IT-SOLUTIONS
IT-SOLUTIONS
IT-SOLUTIONS
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Mitarbeitender illegale Internetseiten am<br />
Arbeitsplatz besucht. Und kaum eine Organisation<br />
will aufgrund einer Straftat<br />
eines Mitarbeitenden in den Schlagzeilen<br />
erscheinen.<br />
Ungeschriebene Gesetze und<br />
Spionprogramme führen aufs Glatteis<br />
Die Frage, was Mitarbeiter am Bürocomputer<br />
dürfen und was nicht, beschäftigt<br />
beinahe jedes Unternehmen. Wie aber<br />
gehen Arbeitgeber mit diesem heissen<br />
Eisen um? Es gibt zwei Tendenzen: Viele<br />
Arbeitgeber tolerieren stillschweigend die<br />
private Internetnutzung ihrer Mitarbeiter,<br />
solange die Arbeit nicht darunter leidet<br />
und Beschäftigte ihr Sonderrecht nicht zu<br />
strafbaren Zwecken missbrauchen.<br />
Das andere Extrem sind zweifelhafte Kontrollmassnahmen<br />
wie namentliche Auswertungen<br />
von Computerprotokollen oder<br />
das Einsetzen von Spionprogrammen.<br />
Diese werden in der Regel ohne Information<br />
der betroffenen Personen angewandt<br />
und ermöglichen eine permanente<br />
und detaillierte Überwachung aller Aktivitäten<br />
am elektronischen Arbeitsplatz. Damit<br />
verstossen Spionprogramme gegen<br />
das Verhaltensüberwachungsverbot.<br />
Richtig einspuren<br />
– mit technischen Schutzmassnahmen<br />
Doch anstatt die Mitarbeitenden mit<br />
zweifelhaften Programmen zu überwachen<br />
und sich rechtlich auf dünnem Eis zu<br />
bewegen, sollte der Arbeitgeber seine Bemühungen<br />
auf die Prävention richten.<br />
Dies verordnet das Datenschutzgesetz mit<br />
den «technischen und organisatorischen<br />
Schutzmassnahmen» 1 . Die Auslegung dieser<br />
Massnahmen überlässt der Gesetzgeber<br />
dem Arbeitgeber.<br />
Der Einsatz von technischen Massnahmen<br />
warnt den Arbeitgeber frühzeitig<br />
über mögliche Gefahren für die Sicherheit<br />
und Funktionstüchtigkeit des elektronischen<br />
Systems vor. Bei den technischen<br />
Schutzmassnahmen wird unterschieden<br />
zwischen präventiven und repressiven<br />
Massnahmen. Zu den präventiven Massnahmen<br />
zählen der Passwort- und Zugriffsschutz,<br />
die Verschlüsselung besonders<br />
schützenswerter Daten sowie Anti-<br />
1 Verordnung zum Bundesgesetz über den<br />
Datenschutz (VDSG), 4. Abschnitt: Technische und<br />
organisatorische Massnahmen<br />
(Stand am 1. Januar 2008)<br />
Kontrollmassnahmen wie Auswertungen<br />
von Computerprotokollen oder das Einsetzen<br />
von Spionprogrammen ermöglichen<br />
die Überwachung aller Aktivitäten am<br />
elektronischen Arbeitsplatz.<br />
virusprogramme, Backups und Firewalls,<br />
aber auch die Sperrung des Zugangs zu<br />
bestimmten Websites. Diese Schutzmassnahmen<br />
sollten gemäss dem letzten<br />
Stand der Technik aktualisiert sein. Eine<br />
absolute technische Sicherheit ist zwar<br />
noch visionär, doch lassen sich mithilfe<br />
präventiver Schutzmassnahmen unerwünschtes<br />
Surfen und damit Risiken in<br />
Schach halten.<br />
Heikler dagegen sind repressive Massnahmen,<br />
nämlich die verschiedenen Mittel der<br />
Mitarbeiterüberwachung. Der Markt für<br />
visuelle PC-Überwachung für Büro und Zuhause<br />
ist breit. Die Überwachungs systeme<br />
