Überwachung von E-Mail und Internet am Arbeitsplatz: Ein Spannungsfeld zwischen Arbeitgeber und Mitarbeitenden

von Julia Voronkova

Seitdem das Internet die Arbeitswelt revolutioniert hat, ist der Arbeitsalltag ohne das World Wide Web und E-Mail nahezu undenkbar. In solchem Verherrlichungsdenken darf jedoch Eines nicht vergessen gehen: Das Internet ist keine gefahrenfreie Zone. Ob aus Unwissenheit oder aus Mutwilligkeit, die illegale Nutzung von Internet und E-Mail kann Unternehmen teuer zu stehen kommen. Erstaunlich eigentlich, dass in vielen Betrieben keinerlei Vereinbarungen mit den Mitarbeitenden über die Nutzung von E-Mail, Internet und Intranet bestehen. Nicht so bei den kantonalen Verwaltungen. Unsere Umfrage zeigt: Viele Verwaltungen haben ein striktes Benützungsreglement für ihre Mitarbeitenden und den Zugriff auf Community-Seiten gar gesperrt. Fehlende Sicherheit und Zeitverlust während der Arbeit sind die meistgenannten Gründe dafür.

Mehrere Stunden schon hat Hinz bei der Arbeit vor seinem Computer verbracht, die Statistiken sind endlich fertig. Bevor es zur nächsten Aufgabe geht, hat er sich einen kurzen Abstecher ins private E-Mail-Postfach verdient. Freund Kunz hat eine Einladung zu seiner Kostümparty geschrieben. Jetzt noch schnell das Perückensortiment auf Ebay durchstöbern. Ob es wohl auch Hawaiihemden hat? Für später, zum Dessert gewissermassen, hebt er sich die Moorhuhnjagd auf. Danach kann er sich immer besser konzentrieren.

Wie Hinz ergeht es vielen Mitarbeitenden in der Schweiz: Denn in der virtuellen Welt ist die Ablenkung nur einen Klick entfernt. Und gibt man der Versuchung täglich ein bisschen nach, ergibt sich schnell einmal ein Arbeitsausfall von 17 Tagen pro Jahr, wie die Studie von Sterling Commerce aus dem Jahr 2008 vorrechnet. Ob solche Onlinepausen tatsächlich als Arbeitsausfall zu werten sind, ist umstritten. Hält sich die Surfpause an die goldene Regel der Vernunft, kann sie sich durchaus als leistungsfördernd erweisen. Öffentliche Verwaltungen gehen da häufig konsequenter vor und wahren durch eine Zugangssperre ihre Mitarbeitenden vor der Versuchung, Social Networking Sites wie Facebook, MySpace oder StudiVZ und Chatprogramme während der Arbeit aufzurufen. So gaben beispielsweise die Kantone Glarus, Uri, Appenzell – Innerrhoden, Solothurn, Thurgau, Schaffhausen, Fribourg und Schwyz an, den Zugang zu Social Networking Sites, Chatprogrammen und Computerspielen gesperrt zu haben.

Weitaus folgenschwerer sind hingegen die möglichen technischen Folgen, die beim übermässigen Surfen entstehen können. Zu viel Surfen kann die Speicherkapazität überfordern, den ganzen Datenverkehr eines Betriebs lahm legen und schlimmstenfalls den gesamten elektronischen Arbeitsplatz blockieren. Denn mit den erlangten Kontaktmöglichkeiten schafft die Internetverbindung ebenso Angriffsmöglichkeiten durch Viren, Würmer oder Trojanische Pferde. Wenig verwunderlich also, dass viele Kantonsverwaltungen die enorme Breitbandbelastung und fehlende Sicherheit als Argumente für die Sperre ausgesprochen haben.

Die Angriffe von aussen gefährden nicht nur die Betriebssicherheit – auch Daten drohen infolge von Computerinfektionen in die Hände Unbefugter zu gelangen. Gerichtsklagen und Imageschäden warten als Folge auf. Der Dolchstoss kann aber auch von innen kommen, wenn ein Mitarbeitender illegale Internetseiten am Arbeitsplatz besucht. Und kaum eine Organisation will aufgrund einer Straftat eines Mitarbeitenden in den Schlagzeilen erscheinen.

Ungeschriebene Gesetze und Spionprogramme führen aufs Glatteis

Die Frage, was Mitarbeiter am Bürocomputer dürfen und was nicht, beschäftigt beinahe jedes Unternehmen. Wie aber gehen Arbeitgeber mit diesem heissen Eisen um? Es gibt zwei Tendenzen: Viele Arbeitgeber tolerieren stillschweigend die private Internetnutzung ihrer Mitarbeiter, solange die Arbeit nicht darunter leidet und Beschäftigte ihr Sonderrecht nicht zu strafbaren Zwecken missbrauchen.

Das andere Extrem sind zweifelhafte Kontrollmassnahmen wie namentliche Auswertungen von Computerprotokollen oder das Einsetzen von Spionprogrammen. Diese werden in der Regel ohne Information der betroffenen Personen angewandt und ermöglichen eine permanente und detaillierte Überwachung aller Aktivitäten am elektronischen Arbeitsplatz. Damit verstossen Spionprogramme gegen das Verhaltensüberwachungsverbot.

