docRichtlinie über Internet- und E-Mail
download 
Denúncia Transcrição
Richtlinie über Internet- und E-Mail
DATENSC HUTZSTELLE FÜRSTENT TUM LIECHTENS STEIN Richtlin nie über Intern net‐ u und E‐‐Mail‐Übe erwacchungg am Arbeeitspllatz öffenttlichee Verrwaltungeen und für ö Priva P atwirttscha aft Herausggeber: Datenscchutzstelle Kirchstrrasse 8 Postfach h 684 9490 Vaaduz Fürstentum Liechteenstein T +423 2236 60 90 [email protected] www.dsss.llv.li Septem mber 2013 Die vorlliegende Ricchtlinie erhebt keinen Anspruch aauf Vollständigkeit undd darf deshaalb nicht alss ein rech htlich verbin ndliches Dokument bettrachtet we erden. DATENSCHUTZSTELLE FÜRSTENTUM LIECHTENSTEIN Inhaltsverzeichnis Einleitung ......................................................................................................................................... 4 1. Die wichtigsten netzbasierten Anwendungen ....................................................................... 5 1.1 Anwendungen ohne inhaltliche Speicherung ................................................................... 5 1.2 Anwendungen mit inhaltlicher Speicherung .................................................................... 5 2. Tangierte Interessen des Arbeitgebers .................................................................................. 6 3. Technische und organisatorische Schutzmassnahmen ......................................................... 7 4. Beim Surfen hinterlassene Spuren ...................................................................................... 10 5. Das Nutzungsreglement über privates Surfen und Mailen ................................................. 13 6. Gesetzliche Grundlagen der Überwachung ......................................................................... 14 7. Die wichtigsten rechtlichen Voraussetzungen für die Überwachung des Surfens und der E‐Mail‐Nutzung .................................................................................................................... 16 8. 7.1 Die vorherige Information .............................................................................................. 16 7.2 Die Feststellung eines Missbrauches .............................................................................. 17 Die Überwachung des Surfens und der E‐Mail‐Benutzung am Arbeitsplatz ....................... 18 8.1 Überwachung im Rahmen der Gewährleistung der Sicherheit und der Funktionstüchtigkeit des betrieblichen EDV‐Systems .............................................................. 18 8.2 Überwachung auf Grund anderer Hinweise ................................................................... 18 8.3 Überwachung aufgrund der Auswertungen der Protokollierungen .............................. 19 8.4 Die Überwachung aufgrund der Auswertungen der Surfprotokollierungen ................. 19 8.4.1 Erste Phase: Nichtpersonenbezogene Überwachung ................................................ 20 8.4.2 Zweite Phase: Personenbezogene Überwachung ...................................................... 20 8.4.3 Beispiele aus der Schweizer Rechtsprechung ............................................................ 21 8.5 Die Überwachung des E‐Mail‐Verkehrs .......................................................................... 22 8.5.1 Die Überwachung des privaten E‐Mail‐Verkehrs ....................................................... 22 8.5.2 Die Überwachung des geschäftlichen E‐Mail‐Verkehrs ............................................. 24 8.5.3 Fälle aus der Rechtsprechung zur E‐Mail‐Überwachung ........................................... 25 8.6 9. Teleworker ...................................................................................................................... 26 Die Überwachung im Falle einer Straftat ............................................................................ 27 10. Sanktionen bei Missbrauch .................................................................................................. 27 11. Ansprüche des Arbeitnehmers bei unzulässiger Überwachung .......................................... 29 Anhang A: Situationsschema ......................................................................................................... 30 Anhang B: Voraussetzungen und Ablauf ....................................................................................... 31 B.1 Die Voraussetzungen der Überwachung ........................................................................ 31 B.2 Der Ablauf der Überwachung ......................................................................................... 32 B.3 Das Auswertungsverfahren ............................................................................................ 33 Internet‐ und E‐Mail‐Überwachung September 2013 2/39 DATENSCHUTZSTELLE FÜRSTENTUM LIECHTENSTEIN Anhang C: Musterreglement über die Surfen‐ und E‐Mail‐Überwachung am Arbeitsplatz ......... 34 C.1 Zweck und Geltungsbereich ................................................................................................ 34 C.1.1 Zweck .......................................................................................................................... 34 C.1.2 Geltungsbereich ......................................................................................................... 34 C.2 Interessen und Risiken des Arbeitgebers und Arbeitnehmers ....................................... 34 C.2.1 Interessen und Risiken des Arbeitgebers ................................................................... 34 C.2.2 Interessen und Risiken des Arbeitnehmers ............................................................... 34 C.3 Technische Schutzmassnahmen und Protokollierungen ................................................ 34 C.3.1 Technische Schutzmassnahmen ................................................................................. 34 C.3.2 Protokollierungen ....................................................................................................... 35 C.4 Nutzungsregelung ........................................................................................................... 35 C.5 Überwachungsregelung .................................................................................................. 35 C.5.1 Vorrang technischer Schutzmassnahmen .................................................................. 35 C.5.2 Auswertung der Protokollierungen ............................................................................ 36 C.5.3 Überwachung im Rahmen der Gewährleistung der Sicherheit und Funktionstüchtigkeit des betrieblichen EDV‐Systems oder aufgrund anderer Hinweise ..................................................................................................................... 36 C.5.4 Unterscheidung zwischen private und geschäftliche E‐Mails .................................... 37 C.5.5 Die Überwachung des geschäftlichen E‐Mail‐Verkehrs ............................................. 37 C.5.6 Die E‐Mail‐Verwaltung bei Abwesenheiten eines Mitarbeiters ................................. 37 C.5.7 Die E‐Mail‐Verwaltung beim Austritt eines Mitarbeiters .......................................... 38 C.5.8 Sanktionen bei Missbrauch ........................................................................................ 38 C.5.9 Ansprüche des Mitarbeiters bei unzulässiger Überwachung durch die Firma .......... 38 C.5.10 Weitere Bestimmungen ............................................................................................. 39 Internet‐ und E‐Mail‐Überwachung September 2013 3/39 DATENSCHUTZSTELLE FÜRSTENTUM LIECHTENSTEIN Einleitung Der Einzug der neuen Technologien in die Arbeitswelt hat Produktivität und Qualität eines Un‐ ternehmens gesteigert, brachte aber gleichzeitig weniger erfreuliche Phänomene mit sich: Un‐ erlaubtes oder übermässiges Surfen und E‐Mailen während der Arbeitszeit schadet den Unter‐ nehmen nicht nur finanziell, sondern kann auch den ganzen Datenverkehr eines Betriebs lahm legen, die Speicherkapazität überfordern oder sogar den gesamten elektronischen Arbeitsplatz blockieren. Darüber hinaus kann das Besuchen illegaler Internetseiten für das Unternehmen nicht nur rufschädigend sein, sondern auch rechtliche Konsequenzen haben. Die Schutzmass‐ nahmen, die der Arbeitgeber gegen Missbräuche des Surfens oder des E‐Mails einsetzt, sind oft nicht weniger zweifelhaft. Spionprogramme und permanente namentliche Auswertungen der Protokollierungen sind verbotene Beschnüffelungen der Arbeitnehmer. Ein Umdenken ist ge‐ fordert: Der Arbeitgeber hat seine Bemühungen auf die technische Prävention zu konzentrie‐ ren. Statt die Arbeitnehmer zu überwachen soll er technische Schutzmassnahmen einsetzen, die unerwünschtes Surfen in Grenzen halten und das Unternehmen vor technischem Schaden schützen. Nur wenn ein Missbrauch so nicht verhindert werden kann, darf er nach vorheriger Information im Überwachungsreglement namentliche Auswertungen der Protokollierungen vornehmen. Fehlt ein Missbrauch und eine vorherige Information, dürfen die Internet‐ und E‐Mail‐Protokollierungen nur in anonymer oder pseudonymer Weise ausgewertet werden. Der Arbeitgeber muss sich aber auch die Frage stellen, ob und in welchem Umfang ein Internetzu‐ gang für jeden Arbeitnehmer notwendig ist. Gegebenenfalls kann das E‐Mail ohne Surfmöglich‐ keit zur Verfügung gestellt werden. Es darf auf jeden Fall nicht ausser Acht gelassen werden, dass durch Verbund der Firma mit dem Internet oder E‐Mail Kontakt‐ und Angriffsmöglichkei‐ ten von der Aussenwelt geschaffen werden. Der Gesetzgeber hat sich mit den Rechten und Pflichten von Arbeitgeber und Arbeitnehmer in dieser Thematik bis heute kaum auseinander gesetzt. Diese Richtlinie soll einerseits die be‐ troffenen Personen sensibilisieren, andererseits den Gesetzgeber zur Schaffung der nötigen gesetzlichen Grundlagen anspornen. Diese Richtlinie setzt sich zunächst mit den wichtigsten netzbasierten Anwendungen, deren Spuren sowie den tangierten Interessen des Arbeitgebers und den entsprechenden technischen Schutzmassnahmen auseinander. Anschliessend werden die heutigen gesetzlichen Grundlagen, die Voraussetzungen und der Ablauf der Internet‐ und E‐Mail‐Überwachung erörtert. Zum Schluss wird auf die Folgen missbräuchlicher Internetnutzungen und ‐überwachungen hinge‐ wiesen. Situations‐ und Ablaufschemas sowie ein Musterreglement im Anhang stellen die wich‐ tigsten Punkte übersichtlich dar. Inhaltlich stützt sich diese Richtlinie auf einen entsprechenden Leitfaden des Eidgenössischen Datenschutzbeauftragten (EDSB). Anpassungen in Bezug auf Liechtenstein wurden lediglich hinsichtlich des geltenden Rechtsrahmens vorgenommen. Internet‐ und E‐Mail‐Überwachung September 2013 4/39 DATENSCHUTZSTELLE FÜRSTENTUM LIECHTENSTEIN 1. Die wichtigsten netzbasierten Anwendungen Das Internet bietet eine Vielzahl von Anwendungen, die allgemein Internetdienste genannt werden, jedoch auch firmeninterne Netzdienste (Intranet) umfassen. Diese so genannten netz‐ basierten Anwendungen können in zwei grössere Kategorien unterteilt werden, diejenigen oh‐ ne und diejenigen mit inhaltlicher Speicherung auf einem Datenträger. 1.1 Anwendungen ohne inhaltliche Speicherung Unter Anwendungen ohne inhaltliche Speicherung auf einem Datenträger fällt zunächst das klassische Surfen auf dem World Wide Web, d. h. das Sichten von Webseiten, die auf unter‐ schiedlichen Rechnern (Web Server) abgelegt sind und über eine eigene Adresse (URL1) direkt abgerufen werden können. Das Surfen ermöglicht ausserdem die Verwaltung von E‐Mails in Briefkasten (web based E‐Mail), welche bei Internetdienstanbietern (ISP: Internet Service Pro‐ viders) beherbergt sind. Spezielle Suchmaschinen wie Altavista oder Google ermöglichen eine Art Volltextsuche in einer weltweiten Datenbank nach benutzerdefinierten Kriterien. Von mul‐ timedialem Surfen spricht man dann, wenn Audio‐ und Videoquellen sowie die Telefonie (VoIP: Voice over IP) netzbasiert sind. Die so genannten Newsgroups stellen öffentliche Diskussionsforen dar. Sie beruhen auf dem Prinzip des „Schwarzen Bretts“ und werden daher als elektronische Pinnwand bezeichnet. Alle Teilnehmenden einer Newsgroup können Nachrichten abgeben, die dann von allen Internet‐ nutzern abgerufen, gelesen oder beantwortet werden können. Beim Internet Relay Chat (IRC) und beim Instant Messaging findet über die Tastatur des Com‐ puters ein gesprächsartiger Meinungsaustausch in Echtzeit statt. Allen Teilnehmenden des Chat wird ein Name, meistens ein Pseudonym, zugewiesen, der es ermöglicht zu erkennen, von wem die Beiträge stammen. 1.2 Anwendungen mit inhaltlicher Speicherung Bei Anwendungen mit inhaltlicher Speicherung auf einem Datenträger geht es hauptsächlich um das Herunterladen von Dateien (Download) mittels Protokollen wie HTTP oder FTP. Klassi‐ sche Beispiele hierfür sind Freeware/Shareware‐Anwendungsprogramme wie Spiele oder Me‐ diadateien (Bilder, Audio oder Video). In diese Kategorie gehört zudem das Empfangen und Versenden von Nachrichten mit elektroni‐ scher Post, dem so genannten E‐Mail. Auf diese Weise können Texte, gegebenenfalls mit ange‐ hängten Dateien aller Art, gezielt an andere Netzteilnehmende übermittelt werden. Ohne Inhaltsverschlüsselung ist die Vertraulichkeit der E‐Mails mit derjenigen einer Postkarte vergleichbar, weshalb die „sensiblen“ Inhalte durch den Benutzer verschlüsselt werden müssen. Beteiligt sich der Arbeitnehmer an einer Mailing‐List mit seiner geschäftlichen E‐Mail‐Adresse, so wird dadurch die Speicherkapazität und den Netzwerkdurchsatz (throughput) der Firma so‐ wie die Arbeitszeit des Arbeitnehmers beansprucht. 