Internet am Arbeitsplatz - klare Regeln verhindern Missbräuche
Es ist Sache der Geschäftsleitung, Regeln über die Internetnutzung am Arbeitsplatz aufzustellen und zu kontrollieren, ob diese eingehalten werden. Allerdings gibt es Grenzen für die Kontrollmöglichkeiten.
Arbeitgeber können und sollten ihr Weisungsrecht nach Art. 321d OR ausüben und eine schriftliche Nutzungsregelung für das Internet herausgeben. Zwar sind auch mündliche Regelungen verbindlich, aber im Streitfall schwer nachzuweisen. Am besten händigt man allen Angestellten ein schriftliches Exemplar der Nutzungsregelung aus und lässt sie den Empfang quittieren. Sinnvoll ist es auch, die Internet-Nutzungsregelung bei Abschluss des Arbeitsvertrages als dessen Bestandteil zu deklarieren.
Wenn die Nutzung von sozialen Netzwerken am Arbeitsplatz nicht ausdrücklich verboten wird, können Angestellte davon ausgehen, dass sie erlaubt ist. In der Nutzungsregelung sollte festgelegt sein, ob die private Benutzung von Internet und Mail zugelassen, eingeschränkt oder ganz verboten wird. Einschränkungen sollten so definiert werden, dass eine Selbstkontrolle einfach ist.
Zu regeln ist auch, welche sozialen Netzwerke im Unternehmen genutzt werden dürfen und welche nicht. Der wirksamste Schutz gegen Angriffe über Internet sind nicht Verbote sondern Information über die Gefahren des Internet, wobei man mit Vorteil auch die Freelancer einbezieht.
Sorgfaltspflicht der Angestellten
Bei der Nutzung des Internet haben die Angestellten die Sorgfalts- und Treuepflicht (Art. 321a OR) zu beachten. Surfen zu beruflichen Zwecke ist erlaubt. Als unverhältnismässig und als Verstoss gegen die Treuepflicht gilt überdurchschnittliches privates Surfen während der Arbeitszeit. Angestellte haften nur für vorsätzlich oder grobfahrlässig herbeigeführte Schäden, wenn keine Nutzungsregelung besteht.
Die Angestellten müssen bei der Internetnutzung darauf achten, dass keine Störungen durch Viren usw. entstehen. Rechtlich geschützte Interessen des Arbeitgebers, wie Ruf, Fabrikations- und Geschäftsgeheimnisse oder Datenschutz sind zu beachten. Die Speicherkapazität darf beim Surfen nicht überfordert werden.
Als missbräuchlich gilt je nach Nutzungsreglement z.B. das Surfen auf Web-Seiten, die keine berufliche Relevanz aufweisen, oder das private Surfen, wenn es ausdrücklich verboten wurde. Der wegen der technischen Schutzmassnahmen misslungene Versuch, auf gesperrte Internetseiten zuzugreifen, stellt hingegen keinen Missbrauch dar. Als unverhältnismässig und als Verstoss gegen die Treuepflicht gilt überdurchschnittliches Surfen während der Arbeitszeit.
Für den technischen Sicherheitsschutz hat der Arbeitgeber zu sorgen. Um Angriffe auf die internen Programme zu vermeiden, kann man für Intranet und Internet unterschiedliche Server benützen, die keinesweg kostspielig sein müssen. Im Reglement muss dann natürlich die Vorschrift bestehen, dass die Systeme getrennt bleiben müssen. Eine andere technische Massnahme ist, dass die Angestellten bestimmte Informationen nicht auf externe Datenträger speichern dürfen, bzw. dass man den Zugang für USB-Sticker versiegelt.
Kontrollmöglichkeiten
Bei der Auswertung einer Protokollierung geht es um eine übersichtliche Analyse von protokollierten Aktivitäten nach bestimmten, vordefinierten Kriterien. Die Auswertung wird durch ein dafür vorgesehenes Programm erzeugt.
Bei der anonymen Auswertung geht es um die statistische Analyse der Protokollierungen, z.B. nach dem Kriterium der meistbesuchten Internet-Seiten oder nach der Anzahl gesendeter E-Mails. Um die Anonymität zu gewährleisten, hat die untersuchte Personenmenge genügend gross zu sein.
