Inhaltsverzeichnis
Privates Surfen auf dem Dienstcomputer – Benefit vs. Risiko
Die Frage, ob Mitarbeitern die private Nutzung des Internets auf Dienstcomputern erlaubt werden sollte, stellt sich Arbeitgebern regelmäßig. Auf der einen Seite handelt es sich um einen netten Benefit, der ein Unternehmen nichts kostet und zu einer höheren Mitarbeiterzufriedenheit führt. Auf der anderen Seite ergeben sich hieraus diverse juristische Folgeprobleme, die nicht immer absehbar sind.
Ist der Arbeitgeber Telekommunikationsdiensteanbieter?
Eines dieser Probleme ist die Frage, ob der Arbeitgeber mit der Erlaubnis der privaten Internetnutzung auf dienstlichen Computern zum Dienstanbieter gemäß § 88 Telekommunikationsgesetz (TKG) wird und inwieweit eine Sicherung der Datenverarbeitungsanlagen mittels Firewalls, Site-Blockern und ähnlichen Tools zulässig ist. Beide Fragen sind eng miteinander verwoben. Bereits die Einordnung als Diensteanbieter nach dem TKG gestaltet sich als besonders komplex. Hierzu existieren in der Juristerei derzeit zwei vorherrschende Ansichten. Eine höchstrichterliche Rechtsprechung, welche Orientierung bieten könnte, liegt leider nicht vor und auch die Landesgerichte haben in der Frage nicht einheitlich entschieden.
Die einen sagen so…
Das eine Lager, dem zum Beispiel die Aufsichtsbehörden angehören, geht bei der privaten Internetnutzung davon aus, dass der Arbeitgeber zum Diensteanbieter im Sinne des 88 TKG wird.1 Damit gehen in der Folge eine Reihe von Pflichten einher, an oberster Stelle die Wahrung des Fernmeldegeheimnisses. Dies kann zur Folge haben, dass der Einsatz von Firewalls u. Site-Blockern, wie sie in den meisten Unternehmen eingesetzt werden, zu Konflikten mit dem Datenschutz führen würde. Dies wäre insbesondere dann einschlägig, wenn der IT ein Auslesen der Log-Daten möglich ist und so nachvollzogen werden kann, welche Mitarbeitenden privat auf welchen Seiten unterwegs waren.
Würde jedoch davon ausgegangen werden, dass Arbeitgeber auch Diensteanbieter im Sinne des TKG sind, würden auch die Ausnahmen gemäß § 88 Abs. 3, 91 ff. TKG gelten.2 Hier ist insbesondere der § 100 TKG von Interesse, wonach Maßnahmen zur Erkennung, Eingrenzung oder Beseitigung von Störungen möglich sind. Im Ergebnis bedeutet das, dass dem Arbeitgeber eine Sicherung über Virenscanner und Firewalls möglich wäre, wenn dem Arbeitnehmer die private Nutzung des Internetanschlusses erlaubt wird.
Um dem Datenschutz zu genügen, müsste zur Verwendung der Firewalls und ähnlichen Tools lediglich ein berechtigtes Interesse gemäß Artikel 6 Abs. 1 lit. f) DSGVO vorliegen. Zur Ermittlung eines solchen Interesses ist die Vornahme einer Interessenabwägung zwingend. Das Ergebnis dieser Interessenabwägung dürfte dabei stets sein, dass das Interesse des Arbeitgebers an der Sicherung der informationstechnischen Systeme überwiegt, zumal dies dem Arbeitnehmer überhaupt erst die Möglichkeit einräumt, das Internet sicher nutzen zu können.
… die andern sagen so.
Das andere Lager, zu dem ein großer Teil der Literatur gehört, lehnt es im Grundsatz ab, dass der Arbeitgeber Diensteanbieter gemäß § 88 TKG sein kann. Hieraus folgt, dass die Frage der Zulässigkeit von Sicherheitstools allein anhand der DSGVO beurteilt werden muss, was wiederum im Speziellen zu Art. 88 DSGVO i. V. m. § 26 BDSG führt. Diese stehen einer Verarbeitung, also Nutzung von Firewalls u. ä., aufgrund von berechtigten Interessen gemäß Artikel 6 Abs. 1 lit. f) DSGVO nicht grundsätzlich entgegen, erschweren dessen Anwendung jedoch ungemein.
Die sicherste Variante, um dem Datenschutz Rechnung zu tragen, ist dann die Einholung der Einwilligung der Mitarbeitenden in die Verarbeitung gemäß Artikel 6 Abs. 1 lit. a) DSGVO. Ein Abstellen auf das Vorliegen berechtigter Interessen wäre zwar dennoch auch hier weiterhin denkbar, jedoch rechtlich weniger sicher.
Fazit
Sollten Sie als Unternehmen sich dazu entschließen, mit dem berechtigten Interesse – also ohne Einwilligungen – arbeiten zu wollen, empfiehlt es sich, die Arbeitnehmer über die geplante Verarbeitung, sprich Sicherungsmaßnahmen, zu informieren und bei Widerspruch gegen die Verarbeitung die private Nutzung des Internets zu untersagen. Will man rechtlich zu 100 % auf der sicheren Seite stehen, führt jedoch kein Weg an der Einholung von Einwilligungen durch jeden einzelnen Mitarbeiter vorbei.
Quelle: Althammer & Kill
¹ Brink/Schwab in ArbRAktuell 2018 S. 113; Reiserer/Christ/Heinz in DStR 2018 S. 1508.
² Vgl. Orientierungshilfe der Datenschutzaufsichtsbehörden zur datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz, Stand Januar 2016.