1 URL: Uniform Resource Locator wie z. B. http://www.unerwuenscht.ch. Internet‐ und E‐Mail‐Überwachung September 2013 5/39 DATENSCHUTZSTELLE FÜRSTENTUM LIECHTENSTEIN 2. Tangierte Interessen des Arbeitgebers Durch Benutzung des vernetzten Computers am Arbeitsplatz können bestimmte Interessen und technische Einrichtungen des Arbeitgebers beeinträchtigt werden. Dies betrifft folgende Berei‐ che: Speicherkapazität und Netzwerkdurchsatz, durch übermässige Surfen‐ und E‐Mail‐Nutzung; Daten‐ und Anwendungssicherheit (Verfügbarkeit, Integrität, Vertraulichkeit), durch Ein‐ fuhr von Viren, Würmern, Trojanischen Pferden oder Installation von fremden Program‐ men; Arbeitszeit und andere finanzielle Interessen (Produktivitätsverluste, Kostensteigerung für zusätzliche Mittel und/oder Leistungen, Netzkosten usw.); weitere rechtlich geschützte Interessen des Arbeitgebers, wie Ruf, Fabrikations‐ und Ge‐ schäftsgeheimnisse oder Datenschutz. Die Speicherkapazität wird hauptsächlich durch heruntergeladene Dateien oder E‐Mails bean‐ sprucht (vgl. Kapitel 1). In der Regel verbleiben ein‐ und ausgehende E‐Mails in einem elektronischen Briefkasten eines Firmenservers, wo sie der Arbeitnehmer entweder speichern oder löschen kann, nachdem er sie gelesen bzw. verschickt hat. Die Speicherung betrifft einerseits protokollierte Randdaten wie Absender, Empfänger, Betreffzeile oder Datum, anderseits den Inhalt des E‐Mails. Durch ange‐ hängte Dokumente (Anlagen) wird die Speicherkapazität der Firma zusätzlich belastet. Die (logi‐ sche) Löschung von E‐Mails erfolgt durch ihre Verschiebung in den Ordner „gelöschte Objekte“. Die „definitive“ Entfernung aus diesem Ordner erfolgt durch einen weiteren Löschungsbefehl. Der Netzwerkdurchsatz wird hingegen sowohl bei den Anwendungen mit als auch bei denen ohne inhaltliche Speicherung beansprucht. Durch Installation fremder Programme wie herun‐ tergeladene Bildschirmschoner oder Spiele können berufliche Anwendungen unzugänglich ge‐ macht (Verfügbarkeit) oder gefälscht (Integrität/Vertraulichkeit) werden. Die Hauptkategorien von Computerinfektionen sind Viren, Würmer und Trojanische Pferde. Ein Virus ist ein Programmstück, das sich vervielfacht, in andere Programme hineinkopiert und zugleich schädliche Funktionen in einem Rechnersystem ausführen kann2. Viren werden von externen Quellen wie E‐Mails, Disketten, Spiele oder Freeware eingeführt. Bestimmte Virenar‐ ten zerstören beispielsweise die Integrität einer Datei, indem sie Buchstaben ändern, andere können die gesamte Datei zerstören. Dadurch kann u. U. die Funktionstüchtigkeit des Compu‐ ters gefährdet werden (z. B. durch Zerstörung des Bootsektors). Ein Wurm ist ein eigenständiges Programm, das sich selbst durch Kopieren von einem System zum nächsten fortpflanzt, üblicherweise über ein Netzwerk. Ein Wurm kann, wie ein Virus, Da‐ ten direkt zerstören oder die Systemleistung heruntersetzen. Im Weiteren schaden Würmer typischerweise, indem sie Trojanische Pferde übertragen. 2 Duden Informatik, 2. Auflage, Mannheim, Leipzig, Zürich, Wien, 1993. Internet‐ und E‐Mail‐Überwachung September 2013 6/39 DATENSCHUTZSTELLE FÜRSTENTUM LIECHTENSTEIN Mit Hilfe dieser Trojanischen Pferde können z. B. Passwörter gestohlen werden, die es dann ermöglichen, Daten unerlaubterweise anzusehen, weiterzuleiten, zu verändern oder zu lö‐ schen. Ein Trojanisches Pferd ist ein eigenständiges Programm, das vordergründig eine vorge‐ sehene Aufgabe verrichtet, zusätzlich jedoch eine oder mehrere verborgene Funktionen ent‐ hält3. Wenn ein Benutzer das Programm aufruft, führt das Trojanische Pferd zusätzlich eine ungewollte sicherheitskritische Aktion aus. Die meisten Spionprogramme (vgl. Kapitel 4) gehö‐ ren auch zu den Trojanischen Pferden. Die Benutzung des Computernetzes verursacht in unterschiedlicher Weise Kosten, entweder pauschal oder zeit‐ und/oder volumenabhängig. Im Falle der Pauschaltariflösung (Mietleitung) spielt es für die effektiven Kosten keine Rolle, wie lange jemand surft, wohl aber im Zusam‐ menhang mit der verwendeten Arbeitszeit. Eine erhöhte Bandbreitenkapazität kann ausser‐ dem erforderlich sein. Weitere Kosten für den Arbeitgeber können durch die Nutzung von kostenpflichtigen Web‐ Angeboten entstehen, wenn der Zugriff in dessen Namen bzw. mit dessen Kreditkarte erfolgt. Arbeitnehmer können auch bewusst oder unbewusst im Namen der Firma im Internet Rechts‐ geschäfte abschliessen und den Arbeitgeber dadurch verantwortlich machen. Fabrikations‐ und Geschäftsgeheimnisse sowie der Datenschutz der Firma können auch ge‐ fährdet werden, z. B. wenn vertrauliche Informationen per E‐Mail an Unberechtigte versendet werden. Diese Gefahr wird erhöht durch den zunehmenden Einsatz von portablen Arbeitsin‐ strumenten wie Laptops, Personal Digital Assistants oder Handys. Die nachstehend erwähnten technischen Schutzmassnahmen finden bei diesen Geräten nur beschränkte Anwendung. Zu‐ sätzlich besteht die Gefahr, Geschäftsgeheimnisse zu verlieren, da tragbare Geräte leicht ver‐ gessen oder gestohlen werden können. 3. Technische und organisatorische Schutzmassnahmen4 Es gibt keine absolute technische Sicherheit. Technische Schutzmassnahmen (vgl. Anhang A) können jedoch die Risiken im Zusammenhang mit der Internet‐ und E‐Mail‐Nutzung reduzieren. Durch den Einsatz von solchen Schutzmassnahmen soll der Arbeitgeber frühzeitig mögliche Ge‐ fahren für die Sicherheit und Funktionstüchtigkeit des elektronischen Systems verhindern. Die präventive Wirkung dieser Massnahmen soll den Einsatz repressiver Mittel wie die Überwa‐ chung (vgl. Kapitel 8) weitgehend ersetzen. Zu den wichtigsten technischen Schutzmassnahmen gehören Passwort‐ und Zugriffsschutz, Antivirus‐ und Diskquotamanagers, Backups und Fire‐ walls. Zusätzlich sollen die Surf‐ und Mailprogramme nach dem letzten Stand der Technik5 in‐ stalliert und in einer sicherheitsmässigen Form konfiguriert und regelmässig aktualisiert wer‐ den.6 Das Passwort dient der Authentifizierung des Benutzers. Als solches darf es nicht Dritten über‐ tragen werden, muss eine genügende Komplexität aufweisen und regelmässig geändert wer‐ 3 Z. B. das Programm Stripes.exe bei MS‐DOS. Vgl. dazu die Empfehlungen zur Datensicherheit und zu den technischen und organisatorischen Massnahmen, http://www.dss.llv.li. 5 Service Packs, Service Releases, Hotfixes, Patches usw. 6 Z. B. Cookies ablehnen oder Javascript ausschalten, um E‐Mail‐Wiretaps (Abhörung) zu verhindern. 4 Internet‐ und E‐Mail‐Überwachung September 2013 7/39 DATENSCHUTZSTELLE FÜRSTENTUM LIECHTENSTEIN den. Der Passwortschutz wird nach Ablauf einer bestimmten, beschränkten Dauer (z. B. fünf Minuten) durch den Bildschirmschoner aktiviert, um eine Reauthentifizierung zu provozieren. In Anbetracht der Vielzahl Passwörter, welche von einem einzigen Benutzer memorisiert werden müssen, ist die Benutzung einer verschlüsselten Passwortdatenbank statt einer Passwortliste in Papierform zu empfehlen. Solche Softwarelösungen sind heutzutage geläufig. Das Passwort zum Einstieg in die Passwortdatenbank muss durch den Benutzer memorisiert werden. Der Zugriffsschutz besteht in der benutzerspezifischen Vergabe von Berechtigungen (Lesen, Schreiben/Mutieren, Ausführen, Löschen) zu schützenswerten Daten oder Objekten. In der Pra‐ xis wird eine Matrix geschaffen, welche für jedes Datenobjekt und jede Benutzerrolle die ent‐ sprechenden Zugriffsberechtigungen definiert. Die Zugriffsrechte sind arbeitnehmerspezifisch und werden durch die dafür Verantwortlichen (in der Regel Vorgesetzte oder Teamchefs) ver‐ geben. Die Zugriffsrechte werden dann durch den Systemadministrator oder einen anderen mit dieser Aufgabe beauftragten Arbeitnehmer im System implementiert. Für besonders schützenswerte Daten7 ist überdies eine Verschlüsselung empfehlenswert. Diese dient dazu, die Vertraulichkeit und Integrität der Daten zu gewährleisten. Die symmetrische Kryptographie benutzt den gleichen Schlüssel sowohl für die Verschlüsselung als auch für die Entschlüsselung. Der Schlüssel setzt einen sicheren Austauschkanal voraus und gilt bei einer Mindestlänge von 128 Bits heutzutage als sicher. Im Gegensatz dazu benutzt die asymmetri‐ sche Kryptographie einen öffentlichen (frei zugänglichen) Schlüssel für die Verschlüsselung und einen privaten (passwortgeschützten) Schlüssel für die Entschlüsselung der Daten. Überdies wird der private Schlüssel für die elektronische Unterschrift und der öffentliche Schlüssel für die Verifizierung der Integrität und Herkunft der Daten verwendet. Die asymmetrische Kryptogra‐ phie setzt eine Public‐Key Infrastruktur (PKI) zur Zertifizierung der öffentlichen Schlüssel voraus und RSA gilt z. B. bei einer Schlüssellänge von 2000 Bits bis 2020 als sicher.8 Das kryptographische Verfahren kann nur so sicher wie die Schlüssel selber sein. Werden die Schlüssel unsicher aufbewahrt, gilt das darauf basierende kryptographische Verfahren auch als unsicher. Die Verschlüsselung ist nicht nur für die Übertragung (SSL, WEP usw.), sondern auch für die Speicherung der ausgetauschten Daten empfehlenswert. Der Austausch von verschlüsselt ge‐ speicherten Daten setzt keinen verschlüsselten Übertragungskanal mehr voraus. Bei verschlüs‐ selt gespeicherten Daten besteht aber das Risiko, dass sie nicht jederzeit entschlüsselt werden können (z. B. Passwort‐ und/oder Schlüsselverlust, Abwesenheit des Schlüsselinhabers). Deswegen ist das Bedürfnis eines zusätzlichen Entschlüsselungsschlüssels (Additional Decrypti‐ on Key [ADK] und Corporate Message Recovery Key [CMRK]) abzuklären und allenfalls den Inte‐ ressierten mitzuteilen. Die Datenverschlüsselung wird immer mehr als Ergänzung der gewöhnlichen Zugriffsberechti‐ gungen angewendet. Unter diesen Umständen verfügen die Systemadministratoren nicht mehr unbedingt über alle Berechtigungen. 7 8 Art. 3 Abs. 1 Buchstabe e Datenschutzgesetz, DSG, LGBl. 2002 Nr. 55. Vgl. Kryptographische Verfahren: Empfehlungen und Schlüssellängen, BSI TR‐02102‐1, Technische Richtlinie, Bundesamt für Sicherheit in der Informationstechnik (BSI). Internet‐ und E‐Mail‐Überwachung September 2013 8/39 DATENSCHUTZSTELLE FÜRSTENTUM LIECHTENSTEIN Ohne Verschlüsselung entspricht die Vertraulichkeit eines E‐Mails derjenigen einer Postkarte. Antivirusprogramme ermöglichen, Viren aufzuspüren und in der Regel auch zu entfernen. Sie müssen den aktuellen Virendatenbanken der neusten Softwareversion entsprechen und auf jedem Arbeitsplatz aktiv sein. Bei der Benutzung von internetbasierten E‐Mail‐Diensten muss das Antivirusprogramm auf dem Computer des Arbeitnehmers installiert werden, da eine Überprüfung des E‐Mail‐Inhaltes erst beim Endbenutzer technisch möglich ist. Bei der Benut‐ zung von internetbasierten E‐Mail‐Diensten wird die Gefahr der Virusinfektion nicht bedeutend grösser als bei der Benutzung des geschäftlichen E‐Mail‐Programms. Lizenzierte, richtig instal‐ lierte Antivirusprogramme der letzten Generation lassen sich oft via Internet automatisch aktu‐ alisieren. Wenn es technisch nicht möglich ist, einen Virus zu entfernen, gestattet die regelmäs‐ sige Datensicherung auf Backups die Wiederherstellung virenfreier Dateien. Zu bemerken ist, dass Antivirusprogramme per Definition keine absolute Sicherheit gegenüber Angriffe anbieten. Deshalb sind auch weitere Schutzmassnahmen wie Spyware Blaster, Detector empfehlenswert. Diskquotamanagers sind Programme, welche im Betriebssystem installiert werden und die Speicherkapazität (Files und Mailboxen) jedes Benutzers begrenzen. Dies führt zu einer Selbst‐ beschränkung, da eine Erweiterung des Speicherraumes begründet werden muss. Durch Diskquotas werden unnötige Überlastungen der Speicherkapazität vermieden, womit eine In‐ tervention des Arbeitgebers in diesen persönlichen Räumen nicht mehr notwendig ist. Im Ge‐ gensatz zu Diskquotas eignet sich die Sperrung von E‐ Mails mit einer bestimmten Grösse als technische Schutzmassnahme kaum, da sie durch Aufteilen der betreffenden E‐Mail‐Anlagen leicht umgangen werden kann. Die Diskquotas sind arbeitnehmerspezifisch und werden durch die dafür Verantwortlichen (in der Regel Vorgesetzte oder Teamchefs) vergeben. Sie werden dann durch den Systemadministrator implementiert. Backups dienen der raschen und möglichst vollständigen Wiederherstellung verloren gegange‐ ner Daten. Die entsprechenden Datenträger müssen (brand‐, wasser‐, strahlungs‐, diebstahls‐) sicher und während einer bestimmten, zum Voraus festgelegten Dauer aufbewahrt werden. Backups stellen eine Protokollierung dar und sollten somit nur mit Vorsicht ausgewertet wer‐ den. Backups des E‐Mail‐Servers sind nicht empfehlenswert, da dadurch auch private E‐Mails tan‐ giert werden können. Deshalb sind private E‐Mails auf einem anderen Datenträger zu spei‐ chern, damit Backups problemlos vorgenommen werden können. Firewalls schützen die eigenen Daten vor externen Angriffen9 und verhindern, dass Netzwerk‐ bandbreite und Arbeitszeit übermässig beansprucht werden. Sie werden meist auf Netzebene zwischen Internet, Intranet und gegebenenfalls einer „demilitarisierten“ Zone (DMZ, wo sich die firmeninternen Internetserver befinden) eingesetzt und filtern den Datenverkehr in beide Richtungen nach USERID, IP‐Adresse oder Applikationsprotokolle10. Die Konfiguration der Fire‐ wall ist komplex, setzt spezifische Kenntnisse voraus und darf nur durch Fachleute durchgeführt werden. Die Firewall kann mit einer so genannten Sperrliste erweitert werden. Diese enthält unerwünschte, vom Hersteller oder vom Arbeitgeber definierte URLs. Eine andere Möglichkeit 9 Die Firewall kann mit der sogenannten Network Address Translation NAT die persönlichen IP‐Adressen durch eine öffentliche Firmen‐IP‐Adresse ersetzen, und somit einen Hackerangriff von aussen verhindern. 