sind heute dahingehend ausgereift, dass<br />
sie eine vollumfängliche visuelle Überwachung<br />
aller PC-Aktivitäten ermöglichen.<br />
Unter der Aufzeichnung «aller PC-Aktivitäten»<br />
ist die Erfassung jeder gestarteten<br />
Anwendung zu verstehen wie die Aufnahme<br />
jeder besuchten Internetseite, jeder<br />
E-Mail, jedes Druckauftrags und sogar<br />
jedes Suchbegriffs. Spätestens da geht die<br />
Alarmglocke des Datenschützers los: Der<br />
Einsatz solcher Überwachungssysteme als<br />
Spionprogramme ist rechtlich verboten<br />
Schon die namentliche Über wachung ist<br />
nur bedingt zulässig und sollte weitgehend<br />
durch präventive Vorkehrungen ersetzt<br />
werden.<br />
Doppelt genäht hält besser:<br />
die Nutzungs- und Überwachungsregelung<br />
Der Gesetzgeber hat bisher keine einheitlichen<br />
Grundsätze aufgestellt, die die<br />
Obergrenze des privaten Aufenthalts am<br />
Arbeitsplatz im Internet bemessen. Auch<br />
schreibt er nicht vor, ob am Arbeitsplatz<br />
privat gesurft werden darf oder nicht.<br />
Deshalb ist es unabdingbar, nach dem<br />
Treffen technischer Vorkehrungen, organisatorische<br />
Massnahmen zu beschliessen,<br />
dies anhand einer Nutzungs- und Überwachungsregelung.<br />
Eine solche Regelung<br />
schafft klare Verhältnisse zwischen Arbeitgeber<br />
und Arbeitnehmer. Ausserdem ist<br />
eine Nutzungs- und Überwachungsregelung<br />
sogar zwingende Voraussetzung, will<br />
<strong>IT</strong>-Recht <strong>IT</strong>-<strong>SOLUTIONS</strong><br />
der Arbeitgeber sich die Möglichkeit offenhalten,<br />
einen Angestellten bei Verdacht<br />
auf Missbrauch zu überwachen. Bei Missbrauch<br />
der Computerinfrastruktur dient<br />
die Regelung als Beweisgrundlage für die<br />
Kündigung. Genau hier haben Verwaltungen<br />
die Nase vorn: So haben zum Beispiel<br />
die Kantone Glarus, Basel-Landschaft<br />
und Nidwalden genaue Anweisungen für<br />
ihre Mitarbeitenden, wie sie mit Informatikmitteln<br />
umzugehen haben. Mitarbeiter,<br />
die Informatikmittel nutzen und<br />
Zugang zum Intranet, Internet oder E-Mail<br />
haben, unterzeichnen eine Erklärung mit<br />
der sie bestätigen, dass sie die Weisungen<br />
zur Kenntnis genommen haben und sich<br />
über die möglichen straf-, zivil- und personalrechtlichen<br />
Folgen eines Missbrauchs<br />
bewusst sind.<br />
Aus Beweisgründen sollte die Regelung<br />
schriftlich erfolgen. Die Beschäftigten<br />
sollten das Schriftstück datieren und unterzeichnen.<br />
Das ist der Nachweis, dass<br />
die Mitarbeiter ihre Rechte und Pfl ichten<br />
kennen und über die Schutz- und Kontrollmassnahmen<br />
des Betriebs informiert<br />
sind. Am besten sollte der Inhalt der Regelung<br />
in Form einer Mitarbeiterschulung<br />
mündlich erklärt werden.<br />
Eine ausführliche Vorlage einer Nutzungs-<br />
und Überwachungsregelung hat der eidgenössische<br />
Datenschutz- und Öffentlichkeitsbeauftragte<br />
ausgearbeitet 2 . Siehe<br />
dazu «Checkliste Nutzungsregelung» auf<br />
Seite 21.<br />
2 www.edoeb.admin.ch; Website des eidgenössischen<br />
Öffentlichkeits- und Datenschutzbeauftragten;<br />
siehe hierzu den Aufsatz «Leitfaden<br />
über Internet – und E-Mail-Überwachung am<br />
Arbeitsplatz»<br />
SKR 2/10 19