Thema verfehlt: Private Internetnutzung am Arbeitsplatz
Worum es bei der Debatte um private Internetnutzung am Arbeitsplatz wirklich gehen sollte. Die wichtigsten Fragen und Antworten.
Als Anbieter eines preisgekrönten Internet Access Control Systems sind wir täglich mit den Fragen konfrontiert, die mit Kontrolle des Internetzugangs zu tun haben. Auch die private Nutzung des Firmen-Internets durch Mitarbeiter kommt dabei immer wieder vor. Ganz leicht zu beantworten sind diese Fragen meistens nicht, es handelt sich insgesamt um ein heikles Thema. Je nachdem wer die Frage stellt, liegt auch der Fokus etwas anders.
Welche Fragen beschäftigen Chefs und Angestellte?
Sucht man bei Google nach den Schlagworten „private Internetnutzung am Arbeitsplatz“, erhält man gut 380.000 Treffer, zu „Surfen im Büro“ rund 730.000. Aus Sicht der Arbeitgeber wird gar nicht so oft gefragt, ob man Mitarbeitern den Zugang zu ihren privaten Mails oder sozialen Medien verbieten könne. Die meisten Firmen halten es heute für zeitgemäß, ihren Dienstnehmern diesen Weg der privaten Kommunikation mit ihren Familien, aber auch mit Behörden und Institutionen, grundsätzlich offen zu halten.
Es herrscht jedoch große Unsicherheit über das Ausmaß, das im annehmbaren Rahmen liegt. Wird der Verlust an Arbeitszeit, der dem Unternehmen daraus erwächst, zu groß sein? „Eine E-Mail lesen ist okay, ebenso wie kurz mit der Tochter zu telefonieren oder ein Getränk aus dem Automaten zu holen, aber einkaufen gehen während der Arbeitszeit ist nicht gestattet, wieso soll der Angestellte bei der Arbeit eine Reise buchen?“ Aus der Sicht des Dienstnehmers geht es um den Schutz der Privatsphäre: „Darf der Chef den Browserverlauf auslesen?“ Und beide fragen sich zu Recht: „Kann man daraus einen Kündigungsgrund ableiten?“
Die Kernfragen lassen sich wie folgt zusammenfassen:
- Ist private Nutzung des Internets erlaubt, und wenn ja in welchem Ausmaß?
- Darf sie der Chef auf Firmengeräten verbieten? Und auf Privatgeräten?
- Darf die Internetnutzung des Mitarbeiters überwacht werden?
Wir wollen hier nur kurz auf die Antworten eingehen, denn wie gesagt, sind sie nicht eindeutig, und sowohl Rechtsprechung als auch Gesetzeslage sehen das nicht in allen Ländern gleich. So wird beispielsweise die private Nutzung des Internets am Arbeitsplatz in Österreich als erlaubt wenn nicht ausdrücklich verboten beschrieben, während sie in Deutschland als verboten wenn nicht ausdrücklich erlaubt dargestellt ist.
Eine reine Ermessensfrage, die zusätzliche Unsicherheit verursacht, ist das vertretbare Ausmaß der Internetnutzung. Wenn ein Gesetzgeber den „Grundsatz der Verhältnismäßigkeit“ ins Spiel bringt, ist das ein dehnbarer Begriff, der in der Rechtsprechung nur in extremen Fällen ein vorhersehbares Ergebnis bringt. Und auch die Kontrolle, ob das Surfverhalten des Arbeitnehmers im verhältnismäßigen Rahmen liegt, weist einige Fallstricke auf, wenn nicht Persönlichkeitsrechte verletzt werden sollen. Eindeutiger wird es schon bei den Geräten: Über Firmengeräte darf der Chef verfügen und die private Nutzung untersagen, bei den privaten Geräten des Dienstnehmers ist dies nicht zur Gänze möglich ist.
Und wieso ist damit das Thema verfehlt?