10 http, ftp, telnet, nntp, smtp usw. Internet‐ und E‐Mail‐Überwachung September 2013 9/39 DATENSCHUTZSTELLE FÜRSTENTUM LIECHTENSTEIN besteht in einer Positivliste, die lediglich diejenigen Internet‐Adressen elektronisch freigibt, die notwendig sind, um die Aufgaben für die Firma zu erfüllen. Als Ergänzung zu den genannten Hardware‐Firewalls werden heute auch bei den einzelnen Ar‐ beitsstationen sogenannte Personal Firewalls auf den einzelnen Computer‐Arbeitsplätzen in‐ stalliert. Da diese technischen Schutzmassnahmen eine absolute Sicherheit nicht gewährleisten können, werden oft so genannte Intrusion Detection Systems (IDS) sowohl auf Netz‐ als auch auf Server‐, gegebenenfalls auf Client‐Ebene eingesetzt. Der Einsatz eines solchen Systems un‐ terstützt die Aufdeckung von Missbräuchen oder Attacken. Der Einsatz von wissensbasierten IDS ist jedoch ein Zeichen der erkannten Unwirksamkeit der getroffenen Sicherheitsmassnah‐ men. Für das Herunterladen von Dateien durch FTP, HTTP oder E‐Mail‐Anhänge kann sich die Sper‐ rung auch auf bestimme Dateiformate (.EXE, .MP3, .BAT usw.) beziehen. Die Wirksamkeit sol‐ cher Sperrungen muss jedoch relativiert werden, da gewisse Formate, wie z. B. die komprimier‐ te Archivdatei .ZIP, in der Regel selber nicht gesperrt sind, aber gesperrte Dateiformate enthalten können. Der Einsatz eines Modems bei einer laufenden Arbeitsstation kann die ganze Firewallsicherheit umgehen, indem sich ein Fremdbenutzer ins Firmennetz unbefugterweise und unbemerkt ein‐ schleust. Ohne genügende Schutzmassnahmen kann die Firewallsicherheit heutzutage auch durch Einsatz drahtloser Verteiler (Wireless Access Points) umgangen werden. Es empfiehlt sich demzufolge, die Datenübermittlung mit WPA2 zu verschlüsseln.11 Durch den Einsatz angemessener technischer Schutzmassnahmen sollten nur selten konkrete technische Störungen vorkommen. 4. Beim Surfen hinterlassene Spuren Die meisten modernen, gemeinsam benutzten Informatikmittel (z. B. Server, Datenbanken oder Drucker) führen ein Logbuch (Protokollierungen) über die wichtigsten durchgeführten Aktivitä‐ ten durch (vgl. Anhang A). Die Spuren, die bei der Benutzung netzbasierter Anwendungen hinterlassen werden, bestehen in der Regel lediglich aus Randdaten wie „wann hat wer was getan“ und eher selten aus reinen Inhaltsdaten. Unter Protokollierung versteht man eine fortlaufende Aufzeichnung dieser Daten. Ob Protokollierungen eingesetzt werden dürfen, wer und wie lange darauf Zugriff hat, muss nach den Kriterien der Zweck‐ und Verhältnismässigkeit entschieden werden. Ein Hinweis auf jede eingesetzte Protokollierung, deren Zweck, Inhalt und Aufbewahrungsdauer sollte aus Transparenzgründen im internen Überwachungsreglement erwähnt werden. Wenn präventive Massnahmen den Schutz sensibler Personendaten nicht gewährleisten, können Protokollierun‐ gen notwendig sein.12 Weiter ist zu bemerken, dass Protokollierungen bedarfsspezifisch konfiguriert werden können. Typischerweise werden die Protokollierungen vom Systemadministrator auf eine niedrige Stufe 11 Die Verschlüsselungsprotokolle WEP (Wired Equivalent Privacy) und WPA (Wi‐Fi Protected Access) gelten nicht mehr als sicher. Vgl. BSI‐Standards zur Internet‐Sicherheit, Sichere Nutzung von WLAN (ISi‐WLAN). 12 Art. 11 Datenschutzverordnung, DSV, LGBl. 2002 Nr. 102. Empfehlung zur Protokollierung unter http://www.dss.llv.li. Internet‐ und E‐Mail‐Überwachung September 2013 10/39 DATENSCHUTZSTELLE FÜRSTENTUM LIECHTENSTEIN konfiguriert, um die Menge der protokollierten Daten einzudämmen. Erst wenn detailliertere Informationen nötig sind (z. B. im Falle einer Systemstörung), wird die Konfigurationsstufe für die entsprechende, zeitlich beschränkte Periode erhöht. Da Protokollierungen beträchtliche Grössen annehmen, können sie kaum ohne automatisierte Verfahren ausgewertet werden (vgl. Kapitel 8.3.2). Da die Protokolle in der Regel schnell sehr gross werden, ist es empfehlenswert, automatische Auswertungstools mit anonymisiertem Ergebnis vorzusehen. Darüber hinaus sind personenbe‐ zogene Protokollierungen als Datensammlungen gemäss Art. 15 DSG beim Datenschutzbeauf‐ tragten anzumelden. Private Personen oder Firmen müssen die Protokollierungen nur anmel‐ den, wenn für das Bearbeiten keine gesetzliche Pflicht besteht oder die betroffenen Personen davon keine Kenntnis haben. Die Aufbewahrungsdauer der Protokollierungen steht in direktem Zusammenhang mit ihrem Zweck und muss im Nutzungs‐ und Überwachungsreglement trans‐ parent mitgeteilt werden. Dem Arbeitgeber obliegt keine gesetzliche Aufbewahrungspflicht im Zusammenhang mit Protokollierungen. Im Rahmen von Sanktionsverfahren oder Strafverfol‐ gungen dürfen sie bis zu deren Beendigung aufbewahrt werden. Sonst sind Protokollierungen in der Regel nach Ablauf von vier Wochen zu vernichten. Die für die Überwachung des Arbeitnehmers relevanten Protokollierungen können hauptsäch‐ lich an vier verschiedenen Stellen stattfinden: Auf dem Computer des Benutzers, auf Intranet‐ Servern, auf Netzkopplungselementen und auf DMZ‐Servern (vgl. Anhang A). Die bei Internet‐Dienstanbietern bestehenden Protokollierungen können im Falle einer Straftat und unter richterlicher Entscheidung untersucht werden. Überdies kann eine Inhaltsaufnahme angeordnet werden. Auf dem Computer des Benutzers können durch den unzulässigen Einsatz von sogenannten Spionprogrammen13 (vgl. Kapitel 6) sämtliche Aktivitäten festgehalten werden. Überwachungs‐ programme werden in der Regel ohne Information der betroffenen Personen eingesetzt und ermöglichen eine permanente und detaillierte Überwachung sämtlicher Aktivitäten des Arbeit‐ nehmers an seinem elektronischen Arbeitsplatz. Insbesondere gestatten sie die Einsicht in E‐Mails, indem diese registriert und dann an eine Drittadresse weitergeleitet werden. Auch das „Fotographieren“ bzw. „Kopieren“ des Bildschirms in regelmässigen Zeitabständen (recurrent screenshots) mit seinem gesamten Inhalt (z. B. Internetseiten) gehört zu den Fähigkeiten von Spionprogrammen. Das Erfassen sämtlicher Tastenschläge (z. B. durch Einsatz eines Hardware Keylogger), das Erlangen von Passwörtern, die Ansicht sämtlicher aktiver Anwendungen, der Zugriff auf die Festplatte des PC, das Abhören von abgespielten Audiodateien am PC usw. sind weitere Fertigkeiten solcher Programme. Überwachungsprogramme ermöglichen auch die Speicherung der erlangten Aufnahmen und Informationen. Eine weitere Bearbeitung dieser Daten, z. B. in Form einer Datenbekanntgabe an Dritte, ist möglich. Die beim Surfen abgerufenen oder heruntergeladenen Informationen werden meist nur tempo‐ rär auf der lokalen Festplatte gespeichert. Diese temporäre Speicherung (Cache) wird aber nicht vom Benutzer, sondern von der Anwendung aus Leistungsgründen ausgelöst. Sowohl die‐ se temporäre Dateien als auch permanente Randdaten wie „Cookies“, Verlauf und Autovervoll‐ ständigungsdaten können vom Benutzer gesperrt oder gelöscht werden, um einen persönlichen 13 Ghost Keylogger, WinWhatWhere Investigator, PC Activity Monitor usw. Internet‐ und E‐Mail‐Überwachung September 2013 11/39 DATENSCHUTZSTELLE FÜRSTENTUM LIECHTENSTEIN Beitrag zum Schutz der Speicherkapazität und teilweise der eigenen Privatsphäre zu leisten. Ideal ist, wenn die temporären Dateien (Temp File) beim Schliessen des Browsers oder beim Ausschalten des Computers automatisch gelöscht werden. Auf Intranet‐Servern wie Domäne‐Servern besteht die Protokollierung aus Benutzernamen (wer), Datumsangaben (wann), Gegenständen und Handlungen wie Ein‐ und Ausloggen, Aus‐ drucken von Dateien, dynamische IP‐Adressenvergabe, DNS‐Adressenauflösung (Domain Name System) und Applikationsaufruf (was). Die IP‐Adressen der Benutzercomputern können entwe‐ der statisch/endgültig von einem Netzwerkadministrator oder dynamisch/vorläufig von einem Netzwerkdienstserver vergeben werden. Im letzteren Fall befindet sich eine chronologische Korrespondenzliste zwischen vergebener IP‐Adresse und eingeloggtem Arbeitnehmer nur im Protokoll des DHCP‐Servers (Dynamic Host Configuration Protocol). Missbräuchliche Aktivitäten können aber unter dem Namen/Account eines unschuldigen Arbeitnehmers von bösartigen Kollegen ausgeführt worden sein. Für solche Fälle ist in erster Linie der Arbeitnehmer für den eigenen Account verantwortlich (rasche Einschaltung des Bildschirmschoners und Reauthentifi‐ zierung). Abgerufene Internetseiten und heruntergeladene Dateien können Gegenstand der von einem Proxy‐Server verwalteten Zwischenspeicherung sein und stellen somit einen beobachtbaren Schnappschuss der letzterfolgten Surfaktivitäten dar. Jeder weitere Zugriff auf einer dieser Da‐ teien durch andere Arbeitnehmer erfolgt direkt beim Proxy‐Server. Somit erübrigt sich ein neu‐ er Zugriff auf das Internet und die Netzbandbreite bleibt gespart. Dadurch könnte man aber die Nachvollziehbarkeit gewisser Surfaktivitäten verlieren, obschon der Proxy‐Server seine eigenen Aktivitäten (Cache‐ und Filterfunktion) gänzlich protokollieren kann. Dabei ist zu beachten, dass eine URL ein Randdatum ist, dessen Inhalt in der Regel nachträglich wieder abrufbar und dar‐ stellbar ist. Auf Netzkopplungselementen wie Firewall oder Router werden im Prinzip eine Zeitangabe, die Quell‐ und Ziel‐IP‐Adressen, das verwendete Applikationsprotokoll wenn nicht sogar die abge‐ rufene Seite und den Benutzernamen protokolliert. Zu den Quelladressen muss man noch da‐ ran denken, dass eine NAT‐Funktion (Network Address Translation) optional einsetzbar ist. Die intern verwendeten IP‐Adressen werden dynamisch in extern bekannte aber unschädliche Ad‐ ressen umgewandelt, um sich vor externen Attacken zu schützen. Die Interpretation der Proto‐ kolle kann infolgedessen verkompliziert werden. Auf Netzwerkebene können sogenannte Sniffer‐/Scannergeräte von einem Administrator ein‐ gesetzt werden, um eine detaillierte Abhörung der übertragenen Datenpakete (Rand‐ und In‐ haltsdaten) zu erstellen. Eine solche Abhörung ist erst problematisch, wenn sie von einem un‐ befugten Benutzer (Hacker) ausgeführt wird. In jedem Fall sollten kritische Daten wie Passwörter nur in chiffrierter Form übertragen werden. Ausserdem können sogenannte (server‐ oder) netzbasierte Intrusion Detection Systeme (IDS) installiert werden, um vom Firewall uner‐ kannte Attacken nachträglich abfangen zu können. Eine „demilitarizierte“ Zone (DMZ) zwischen Intranet und Internet wird oft von Firewalls unter‐ stützt, um von beiden Welten zugreifbare Server beherbergen zu können. Es geht vor allem um die E‐Mail‐, File‐ und Webserver (bzw. Protokolle SMTP, FTP und HTTP). Auf den E‐Mail‐Servern werden u. A. Zeitangabe, Absender‐ und Empfängeradresse, Betreff‐ text, Priorität und Vertraulichkeit der Nachrichten protokolliert. Es kann aber nicht ausge‐ schlossen werden, dass weitere Informationen protokolliert werden (z. B. Anzahl Attachments, Internet‐ und E‐Mail‐Überwachung September 2013 12/39 DATENSCHUTZSTELLE FÜRSTENTUM LIECHTENSTEIN Grösse des E‐Mails, digitale Signatur, ev. auch IP‐Adresse). E‐Mail‐Inhalte werden grundsätzlich nicht protokolliert. Die Protokollierungseinträge sind in der Regel direkt oder indirekt (durch Verknüpfung mit der Korrespondenzliste) mit einer bestimmten Person verkettbar. Im Falle dass eine Protokollierung bekannt gegeben werden muss, ist sie mit grosser Wahrscheinlichkeit zu pseudonymisieren oder sogar repseudonymisieren (wenn die Daten nicht genug robust pseudonymisiert waren). 5. Das Nutzungsreglement über privates Surfen und Mailen Ob Arbeitnehmer das Recht haben, privat Internet und E‐Mail zu nutzen, hängt in erster Linie vom Willen des Arbeitgebers ab. Ähnlich wie in anderen Bereichen des Arbeitsverhältnisses, hat er ein Weisungsrecht.14 Wichtig ist, dass der Arbeitgeber die effektiven beruflichen Bedürfnisse seiner Arbeitnehmer differenziert überprüft, bevor er ihnen den Internetzugriff gewährt. Durch spezifische Schulung sollen die Arbeitnehmer auf die Sicherheitsgefahren bei der Benutzung netzbasierter Anwendungen sensibilisiert werden. Für den Arbeitgeber ist es ratsam, eine schriftliche Weisung über die Nutzung netzbasierter Anwendungen zu erlassen, obschon dies nicht obligatorisch ist. Ein solches Nutzungsreglement (vgl. Anhang C) schafft Transparenz und Rechtssicherheit in den Beziehungen zwischen Arbeit‐ geber und Arbeitnehmer. Jeder Arbeitnehmer sollte daher am besten schriftlich über die Rege‐ lung informiert werden. Ein nur mündlich kommuniziertes Nutzungsreglement ist zwar eben‐ falls verbindlich, kann aber im Streitfall zu Nachweisschwierigkeiten führen. Deshalb ist allen Arbeitnehmern ein schriftliches Exemplar auszuhändigen, dessen Empfang sie quittieren. Das Nutzungsreglement ist regelmässig zu überprüfen und wenn nötig anzupassen. Anpassungen sind insbesondere nötig, wenn Missbräuche festgestellt werden, die Arbeitsbedürfnisse ändern oder relevante technische Neuerungen entstehen. Die private Benutzung der netzbasierten Anwendungen wird je nach Nutzungsreglement ent‐ weder zugelassen, eingeschränkt oder ganz verboten. Eine Einschränkung kann auf unterschiedliche Weise erfolgen. Die zeitliche Begrenzung privater Surftouren, z. B. 15 Minuten pro Tag, ist aus zwei Gründen nicht wirkungsvoll: Einerseits wird der Zeitpunkt, wann eine Internetseite verlassen wird, in der Regel aus technischen Gründen15 nicht protokolliert. Anderseits würde eine Protokollierung der Benutzungsdauer kaum zuverläs‐ sige Rückschlüsse auf die effektive zeitliche Beanspruchung ermöglichen, da die abgerufene Internetseite hinter einer anderen Applikation (z. B. dem Textverarbeitungsprogramm) offen bleiben kann, ohne dass sie jedoch tatsächlich benutzt wird. Erst die Protokollierung einer Rei‐ he aufeinanderfolgender Internet‐Zugriffe vom selben Computer aus innerhalb einer bestimm‐ ten Zeitspanne könnte Rückschlüsse auf die tatsächliche Benutzungsdauer ermöglichen, wenn die einzelnen Zugriffe in kurzen Zeitabständen voneinander erfolgt sind. Eine absolut richtige Aussage über die Dauer der Benutzung netzbasierter Anwendungen lässt sich aber auch in sol‐ chen Fällen nicht machen, da gewisse Internetseiten kontinuierlich und automatisch aktualisiert werden (z. B. Newstickers bei Zeitungen oder Börsenmeldungen). 