Private Nutzung des dienstlichen Internetzuganges

Private Nutzung des dienstlichen Internets

Die private Nutzung des dienstlichen Internetzuganges ist inzwischen keine Seltenheit mehr. Das beginnt schon damit, wenn man in der Pause noch schnell das Hotel für den Wochenendausflug bucht, im Online-Shop etwas kauft oder sich auf einer Dating-Plattform verabredet. Was der Arbeitgeber als Verantwortlicher dabei zu beachten hat und wie eine datenschutzkonforme Umsetzung möglich ist, erläutern wir in diesem Beitrag.

TTDSG

Das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien – kurz: TTDSG – trat am 01.12.2022 in Kraft. Dadurch richtet sich die Erlaubnis der Privatnutzung des dienstlichen Internetanschlusses durch den Arbeitgeber nicht mehr nach dem Telekommunikationsgesetz, sondern nach dem TTDSG. Zudem sind das – hier nicht zu betrachtende (individuelle) Arbeits- und insbesondere das Mitbestimmungsrecht zu beachten.

Telekommunikationsgeheimnis

Die umstrittene Frage, ob der Arbeitgeber durch die Gestattung der privaten Internetnutzung am Arbeitsplatz zum Telekommunikationsanbieter wird und das das Telekommunikationsgeheimnis beachten muss, ist durch das TTDSG nicht abschließend geklärt. Dies sollte bei der Frage, ob außer dem privaten Browsen auch die private Nutzung des dienstlichen E-Mail-Kontos gestattet wird, ebenso bedacht werden wie die Frage, ob dadurch der Arbeitgeber an der Ausfilterung von E-Mails mit Schad-Code gehindert ist oder Probleme bei der gesetzlichen Verpflichtung zur Aufbewahrung bzw. Löschung von E-Mails entstehen.

Der Verantwortliche als Anbieter

Dabei ist § 3 Abs. 2 Nr. 2 TTDSG ausschlaggebend: „[…] Anbieter von ganz oder teilweise geschäftsmäßig angebotenen Telekommunikationsdiensten sowie natürliche und juristische Personen, die an der Erbringung solcher Dienste mitwirken[…]“. Die Folge dieses Abschnittes ist, dass der Arbeitgeber, der den Beschäftigten die private Nutzung des dienstlichen Internets erlaubt, als Anbieter von Telemedien gilt. Dadurch muss der Arbeitgeber dann auch das Fernmeldegeheimnis beachten. – Gemäß dem Absatz zuvor ist dies allerdings teilweise wiederum wohl noch fraglich. –

Richtlinie zur Nutzung des Internets

Auch wenn ein Verantwortlicher den Beschäftigten die private Nutzung des dienstlichen Internetzuganges erlaubt, ist es wichtig, Regelungen – also Richtlinien – zur Nutzung zu treffen. So kann es gelingen, die Sicherheits- und Kontrollinteressen des Arbeitgebers mit den Interessen der Beschäftigten in Einklang zu bringen.

1) Es sollte klare Regelungen geben, dass die Privatnutzung nur im geringen zeitlichen Umgang und vorzugsweise in den Pausenzeiten zulässig ist. Eventuell ist eine zeitliche Nutzungsbegrenzung von beispielsweise maximal 15 Minuten pro Tag hilfreich.

2) Die Nutzung von Web-Mail-Konten zur dienstlichen Nutzung empfehlen wir aus Datenschutzgründen zu untersagen (fehlende datenschutzrechtliche Regelungen mit dem Anbieter), ebenso bei der Nutzung von Cloud-Diensten wie beispielsweise Dropbox.

3) Des Weiteren ist eine Regelung nötig, die das Hochladen von Unternehmensdaten, insbesondere von personenbezogenen Daten, untersagt.

4) Umgekehrt ist auch vor dem Herunterladen von Dateien und -anhängen aus privaten E-Mail-Konten zu warnen und dies zu unterbinden.

5) Auch die rechtswidrige Nutzung und Verbreitung illegaler Inhalte (Filesharing, pornografisches, gewaltverherrlichendes oder politisch radikales Material, Verbreitung von Hasskommentaren etc.) ist ausdrücklich zu untersagen.

