Kein Recht auf Überwachung
Artikel erschienen in Swiss IT Magazine 2004/19
Auf Drängen seiner Angestellten hatte Kleinunternehmer Jansen vor einigen Monaten das Firmennetzwerk mittels ADSL mit dem weltweiten Datennetz verbinden lassen. Doch jetzt scheint nichts mehr wie früher: Das System ist merklich langsamer geworden, Abstürze sind an der Tagesordnung, und die Mitarbeiter waren auch schon produktiver. Eine Überprüfung durch einen Netzwerkspezialisten bringt es an den Tag: Im System wimmelt es nur so von Viren, Würmern und Trojanern. Auf den Festplatten stapeln sich Berge von pornographischem Material, Netzwerkspielen und gerippten DVDs. Am liebsten würde Jansen das Experiment gleich wieder beenden und seinen Angestellten den Gebrauch von Internet und E-Mail vollständig verbieten.
Ob die Angestellten Zugriff auf Internet und E-Mail haben, kann der Arbeitgeber in der Tat selbst bestimmen – dies gehört zu seinem Weisungsrecht gegenüber den Arbeitnehmern. Oftmals bestehen aber keine spezifischen Regeln für die Benutzung von Telekommunikationsmitteln am Arbeitsplatz. Dann können die Angestellten davon ausgehen, dass sie in «vernünftigem Umfang» gestattet ist. Dazu hat ein deutsches Arbeitsgericht kürzlich entschieden, dass 80 Stunden privates Internetvergnügen am Arbeitsplatz innerhalb eines Jahres noch keine fristlose Kündigung rechtfertigen.
Ein Arbeitgeber, der diese «gewohnheitsrechtliche» Nutzung verhindern will, muss deshalb den privaten Gebrauch des Internet ganz verbieten, sie so detailliert wie möglich regeln oder lediglich auf Zusehen hin erlauben. Ein totales Verbot dürfte aber gerade in der heutigen Informationsgesellschaft weder sinnvoll noch zweckmässig sein. Angestellte müssen die Möglichkeit haben, in vernünftigem Rahmen ihr Privatleben auch vom Arbeitsplatz aus zu organisieren. Dies geschieht heute ebenso häufig über Internet und E-Mail wie über das Telefon.
Anders als die Regelung der Internetnutzung wirft die Überwachung des Netzwerkverkehrs durch den Arbeitgeber einige rechtliche Probleme auf. Da die Rechtslage sowohl in der Schweiz wie auch in Europa noch nicht gefestigt ist, wissen die Unternehmen nicht genau, wie mit dem Thema Internet am Arbeitsplatz rechtlich korrekt umzugehen ist. Für die Schweiz finden sich die rechtlichen Grundlagen in Art. 26 der Verordnung 3 zum Arbeitsgesetz (ArGV 3), in Art. 328b OR und im Datenschutzgesetz (DSG). Gerade die letzten beiden Normen beziehen sich aber nicht auf eine spezifische Form der Überwachung und Datenbearbeitung und müssen deshalb im Sinne der elektronischen Überwachung interpretiert werden.
Art. 26 ArGV 3 bestimmt, dass Überwachungs- und Kontrollsysteme, die das Verhalten der Arbeitnehmer am Arbeitsplatz überwachen sollen, nicht eingesetzt werden dürfen. Diese Bestimmung lässt sich ohne weiteres auf das Firmennetzwerk anwenden. Art. 328b OR bestimmt, dass der Arbeitgeber Daten nur bearbeiten darf, wenn sie sich auf die Eignung des Arbeitnehmers für das Arbeitsverhältnis beziehen oder zur Durchführung des Arbeitsvertrages erforderlich sind. Daneben kümmert sich auch das DSG subsidiär um den Schutz der Persönlichkeit der Angestellten. Die personenbezogene Überwachung muss deshalb klar geregelt sein.
Die Angestellten haben ein Recht zu wissen, dass Protokolle und Logdateien erstellt werden und diese personenbezogen ausgewertet werden können. Die Überwachung muss in einer ersten Phase immer anonym erfolgen. Erst bei genügend Hinweisen auf einen Missbrauch darf die Auswertung tatsächlich personenbezogen erfolgen. Voraussetzung für einen Missbrauch ist aber, dass die Angestellten wissen, in welchem Umfang sie das Internet am Arbeitsplatz benutzen dürfen. Ist diesbezüglich nichts geregelt, wird sich eine personenbezogene Überwachung schwerlich rechtfertigen lassen.
Besteht aber eine Nutzungsregelung und sind Missbräuche festgestellt worden, so folgt als erster Schritt die Information der Angestellten, dass nun auf Grund missbräuchlicher Verwendung des Computersystems personenbezogen kontrolliert wird. Ist der Täter eruiert oder sind keine Missbräuche mehr entdeckt worden, so ist die personenbezogene Überwachung unverzüglich einzustellen. Bei strafrechtlich relevanten Verstössen ist schliesslich zu beachten, dass dies dem Arbeitgeber grundsätzlich keine weitläufigeren Rechte zur Überwachung einräumt, diese sind ausschliesslich den Strafverfolgungsorganen vorbehalten.
Effizienter als die Bestrafung des Missbrauchs ist natürlich die Prävention des Missbrauchs, also die rechtliche und technische Regelung der Internetnutzung. Ist diese minutiös auf die konkreten betrieblichen Bedürfnisse zugeschnitten, lässt sich allein schon dadurch in vielen Fällen eine personenbezogene Überwachung vermeiden. Primär ist Zweck und Umfang der Nutzung zu regeln, aber auch deren Inhalt: So kann beispielsweise die Nutzung von Inhalten, die pornographisch, rassistisch oder gewaltverherrlichend sind, verboten werden. Ebenfalls zu regeln ist nebst der Nutzung von WWW und E-Mail auch diejenige anderer Dienste wie Webmail, Instant-Messengers und Filesharing-Programmen, die einerseits die Gefahr mit sich bringen, Schadprogramme einzuschleusen, andererseits, im Falle der Filesharing-Programme, erheblich Bandbreite konsumieren können. Dieses Nutzungsreglement muss den Angestellten natürlich auch noch rechtsverbindlich zur Kenntnis gebracht werden. Am besten wird es als Anhang in den Arbeitsvertrag aufgenommen oder als Zusatzvereinbarung von den Angestellten unterzeichnet. Denkbar ist auch eine Lösung analog zu den Allgemeinen Geschäftsbedingungen in Online-Shops, so dass die Angestellten vor der Nutzung des Systems die Nutzungsbedingungen per Mausklick anerkennen und akzeptieren müssen.
Diese vertragliche Regelung ist noch kein Garant für die rechtskonforme Benutzung des Computersystems durch die Angestellten. Auch technische Massnahmen können und sollten ihren Beitrag dazu leisten. So kann die Gefahr, dass Angestellte eigenmächtig Software installieren, damit gebannt werden, dass der physische Zugriff mittels Laufwerksperren blockiert wird oder Benutzerrechte so restriktiv wie möglich vergeben werden. Auch das Sperren von ausführbaren Attachments oder der Einsatz von Filtersoftware und Virenscannern schränkt die Möglichkeit des Missbrauchs bereits von vornherein stark ein.