14 15 Art. 7 des Einzelarbeitsvertragsrechts nach § 1173a ABGB. Beim Schliessen des Internet‐Browsers werden die Protokollierungsprogramme nicht informiert. Internet‐ und E‐Mail‐Überwachung September 2013 13/39 DATENSCHUTZSTELLE FÜRSTENTUM LIECHTENSTEIN Eine Einschränkung kann erfolgen durch Sperrung unerwünschter Internetangebote (Börse, elektronische Stellenanzeiger, E‐Commerce‐Seiten, pornographische oder rassistische Texte oder Bilder usw.), durch Festsetzung einer bestimmten, beanspruchbaren Speicherkapazität des Servers (vgl. Kapitel 3) oder eines Zeitpunktes, ab welchem eine private Benutzung erlaubt ist (z. B. ab 18 Uhr). Möglich ist auch die Vergabe von unterschiedlichen Bandbreiten je nach Ar‐ beitsrelevanz der abgerufenen Internetseiten. Die Einschränkung oder das Verbot der privaten Benutzung netzbasierter Anwendungen kann auch durch Umschreibung der zugelassenen Internetangebote erfolgen, mit einer Positivliste, die z. B. nur die Informationsbeschaffung auf Internetseiten offizieller Behörden erlaubt (vgl. Kapitel 3). Im Allgemeinen ist eine Surftour zulässig, wenn sie beruflichen Zwecken dient. Falls die Internetnutzung eingeschränkt ist, könnte es eine Lösung sein, wenn der Arbeitgeber – ähnlich wie beim Telefon – ein frei zugängliches Internet‐Terminal zur Verfügung stellt. Die entsprechende Protokollierung darf durch den Arbeitgeber nicht eingesehen werden, wird aber aus Beweissicherungsgründen (z. B. für ein offizielles Ermittlungsverfahren) erstellt. Aus Sicher‐ heitsgründen (vgl. Kapitel 2) empfiehlt es sich, dieses Terminal vom übrigen Firmennetz ge‐ trennt zu betreiben. Die interessierten Arbeitnehmer tragen die vollständige Verantwortung für die Sicherheit und die gesetzeskonforme Benutzung des Terminals. Wenn kein Nutzungsreglement erlassen wird, besteht Unklarheit über die Befugnis zur privaten Internet‐ und E‐Mail‐Nutzung. Gewisse Kreise vertreten die Auffassung, dass das Verbot priva‐ ten Telefonierens auf die private Internetnutzung analog anwendbar sei. Die Interessen und Mittel des Arbeitgebers müssen jedenfalls gewährleistet bleiben. Letzteres hängt mit der Sorg‐ falts‐ und Treuepflicht16 zusammen, die den Arbeitnehmer verpflichtet, die Interessen des Ar‐ beitgebers zu wahren. Was dies im Zusammenhang mit der Internetnutzung bedeutet, hängt von den konkreten Umständen im Einzelfall ab. Die Gefahr besteht, dass der Arbeitgeber falsch beurteilt, ob eine Surftour zulässig ist. Aus diesen Gründen ist es empfehlenswert, ein schriftliches Nutzungsreglement zu erlassen. Je konkreter und klarer dieses ist, desto unmissverständlicher sind die Grenzen der erlaubten pri‐ vaten Internetnutzung am Arbeitsplatz. 6. Gesetzliche Grundlagen der Überwachung Die dauerhafte Verhaltensüberwachung der Arbeitnehmer am Arbeitsplatz ist durch die Ver‐ ordnung über die Sicherheit und den Gesundheitsschutz der Arbeitnehmer am Arbeitsplatz17 verboten. Sind Überwachungs‐ und Kontrollsysteme aus anderen Gründen erforderlich, müssen sie so gestaltet und angeordnet sein, dass sie die Gesundheit und die Bewegungsfreiheit der Arbeitnehmer nicht beeinträchtigen18. Geschützt werden sollen in erster Linie die Gesundheit und die Persönlichkeit der Arbeitnehmer vor ständiger, gezielter Verhaltensüberwachung durch Einsatz eines Überwachungssystems.19 16 § 1173a Art. 4 ABGB. LGBl. 1998 Nr. 111. 18 Art. 59 Abs. 2 genannten Verordnung. 19 Grundsätzliche Ausführungen zu den Rechtsgrundlagen einer Überwachung der Arbeitnehmer am Arbeitsplatz finden sich in den Richtlinien der DSS zur Überwachung der Arbeitnehmer am Arbeitsplatz, http://www.dss.llv.li. 17 Internet‐ und E‐Mail‐Überwachung September 2013 14/39 DATENSCHUTZSTELLE FÜRSTENTUM LIECHTENSTEIN Im Zusammenhang mit dem Surfen und der Nutzung von E‐Mail am Arbeitsplatz bedeutet dies, dass Überwachungen der Internet‐ und E‐Mail‐Nutzung durch ständige, personenbezogene Auswertungen der Protokollierungen nicht zulässig sind. Aus diesem Grund dürfen auch Spion‐ programme (vgl. Kapitel 4) nicht eingesetzt werden. Bei den Spionprogrammen handelt es sich um ein leistungsstarkes System zur heimlichen Überwachung des Verhaltens von Arbeitneh‐ mern am Arbeitsplatz. Ihr Einsatz stellt sowohl eine Verletzung des Verhaltensüberwachungs‐ verbotes als auch des Grundsatzes von Treu und Glaube dar. Das Aufnehmen, Beobachten, Analysieren, Speichern und Weiterbearbeiten von Informationen und Aktivitäten aller Art am PC ohne Einwilligung der betroffenen Person ergründet ausserdem wohl eine Verletzung des Geheim‐ oder Privatbereiches durch Aufnahmegeräte im Sinne des Strafgesetzbuches. Dadurch, dass er mit Überwachungs‐ und Aufnahmefunktionen dotiert wird, wird der PC zum Aufnahme‐ gerät. Aufgrund der vielfältigen Funktionen und Programmierungsmöglichkeiten der Überwa‐ chungsprogramme kann der Eingriff in die Persönlichkeit des Arbeitnehmers u. U. noch tiefgrei‐ fender sein als durch den Einsatz einer Videokamera. Ein Beispiel von Spionprogrammen stellen so genannte Content Scanners dar. Ein Content Scanner ist eine Software, welche die gesendeten und/oder empfangenen E‐Mails nach be‐ stimmten vordefinierten Stichwörter auswertet und entsprechend reagiert (z. B. Sperrung, Lö‐ schung, Kopie an Systemadministrator oder gar an Vorgesetzten). Beim Content Scanner ist die Gefahr der Persönlichkeitsverletzung durch systematische Verhaltensüberwachung offensicht‐ lich. Die Wirksamkeit solcher stichwortbasierten Filtrierungen ist ausserdem bestreitbar, da sie entweder zuviel oder zuwenig abwehren. Die absolute Inhaltssicherheit ist auf jeden Fall illuso‐ risch, da z. B. die vermehrt angepriesenen verschlüsselten E‐Mails nicht analysierbar sind. Hinzu kommt, dass E‐Mails, die als privat gekennzeichnet sind, in keinem Fall inhaltlich ausgewertet werden dürfen. Gestattet sind permanente anonymisierte Auswertungen der Protokollierungen sowie stich‐ probenartige pseudonymisierte Auswertungen der Protokollierungen, um zu überprüfen, ob das Nutzungsreglement eingehalten wird (vgl. Kapitel 8.4.1.1). Solche Auswertungen dienen dazu, Beweise zu erheben, um Missbräuche sanktionieren zu können, die durch die technischen Schutzmassnahmen nicht verhindert werden konnten (z. B. Zugriffe auf Internetseiten, die nicht auf die Sperrliste der Firewall figurieren). Wenn ein Missbrauch festgestellt wird – und die Belegschaft vorher in einem Überwachungs‐ reglement (vgl. Kapitel 7.1) informiert wurde – kann dies zu einer namentlichen Auswertung der Protokollierungen führen. Das Verbot der Verhaltensüberwachung gemäss Art. 59 der Verordnung über die Sicherheit und den Gesundheitsschutz der Arbeitnehmer am Arbeitsplatz, gilt also nicht absolut. Es geht viel‐ mehr darum, den Persönlichkeitsschutz der Arbeitnehmer und die Interessen des Arbeitgebers (vgl. Kapitel 2) gegeneinander abzuwägen. In Einzelfällen, wenn Missbräuche festgestellt wer‐ den und die entsprechende vorherige Information (Überwachungsreglement) besteht, dürfen personenbezogene Verhaltensüberwachungen vorgenommen werden. Werden keine Miss‐ Internet‐ und E‐Mail‐Überwachung September 2013 15/39 DATENSCHUTZSTELLE FÜRSTENTUM LIECHTENSTEIN bräuche festgestellt, müssen sowohl die Gewährleistung der Sicherheit als auch die Überwa‐ chung der Einhaltung des Nutzungsreglements anonym oder pseudonym bleiben.20 Neben Art. 59 der Verordnung über die Sicherheit und den Gesundheitsschutz der Arbeitneh‐ mer am Arbeitsplatz, schützen auch das Datenschutzgesetz sowie § 1173a Art. 27 und Art. 28a ABGB die Persönlichkeit des Arbeitnehmers. Diese Bestimmungen sehen auch vor, dass der Arbeitgeber Personendaten nur unter Einhaltung des Zweckbindungs‐ und Verhältnismässig‐ keitsprinzips bearbeiten darf. Viele Arbeitgeber stellen ihren Arbeitnehmern tragbare Arbeitsinstrumente zur Verfügung. Die‐ se sind auch von der Überwachung betroffen, was ein besonderes Problem darstellt, da diese Geräte oft auch privat benutzt werden. Der Arbeitnehmer darf vom Arbeitgeber jederzeit Auskunft darüber verlangen, ob Daten über ihn bearbeitet werden21. Dies kann sogar eine überwachungshemmende Wirkung auf den Ar‐ beitgeber haben. Personendaten dürfen nicht ohne Einwilligung der betroffenen Personen oder einen anderen Rechtfertigungsgrund an unberechtigte Dritte bekannt gegeben werden22. Die Arbeitskollegen der betroffenen Person gelten in Bezug auf den Datenschutz als Dritte. Sowohl die Informatikdienste bzw. die Sicherheitsbeauftragten als auch die Vorgesetzten und Personaldienste haben die Personendaten (hauptsächlich die Protokollierungen und deren Auswertungen), die sie im Zusammenhang mit einer Überwachung bearbeiten, durch angemes‐ sene technische Schutzmassnahmen gegen unbefugte Zugriffe zu schützen23. Sie sorgen insbe‐ sondere für die Vertraulichkeit, die Verfügbarkeit und die Integrität der Personendaten24. 7. Die wichtigsten rechtlichen Voraussetzungen für die Überwachung des Surfens und der E‐Mail‐Nutzung Um eine personenbezogene Überwachung einleiten zu dürfen, muss der Arbeitgeber die Beleg‐ schaft vorher informieren und einen Missbrauch festgestellt haben oder es muss ein Miss‐ brauchsverdacht entstanden sein. Im Detail gelten folgende Regeln. 7.1 Die vorherige Information Anders als beim Nutzungsreglement, das nicht obligatorisch ist, hat der Arbeitgeber die Pflicht, ein Überwachungsreglement zu erlassen, da die Überwachung einen Eingriff in die Privatsphä‐ re des Arbeitnehmers darstellen kann (Prinzip von Treu und Glauben, Art. 4 Abs. 2 DSG). Ein solcher Eingriff ist dann gegeben, wenn Protokollierungen privater Surftouren personenbezo‐ 20 Auch die Entstehungsarbeiten zu Art. 59 der Verordnung über die Sicherheit und den Gesundheitsschutz der Arbeitnehmer am Arbeitsplatz, wiesen im Zusammenhang mit der Telefonüberwachung zu Recht darauf hin, dass erst bei einem konkre‐ ten Missbrauch die vollständigen Randdaten des Telefonverkehrs personenbezogen ausgewertet werden dürfen. 21 Art. 11 Abs. 1 DSG, vgl. Kapitel 8.1.2 22 Art. 16, 17 und 18 DSG 23 Art. 9 Abs. 1 DSG. Vgl. dazu die Empfehlungen zur Datensicherheit und zu den technischen und organisatorischen Massnah‐ men, http://www.dss.llv.li. 24 Art. 9 Abs. 1 der Datenschutzverordnung, DSV, LGBl. 2002 Nr. 102 Internet‐ und E‐Mail‐Überwachung September 2013 16/39 DATENSCHUTZSTELLE FÜRSTENTUM LIECHTENSTEIN gen ausgewertet werden. Das Überwachungsreglement wird aus Gründen der Transparenz und Rechtssicherheit schriftlich und in der Regel zusammen mit dem Nutzungsreglement in einem einzigen Dokument verfasst (vgl. Musterreglement, Anhang C). Der Arbeitgeber muss im Überwachungsreglement darüber informieren, dass die Möglichkeit der personenbezogenen Auswertung der Protokollierungen besteht (vgl. Kapitel 8.2 und 8.3) und dass die Auswertungsresultate an den Personaldienst und an den Vorgesetzten weiterge‐ geben werden, falls ein Missbrauch festgestellt wird. Sieht das Überwachungsreglement diese Information nicht vor, so muss dies nachgeholt werden, bevor Protokollierungen personenbe‐ zogen ausgewertet werden. Die Information hat demzufolge vor dem Missbrauch bzw. Miss‐ brauchsverdacht und nicht lediglich vor der personenbezogenen Auswertung der Protokollie‐ rungen zu erfolgen. Ausnahmsweise, wenn ein schwerer Missbrauch vorliegt, kann die vorherige Information erst vor der personenbezogenen Auswertung der Protokollierungen er‐ folgen, falls sie früher nicht vorhanden war. In der Abwägung überwiegen in solchen Fällen die Interessen des Arbeitgebers an die Identifikation des fehlbaren Arbeitnehmers. Empfehlenswert ist auch darüber zu informieren, wer für die personenbezogene Auswertung der Protokollierungen zuständig ist, welche konkreten arbeitsrechtlichen Sanktionen ergriffen werden können und wie bei Verdacht auf eine Straftat vorgegangen wird. Ratsam ist ferner die Information über die eingesetzten Protokollierungen, deren Zweck, Inhalt, Aufbewahrungsdau‐ er und Auskunftsrecht. Im Zusammenhang mit der E‐Mail‐Benutzung hat der Arbeitgeber auch die externen E‐Mail‐ Empfänger und ‐Absender über das Vorliegen von Überwachungen bzw. von Stellvertretungen zu informieren. Dies könnte bspw. in den Fusszeilen zusammen mit der Vertraulichkeits‐ und Amtlichkeitsklausel jedes ausgehenden E‐Mails erfolgen. Die Kenntnis, dass eine Überwachung möglich ist, kann eine abschreckende Wirkung auf das Surfverhalten der Arbeitnehmer haben. 7.2 Die Feststellung eines Missbrauches Ein Missbrauch liegt vor, wenn das Nutzungsreglement verletzt worden ist. Missbräuchlich ist je nach Nutzungsreglement z. B. das Surfen auf Web‐Seiten, die keine berufliche Relevanz aufwei‐ sen, oder das private Surfen tout court, wenn es ausdrücklich verboten wurde. Der wegen den ergriffenen technischen Schutzmassnahmen misslungene Versuch, auf gesperrte Internetseiten zuzugreifen, stellt hingegen keinen Missbrauch dar. Fehlt ein Nutzungsreglement, so können die Treuepflicht oder das Zweck‐ und Verhältnismäs‐ sigkeitsprinzip trotzdem verletzt werden. Ist dies der Fall, dann spricht man auch von einem Missbrauch. Ein Missbrauch kann durch anonyme oder pseudonyme Überwachungen der Einhaltung des Nutzungsreglements (vgl. Kap. 8.2 und 8.3), bei der Gewährleistung der Sicherheit (z. B. beim Herausfinden der Quelle eines Virus oder eines internen Hackingversuches) oder durch andere Hinweise (z. B. Vorfinden von gedrucktem privatem Material beim Firmendrucker, versehentli‐ che Zustellung von privaten E‐Mails an Vorgesetzten oder eine Überlastung der E‐Mail‐Box ei‐ nes Arbeitnehmers) festgestellt werden. Internet‐ und E‐Mail‐Überwachung September 2013 17/39 DATENSCHUTZSTELLE FÜRSTENTUM LIECHTENSTEIN 8. Die Überwachung des Surfens und der E‐Mail‐Benutzung am Ar‐ beitsplatz Es ist an dieser Stelle nochmals klar festzuhalten, dass sowohl die technische Prävention als auch die Sensibilisierung und Mitwirkung der Arbeitnehmer Vorrang gegenüber der Überwa‐ chung haben. Nur wenn ein Missbrauch so nicht verhindert werden kann, darf der Arbeitgeber eine personenbezogene Überwachung in Betracht ziehen. Die Überwachung des privaten Surfens wird von derjenigen der privaten E‐Mail‐Benutzung se‐ parat betrachtet. Zu bemerken ist, dass in Kleinunternehmen die nachfolgenden Ausführungen kaum Anwendung finden, da keine richtige Anonymität garantiert werden kann. In den folgenden Kapiteln wird insbesondere die Überwachung des Surf‐ und E‐Mail‐Verhaltens aufgrund der Auswertung der Protokollierungen erörtert. Wegen ihrer präventiven, permanen‐ ten und vorsätzlichen Natur ist sie die geläufigste und gefährlichste Art der Überwachung. Möglich ist aber auch die zufällige Überwachung im Rahmen der Gewährleistung der Sicherheit und Funktionstüchtigkeit der technischen Ressourcen oder aufgrund anderer Hinweise. 