Die Internetnutzung am Arbeitsplatz scheint für viele IT-Verantwortliche das Sorgenkind Nummer eins zu sein. Dies, wenn man der kürzlich veröffentlichten Studie der Firma Websense Glauben schenkt, die über 400 IT-Verantwortliche in ganz Europa zur aktuellen Bedrohungslage in ihren Netzwerken befragte. Über 90 Prozent der Befragten sahen die Internetnutzung durch die Belegschaft als grösstes Sicherheitsrisiko für das Firmennetzwerk an. Die Top 3 dabei: privates Surfen, Software-Downloads und Web-basierte E-Mail. Wie lässt sich die Nutzung von Internet- und E-Mail-Diensten durch die Angestellten regeln, wie überwachen?
Primär bestimmt der Arbeitgeber, ob und wie die Angestellten ihren Internetzugang am Arbeitsplatz privat nutzen können. Dies gehört zu seinem Weisungsrecht. In den wenigsten Fällen bestehen aber spezifische Regeln für die Benutzung von Telekommunikationsmitteln am Arbeitsplatz. Haben die Angestellten die Möglichkeit, an ihrem Arbeitsplatz das Internet zu nutzen und wird diese Benutzung nicht geregelt, so kann man davon ausgehen, dass die private Nutzung in einem gewissen Umfang gestattet ist. Angestellte müssen nämlich die Möglichkeit haben, ihr Privatleben in vernünftigem Rahmen auch vom Arbeitsplatz aus organisieren zu können. Dies geschieht heute ebenso häufig über Internet und E-Mail wie über das Telefon.
Der Umfang der privaten Internetnutzung am Arbeitsplatz war in der Schweiz bislang kein Thema von höchstrichterlichen Entscheiden. Anders die deutschen Gerichte, die schon mehrmals darüber entschieden haben. Die fristlose Kündigung einer Mitarbeiterin, welche ohne Vorliegen eines Internetverbots und ohne vorherige Abmahnung erfolgte, wurde dabei als unzulässig angesehen. In einem anderen Fall wurde entschieden, dass die private Internetnutzung im Umfang von 80 Stunden pro Jahr als zulässig angesehen werden muss, sofern keine verbindlichen Nutzungsrichtlinien bestehen.
Während die Regelung der Benutzung grösstenteils in der Kompetenz des Arbeitgebers steht, sind bei der Überwachung der Internetnutzung einige gesetzliche Vorschriften zu beachten. Diese gesetzlichen Grundlagen finden sich in Art. 26 der Verordnung 3 zum Arbeitsgesetz (ArGV 3), in Art. 328b OR und im Datenschutzgesetz (DSG). Die beiden letztgenannten Normen halten fest, dass der Arbeitgeber Personendaten der Angestellten nur unter Wahrung des Zweck- und Verhältnissmässigkeitsprinzips erheben darf.
Art. 26 ArGV 3 bestimmt konkreter, dass Überwachungs- und Kontrollsysteme, die das Verhalten der Arbeitnehmer am Arbeitsplatz überwachen sollen, nicht eingesetzt werden dürfen. Diese Bestimmung lässt sich auch auf die Überwachung des Internetzugangs der Angestellten anwenden. Eine ständige personenbezogene Überwachung mittels Logdateien oder entsprechender Spionage-Software wie beispielsweise sogenannter "Keylogger" ist somit gesetzlich nicht zulässig. Zulässig sind dafür anonyme, stichprobenartige Kontrollen.
Die personenbezogene Überwachung sollte klar geregelt sein. Die Angestellten haben ein Recht zu wissen, dass Protokolle und Logdateien erstellt werden und diese personenbezogen ausgewertet werden können. Die Überwachung muss deshalb in einer ersten Phase anonym erfolgen. Erst bei Hinweis auf einen Missbrauch darf die Auswertung tatsächlich personenbezogen erfolgen. Bei Unternehmen, in denen Mitarbeiter immer die gleiche Arbeitsstation benutzen und die IP-Adresse der einzelnen Stationen bekannt ist, erweist sich aber die anonyme Kontrolle als schwieriges Unterfangen. Schon die Logdatei einer Firewall oder einer Software, die den gemeinsamen Internetzugriff zulässt, kann in dieser Situation die genaue Rekonstruktion der Internetzugriffe ermöglichen. In jedem Fall tabu sind für den Arbeitgeber private E-Mails.
Doch nicht nur Arbeitgeber sind unsicher, in welchem Umfang sie ihre Angestellten überwachen dürfen. Für viele Angestellten stellt sich die Frage, ob der Überwachung mit "Abwehrmassnahmen" entgegengetreten werden darf, beispielsweise mit Programmen, die Spionage-Software unschädlich machen.
Solange die Überwachung sich an die gesetzlichen Regeln hält, dürften Abwehrmassnahmen der Angestellten unzulässig sein. Hat der Angestellte aber Kenntnis von der illegalen Überwachung und hat er seinen Arbeitgeber vergeblich darauf hingewiesen, diese illegale Überwachung einzustellen, so können "Notwehrhandlungen" gerechtfertigt sein. Es ist jedoch den Angestellten vielfach nicht bekannt, dass gewisse Bereiche bereits aus technischen Gründen von der Überwachung ausgeschlossen bleiben. Kaum zu realisieren ist nämlich die Überwachung von Inhalten, die über verschlüsselte Internetverbindungen (HTTPS) übertragen werden, was beispielsweise beim E-Banking der Fall ist.
Bevor sich der Arbeitgeber zum Ziel setzt, den Missbrauch seiner EDV-Anlage mittels Überwachung zu verhindern, sollte er sich zuerst Gedanken über Präventionsmassnahmen machen. Dabei steht die rechtliche und technische Regelung der Nutzung im Vordergrund. Mit einem verbindlichen Reglement, das Zweck und Umfang der Internetnutzung regelt, lässt sich in vielen Fällen eine personenbezogene Überwachung vermeiden. Nebst Internet und E-Mail darf nicht vergessen werden, dass die Nutzung von Webmail, Instant-Messengers und Filesharing-Programmen ebenfalls geregelt werden sollte. Dieses Reglement kann ein Bestandteil des Arbeitsvertrages sein, es könnte aber auch so in das EDV-System integriert werden, dass die Angestellten vor der Nutzung des Computersystems das Reglement per Mausklick akzeptieren müssen.
Technische Massnahmen, die den Missbrauch verhindern können, sollten nicht vernachlässigt werden. Es liegt in der Verantwortung des Arbeitgebers, mittels Vergabe von Benutzerrechten, dem Sperren von ausführbaren Attachments und dem Einsatz von Filtersoftware, Virenscanner und Fire-wall die Möglichkeit des Missbrauchs bereits auf technischer Ebene einzuschränken.
Kürzlich haben die Kantone Luzern, Zug und Zürich Verordnungen erlassen, welche unter Einbezug der datenschutzrechtlichen und sicherheitstechnischen Rahmenbedingungen die Benutzung von elektronischen Kommunikationsmitteln durch Arbeitnehmende der öffentlichen Verwaltung regeln. Diese Verordnungen können natürlich auch für entsprechende Regelungen im privatrechtlichen Arbeitsverhältnis als gutes Vorbild dienen.
Der Autor Lic. iur. Christian Leupi ist Rechtsanwalt bei Kaufmann Rüedi & Partner in Luzern.
