschutzkonform aufgestellt zu sein.

 

Private Internetnutzung durch Mitarbeiter

Wenn die private Nutzung des Internets, der geschäftlichen E-Mail-Konten und der Telefonanlagen durch die Mitarbeiter von dem Verantwortlichen erlaubt wird, wird der Verantwortliche zum Diensteanbieter i.S.d. Telekommunikationsgesetzes und unterliegt zusätzlich den gesetzlichen datenschutzrechtlichen Bestimmungen des Telemediengesetzes. Daraus ergibt sich die Verpflichtung des Arbeitgebers, das Fernmeldegeheimnis zu wahren (vgl. § 88 TKG). Werden aber dennoch Protokolldaten im Rahmen der Nutzung des Internets erhoben und will der Verantwortliche bzw. Arbeitgeber diese Daten einsehen, ist eine informierte Einwilligung seitens der betroffenen beschäftigten Personen erforderlich. Dies gilt z.B. für die Daten, aus denen der Arbeitgeber erkennen kann, welche Webseiten der jeweilige Beschäftigte besucht hat. Ausnahmen bestehen lediglich für bestimmte Bereiche, wie z.B. Maßnahmen zum Schutz von technischen Systemen. Hierzu gehört etwa das Erkennen von technischen Fehlern von Telekommunikationsanlagen oder die Beseitigung von Störungen in diesem Zusammenhang (vgl. §§ 88 Abs. 3, 91 ff. TKG).

 

Einwilligungserfordernis und Strafbarkeitsrisiko für Verantwortliche

Eine private Nutzung des Internets durch Beschäftigte des Arbeitgebers darf daher nur mit einer informierten Einwilligung nach den gesetzlichen Vorgaben der DSGVO erfolgen. Ansonsten dürfen keine Daten, wie z.B. Protokollierungsdaten, erhoben werden. Ohne Einwilligung dürfen derartige Daten nicht oder lediglich komplett anonymisiert erhoben werden. Bevor Einwilligungen mit den Beschäftigten abgeschlossen werden, sollte zuvor eine Betriebsvereinbarung (Richtlinie) abgeschlossen werden, durch die die Basis für die Einwilligungserklärung geschaffen wird. Beschäftigte sollten zudem die Gelegenheit erhalten, Einsicht in die Betriebsvereinbarung zu nehmen. Die Protokollierung der privaten Internetnutzung und eine Auswertung der Protokolldaten darf daher nur auf Basis einer informierten Einwilligung i.S.d. DSGVO erfolgen, und dass lediglich bei einem konkreten Verdacht eines Verstoßes gegen Verhaltensvorschriften, z.B. aus der Betriebsvereinbarung bzw. der jeweiligen Richtlinie. Zusätzlich sollte in diesem Zusammenhang das 4-Augen-Prinzip etabliert werden. Zu beachten ist, dass sich der Arbeitgeber bei einer Verletzung des Fernmeldegeheimnisses gem. § 206 StGB strafbar machen kann.

 

Nutzung von geschäftlichen E-Mail-Konten durch Mitarbeiter

Diese Ausführungen gelten auch für die private Nutzung des betrieblichen E-Mail-Accounts: Sofern die private Nutzung der geschäftlichen E-Mail-Konten erlaubt sein soll, benötigen Arbeitgeber eine Einwilligung seitens der betroffenen Personen, da aufgrund des Fernmeldegeheimnisses gem. § 88 TKG ansonsten kein Zugriff auf die E-Mails, sei es im Postfach oder in der Archivierung, erlaubt ist und hier ebenfalls die Gefahr besteht, im Fall der Verletzung des Fernmeldegeheimnisses gem. § 88 TKG eine Straftat gem. § 206 StGB zu begehen.

Um der Nachweispflicht für die Einhaltung des Datenschutzes gerecht zu werden (vgl. Art. 5 Abs. 2 DSGVO), sollten Richtlinien bzw. Betriebsvereinbarungen dieser Art dringend von den Mitarbeitern gegengezeichnet werden.

Die informierte Einwilligungserklärung muss schriftlich oder elektronisch von den betroffenen Personen eingeholt werden. Diese Voraussetzung kann nicht durch eine konkludente Nutzung erfüllt werden. Auch die erforderlichen Informationen nach Art. 7, 8, 12 ff. DSGVO müssen zum Zeitpunkt der Erhebung der Daten mitgeteilt werden, vgl. Art. 13 Abs. 1 DSGVO.

Zudem müssen Mitarbeiter genau darüber informiert werden, welche personenbezogenen Daten über die Nutzung des Internets, z.B. durch die Protokollierung gesperrter Aktivitäten oder die allgemeine Nutzungsprotokollierung über die Firewall oder den jeweiligen Proxy-Server, gespeichert werden. Für die E-Mail-Nutzung können in der gleichen Vereinbarung auch Regelungen für z.B. Urlaubszeiten oder Vertretungen getroffen werden.

 

Folgen unzulässiger Gestattung der Internetnutzung

Falls die gesetzlichen Vorgaben der DSGVO bezüglich der datenschutzkonformen Internet- und E-Mail-Nutzung nicht berücksichtigt werden, drohen Bußgelder in Höhe von bis zu 10 bzw. 20 Mio. Euro oder von bis 2 bzw. 4 Prozent des gesamten weltweit erzielten Jahresumsatzes, je nachdem, welcher der Beträge höher ist, vgl. Art. 83 Abs. 4 und Abs. 5 DSGVO. 

Darüber hinaus sind im Fall der Erlaubnis der privaten Internet- und E-Mail-Nutzung durch Mitarbeiter Verstöße gegen das Fernmeldegeheimnis gem. § 88 TKG naheliegend bzw. bereits einschlägig. Als Dienstanbieter i.S.d. TKG ist es untersagt, sich oder Dritten über das für die Bereitstellung des Internet- und E-Mail-Dienstes erforderliche Maß, wozu auch der technische Schutz der betroffenen Systeme gehört, Informationen bezüglich des Inhalts der Kommunikation zu verschaffen. Zudem kann in diesem Zusammenhang auch der Straftatbestand des § 206 StGB erfüllt sein.

 

Internet und E-Mail Betriebsvereinbarungen

Insgesamt empfehlen wir daher die schriftliche Regelung der Internet- und E-Mail-Nutzung. Für die Anfertigung der entsprechenden Dokumente ist der Datenschutzbeauftragte der richtige Ansprechpartner. Ihr Datenschutzbeauftragter erstellt eine datenschutzkonforme Vereinbarung für die Nutzung des Internets und der E-Mail-Konten, in welcher die Voraussetzungen der DSGVO und des TKG berücksichtigt werden. Diese Vereinbarung sollten Verantwortliche allen Mitarbeitern zur schriftlichen Gegenzeichnung vorlegen. Wir empfehlen, die private Nutzung des betrieblichen Internets und der geschäftlichen E-Mail-Konten durch Mitarbeiter aufgrund der dargelegten Gründe nicht zu gestatten.

Menü