Bei der pseudonymen Auswertung geht es um ein Protokollierungsanalyse nach pseudonymisierten, bestimmbaren Personen, z.B. die meist besuchten Internet-Seiten pro pseudonymisierte Person. Das Pseudonym muss genügend robust sein, um die Identität der betroffenen Persone in der Phase der nichtpersonenbezogenen Überwachung zu schützen.
Bei der namentlichen Auswertung wird das Pseudonym mit der Korrespondenzliste verknüpft. So lässt sich die Identität der betroffenen Person ermitteln. Am besten bewahrt man die Auswertungen der Protokollierungen von der Korrespondenzliste getrennt auf.
Privatsphäre ist geschützt
Nach Art. 328b OR darf der Arbeitgeber Daten über Angestellte nur bearbeiten, soweit sie deren Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrages erforderlich sind.
Eingehende geschäftliche E-Mails, wie z.B. Anfragen von Kunden, dürfen von den Vorgesetzten kontrolliert werden. Diese dürfen die E-Mail-Briefkästen abwesenden Mitarbeitender ansehen, sollte diese aber vorher informieren. Wenn die private Natur eines E-Mails aufgrund der Adressierungselemente nicht erkennbar und nicht anzunehmen ist, darf man davon ausgehen, dass das E-Mail beruflich ist.
Wenn bei einer Stichprobe der Verdacht entsteht, dass ein Angestellter gegen ein Verbot des privaten E-Mail-Gebrauchs verstossen hat, dann muss dies aufgrund der Adressierung des E-Mails festgestellt werden. Ist dies nicht möglich, muss man den Angestellten fragen, ob ein E-Mail privat ist oder nicht. Der Arbeitgeber darf private E-Mails nicht lesen, was übrigens auch für Privatbriefe gilt.
Verhältnismässige Sanktionen
Sanktionen können Abmahnungen, Sperrungen des Internetzugriffs, Schadenersatzforderungen, Lohnkürzungen oder Versetzungen sein. In extremen Fällen,
Die Sanktionen müssen der Schwere des jeweiligen Missbrauches angepasst und in ihrem Umfang bereits im Überwachungsreglement bestimmt oder bestimmbar sein. Sofortige Sanktionen, wie z.B. die Kündigung eines Angestellten, weil er zuviel gesurft hat, gelten normalerweise als unverhältnismässig.
Wenn der Arbeitgeber im Rahmen einer anonymen Kontrolle den konkreten Verdacht schöpft, dass eine Straftat per Internet oder E-Mail begangen wurde, so kann er die entsprechenden Beweise sichern, am besten durch einen Spezialisten (forensic computing scientist). Voraussetzung für die Kontrolle ist, dass der Arbeitgeber vorhat, die verdächtige Person anzuzeigen. Die Strafverfolgung bleibt immer den Strafjustizbehörden vorbehalten. Will der Arbeitgeber keine Anzeige erstatten, bleiben die Regeln der arbeitsrechtlichen Überwachung und der entsprechenden Sanktionen gültig.
Rechte der Angestellten
Die Persönlichkeitsverletzung eines Angestellten durch einen anderen Arbeitnehmer ist Sache der betroffenen Person und der Ziviljustiz. Der Arbeitgeber hat jedoch das Recht, selber die Identität der fehlbaren Person herauszufinden, wenn gegen das Nutzungsreglement verstossen wird.
Wenn ein Arbeitnehmer der Ansicht ist, dass er vom Arbeitgeber auf eine unerlaubte Art kontrolliert wird, kann er beim Arbeitsgericht gegen den Arbeitgeber wegen Persönlichkeitsverletzung klagen. Strafrechtlich kann der Arbeitnehmer gegen den Arbeitgeber bei den zuständigen Behörden wegen Verletzung der Privatsphäre oder wegen unbefugtem Beschaffen von Personendaten vorgehen.
Den "Leitfaden Internet- und E-Mail-Überwachung am Arbeitsplatz" vom Eidgenössischen Datenschutz- und Öffentlichkeitsbauftragter (EDÖB) können Sie hier herunterladen.
(17.01.2011)