8.1 Überwachung im Rahmen der Gewährleistung der Sicherheit und der Funktionstüchtigkeit des betrieblichen EDV‐Systems Eine Aufgabe der Informatikdienste oder Sicherheitsbeauftragten eines Unternehmens besteht in der Gewährleistung der Sicherheit und Funktionstüchtigkeit der technischen Mittel. In Klein‐ betrieben ist der Vorgesetzte oft dafür selber zuständig. Die Gewährleistung der Sicherheit er‐ folgt laufend, meistens durch den Einsatz von technischen Schutzmassnahmen (z. B. Intrusion Detection System), und anonym. Die Abwehr von internen oder externen Angriffen wird weit‐ gehend diesen Massnahmen überlassen. Der Arbeitgeber hat dafür zu sorgen, dass die techni‐ schen Schutzmassnahmen regelmässig dem neusten Stand der Technik angepasst werden. Manifestiert sich eine technische Störung trotz Schutzmassnahmen, können bei der Suche nach deren Ursache die Protokollierungen beigezogen werden. Die Ursache der Störung kann zu‐ gleich einen Missbrauch darstellen oder einen Missbrauchsverdacht erwecken. Im Falle eines erwiesenen Missbrauches kann der identifizierte Mitarbeiter gemäss den Ausführungen in Kapi‐ tel 10 sanktioniert werden. 8.2 Überwachung auf Grund anderer Hinweise Der Missbrauchsverdacht oder der Missbrauch kann auch zufälligerweise, durch andere Hin‐ weise entstehen bzw. festgestellt werden (vgl. Kapitel 7.2). Zur Identifikation des fehlbaren Mitarbeiters können, falls nötig, die entsprechenden Protokollierungen (z. B. die Protokollie‐ rung des Druckers) oder auch nur deren Auswertungen beigezogen werden. Bei erwiesenem Missbrauch kommen die Sanktionen gemäss Kapitel 10 zur Anwendung. Internet‐ und E‐Mail‐Überwachung September 2013 18/39 DATENSCHUTZSTELLE FÜRSTENTUM LIECHTENSTEIN 8.3 Überwachung aufgrund der Auswertungen der Protokollierungen Bei der Auswertung einer Protokollierung geht es um eine übersichtliche Analyse von protokol‐ lierten Aktivitäten nach bestimmten, vordefinierten Kriterien. Die Auswertung wird durch ein dafür vorgesehenes Programm erzeugt. Eine oder mehrere miteinander verknüpfte Auswer‐ tungen (z. B. aus Internet‐, E‐Mail‐ und Telefonaktivitäten) können Persönlichkeitsprofile bilden. Deshalb könnte das Auswertungstool eine Protokollierung über die erzeugten Auswertungen vornehmen. Es bestehen hauptsächlich drei verschiedene Auswertungsarten: die anonyme, die pseudonyme und die namentliche Auswertung. Bei der anonymen Auswertung geht es um die statistische Analyse der Protokollierungen (z. B. nach dem Kriterium der meistbesuchten Internetseiten oder nach der Anzahl gesendeter E‐Mails). Die Auswertung kann sowohl die gesamte Arbeitnehmerschaft einer Firma als auch nur einen Teil davon (z. B. eine bestimmte Firmenabteilung) betreffen. Um die Anonymität zu gewährleisten, hat die untersuchte Personenmenge genügend gross zu sein. Bei der pseudonymen Auswertung geht es um eine Protokollierungsanalyse nach pseudonymi‐ sierter, bestimmbarer Person (z. B. die meist besuchten Internetseiten pro pseudonymisierte Person). Das Pseudonym muss genügend robust sein, um die Identität der betroffenen Person in der Phase der nichtpersonenbezogenen Überwachung (vgl. Kapitel 8.4.1) zu schützen. So‐ wohl User‐ID als auch statisch vergebene IP‐Adresse gelten nicht als robuste Pseudonyme, da damit die Identität der betroffenen Personen leicht zu rekonstruieren ist. Die namentliche Auswertung stellt eine Protokollierungsanalyse nach einer bestimmten Person dar. Die Relation der Pseudonyme mit den entsprechenden Personennamen befindet sich in der sogenannten Korrespondenzliste. Durch Verknüpfung des Pseudonyms mit der Korrespon‐ denzliste lässt sich die Identität der betroffenen Person ermitteln (Reidentifikation/namentliche Auswertung). Es ist empfehlenswert, die Auswertungen der Protokollierungen von der Korres‐ pondenzliste (Benutzernamen und entsprechende Pseudonyme) physisch und funktionell (durch zwei verschiedene Personen) getrennt aufzubewahren. Es ist aber zu bedenken, dass weder getrennte Listen noch Pseudonymisierung der Benutzer‐ namen eine anonyme Überwachung garantieren, wenn die Korrespondenzlisten allgemein auf‐ findbar sind.25 Speziell gilt, dass die namentliche Auswertung der Protokollierung der E‐Mails, welche gemäss Kapitel 8.5 als privat bezeichnet sind, nur folgende Elemente zu enthalten hat: Datum, Zeit, Ab‐ senderadresse (unterdrückt bei eingehenden E‐Mails), Empfängeradresse (unterdrückt bei aus‐ gehenden E‐Mails), Vermerk <privat>. Mit anderen Worten, darf nur die E‐Mail Adresse des Arbeitnehmers in der namentlichen Auswertung erscheinen. 8.4 Die Überwachung aufgrund der Auswertungen der Surfprotokollierungen Die Überwachung der Auswertungen der Internetprotokollierungen dient dem Schutz der Inte‐ ressen des Arbeitgebers gemäss Kapitel 2 dieses Leitfadens. 25 Vgl. 9. Tätigkeitsbericht des Eidgenössischen Datenschutzbeauftragten, 2001/02, Kapitel 2.2.1, S. 19ff. insb. S. 21. Internet‐ und E‐Mail‐Überwachung September 2013 19/39 DATENSCHUTZSTELLE FÜRSTENTUM LIECHTENSTEIN Die Überwachung der Auswertungen der Internetprotokollierungen unterteilt sich in zwei Pha‐ sen: nichtpersonenbezogene Überwachung; personenbezogene Überwachung. 8.4.1 Erste Phase: Nichtpersonenbezogene Überwachung Die Zwecke der ersten Phase der Überwachung, die sogenannte nichtpersonenbezogene Über‐ wachung, bestehen hauptsächlich in der Erstellung von Statistiken und in der Kontrolle der Ein‐ haltung des Nutzungsreglements. Erstellung von Statistiken: Statistiken erfolgen aufgrund anonymer Auswertungen der Pro‐ tokollierungen und bezwecken die strukturierte, anonyme Wiedergabe der durchschnittli‐ chen Internetbenutzung. Kontrolle der Einhaltung des Nutzungsreglements: Unter der Voraussetzung, dass die Ar‐ beitnehmer vorgängig im Überwachungsreglement darüber informiert wurden (vgl. Kapitel 7.1 und Anhang C), darf der Arbeitgeber die Einhaltung des Nutzungsreglements kontrollie‐ ren. Je nach Überwachungsreglement erfolgt diese Kontrolle durch eine anonyme und/oder durch eine pseudonyme Auswertung der Protokollierungen. Die anonyme Aus‐ wertung ermöglicht keine Identifikation und darf demzufolge permanent erfolgen. Die pseudonyme Auswertung ermöglicht die Überwachung des Verhaltens einer bestimmba‐ ren Person im Vergleich zum durchschnittlichen (anonymen) Verhalten. Sie darf nur stich‐ probenartig, nach einem bestimmten Zeitplan erfolgen (z. B. ein Tag pro Monat, unter An‐ gabe der betroffenen Woche; Dadurch soll das Gefühl der ständigen, individuellen Verhaltensüberwachung verhindert werden). Die Überwachung der gesamten Zeitspanne seit der letzten Stichprobe (z. B. durch Content Scanner oder Spionprogramme, vgl. Kapitel 8.2.3) käme hingegen einer ständigen Verhaltensüberwachung der gesamten Arbeitneh‐ merschaft gleich, welche gemäss Art. 59 der Verordnung über die Sicherheit und den Ge‐ sundheitsschutz der Arbeitnehmer am Arbeitsplatz nicht zulässig ist. Die nichtpersonenbe‐ zogene Überwachung der Einhaltung des Nutzungsreglements sollte durch den Datenschutzberater der Firma, durch einen dafür speziell ausgebildeten Mitarbeiter oder durch eine externe Vertrauensperson durchgeführt werden. Die beauftragte Person muss über ihre Verantwortung klar informiert werden, besonders im Zusammenhang mit dem Verbot von personenbezogenen Auswertungen in dieser Phase. 8.4.2 Zweite Phase: Personenbezogene Überwachung Bei der zweiten Phase der Überwachung, der sogenannten personenbezogenen Überwachung, geht es um die Identifikation bzw. Reidentifikation einer Person im Falle einer Missbrauchsfest‐ stellung oder eines Missbrauchsverdachts in der ersten Phase. Beim Missbrauchsverdacht26 wird die pseudonymisierte Auswertung der Protokollierung her‐ angezogen und durch Verknüpfung mit der Korrespondenzliste namentlich ausgewertet. Das 26 Wird bspw. ein wiederholtes Zugriff auf die Homepage einer Zeitung durch das gleiche Pseudonym festgestellt, klärt man durch namentliche Auswertung ab, ob die betreffende Person zugriffsberechtigt war. Je nach beruflicher Funktion (z. B. Presse‐ verantwortlicher) kann der Zugriff gerechtfertigt sein. Internet‐ und E‐Mail‐Überwachung September 2013 20/39 DATENSCHUTZSTELLE FÜRSTENTUM LIECHTENSTEIN Ziel dieser namentlichen Auswertung besteht darin, das Bestehen eines Missbrauches zu bestä‐ tigen oder den Missbrauchsverdacht zu eliminieren. Wird der Missbrauchsverdacht nicht bestä‐ tigt, hört man mit der namentlichen Auswertung der Protokollierung sofort auf. Der Arbeitge‐ ber bleibt aber weiterhin gehalten, die technischen Schutzmassnahmen und/oder das Nutzungsreglement an den technischen Fortschritt anzupassen, z. B. durch die Beschaffung eines aktualisierten Antivirusprogramms oder durch die Erweiterung der Firewall mit einer überarbeiteten Sperrliste. Liegt ein Missbrauch gemäss Kapitel 7.2 vor, passt der Arbeitgeber zuerst die technischen Schutzmassnahmen sowie, wenn nötig, das Nutzungsreglement an. Die Anpassung des Nut‐ zungsreglements wird den Arbeitnehmern mitgeteilt. Da eine solche Bearbeitung der Protokollierung weitere, mit dem Missbrauch nicht zusammen‐ hängende Personendaten enthüllen kann, ist die mit der Auswertung beauftragte Person an das Berufsgeheimnis besonders gebunden. Sie darf solche Daten nicht missbrauchen. Im Falle einer Datenbearbeitung durch Dritte hat der Arbeitgeber Letztere darauf hinzuweisen (Art. 19 DSG). Die Identifikation bzw. Reidentifikation des fehlbaren Arbeitnehmers erfolgt gemäss Kapitel 8.3. Danach kann der Arbeitgeber die passenden arbeitsrechtlichen Massnahmen treffen (vgl. Kapi‐ tel 10). 8.4.3 Beispiele aus der Schweizer Rechtsprechung Heimlicher Einsatz von Spionage‐ Software Ein Kadermitglied des Zivilschutzes wurde ver‐ BGE 8C_448/2012 vom dächtigt, seinen Computer während der Arbeits‐ 17.01.2013 (italienisch) zeit zu arbeitsfremden Zwecken zu nutzen. Der Arbeitgeber installierte heimlich eine Spiona‐ gesoftware. Eine Prüfung zeigte, dass der Compu‐ ter zu 70 % der Arbeitszeit für private Zwecke genutzt wurde, woraufhin eine fristlose Kündi‐ gung ausgesprochen wurde. Das Bundesgericht bestätigte die Unzulässigkeit der Kündigung, da der verdeckte Einsatz eines Überwachungspro‐ grammes zwecks Bestätigung des Verdachts, ein Arbeitnehmer missbrauche die ihm im Informa‐ tikbereich zur Verfügung gestellten Mittel für dienstfremde Zwecke, unverhältnismässig ist. Kartenspiel am Computer Ein für das Finanzwesen zuständiger Direktor BGE 4C.106/2001 vom wurde fristlos entlassen, weil er während der 14.2.2002 (französisch) Arbeitszeit auf seinem Computer Karten gespielt hat, obwohl er angewiesen worden war, bei sämtlichen Computern die standardmässig mitge‐ lieferten Spiele entfernen zu lassen. Das BGer hat die Kündigung für rechtens erklärt: Gemäss Bun‐ desgerichtspraxis haben auch höhere Angestellte den Anordnungen betreffend Benutzung von Computerspielen Folge zu leisten. Das Bundesge‐ richt führte aus, der Direktor habe seine Treue‐ Internet‐ und E‐Mail‐Überwachung September 2013 21/39 DATENSCHUTZSTELLE FÜRSTENTUM LIECHTENSTEIN pflicht verletzt, indem er während der Arbeitszeit auf seinem Computer Karten spielte, gehörten doch diese Aktivitäten nicht zu seinem geschäftli‐ chen Aufgabenbereich, sondern seien rein priva‐ ter Natur. Ausserdem habe er gegen Weisungen des Arbeitgebers verstossen, weil er die Spiele nicht unternehmensweit habe entfernen lassen. Surfen im Inter‐ net, insbesondere auf Seiten mit pornographischen Inhalten Ein Arbeitgeber kündigte einem Arbeitnehmer BGE 4C.349/2002 vom fristlos, weil er innert 24 Tagen während 49,75 25.06.2003 Stunden pornographische Darstellungen aus dem Internet abgerufen hat. Der Arbeitnehmer be‐ stritt die Vorwürfe. Das Bundesgericht gelangte zu der Auffassung, dass eine private Internetbe‐ nützung am Arbeitsplatz während der Arbeitszeit, falls sie sich auf wenige Male beschränkt, eine fristlose Entlassung ohne vorgängige Verwarnung nicht zu rechtfertigen vermag, selbst wenn der Arbeitnehmer wie im vorliegenden Fall Sexseiten angeschaut haben sollte. Übermässiges Surfen im Internet Ein Arbeitnehmer wurde von seinem Arbeitgeber BGE 4A_430/2008 vom wegen übermässigen Surfens während der Ar‐ 24.11.2008 beitszeit zuerst verwarnt und dann fristlos entlas‐ sen. Das Bundesgericht hat eine fristlose Kündi‐ gung für nicht gerechtfertigt gehalten. 8.5 Die Überwachung des E‐Mail‐Verkehrs 8.5.1 Die Überwachung des privaten E‐Mail‐Verkehrs Für die E‐Mail‐Überwachung gelten die mehr oder weniger gleichen Grundsätze wie für die klassische Papierpost. In den folgenden Zeilen wird deshalb zuerst die Überwachung der Pa‐ pierpost am Arbeitsplatz behandelt.27 Die private Post am Arbeitsplatz geniesst uneingeschränkten Schutz. Die private Post ist demzu‐ folge ungeöffnet an die adressierte Person weiterzuleiten. Wird private Post durch Drittperso‐ nen trotzdem geöffnet, so liegt eine widerrechtliche Persönlichkeitsverletzung vor. Letztere kann entweder zivil‐ (Art. 37 DSG) oder verwaltungsrechtlich (Art. 38 DSG) verfolgt werden. In beiden Fällen bleiben auch strafrechtliche Konsequenzen vorbehalten (§ 118 ff. StGB). Als Pri‐ vatpost gilt eine Sendung, bei der erkennbar ist, dass sie einem Arbeitnehmer nicht in berufli‐ cher Eigenschaft, sondern als Privatperson zugestellt worden ist. Anhaltspunkte für Privatpost sind besondere Vermerke wie „privat“ oder „eigenhändig“. Massgebend ist auch die Art der Sendung (Todesanzeige, adressierte Zeitung oder Zeitschrift) oder äussere Merkmale (Klein‐ formate, farbiges Papier, Postkarten, an einen Bediensteten adressierte Militärpost). 