Richtig einspuren – mit technischen Schutzmassnahmen

Doch anstatt die Mitarbeitenden mit zweifelhaften Programmen zu überwachen und sich rechtlich auf dünnem Eis zu bewegen, sollte der Arbeitgeber seine Bemühungen auf die Prävention richten. Dies verordnet das Datenschutzgesetz mit den «technischen und organisatorischen Schutzmassnahmen»¹. Die Auslegung dieser Massnahmen überlässt der Gesetzgeber dem Arbeitgeber.

Der Einsatz von technischen Massnahmen warnt den Arbeitgeber frühzeitig über mögliche Gefahren für die Sicherheit und Funktionstüchtigkeit des elektronischen Systems vor. Bei den technischen Schutzmassnahmen wird unterschieden zwischen präventiven und repressiven Massnahmen. Zu den präventiven Massnahmen zählen der Passwort- und Zugriffsschutz, die Verschlüsselung besonders schützenswerter Daten sowie Anti- virusprogramme, Backups und Firewalls, aber auch die Sperrung des Zugangs zu bestimmten Websites. Diese Schutzmassnahmen sollten gemäss dem letzten Stand der Technik aktualisiert sein. Eine absolute technische Sicherheit ist zwar noch visionär, doch lassen sich mithilfe präventiver Schutzmassnahmen unerwünschtes Surfen und damit Risiken in Schach halten.

Heikler dagegen sind repressive Massnahmen, nämlich die verschiedenen Mittel der Mitarbeiterüberwachung. Der Markt für visuelle PC-Überwachung für Büro und Zuhause ist breit. Die Überwachungssysteme sind heute dahingehend ausgereift, dass sie eine vollumfängliche visuelle Überwachung aller PC-Aktivitäten ermöglichen. Unter der Aufzeichnung «aller PC-Aktivitäten » ist die Erfassung jeder gestarteten Anwendung zu verstehen wie die Aufnahme jeder besuchten Internetseite, jeder E-Mail, jedes Druckauftrags und sogar jedes Suchbegriffs. Spätestens da geht die Alarmglocke des Datenschützers los: Der Einsatz solcher Überwachungssysteme als Spionprogramme ist rechtlich verboten Schon die namentliche Überwachung ist nur bedingt zulässig und sollte weitgehend durch präventive Vorkehrungen ersetzt werden.

Doppelt genäht hält besser: die Nutzungs- und Überwachungsregelung

Der Gesetzgeber hat bisher keine einheitlichen Grundsätze aufgestellt, die die Obergrenze des privaten Aufenthalts am Arbeitsplatz im Internet bemessen. Auch schreibt er nicht vor, ob am Arbeitsplatz privat gesurft werden darf oder nicht.

Deshalb ist es unabdingbar, nach dem Treffen technischer Vorkehrungen, organisatorische Massnahmen zu beschliessen, dies anhand einer Nutzungs- und Überwachungsregelung. Eine solche Regelung schafft klare Verhältnisse zwischen Arbeitgeber und Arbeitnehmer. Ausserdem ist eine Nutzungs- und Überwachungsregelung sogar zwingende Voraussetzung, will der Arbeitgeber sich die Möglichkeit offenhalten, einen Angestellten bei Verdacht auf Missbrauch zu überwachen. Bei Missbrauch der Computerinfrastruktur dient die Regelung als Beweisgrundlage für die Kündigung. Genau hier haben Verwaltungen die Nase vorn: So haben zum Beispiel die Kantone Glarus, Basel-Landschaft und Nidwalden genaue Anweisungen für ihre Mitarbeitenden, wie sie mit Informatikmitteln umzugehen haben. Mitarbeiter, die Informatikmittel nutzen und Zugang zum Intranet, Internet oder E-Mail haben, unterzeichnen eine Erklärung mit der sie bestätigen, dass sie die Weisungen zur Kenntnis genommen haben und sich über die möglichen straf-, zivil- und personalrechtlichen Folgen eines Missbrauchs bewusst sind.

Aus Beweisgründen sollte die Regelung schriftlich erfolgen. Die Beschäftigten sollten das Schriftstück datieren und unterzeichnen. Das ist der Nachweis, dass die Mitarbeiter ihre Rechte und Pflichten kennen und über die Schutz- und Kontrollmassnahmen des Betriebs informiert sind. Am besten sollte der Inhalt der Regelung in Form einer Mitarbeiterschulung mündlich erklärt werden.

Eine ausführliche Vorlage einer Nutzungs- und Überwachungsregelung hat der eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte ausgearbeitet².

