Kontrolle privater Surftouren am Arbeitsplatz

Juli 1997. In Unternehmen, die an den Arbeitsplätzen einen Zugang zum Internet anbieten, nutzen die Mitarbeiter diesen oftmals auch für private Surftouren. Darf den Statistiken und Erhebungen in diesem Bereich vertraut werden, so gehören Sex-Angebote in manchem Betrieb gar zu den am meisten abgefragtesten Inhalten überhaupt. Dies kann für ein Unternehmen einige Probleme bereiten, sodass es diese Art der Nutzung untersagen möchte. Das ist ohne weiteres möglich (S. 367).

Fragen stellen sich jedoch hinsichtlich der Überwachung dieses Verbots. Stichprobenweise Kontrollen der Einhaltung eines solchen Verbotes sind grundsätzlich erlaubt (S. 365). Was aber, wenn kein explizites Verbot ausgesprochen wurde? In diesem Falle ist ein privates Surfen im Internet erlaubt, sofern es im vertretbaren Rahmen geschieht. Sobald etwa die Ressourcen des Netzwerkes oder der anderen Computeranlagen besonders belastet würden oder durch die Internet-Aktivitäten die Produktivität des betreffenden Mitarbeiters beeinträchtigt wird, verstösst dieser gegen seine Pflichten (S. 369).

Ein Eingriff in die Privatsphäre des Benutzers durch Überwachung seiner Internet-Aktivitäten ist in letztem Fall jedoch nur dann erlaubt, wenn konkrete Anhaltspunkte für den Missbrauch bestehen, wie zum Beispiel eine ausserordentlich hohe Netzwerkbelastung.

Wie der Eidgenössische Datenschutzbeauftragte in seinem neusten Tätigkeitsbericht (http://www.edsb.ch) zu diesem Problem schreibt, sind die Mitarbeiter vrogängig zu informieren, welche Daten über ihre Internet-Nutzung erfasst werden, wie sie bearbeitet werden und wer sie unter welchen Bedingungen auswertet. Die Datenbearbeitung ist auf das Mass zu beschränken, das für den Zweck (Missbrauchsbekämpfung) absolut nötig ist. Nur Personen, die speziell damit beauftragt worden sind, dürfen auf personenbezogene "Log-Dateien" zugreifen. Anschliessend sind die nicht mehr benötigten Daten sogleich zu vernichten.

Es ist zudem darauf zu achten, dass zum einen nur soviele Personen wie unbedingt nötig von den Daten Kenntnis nehmen und zum anderen genau festgehalten ist, wer die Überprüfung vornehmen darf. Es ist keinesfalls zulässig, dass z.B. alle Mitarbeiter der Informatik auf die entsprechenden Logbücher zugreifen dürfen. Es müssen in der Regel eine oder zwei Personen bestimmt werden.

Für ein Betrieb, der sich gegen eine unerwünschte Benutzung des World Wide Webs wehren möchte, empfiehlt sich folgendes Vorgehen:

1. Die Mitarbeiter sind darauf hinzuweisen, welche Nutzungsarten zugelassen sind und welche nicht. Zugleich ist darauf aufmerksam zu machen, dass alle World Wide Web-Zugriffe protokolliert werden.

2. Die abgerufenen Seiten aus dem World Wide Web dürfen (z.B über einen Proxy-Server) aufgezeichnet werden, doch dürfen diese Daten zunächst nur in anonymisierter Form benutzt werden. Damit kann überprüft werden, welche Angebote insgesamt abgerufen werden und zu welchen Belastungen der Ressourcen dies führt.

3. Zeigt sich aufgrund der anonymen Internet-Zugriffs-Statistiken dass Mitarbeiter den World Wide Web-Zugang missbräuchlich nutzen, sind die betroffenen Abteilungen, Bereiche oder allenfalls der gesamte Betrieb darauf hinzuweisen, dass es zu Missbräuchen kommt und fortan die Abfragestatistiken nach solchen überprüft werden, um die fehlbaren Mitarbeiter zu ermitteln.

4. Erst von diesem Zeitpunkt an, d.h. nach der zweiten Information, dürfen die Mitarbeiter, die das Internet noch immer in unbefugter Weise nutzen, aufgrund der Protokollierungen persönlich ermittelt werden. Es wäre zum Beispiel mit dem Datenschutz vereinbar, aus den Server-Logbüchern all jene Mitarbeiterkennungen auszudrucken, die von der zweiten Warnung an ein bestimmtes unerlaubtes Angebot abgerufen haben. Diese Liste dürfte jedoch nur ausdrücklich den vorbestimmten Personen zugänglich gemacht werden (z.B. dem Vorgesetzen oder Personalverantwortlichen). Die Daten sind geheim und dürfen nicht z.B. durch Veröffentlichung am Schwarzen Brett im Betrieb publiziert werden (es gab mindestens einen Fall in der Schweiz, in dem dies angedroht wurde).

Grundsätzlich muss vor allen Eingriffen in die Privatsphäre der Mitarbeiter abgewogen werden, ob das Interesse des Arbeitgebers tatsächlich schwerer wiegt als der Schutz der Privatssphäre. Ist dies nicht der Fall, müssen sich Betriebe bzw. die verantwortlichen Personen ihrerseits für ihr Verhalten verantworten.

(dr)