Zweifellos sind dies bedeutende Themen. Doch eine wichtige Frage scheint sich seltsamerweise kaum jemand zu stellen, dabei birgt sie sowohl für Arbeitgeber als auch Arbeitnehmer ein erhebliches Risiko. Sie zu ignorieren kann sehr, sehr teuer werden:
Wer haftet eigentlich für Schäden an sensiblen Daten oder dem Firmennetzwerk?
Mal angenommen, ein Kryptotrojaner hat Firmendaten verschlüsselt. Es entstehen enorme Kosten, viel Ärger, jede Menge Ausfälle während der Wiederherstellungszeit. Die EDV-Abteilung meint, die Infektion sei wohl per E-Mail-Anhang über den privaten Web-Client eines Mitarbeiters gekommen. Die Firma wendet sich nun mit dem Schaden im fünfstelligen Euro-Bereich an die Dienstnehmerhaftpflichtversicherung, doch die winkt ab. Sie „regelt den Ersatz von Schäden, die ein Arbeitnehmer in Erbringung seiner Arbeitsleistung dem Arbeitgeber oder einem Dritten zufügt“ (Quelle: wko.at). Private E-Mails abzurufen gehört streng genommen nicht dazu. Die private Schadenshaftpflichtversicherung wird, falls vorhanden, einen schlüssigen Nachweis verlangen, dass der Versicherte ursächlich für den Schaden verantwortlich war. Können Sie nun nachweisen, wann wer im Internet war und was er oder sie dort gemacht hat? Vielleicht nicht, denn eigentlich wollen Firmen ihre Angestellten nicht wirklich bespitzeln – ganz abgesehen davon, dass Sie das gar nicht in beliebigem Ausmaß dürfen.
Will der Dienstgeber den Schaden nicht selber tragen, bleibt nur noch der Weg zum Zivilgericht. Nicht sehr erfreulich für beide Seiten, das Dienstverhältnis wird so einen Schritt in den seltensten Fällen überstehen, und je nach Schadenshöhe und Auslegung der Rechtsprechung kann sich sogar eine für die private oder unternehmerische Existenz bedrohliche Lage ergeben.
Was also tun, um eine solche Situation gar nicht erst entstehen zu lassen? Den ersten Schritt haben Sie schon getan, indem Sie diesen Artikel lesen. Für die arbeitsbedingte Internetnutzung bieten Firmen bereits eine Reihe von netzwerktechnischen Möglichkeiten auf, die die Sicherheit verbessern. Denken Sie auch an die private Nutzung und behandeln Sie diese User als das, was sie ihrem Wesen nach sind – als Gäste in Ihrem System:
- Definieren Sie klar was erlaubt ist
Dazu gehören Zeiten, maximale Gesamtdauer, eventuell auch Sperren bestimmter Seiten und Aktivitäten. Dies kann im Dienstvertrag definiert werden oder in einer separaten Vereinbarung und idealerweise auch durch die Netzwerk-Infrastruktur abgebildet werden.
- Schaffen Sie einen separaten Gästezugang
Ein Internet Access Control System ist ideal dazu geeignet, jedem User gewisse Zeitfenster, Kontingente, Datenvolumina, Bandbreiten etc. zuzuweisen und einzelne Bereiche oder Seiten komplett abzuriegeln. Bei der IACBOX besteht sogar die Möglichkeit, Nutzergeräte zu identifizieren und den WLAN Bereich vom Access Point bis zum Endgerät zu verschlüsseln.
- Authentifizieren Sie Ihre Nutzer
Dazu müssen Sie bei der IACBOX keine eigenen Listen führen, jeder User kann dank externer Authentifizierung über die bestehenden Daten angelegt werden.
- Nutzen Sie detailliertes Logging
Hat jeder User seine ID, lassen sich Datenvolumina und Nutzungszeiten nachvollziehen und zuordnen. Auf die Aktivität kann rückgeschlossen werden, ohne in privaten Details oder gar im Gerät eines Nutzers zu stöbern.
Sie sind UnternehmerIn und suchen eine Lösung für diese Anforderungen? Oder sind Sie DienstleisterIn und beraten Unternehmen bei kabellosen oder kabelgebundenen Netzwerklösungen?
Starten wir gemeinsam ein Projekt