¹ Verordnung zum Bundesgesetz über den Datenschutz (VDSG), 4. Abschnitt: Technische und organisatorische Massnahmen (Stand am 1. Januar 2008)

² www.edoeb.admin.ch; Website des eidgenössischen Öffentlichkeits- und Datenschutzbeauftragten; siehe hierzu den Aufsatz «Leitfaden über Internet – und E-Mail-Überwachung am Arbeitsplatz»

Checkliste Nutzungsregelung
• Zuerst informiert die Nutzungsregelung über die getroffenen technischen Sicherheitsmassnahmen.
• Danach folgt die Nutzungsregelung. Die zentrale Richtlinie bei der Nutzung von E-Mail und Internet unterbietet, die elektronischen Mittel zu nutzen, wenn dies den Interessen des Unternehmens eindeutig zuwiderläuft oder rechtswidrig ist, zum Beispiel im Falle pornografischer oder rassistischer Inhalte. Darüber hinaus unterscheidet die Regelung den geschäftlichen Gebrauch von E-Mail und Internet von der privaten Nutzung.
- Bei der geschäftlichen Nutzung hält die Regelung fest, in welchem Rahmen Internet und der E-Mail-Verkehr gebraucht werden dürfen.
- Erlaubt die Nutzungsregelung private Nutzung von Internet und/oder E-Mail, sollte sie dafür einen bestimmtenZeitrahmen festlegen (zum Beispiel nach Feierabend).
Des Weiteren ist es empfehlenswert, dass sie:
a) beim Internet den Besuch bestimmter Internetseiten – zum Beispiel die Nutzung von Chatrooms – verwehrt, und
b) beim E-Mail das Schreiben von privaten Nachrichten ausschliesslich über webbasierte Dienste erlaubt (und nicht etwa über das E-Mail Programm des Unternehmens). Dadurch vermeidet der Prüfende das Risiko, bei der Kontrolle betrieblicher E-Mails auf private elektronische Nachrichten zu stossen. Private E-Mails gelten nämlich als schutzwürdiges Gut des Mitarbeitenden und geniessen denselben Schutz wie private Briefpost am Arbeitsplatz.
- Der Arbeitgeber soll sich beim Erstellen einer Nutzungsregelung bewusst sein, dass er individuell festlegen darf, was er c) als Missbrauch definiert und d) wie ein Verstoss sanktioniert wird. Hält ein Mitarbeitender die Nutzungsbedingungen nicht ein, gilt dies als Verstoss und kann als Rechtfertigung für die Überwachung, wie auch für die Kündigung dienen.

Checkliste Überwachungsregelung
Weil der Arbeitgeber den Schutz aller ihm anvertrauten Daten zu verantworten hat, berechtigt das Gesetz ihn grundsätzlich zu systematischer Protokollierung, Registrierung und Archivierung aller Daten, die am Arbeitsplatz ausgetauscht werden. Aber gewusst wie.
Computer, Router, Server und Firewall, die in einem Netzwerk angeschlossen sind, protokollieren programmgesteuert den Grossteil aller Aktivitäten von Nutzern in so genannten Logbüchern. Diese Protokolldateien zeichnen in der Regel Randdaten auf wie «wann hat wer was getan». Die Protokollierungssoftware kann natürlich auch zur Überwachung der Beschäftigten eingesetzt werden. Die Überwachung darf allerdings nur anonym erfolgen.
• In der Überwachungsregelung informiert der Arbeitgeber, dass er in periodischen Zeitabständen eine anonyme Überwachung durchführt, die dazu dient, die Einhaltung von Nutzungsreglementen zu prüfen. Bei der anonymen Überwachung wird stichprobenartig eine zufällige Auswahl von Protokollen verschiedener Mitarbeiter getroffen, anhand welcher der Arbeitgeber kontrolliert, ob die Nutzungsbedingungen eingehalten werden.
• Daraufhin legt der Arbeitgeber offen, wie er nach dem Erkennen eines Missbrauchs vorgehen wird.
- Geschieht der Missbrauch aufgrund eines Mangels an technischen Schutzvorrichtungen, so müssen die Protokolle weiterhin anonym bleiben. Der Arbeitgeber passt die technischen Schutzmassnahmen an, um einen zweiten Anwendungsfall zu verhindern. Unter Umständen muss der Arbeitgeber auch die Nutzungsregelung anpassen.
- Unbedingt informiert der Arbeitgeber seine Angestellten, dass im Falle einer Wiederholung der verbotenen Anwendung trotz technischer Vorrichtung, die personenbezogene Auswertung droht.
- Liegt bei dem Missbrauch der Kommunikationsinfrastruktur bereits eine technische Vorrichtung vor und hat der Arbeitgeber über die Überwachungsbedingungen informiert, so kann der Arbeitgeber ohne Warnung namentliche Auswertungen der Protokollierungen vornehmen. Dies allerdings nur gezielt und für kurze Zeit. Bestätigt sich der Verdacht, muss die Überwachung sofort abgebrochen werden.
• Zuletzt hält der Arbeitgeber die Sanktionen von Verstoss gegen die Nutzungs- und Überwachungsregelung fest. Die Sanktionen können stufenweise ablaufen von technischen Zugangseinschränkungen und Mahnungen bis hin zur Entlassung, Lohnrückforderung oder Schadenersatz.