27 Vgl. 5. Tätigkeitsbericht des Eidgenössischen Datenschutzbeauftragten, 1997/98, S. 42/178. Internet‐ und E‐Mail‐Überwachung September 2013 22/39 DATENSCHUTZSTELLE FÜRSTENTUM LIECHTENSTEIN Die Anschrift „Herr X, Dienststelle Y“ lässt somit erst dann auf den persönlichen Inhalt schlies‐ sen, wenn dies durch einen Zusatz (privat usw.) zum Ausdruck gebracht wird. Ähnlich wie im Post‐ sowie Telefoniebereich darf der Arbeitgeber aufgrund des Persönlichkeits‐ schutzes und des Verhaltensüberwachungsverbotes keine Einsicht in den Inhalt privater E‐Mails des Arbeitnehmers haben. Aufgrund der Adressierungselemente ist eine automatisierte Unter‐ scheidung zwischen privaten und geschäftlichen E‐Mails kaum möglich. Private E‐Mails sind vom Absender demzufolge durch eine Vermerkoption „privat“ zu kennzeichnen. Wenn kein Unterscheidungsvermerk zwischen privaten und beruflichen E‐Mails besteht und die private Natur eines E‐Mails aufgrund der Adressierungselemente nicht erkennbar und nicht anzuneh‐ men ist, darf der Arbeitgeber – analog den klassischen Postsendungen – davon ausgehen, dass das E‐Mail beruflich ist. Bestehen Zweifel über die Natur eines E‐Mails, ist sie mit dem Ange‐ stellten zu klären. Ein Entpacken und weiteres Bearbeiten (z. B. Sichern, Weiterleiten, Scannen) von E‐Mails, wel‐ che als „privat“ gekennzeichnet bzw. erkennbar sind, bleibt dem Arbeitgeber somit verwehrt. Eine Möglichkeit, den Inhalt von privaten E‐Mails zu schützen, besteht darin, einen internetba‐ sierten, vom geschäftlichen getrennten und wenn möglich verschlüsselten E‐Mail‐Dienst zu gebrauchen.28 Ob internetbasierte, verschlüsselte E‐Mail‐Dienste überhaupt benutzt werden dürfen, hängt vom Nutzungsreglement ab. Ist die Internetnutzung verboten, geht der Arbeitnehmer das Risi‐ ko ein, wegen privaten Surfens am Arbeitsplatz sanktioniert zu werden. Für den privaten E‐Mail‐Gebrauch am Arbeitsplatz gilt also folgende Regel: Lässt das Nutzungsreglement die pri‐ vate E‐Mail‐Nutzung zu, so besteht zum besseren eigenen Schutz die Möglichkeit, ein webba‐ sierter, wenn möglich verschlüsselter E‐Mail‐Dienst zu benutzen. Ist die private E‐Mail‐Nutzung am Arbeitsplatz untersagt, verzichtet man am besten darauf. Eine vollständige Verhinderung eingehender privater E‐Mails ist hingegen nicht möglich. Der Arbeitgeber muss sich bewusst sein, dass er den Arbeitnehmer nicht für den Eingang aller privaten E‐Mails verantwortlich ma‐ chen kann. Organisatorisch erfolgt die Archivierung der E‐Mails heutzutage in der Regel noch im E‐Mail‐ Server. Die entsprechenden Backups können, wenn dies im Überwachungsreglement vorgese‐ hen ist und die Protokollierungen keine Identifikation ermöglicht haben, nicht nur bei Datenver‐ lust, sondern auch zur Identifikation fehlbarer Mitarbeiter oder zur Erhärtung von Missbrauchs‐ verdacht verwendet werden. Aus Gründen einer klaren Unterscheidung zwischen privaten und geschäftlichen E‐Mails, aber auch zur besseren Verwaltung der geschäftlichen E‐Mails wird je‐ doch empfohlen, die E‐Mail‐Box nicht als Archiv zu gebrauchen. Private E‐Mails sollen auf ei‐ nem privaten Datenträger, geschäftliche E‐Mails in ein geschäftliches Dokumentverwaltungs‐ system verschoben werden. Dadurch wird ein beträchtlicher Beitrag am Schutz der eigenen Privatsphäre geleistet, da unter anderem keine privaten E‐Mails in geschäftlichen Backups ge‐ speichert werden. 28 Die Verschlüsselung kann bspw. durch Benutzung von PGP‐Software (Pretty Good Privacy) oder webbasierter E‐Mail‐Dienste wie Hushmail.com gewährleistet werden, wobei ein vollständiger Schutz nur erreicht wird, wenn sowohl Absender wie auch Empfänger einen verschlüsselten E‐Mail‐Dienst benutzen. Internet‐ und E‐Mail‐Überwachung September 2013 23/39 DATENSCHUTZSTELLE FÜRSTENTUM LIECHTENSTEIN Vorgehensweise Für die Überwachung der Einhaltung der E‐Mail‐Nutzungsregelung gelten die gleichen Ausfüh‐ rungen wie für die Überwachung des Surfens (vgl. Kapitel 8.1 ff). 8.5.2 Die Überwachung des geschäftlichen E‐Mail‐Verkehrs Die Geschäftsverwaltung setzt eine systematische Registrierung und Nachvollziehbarkeit von allen ein‐ und ausgehenden geschäftlichen Dokumenten (inkl. E‐Mails) voraus. Die Firma hat das Recht, die geschäftlichen E‐Mails vollständig zu protokollieren und inhaltlich zu sichern (Ba‐ ckup). Es empfiehlt sich, die Protokollierung auf die Betreffzeile, Datum, Zeit, Absender‐ und Empfängeradresse zu beschränken. Im E‐Mail‐Bereich, analog wie mit der herkömmlichen pos‐ talischen Geschäftskorrespondenz, bestehen zwei Adressierungsmodi: Die namentliche (z. B. [email protected] oder [email protected]) und/oder die namenlose, funktionelle (z. B. [email protected], [email protected], oder [email protected]) Adressierung. Heutzutage ist die namentliche Adressierung weit verbreitet. Die namentliche Adressierung alleine bereitet eine Vielzahl von Nachteilen bei der Geschäfts‐ verwaltung: Die Mailverwaltung während Abwesenheiten und beim Verlassen der Firma und die damit verbundene Schwierigkeit der Unterscheidung zwischen privaten und geschäftlichen E‐Mails. Wenn kein Unterscheidungsvermerk zwischen privaten und beruflichen E‐Mails be‐ steht und die private Natur eines E‐Mails aufgrund der Adressierungselemente nicht erkennbar und nicht anzunehmen ist, darf der Arbeitgeber – analog den klassischen Postsendungen – da‐ von ausgehen, dass das E‐Mail beruflich ist. Die namenlose, funktionelle Adressierung ist für die nicht persönliche geschäftliche Korrespon‐ denz geeignet, da sie die oben erwähnten Schwierigkeiten der namentlichen Adressierung nicht aufweist. Die namentliche Adressierung sollte für den rein persönlichen, geschäftlichen Infor‐ mationsaustausch (z. B. bei Personalangelegenheiten oder persönlichen Mitteilungen) ge‐ braucht werden. 8.5.2.1 Die E‐Mail‐Verwaltung während Abwesenheiten Was die vorhersehbaren Abwesenheiten (z. B. Ferien usw.) betrifft, bestehen hauptsächlich drei Verwaltungsarten: Definieren einer automatischen Antwort an den Absender mit Abwesenheitsmeldung und Notfallkoordinaten. Definieren einer Weiterleitung des Eingangs an einen Stellvertreter. Diese Lösung ist mit dem Risiko verbunden, dass private E‐Mails, welche als solche nicht vermerkt sind, an den gewählten Stellvertreter gelangen. Definieren eines Stellvertreters mit abgestufter Berechtigung zur Einsicht und eventuellen Weiterbearbeitung der geschäftlichen eingehenden E‐Mails. Die als privat gekennzeichne‐ ten E‐Mails sind für den Stellvertreter nicht sichtbar. Dadurch bleibt die Privatsphäre des abwesenden Arbeitnehmers geschützt. Dem Absender muss bewusst sein, dass das E‐Mail durch den Stellvertreter eingesehen wird, wenn es nicht als „privat“ erkannt werden kann. Bei „unvorhersehbaren“ Abwesenheiten (z. B. Krankheit, Unfall) ist ein Stellvertreter pro Mitar‐ beiter (vgl. C.) zum Voraus zu ernennen. Internet‐ und E‐Mail‐Überwachung September 2013 24/39 DATENSCHUTZSTELLE FÜRSTENTUM LIECHTENSTEIN 8.5.2.2 Die E‐Mail‐Verwaltung beim Austritt eines Angestellten Vor dem Austritt hat ein Arbeitnehmer die noch hängigen Geschäfte wie E‐Mails intern weiter‐ zuleiten. Der Arbeitnehmer hat die Übergabe sämtlicher Geschäftsdokumente an die Firma zu bestätigen. Er muss die Möglichkeit haben, seine privaten E‐Mails und andere Dokumente auf private Datenträger zu speichern und aus den Servern der Firma zu löschen. Falls möglich, sollte ihm idealerweise vorher noch die Möglichkeit eingeräumt werden, seinen Kontakten selbst mitteilen zu können, dass er zum xx.xx.xxxx ausscheiden wird und dass ab sofort bzw. spätes‐ tens zum Austrittsdatum alle zukünftige Korrespondenz an XY zu richten ist. Beim Austritt (oder im Todesfall) ist spätestens am letzten Arbeitstag sein E‐Mail‐Account (wie übrigens auch alle anderen EDV‐Accounts) zu sperren und sein Briefkasten (wie alle anderen persönlichen Daten‐ träger) zu löschen. Der Arbeitgeber sollte sich dazu schriftlich verpflichten. Absender, welche E‐Mails an die gesperrte E‐Mail‐Adresse schicken, werden automatisch informiert, dass die Empfängeradresse hinfällig ist. In der automatischen Antwort wird eine Ersatz‐E‐Mail‐Adresse der Firma angegeben. Bezüglich des letzten Arbeitstages ist zu differenzieren: Während die Sperrung des Zugangs zum geschäftlichen E‐Mail‐Account durch den ausscheidenden Arbeitnehmer bereits nach dem letz‐ ten Präsenztag beim Arbeitgeber Sinn macht, ist bei der endgültigen Löschung des Accounts der "letzte" Arbeitstag rein formaljuristisch zu bestimmen, d.h. abzustellen ist auf das vertraglich geschuldete Ende des Arbeitsverhältnisses. Wenn zum Beispiel Resturlaub aufgespart und vor dem Ausscheiden genommen wird, dann stimmen der letzte Präsenztag und das formaljuristi‐ sche Ende des Arbeitsverhältnisses nicht überein. In diesen Fällen ist es ausnahmsweise denk‐ bar, dass eine sofortige Löschung des E‐Mail‐Accounts den geschäftlichen Interessen des Ar‐ beitgebers zuwider laufen könnte. Das könnte z. B. auch bei fristloser Kündigung oder Todesfall gelten. Hier kann unter Umständen eine vorübergehende Aufrechterhaltung des E‐Mail‐ Accounts verbunden mit einer automatischen Weiterleitung aller an den ausscheidenden Mit‐ arbeiter gerichteten Nachrichten zulässig sein, weil die geschäftlichen Interessen des Arbeitge‐ bers an der Kenntnis der Korrespondenz überwiegen. Bei der Weiterleitung ist jedoch streng nach privaten und geschäftlichen E‐Mails zu trennen. Die erkennbaren privaten E‐Mails dürfen von dem Arbeitgeber nicht bearbeitet werden. Diese sind umgehend zu löschen. Die geschäftli‐ chen E‐Mails dürfen bearbeitet werden, wobei Dauer und Zugriff strikt geregelt sein sollten. Hier bietet es sich an, eine Sichtung der weitergeleiteten E‐Mails nur nach dem Vier‐Augen‐ Prinzip vorzusehen, z. B. durch Vorgesetzten zusammen mit der Geschäftsleitung, einer Ver‐ trauensperson oder zusammen mit dem internen Datenschutzverantwortlichen29. Die automa‐ tische Weiterleitung sollte nur für einen eng beschränkten Zeitraum vorgesehen werden. Aus‐ serdem sind die Adressaten jeweils unverzüglich darüber zu informieren, dass ihre E‐Mail an XY automatisch zur weiteren Bearbeitung weitergeleitet wurde. 8.5.3 Fälle aus der Rechtsprechung zur E‐Mail‐Überwachung Darf der Arbeitgeber einen Arbeitnehmer identifizieren, dem z. B. Persönlichkeitsverletzungen oder Mobbing durch anonyme E‐Mails vorgeworfen werden? Die mögliche Persönlichkeitsverletzung eines Arbeitnehmers durch einen anderen Arbeitneh‐ mer ist Sache der betroffenen Person und der Ziviljustiz. Der Arbeitgeber hat jedoch das Recht, selber die Identität der fehlbaren Person herauszufinden, wenn die Treuepflicht und die Inte‐ 29 Datenschutzverantwortliche unter http://www.dss.llv.li. Internet‐ und E‐Mail‐Überwachung September 2013 25/39 DATENSCHUTZSTELLE FÜRSTENTUM LIECHTENSTEIN ressen des Arbeitgebers auch tangiert werden (z. B. Leistungseinbruch durch Kränkung eines Arbeitnehmers). Die Identifikation ist ebenfalls erlaubt, wenn private E‐Mails im Nutzungsreg‐ lement verboten sind. Der Rechtfertigungsgrund für die Identifikation der fehlbaren Person ist in einem solchen Fall die Verletzung des Nutzungsreglements resp. Der Treuepflicht, nicht die vermeintliche Persönlichkeitsverletzung eines Mitarbeiters. Beispiele hierzu aus der Schweizer Rechtsprechung: Vorwürfe und Beleidigung per E‐Mail gegenüber Kollegen Eine Lehrerin erhob wiederholt und immer öfter BGE 8C_88/2009 vom vorwiegend per E‐Mail, aber auch während Be‐ 04.08.2009 sprechungen massive, zum Teil sogar ehrverlet‐ zende Vorwürfe gegenüber Kollegen, die Schullei‐ tung und den Bildungsdirektor, die trotz einer einvernehmlich geschlossenen Kommunikations‐ regelung nicht damit aufhörte. Das Bundesgericht bestätigte die Rechtmässigkeit der letztendlich erklärten fristlosen Auflösung des Arbeitsverhält‐ nisses. Umleitung elekt‐ ronischer Post Ein Arbeitnehmer hat die ganze elektronische Post BGE 4C.223/2003 vom seines Vorgesetzten ohne dessen Wissen an sei‐ 21.10.2003 nen eigenen elektronischen Account umgeleitet. Nach der Auffassung des BGer ist in einem solchen (französisch) Fall eine fristlose Entlassung ohne Vorwarnung zulässig. Zugriff auf private elektronische Postfächer eines Angestellten Die Frage, ob eine IT‐Untersuchung, die auch auf BGE 4A_465/2012 vom die privaten elektronischen Postfächer eines An‐ 10.12.2012 gestellten Zugriff nahm, gestützt auf Art. 28 Abs. 2 ZGB gerechtfertigt war, wurde vom BGer offen gelassen. Denn dem Arbeitnehmer misslang der Nachweis einer ausreichenden Schwere der Per‐ sönlichkeitsverletzung, welche Voraussetzung für die von ihm geforderte Genugtuung gewesen wä‐ re. 8.6 Teleworker Unter Teleworker versteht man einen Arbeitnehmer mit Arbeitsplatz ausserhalb der Firma (z. B. Heimarbeiter via Internet). Dadurch, dass der Teleworker ausserhalb der Firma arbeitet und nicht unter direkter Beaufsichtigung des Arbeitgebers steht, ist die private Benutzung der vom Arbeitgeber zur Verfügung gestellten Arbeitsinstrumenten in der Regel grösser. Obwohl dies nicht ohne weiteres als Missbrauch von geschäftlichen Ressourcen zu deuten ist, ist die Gefahr einer Persönlichkeitsverletzung durch Einsichtnahme in Protokollierungen oder in privaten Da‐ teien durch den Arbeitnehmer grösser als beim klassischen Arbeitnehmer. Um diese Gefahr zu vermeiden, empfiehlt es sich, einen separaten Datenträger (z. B. externe Harddisk, Diskette, CD) für private Angelegenheiten einzusetzen. Dies erleichtert u. a. die einwandfreie Rückgabe des Arbeitsinstrumentes beim Verlassen der Firma. Internet‐ und E‐Mail‐Überwachung September 2013 26/39 DATENSCHUTZSTELLE FÜRSTENTUM LIECHTENSTEIN 9. Die Überwachung im Falle einer Straftat Wenn der Arbeitgeber im Rahmen einer Überwachung oder durch andere Hinweise den kon‐ kreten Verdacht