6) Bei Online-Geschäften und Bestellungen für private Zwecke ist weder die dienstliche E-Mail-Adresse noch die Postanschrift zu nutzen, um jeden Anschein einer Haftung des Arbeitgebers für die privaten Geschäfte der Beschäftigten zu vermeiden.

7)  Etwaige steuerliche Fragen (geldwerter Vorteil) sollte mit der Steuerabteilung oder einem Steuerberater besprochen werden. Der Arbeitgeber sollte klarstellen, dass es sich um eine freiwillige Leistung handelt, auf die die Mitarbeiter keinen Anspruch haben und die der Arbeitgeber jederzeit einschränken oder beenden kann.

Sensibilisierung der Beschäftigten

Des Weiteren ist es wichtig, bzgl. der mit der privaten Nutzung und den dienstlichen Sicherheits- und Kontrollerfordernissen zu sensibilisieren. Wenn Beschäftigte das Internet für private Zwecke nutzen dürfen, werden diese wahrscheinlich Seiten besuchen, die für eventuelle Angreifer ein höheres Erfolgspotential versprechen. Selbstverständlich ist, dass es auch bei der dienstlichen Nutzung des Internets zu Cyber-Angriffen kommen kann. Diese Gefahr erhöht sich jedoch schon rein quantitativ durch die zusätzliche private Nutzung.

Technische Maßnahmen

Zusätzlich zur Sensibilisierung vor den Gefahren des Internets empfehlen wir, technische Maßnahmen  zu treffen, um eventuelle Risiken, die sich durch eine private Nutzung ergeben können, zu minimieren. Eine Möglichkeit besteht darin, den Zugriff zu bestimmten Seiten zu sperren bzw. zusätzliche Zwischenschritte einzubauen, um speziell auf eine unsicher erscheinende Webseite hinzuweisen.

Datenschutzinformation

Der Arbeitgeber verarbeitet auch hierbei als Verantwortlicher personenbezogene Daten der Beschäftigten, die mit ihrer dienstlichen IP-Adresse bestimmte Webseiten für eine bestimmte Dauer zu einer bestimmten Zeit besuchen. Folglich muss er natürlich entsprechende Informationen über die Datenverarbeitung beim Browsen gemäß Art. 13 DSGVO bereitstellen. – Was solch eine Datenschutzinformation enthalten muss, erklären wir in diesem Beitrag. –

Speziell für das private Surfen gehört die Information dazu, dass der Arbeitgeber aus berechtigten IT-Sicherheitsinteressen Logfiles der besuchten Seiten anfertigt und diese für einen zu bestimmenden Zeitraum aufbewahrt und bestimmte Seiten, die Schad-Code oder illegale Inhalte enthalten können, sperren kann (siehe Art. 6 Abs. 1 lit. f) DSGVO i. V. m. ErwG 49 DSGVO). Die Beschäftigten müssen die im Web-Browser gespeicherten Verlaufs-, Cache-, Lesezeichen- und Passwortdaten selbst löschen. Eine automatische Löschung ist empfehlenswert, wenn ein Beschäftigter aus dem Unternehmen ausscheidet, sofern der Löschung keine Aufbewahrungspflichten oder berechtigte Interessen entgegenstehen.

Mitbestimmung

Wenn es in einem Unternehmen einen Betriebs- oder Personalrat gibt, ist zwar nicht das Ob der Erlaubnis des privaten Internetzuganges, aber deren konkrete Ausgestaltung mit dem Betriebs- und Personalrat abzustimmen. Ggf. ist dies dann in einer Betriebsvereinbarung zu regeln (siehe § 87 Abs. 1 Nr. 1 BetrVG).

Fazit

Ein Arbeitgeber ist nicht dazu verpflichtet, den Beschäftigten zu erlauben, den dienstlichen Internetzugang auch für private Zwecke nutzen zu können. Allerdings trägt eine solche Erlaubnis wiederum auch zur Zufriedenheit der Beschäftigten und als „Online-Pause“ zur Erholung und Produktivitätssteigerung laut Studien bei. Mit der Implementation der richtigen technischen und organisatorischen Maßnahmen verringert sich auch dann das Risiko etwaiger Cyber-Angriffe und von Datenschutz- und sonstigen Rechtsverletzungen.

Gern unterstützen und beraten wir Sie dabei als Unternehmen mit Fokus auf den Datenschutz. Kontaktieren Sie uns gern.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.