Die E-Mail- und Internetüberwachung am Arbeitsplatz

Wir haben ein Schema publiziert, das erklärt, unter welchen Umständen die Internet- und E-Mailnutzung am Arbeitsplatz überwacht werden darf. Das Schwergewicht wird auf die technische Prävention gelegt. Personenbezogene Auswertungen der Protokollierungen dürfen nur nach festgestelltem Missbrauch vorgenommen werden. Weitere Voraussetzung der personenbezogenen Auswertung der Protokollierungen ist die vorgängige Information der Arbeitnehmer. Das entsprechende Schema ist auf S. 113 zu finden.

Technische Prävention statt Überwachung: Mit diesem Schlagwort soll der Arbeitgeber auf die eigene Verantwortung zum Schutz seiner Ressourcen hingewiesen werden. Technische Schutzmassnahmen garantieren unter Anderem die Sicherheit von Daten und Anwendungen und schützen den Betrieb vor Systemüberlastungen. Konkrete Massnahmen sind zum Beispiel der Einsatz von Firewalls und Antivirusprogrammen oder die Beschränkung der Speicherkapazität der Nutzer. Spionprogramme, die die Netzwerkaktivität bestimmter Personen überwachen, sind nicht erlaubt. Sowohl Arbeitgeber wie auch Arbeitnehmer haben dafür zu sorgen, dass zum Beispiel keine Viren eingeschleppt oder keine Speicherüberlastungen verursacht werden. Für den Arbeitgeber heisst dies vor allem, dass er für einen passenden technischen Schutz sorgen muss. Die Angestellten sind im Gegenzug dazu verpflichtet, mit der notwendigen Vorsicht vorzugehen, wenn sie auf dem Internet surfen oder E-Mails von Unbekannten bekommen.

In Protokollierungen werden die Aktivitäten der Internetnutzer fortlaufend aufgezeichnet, in Form von Angaben wer, was, wann besucht hat. Durch diese Protokollierungen kann der Benutzer identifiziert werden.

Der Arbeitgeber hat die Arbeitnehmer über die eingesetzten technischen Schutzmassnahmen und Protokollierungen sowie über die Nutzungs- und Überwachungsregelung zu informieren. In der Nutzungsregelung hält der Arbeitgeber fest, ob und wie die Benutzung des Internets und E-Mails erlaubt ist. Er kann die Nutzung vollständig frei geben, einschränken, zum Beispiel auf die Mittagspause, oder gänzlich verbieten. Ob diese Nutzungsregelung eingehalten wird, darf der Arbeitgeber - sofern er ein Überwachungsreglement verfasst hat - kontrollieren. Wir empfehlen mit Nachdruck eine solche Nutzungsregelung zu erlassen, damit Klarheit darüber herrscht, was erlaubt ist und was nicht.

Das Überwachungsreglement hält seinerseits fest, mit welchen Kontrollen die Arbeitnehmer/-innen rechnen müssen. Es informiert auch darüber, wie die persönlichen Auswertungen den Vorgesetzen mitgeteilt werden und welche Sanktionen diese ergreifen können. Personenbezogene Kontrollen sind nur erlaubt, wenn erstens ein schriftliches Überwachungsreglement vorliegt und zweitens bei einer anonymen Kontrolle ein Missbrauch festgestellt wurde. Eine präventive personenbezogene Kontrolle ist nicht erlaubt. Ein Missbrauch liegt einerseits dann vor, wenn ein Arbeitnehmer die Bestimmungen der Nutzungsregelung missachtet, oder - wenn keine Nutzungsregelung vorhanden ist - gegen die Treuepflicht gegenüber dem Arbeitgeber oder gegen das Prinzip der Verhältnismässigkeit verstösst. Mit Treuepflicht ist die Verpflichtung der Arbeitnehmerschaft gemeint, die Interessen des Arbeitgebers zu wahren. Als unverhältnismässig und als Verstoss gegen die Treuepflicht gilt zum Beispiel überdurchschnittliches Surfen während der Arbeitszeit. In diesen Fällen ist eine personenbezogene Auswertung der Protokollierungen erlaubt - natürlich wiederum nur, wenn ein Überwachungsreglement besteht.

Im Normalfall ist es nicht der Vorgesetzte selber, der die Überwachung durchführt, sondern die Informatikdienste oder spezielle Sicherheitsbeauftragte. Diese geben die Auswertungen den Vorgesetzen ausschliesslich im Rahmen der Überwachungsregelung bekannt.

Wenn ein Missbrauch keine technische Störung zur Folge hat, erfolgt die personenbezogene Auswertung der Protokollierungen aus Gründen der Verhältnismässigkeit erst bei wiederholter Feststellung eines Missbrauchs. Der Arbeitgeber muss deshalb die Arbeitnehmerschaft darüber informieren, dass er einen Missbrauch festgestellt hat und personenbezogen auswerten wird, falls sich dies wiederholt.

Die Inhalte privater E-Mails bleiben für den Arbeitgeber jedoch tabu. Der Inhalt der E-Mails ist Teil der Privatsphäre eines jeden Menschen. Auch wenn der private Gebrauch von E-Mail am Arbeitsplatz verboten ist, darf der Arbeitgeber die E-Mails der Angestellten nicht lesen. Wenn bei einer Stichprobe der Verdacht entsteht, dass ein Arbeitnehmer gegen ein Verbot des privaten E-Mail-Gebrauchs verstossen hat, dann muss dies aufgrund der Adressierung des
E-Mails festgestellt werden. Wenn dies nicht möglich ist, muss der Arbeitnehmer direkt gefragt werden, ob ein E-Mail privat ist oder nicht.

Wenn der Arbeitgeber bei einer Überwachung einen konkreten Verdacht schöpft, dass eine Straftat begangen wurde, darf er nur beschränkt ermitteln. Die Strafverfolgung bleibt immer den Strafjustizbehörden vorbehalten, der Arbeitgeber darf einzig Beweise sichern, wenn dies zur Anzeige der verdächtigten Person führt. Falls der Verdacht auf eine Straftat besteht, darf der Arbeitgeber selber aus Gründen der Verhältnismässigkeit die Identität der Verdächtigen feststellen, unabhängig davon, ob eine technische Störung vorliegt oder nicht. Weitergehende präventive Überwachungen bleiben im Zuständigkeitsbereich der Strafjustizbehörde. Will er keine Anzeige erstatten, bleiben die Regeln der arbeitsrechtlichen Überwachung und der entsprechenden Sanktionen bestehen.

Wenn ein Arbeitnehmer meint, dass er vom Arbeitgeber auf eine unerlaubte Art kontrolliert worden ist, kann er zivilrechtlich gegen den Arbeitgeber wegen Persönlichkeitsverletzung klagen. Strafrechtlich kann der Arbeitnehmer gegen den Arbeitgeber bei den zuständigen Behörden wegen Verletzung der Privatsphäre oder wegen unbefugtem Beschaffen von Personendaten vorgehen. In der Regel erstattet er Anzeige bei der Polizei.
Zu diesem Thema haben wir einen ausführlichen Leitfaden publiziert (www.edsb.ch).

[Juli 2001]

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/aeltere-berichte/8--taetigkeitsbericht-2000-2001/die-e-mail--und-internetueberwachung-am-arbeitsplatz.html