schöpft, dass eine Straftat per Surfen oder E‐Mail begangen wurde, so kann er die entsprechenden Beweise, bestehend aus den Protokollierungen und eventuellen Backups, sichern. Da die Beweissicherung technisch komplex ist, sollte sie durch einen Spezialisten (fo‐ rensic computing scientist30) durchgeführt werden. Aufgrund der Protokollierungen oder einer Beschwerde von betroffenen Arbeitnehmern oder Dritten kann der Verdacht oder die Gewissheit über ein Verhalten entstehen, das nicht nur ge‐ gen Arbeitsvertrag oder Nutzungsreglement verstösst, sondern einen Straftatbestand erfüllt, wie zum Beispiel: Rufschädigung (§ 111ff StGB); sexuelle Belästigung am Arbeitsplatz (§ 203 StGB); Verbreitung von rassistischem oder pornographischen Material (§ 283 und § 218a StGB); „Sabotage per Internet“ oder „Betriebsspionage“ (vgl. insb. § 126a, 131a, 148a StGB). Der Entscheid, ob Anzeige erstattet wird oder nicht, liegt bei den Vorgesetzten und ev. dem Personaldienst, nicht jedoch beim Informatikdienst. Es besteht keine Anzeigepflicht, es ist je‐ doch empfehlenswert, zumindest im Zusammenhang mit Offizialdelikten, Anzeige zu erstatten, um die Gefahr der Mittäterschaft zu verhindern. Da ein Missbrauch vorliegt, darf der Arbeitge‐ ber die verdächtigte Person identifizieren und Anzeige gegen sie erstatten. Das weitere straf‐ rechtliche Vorgehen ist Sache der zuständigen Behörde. Zum Beispiel kann die Anordnung einer weiteren personenbezogenen Überwachung des Internetverhaltens zur Erhärtung des Verdach‐ tes wegen des schweren Eingriffs in die Persönlichkeit nur durch die zuständige Strafjustizbe‐ hörde angeordnet werden. Vom Arbeitgeber selber durchgeführte weitere personenbezogene Verhaltensüberwachungen zur Erhärtung des Verdachtes können als unzulässige Beweismittel im Rahmen eines Strafverfahrens betrachtet werden. Zudem können sie auch rechtliche Folgen für den Arbeitgeber nach sich ziehen (vgl. Kapitel 11). Der Arbeitgeber muss das Resultat der Ermittlungen gegenüber Dritten, insbesondere gegen‐ über den anderen Arbeitnehmern, vertraulich behandeln. Vorbehalten bleiben auch bei einer Straftat die arbeitsrechtlichen Sanktionen wegen Verlet‐ zung des Nutzungsreglements (vgl. Kapitel 10). 10. Sanktionen bei Missbrauch Wenn die Voraussetzungen und die Regeln der Überwachung eingehalten worden sind, kann der Arbeitgeber (im Idealfall der direkte Vorgesetzte und evt. der Personaldienst) im Falle eines 30 Die Spezialisten beraten Untersuchungsbehörden im Bereich Computerkriminalität und computergestützter Kriminalität. Vorermittlungen, und technische Überwachungsmassnahmen werden von Ihnen in Funktion eines Sachverständigen unter richterlicher Einbindung in das Amtsgeheimnis begleitet. Dabei sind die Spezialisten für die gerichtsverwertbare Beweissi‐ cherung von digital gespeicherten Daten verantwortlich. In Form eines Gutachtens erstatten Sie der Untersuchungsbehörde Bericht über Ihre Analysen und geben Empfehlungen ab. Sie tragen dabei eine sehr hohe Verantwortung und können Ihre Ergebnisse auch vor Gericht vertreten. Internet‐ und E‐Mail‐Überwachung September 2013 27/39 DATENSCHUTZSTELLE FÜRSTENTUM LIECHTENSTEIN erwiesenen Missbrauchs arbeitsrechtliche Sanktionen gegen den fehlbaren Arbeitnehmer aus‐ sprechen. Der Arbeitnehmer haftet für den Schaden, den er absichtlich oder fahrlässig dem Arbeitgeber zufügt31. In Frage kommen z. B. Abmahnungen, Sperrungen des Internetzugriffs, Schadenersatzforderun‐ gen, Lohnkürzungen oder Versetzungen. In extremen Fällen, wie bei wiederholtem Missbrauch mit technischer Störung trotz Abmahnung oder bei erwiesenen Straftaten kann der Arbeitgeber sogar die Entlassung aussprechen32. Die fristlose Entlassung eines Arbeitnehmers kann nur aus‐ gesprochen werden, wenn dem Arbeitgeber nach Treu und Glauben die Fortsetzung des Ar‐ beitsverhältnisses nicht mehr zugemutet werden kann33. Für das Aussprechen von Sanktionen sind die Vorgesetzten des fehlbaren Arbeitnehmers zu‐ ständig. Wenn es im Überwachungsreglement vorgesehen und der Missbrauch mit absoluter Sicherheit erwiesen ist, dürfen die Informatikdienste oder Sicherheitsbeauftragten selber Ab‐ mahnungen aussprechen sowie Zugriffsbeschränkungen oder Löschungen vornehmen. Vor ei‐ ner Löschung müssen die betroffenen Arbeitnehmer informiert werden und soll ihnen die Mög‐ lichkeit gegeben werden, die betreffenden Dateien, z. B. E‐Mails, auf privaten Datenträgern zu speichern. Die Sanktionen müssen der Schwere des jeweiligen Missbrauches angepasst und in ihrem Um‐ fang bereits im Überwachungsreglement bestimmt oder bestimmbar sein. Ein Missbrauch muss nicht immer auf bösem Willen des Arbeitnehmers basieren. Oft stecken Neugier und fehlende Information über die damit verbundenen Sicherheitsgefahren durch den Arbeitgeber dahinter. Dieser trägt in solchen Fällen ein Teil der Verantwortung. Einen wesentlichen Teil der Verantwortung für die Infektion eines Rechners trägt der Arbeitge‐ ber auch dann selber, wenn er kein oder kein geeignetes Antivirusprogramm installiert hat. Der Arbeitgeber muss dafür sorgen, dass das Antivirusprogramm regelmässig automatisch aktuali‐ siert wird (insb. die Definitionsdateien) und vom Arbeitnehmer nicht deaktiviert werden kann. Auch für sonstige mangelnde Sicherheitsvorkehrungen trägt der Arbeitgeber einen Teil der Ver‐ antwortung. Wenn kein Nutzungsreglement mit klar definierten Unterscheidungskriterien zwischen zulässi‐ ger beruflicher Informationsbeschaffung und unzulässiger privater Surftour vorhanden ist, wird es in der Praxis nicht leicht sein, eine Internetnutzung für erlaubt oder unerlaubt zu erklären. In solchen Fällen dürfen Sanktionen gegen einen Arbeitnehmer nur dann ergriffen werden, wenn ein klarer Missbrauch vorliegt. Bei Mangel eines Nutzungsreglements sollte der Arbeitnehmer nur für vorsätzlich oder grob‐ fahrlässig herbeigeführte Schäden haften. Die IP‐Adresse und somit in der Regel auch die Identität des fehlbaren Arbeitnehmers kann be‐ wusst vertuscht werden. Der Arbeitgeber verpflichtet sich, arbeitsrechtliche Sanktionen nur bei 100 %‐iger Sicherheit über die Identität des fehlbaren Arbeitnehmers zu treffen. Die Gefahr der Identitätsaneignung kann durch zeitgerechte Aktivierung eines Bildschirmschoners mit Pass‐ 31 § 1173a Art. 8 ABGB. § 1173a Art. 45 ABGB. 33 § 1173 Art. 53 ABGB. 32 Internet‐ und E‐Mail‐Überwachung September 2013 28/39 DATENSCHUTZSTELLE FÜRSTENTUM LIECHTENSTEIN wortschutz stark vermindert werden. Vorbehalten bleibt die strafrechtliche Verfolgung durch die zuständige Behörde, wenn ein Straftatbestand vorliegt. Was die Beweislast betrifft, gilt folgende Regelung: Der Arbeitgeber muss die Verletzung der Pflichten des Arbeitnehmers und den daraus resultierenden Schaden beweisen. In der Folge kann der Arbeitnehmer den Beweis seiner Unschuld oder einer nur leichten Schuld erbringen34. 11. Ansprüche des Arbeitnehmers bei unzulässiger Überwachung Wenn der Arbeitgeber die einschlägigen Voraussetzungen und Regeln bei der Überwachungen der Internet‐ und E‐Mail‐Aktivitäten der Arbeitnehmer nicht einhält, so kann dies als wider‐ rechtliche Persönlichkeitsverletzung gerichtlich angefochten werden (Art. 37 und 38 DSG). Für die Beweislast gilt § 1296 ff. ABGB i.V.m. Art. 6 PGR. Der betroffene Arbeitnehmer kann seine Ansprüche (Feststellung der Widerrechtlichkeit, Schadenersatz usw.) zuerst beim Arbeitgeber geltend machen. Geht dieser nicht auf die Forderungen des Arbeitnehmers ein, so kann der Arbeitsrichter angerufen werden. Dieser wendet in der Regel ein rasches und kostenloses Ver‐ fahren an. Auch die arbeitsrechtlichen Sanktionen, die der Arbeitgeber aufgrund einer miss‐ bräuchlichen Überwachung ausgesprochen hat, können angefochten werden.35 Dem Arbeitgeber können im Falle einer missbräuchlichen Überwachung auch strafrechtliche Folgen drohen36. Zu den unzulässigen Überwachungen gehören insbesondere die personenbezogene Auswer‐ tung der Protokollierungen ohne vorherige Information der Arbeitnehmer und/oder ohne Fest‐ stellung eines Missbrauchs sowie der Einsatz von Spionprogrammen. 34 § 1296 ff. ABGB i.V.m. Art. 6 Personen‐ und Gesellschaftsrecht (PGR), LGB 1926 Nr. 4. Vgl. Brunner, Waeber in „Commentaire du contrat de travail“, Schweizerischer Gewerkschaftsbund, Lausanne 1996, S. 42ff. 35 Z. B. missbräuchliche Kündigung, § 1173a Art. 46 ABGB. 36 § 118 ff. StGB. Internet‐ und E‐Mail‐Überwachung September 2013 29/39 Internet‐ und E‐Mail‐Überwachung September 2013 VPN Router Hacker Server Server Internet Branch Office Server ISDN modem VPN Router Reseller Modem pool External firewall (NAT) HTTP Server Teleworker FTP Server Internal firewall Demilitarisierte Zone DNS Server Extranet Modem Mail Server Proxy Server Intrusion Detection System (IDS) re Wi Intranet DHCP Server LAN Access Point Internal server: - Diskquotas Laserdrucker LAN less Wire Wardriving AN Computer: - Antivirus - IP DNS - Sniffer sL les Laptop Infr Blu ared et o ot h Log Files Palm-Top Intranet Server Telefon VoIP DATENSCHUTZSTELLE FÜRSTENTUM LIECHTENSTEIN Anhang A: Situationsschema Abbildung 1 30/39 Voraussetzungen Internet‐ und E‐Mail‐Überwachung Rechtliche Voraussetzungen Technische Voraussetzungen Protokollierung der Aktivitäten des Auswertungstools (vgl. Kapitel 8.3.) Auswertung der Protokollierungen (vgl. Kapitel 8.3.) Email September 2013 Zweckgebundene Aufbewahrungsdauer der Protokollierungen (vgl. Kapitel 4.) Auskunftsrecht (vgl. Kapitel 6.) Missbrauch oder Missbrauchsverdacht (vgl. Kapitel 7.2) Verzicht auf Spionprogramme zur Verhaltensüberwachung (vgl. Kapitel 6) Externe Information (E-Mail-Benutzer) (vgl. Kapitel 7.1) Nutzungsreglement; Überwachungsreglement; Regelmässige Schulung. Interne Information der kontrollierten und kontrollierenden Arbeitnehmer (vgl. Kapitel 5 und 7.1): Technische und organisatorische Schutzmassnahmen (vgl. Kapitel 3) Protokollierungen (vgl. Anhang A und Kapitel 4) Internet (vgl. Kapitel 8.4.) Private E-Mail (vgl. Kapitel 8.5.1.) Geschäftliche EMail (vgl. Kapitel 8.5.2.) Adresse des Arbeitnehmers; Zeitangaben; Vermerk "Privat". Passwort; Zugriffsschutz; Verschlüsselung; Antivirusprogramme; Diskquotasmanagers; Firewalls; Backups; Intrusion detection system; Spyware blaster, detector and eraser; Zugangskontrolle; usw. Sender- und Empfängeradressen; Zeitangaben; Betreffzeile; usw. (aber kein Inhalt) IP-Adresse; User-Id; URL; Zeitangaben. DATENSCHUTZSTELLE FÜRSTENTUM LIECHTENSTEIN Anhang B: Voraussetzungen und Ablauf B.1 Die Voraussetzungen der Überwachung Abbildung 2 31/39 DATENSCHUTZSTELLE FÜRSTENTUM LIECHTENSTEIN B.2 Der Ablauf der Überwachung Permanente, anonyme Überwachung (vgl Kapitel 8.3) Stichprobenartige, pseudonyme Überwachung (vgl Kapitel 8.3) Andere Hinweise (intern und/oder extern) (vgl. Kapitel 8.2) Missbrauch oder Missbrauchsverdacht? Gewährleistung der Sicherheit und der Funktionstüchtigkeit der technischen Einrichtungen (vgl. Kapitel 8.1) Nein Ev. Anpassung des Nutzungsreglements und/ oder der technischen Schutzmassnahmen (vgl. Kapitel 8.1 ff) Ja Ev. Anpassung des Nutzungsreglements und/ oder der technischen Schutzmassnahmen (vgl. Kapitel 8.1 ff) Missbrauchsverdacht Kein Missbrauch Missbrauch Namentliche Auswertung der Protokollierungen (vgl. Kapitel 8.4.2) Missbrauch Verdacht durch eine erste minimale namentliche Auswertung abklären (vgl Kapitel 8.4.2) Je nach Schwere des Missbrauchs (vgl. Kapitel 9 und 10): Abmahnung; Sperrung des Internetzugriffs; Schadenersatzforderungen; Beweissicherung und strafrechtiliche Anzeige; Entlassung; usw. Zivil- und strafrechtilche Klagemöglichkeiten bei Verletzung der Voraussetzungen der Überwachung durch den Arbeitgeber (vgl. Kapitel 11) Abbildung 3 Internet‐ und E‐Mail‐Überwachung September 2013 32/39 DATENSCHUTZSTELLE FÜRSTENTUM LIECHTENSTEIN B.3 Das Auswertungsverfahren DATE TIME USER-ID SENDER RECEIVER PRIVATE -----------------------------------------------------------------------------010103 23:59 PETER BEISPIEL [email protected] [email protected] YES 020103 00:02 HANS MUSTER [email protected] [email protected] NO 020103 00:02 PETER BEISPIEL [email protected] [email protected] NO 020103 00:02 HANS MUSTER [email protected] [email protected] NO 020103 00:10 HANS MUSTER [email protected] [email protected] YES 020103 00:11 HANS MUSTER [email protected] [email protected] NO 020103 00:12 HANS MUSTER [email protected] [email protected] YES 020103 00:13 HANS MUSTER [email protected] [email protected] NO 020103 00:14 HANS MUSTER [email protected] [email protected] YES 020103 00:15 PETER BEISPIEL [email protected] [email protected] NO 020103 00:16 HANS MUSTER [email protected] [email protected] NO 020103 00:17 HANS MUSTER [email protected] [email protected] NO 020103 00:21 HANS MUSTER [email protected] [email protected] YES 020103 00:22 HANS MUSTER [email protected] [email protected] NO ... DATE TIME USER-ID URL -----------------------------------------------------010103 23:59 PETER BEISPIEL WWW.FIRMA.COM 020103 00:02 HANS MUSTER WWW.FIRMA.COM 020103 00:02 PETER BEISPIEL WWW.TEST.COM 020103 00:02 HANS MUSTER WWW.SEX.COM 020103 00:10 HANS MUSTER WWW.FIRMA.COM 020103 00:11 HANS MUSTER WWW.TEST.COM 020103 00:12 HANS MUSTER WWW.SEX.COM 020103 00:13 HANS MUSTER WWW.FIRMA.COM 020103 00:14 HANS MUSTER WWW.TRADING.COM 020103 00:15 PETER BEISPIEL WWW.FIRMA.COM 020103 00:16 HANS MUSTER WWW.SEX.COM 020103 00:17 HANS MUSTER WWW.FIRMA.COM 020103 00:21 HANS MUSTER WWW.FIRMA.COM 020103 00:22 HANS MUSTER WWW.FIRMA.COM ... Protokollierung internet Die mit der Gewährleistung der Sicherheit und Funktionstüchtigkeit beauftragten Infornatikdienste können einen direkten Zugriff auf die Protokollierungen haben Protokollierung Drucker Protokollierung email KORRESPONDENZLISTE -----------------xy123 => PETER BEISPIEL zz321 => HANS MUSTER Die mit der Überwachung der Einhaltung der Nutzungsregelung beauftragte Person (in der Regel der Datenschutzberater der Firma) hat keinen direkten Zugriff auf die Protokollierungen, sondern nur auf deren Auswertungen. Auswertungstool Protokollierung des Auswertungstools Anonyme Auswertung, 020203 -------------------------Internet -------1. www.firma.com 2. www.test.com 3. www.sex.com 65% 25% 6% Email ----Sended: Received: 70 (37 private) 70 (2 private) Pseudonyme Auswertung, 020203 ----------------------------Pseudo: zz321 Namentliche Auswertung, 020203 -----------------------------USER: HANS MUSTER Internet -------1. www.sex.com 2. www.firma.com 3. www.trading.com Internet -------1. www.sex.com 2. www.firma.com 3. www.trading.com Email ----Sended: Received: 55% 40% 5% 38 (35 private) 37 (2 private) Email ----Sended: Received: 55% 40% 5% 38 (35 private) 37 (2 private) Abbildung 4: Vgl. Kapitel 8.3 Internet‐ und E‐Mail‐Überwachung September 2013 33/39 DATENSCHUTZSTELLE FÜRSTENTUM LIECHTENSTEIN Anhang C: Musterreglement über die Surfen‐ und E‐Mail‐ Überwachung am Arbeitsplatz C.1 Zweck und Geltungsbereich C.1.1 Zweck Dieses Reglement bezweckt den Schutz der Interessen von Arbeitgeber und Arbeitnehmer bei der Überwachung vom Surfen und vom E‐Mail am Arbeitsplatz. C.1.2 Geltungsbereich Dieses Reglement gilt für alle internen und externen Arbeitnehmer der Firma. C.2 Interessen und Risiken des Arbeitgebers und Arbeitnehmers C.2.1 Interessen und Risiken des Arbeitgebers Durch Benutzung des vernetzten Computers am Arbeitsplatz können folgende Interessen und technische Einrichtungen unserer Firma beeinträchtigt werden: Speicherkapazität und Netzwerkbandbreite durch übermässige Internet‐ und E‐Mail‐Nutzung; Daten‐ und Anwendungssicherheit (Verfügbarkeit, Integrität, Vertraulichkeit) durch Einfuhr von Viren, Würmern, Trojanischen Pferden oder Installation von fremden Programmen; Arbeitszeit und andere finanzielle Interessen (Produktivitätsverluste, Kostensteigerung für zu‐ sätzliche Mittel und/oder Leistungen, Netzkosten usw.); weitere rechtlich geschützte Interessen, wie Ruf, Fabrikations‐ und Geschäftsgeheimnisse oder Datenschutz. C.2.2 Interessen und Risiken des Arbeitnehmers Die Informations‐ und Kommunikationsinteressen des Arbeitnehmers, die mit der Benutzung des Internet und E‐Mail am Arbeitsplatz verbunden sind, sind u. a. mit arbeits‐, datenschutz‐ und gesundheitsschutzrechtlichen sowie wirtschaftlichen Risiken verbunden. C.3 Technische Schutzmassnahmen und Protokollierungen C.3.1 Technische Schutzmassnahmen Folgende technische Schutzmassnahmen werden in unserer Firma eingesetzt: ... Kapitel 3 unseres Leitfadens listet die wichtigsten technischen Schutzmassnahmen auf. Internet‐ und E‐Mail‐Überwachung September 2013 34/39 DATENSCHUTZSTELLE FÜRSTENTUM LIECHTENSTEIN C.3.2 Protokollierungen Unsere Informatikmittel führen Protokollierungen über die wichtigsten durchgeführten Aktivi‐ täten durch. Eine Protokollierung definiert sich als fortlaufende Aufzeichnung der Randdaten „wer“, „was“, „wann“ und findet in unserer Firma an folgenden Stellen statt: ... ... ... Hier muss das Unternehmen die für ihn nötigen Protokollierungen, deren Zweck, Inhalt und Aufbewahrungsdauer angeben. Damit kommt die Firma ihrer Informationspflicht über die Da‐ tenbearbeitungen und ‐sammlungen gemäss Art. 4 Abs. 2 DSG nach. Fehlt diese Information, so sind die Protokollierungen beim Datenschutzbeauftragten gemäss Art. 15 Datenschutzgesetz anzumelden. Kapitel 4 sowie Anhang A unseres Leitfadens informieren über die wichtigsten Protokollierungsarten. Die Protokollierung von privaten E‐Mails enthält nur die E‐Mail‐Adresse des Arbeitnehmers, den Vermerk „privat“, das Datum und die Zeitangaben. C.4 Nutzungsregelung Ob Arbeitnehmer das Recht haben, am Arbeitsplatz Internet und E‐Mail für private Zwecke zu nutzen, hängt in erster Linie vom Willen des Arbeitgebers ab. Ähnlich wie in anderen Bereichen des Arbeitsverhältnisses hat er ein Weisungsrecht. Der Umfang der Nutzungsberechtigung kann je nach Arbeitnehmerkategorie und ihren beruflichen Bedürfnissen unterschiedlich sein. Kapitel 5 unseres Leitfadens gibt Anhaltspunkte, wie ein Unternehmen das Surfen und E‐Mail am Arbeitsplatz regeln kann. In diesem Kapitel sind konkrete und unmissverständliche Regeln aufzustellen. Die Nutzungsregelung ist bei Bedarf zu aktualisieren. C.5 Überwachungsregelung C.5.1 Vorrang technischer Schutzmassnahmen Unsere Firma verpflichtet sich, in erster Linie technische Schutzmassnahmen gegen Missbrauch und technischen Schaden einzusetzen. Sie passt die technischen Schutzmassnahmen regelmässig dem neusten Stand der Technik an. Die Anpassung erfolgt auch nach einer technischen Störung. Nur wenn ein Missbrauch trotz technischen Schutzmassnahmen nicht verhindert werden kann, darf sie personenbezogene Auswertungen der Internet‐ und E‐Mail‐Protokollierungen vorneh‐ men. Unsere Firma verzichtet auf den Einsatz von Spionprogrammen. Internet‐ und E‐Mail‐Überwachung September 2013 35/39 DATENSCHUTZSTELLE FÜRSTENTUM LIECHTENSTEIN C.5.2 Auswertung der Protokollierungen Zur Kontrolle der Einhaltung der Nutzungsregelung wertet unsere Firma die Protokollierungen in anonymer oder pseudonymer Form aus. Bei der anonymen Auswertung geht es um die statistische Analyse der Protokollierungen nach folgenden Kriterien: (Hier hat das Unternehmen oder die Verwaltungseinheit die in Frage kommenden Kriterien anzugeben, vgl. Kapitel 8.3 des Leitfadens). Die pseudonyme Auswertung erfolgt nur stichprobenartig. Hier hat die Firma den Zeitplan und die Zeitspanne, in welcher die Stichprobe erfolgt, anzugeben (vgl. dazu Kapitel 8.4.1 des Leitfa‐ dens). Um die Anonymität und Pseudonymität zu gewährleisten, wird unsere Firma die untersuchte Personenmenge genügend gross halten und die Protokollierungen von der Korrespondenzliste physisch und funktionell getrennt aufbewahren (vgl. Kapitel 8.3 des Leitfadens). Wird bei der anonymen oder pseudonymen Auswertung ein Missbrauch festgestellt oder ent‐ steht ein Missbrauchsverdacht, so werden die Auswertungen der Protokollierungen durch Ver‐ knüpfung mit der Korrespondenzliste namentlich ausgewertet. Als Missbrauch wird eine Verlet‐ zung des Nutzungsreglements verstanden. Die Sanktionen gemäss § 5.8 dieses Reglements können ergriffen werden. Erhärtet sich ein Missbrauchsverdacht nicht, so stellt unsere Firma die namentliche Auswertung der Protokollierung sofort ein. Hier hat die Firma anzugeben, wer für die namentliche Auswertung der Protokollierung zustän‐ dig ist. In der Regel übernimmt der Datenschutzberater der Firma diese Funktion (vgl. An‐ hang B 3). Wenn eine Straftat durch Auswertung der Protokollierungen oder durch andere Hinweise fest‐ gestellt oder vermutet wird, sichert unsere Firma die entsprechenden Protokollierungen. Sie behält sich das Recht vor, Anzeige gegen die betroffene Person zu erstatten. Das weitere Vor‐ gehen ist Sache der zuständigen Strafjustizbehörde. Unsere Firma verpflichtet sich, das Resultat der Ermittlungen gegenüber unberechtigten Dritten, insbesondere gegenüber den anderen Mitarbeitern, vertraulich zu behandeln. Der Entscheid, ob Anzeige erstattet wird oder nicht, liegt bei den Vorgesetzten, nicht bei den Informatikdiensten. Es besteht keine Anzeigepflicht. Es ist jedoch empfehlenswert, zumindest im Zusammenhang mit Offizialdelikten, Anzeige zu erstatten, um die Gefahr der Mittäterschaft zu verhindern. C.5.3 Überwachung im Rahmen der Gewährleistung der Sicherheit und Funktionstüchtigkeit des betrieblichen EDV‐Systems oder aufgrund anderer Hinweise Manifestiert sich eine Störung des EDV‐Systems trotz technischen Schutzmassnahmen, können bei der Suche nach deren Ursache die Protokollierungen beigezogen werden. Stellt die Ursache der Störung einen Missbrauch dar, kann der identifizierte Mitarbeiter gemäss § 5.8 dieses Reglements sanktioniert werden. Stellt man einen Missbrauch fest oder entsteht Internet‐ und E‐Mail‐Überwachung September 2013 36/39 DATENSCHUTZSTELLE FÜRSTENTUM LIECHTENSTEIN ein Missbrauchsverdacht durch andere Hinweise, können falls nötig die entsprechenden Proto‐ kollierungen oder deren Auswertungen beigezogen werden. Bei erwiesenem Missbrauch kön‐ nen die Sanktionen gemäss § 5.8 dieses Reglements ergriffen werden. C.5.4 Unterscheidung zwischen private und geschäftliche E‐Mails Private E‐Mails sind von den internen und externen Absendern durch die Vermerkoption „pri‐ vat“ zu kennzeichnen. Die Einsichtnahme und weitere Bearbeitung von E‐Mails, welche als „privat“ gekennzeichnet sind, bleibt unserer Firma verwehrt. Wenn kein Unterscheidungsvermerk zwischen privaten und geschäftlichen E‐Mails besteht und die private Natur eines E‐Mails aufgrund der Adressierungselemente nicht erkennbar und nicht anzunehmen ist, darf unsere Firma davon ausgehen, dass das E‐Mail geschäftlich ist. Bestehen Zweifel über die Natur eines E‐Mails, ist sie mit dem Angestellten zu klären. Interne und externe Absender sind darüber ausdrücklich zu informieren. Für einen besseren Schutz privater E‐Mails empfiehlt die Firma, einen webbasierten, verschlüs‐ selten E‐Mail‐Dienst zu benutzen. Ob internetbasierte, verschlüsselte E‐Mail‐Dienste überhaupt benutzt werden dürfen, hängt vom Nutzungsreglement ab. Ist die private Internetnutzung verboten, so fällt diese Möglichkeit weg. Die Firma kann auch zur besseren Unterscheidung zwischen privaten und geschäftlichen E‐ Mails die namenlose, funktionelle Adressierung für die Geschäftskorrespondenz einführen (vgl. Kapitel 8.5.2). C.5.5 Die Überwachung des geschäftlichen E‐Mail‐Verkehrs Unsere Firma hat das Recht, die geschäftlichen E‐Mails zu protokollieren und bei Bedarf zu si‐ chern. Die Protokollierung der geschäftlichen E‐Mails betrifft u. a. die Betreffzeile, Datum, Zeit, Absen‐ der‐ und Empfängeradressen. C.5.6 Die E‐Mail‐Verwaltung bei Abwesenheiten eines Mitarbeiters Bei Abwesenheiten definiert der Mitarbeiter einen Stellvertreter mit abgestufter Berechtigung zur Einsicht und Weiterbearbeitung der geschäftlichen, eingehenden E‐Mails. Die als „privat“ gekennzeichneten E‐Mails sind für den Stellvertreter nicht sichtbar. Die externen Absender müssen informiert werden, dass private E‐Mails als solche zu kenn‐ zeichnen sind, ansonsten sie durch den Stellvertreter eingesehen werden können. Internet‐ und E‐Mail‐Überwachung September 2013 37/39 DATENSCHUTZSTELLE FÜRSTENTUM LIECHTENSTEIN C.5.7 Die E‐Mail‐Verwaltung beim Austritt eines Mitarbeiters Vor dem Austritt hat der Mitarbeiter die noch hängigen Geschäfte wie E‐Mails intern weiterzu‐ leiten. Der Mitarbeiter hat die Übergabe sämtlicher Geschäftsdokumente an die Firma zu bestätigen. Der austretende Mitarbeiter hat die Möglichkeit, seine privaten E‐Mails und andere Dokumente auf private Datenträger zu speichern und aus den Servern der Firma zu löschen. Beim Austritt (oder Todesfall) ist spätestens am letzten Arbeitstag sein E‐Mail‐Account (wie übrigens auch alle anderen EDV‐Accounts) zu sperren und sein Briefkasten (wie alle anderen persönlichen Datenträger) zu löschen. Absender, welche E‐Mails an die gesperrte E‐Mail‐Adresse schicken, werden automatisch in‐ formiert, dass die Empfängeradresse hinfällig ist. In der automatischen Antwort wird eine ge‐ eignete Ersatz‐E‐Mail‐Adresse der Firma angegeben. C.5.8 Sanktionen bei Missbrauch Wenn die Voraussetzungen und die Regeln der Überwachung eingehalten worden sind, kann die Firma im Falle eines erwiesenen Missbrauchs arbeitsrechtliche Sanktionen gegen den fehl‐ baren Mitarbeiter aussprechen. Hier hat das Unternehmen die Sanktionen aufzulisten, die es im Falle eines Missbrauchs zu tref‐ fen gedenkt. In Frage kommen z. B. Abmahnungen, Sperrungen des Internetzugriffs, Schaden‐ ersatzforderungen, Streichung von Sonderprämien usw. [vgl. dazu Kapitel 10 unseres Leitfa‐ dens]. In extremen Fällen, wie bei wiederholtem Missbrauch mit technischer Störung trotz Abmahnung oder bei erwiesenen Straftaten kann der Arbeitgeber sogar die Entlassung aus‐ sprechen. Die fristlose Entlassung eines Arbeitnehmers kann nur ausgesprochen werden, wenn dem Arbeitgeber nach Treu und Glauben die Fortsetzung des Arbeitsverhältnisses nicht mehr zugemutet werden kann. Die Sanktionen müssen der Schwere des jeweiligen Missbrauches angepasst und in ihrem Umfang bereits in diesem Überwachungsreglement bestimmt sein. Vor einer Löschung missbräuchlich erworbenen Dateien werden die betroffenen Arbeitnehmer informiert und es wird ihnen die Möglichkeit gegeben, die betreffenden Dateien, z. B. E‐Mails, auf privaten Datenträgern zu speichern. C.5.9 Ansprüche des Mitarbeiters bei unzulässiger Überwachung durch die Firma Bei Verletzung der Voraussetzungen und Regeln der Überwachung der Surf‐ und E‐Mail‐ Aktivitäten, stehen dem betroffenen Mitarbeiter die zivilrechtlichen Ansprüche wegen Persön‐ lichkeitsverletzung zu (vgl. Art. 38 ff. PGR). Der betroffene Arbeitnehmer kann im Falle einer missbräuchlichen Überwachung durch die Firma auch strafrechtliche Mittel ergreifen. Zu denken ist insbesondere an die Anzeige wegen Verletzung des Geheim‐ oder Privatbereiches durch Aufnahmegeräte (Art. 179quater StGB) oder wegen unbefugten Beschaffens von Personendaten (Art. 179novies StGB). Internet‐ und E‐Mail‐Überwachung September 2013 38/39 DATENSCHUTZSTELLE FÜRSTENTUM LIECHTENSTEIN C.5.10 Weitere Bestimmungen Unsere Firma schult regelmässig die Mitarbeiter über die Risiken im Zusammenhang mit der Benutzung von Internet und E‐Mail. Sowohl die Informatikdienste als auch die Vorgesetzten unserer Firma haben die Personenda‐ ten, die sie im Zusammenhang mit einer Überwachung bearbeiten, durch angemessene techni‐ sche Massnahmen gegen unbefugte Zugriffe zu schützen. Sie sorgen insbesondere für die Vertraulichkeit, die Verfügbarkeit und die Integrität der Perso‐ nendaten. Der Arbeitnehmer darf von der Firma jederzeit Auskunft darüber verlangen, ob und welche Daten über ihn bearbeitet werden. Personendaten dürfen nicht ohne Einwilligung der betroffenen Personen oder einen anderen Rechtfertigungsgrund an unberechtigte Dritte bekannt gegeben werden. Die Arbeitskollegen der betroffenen Person gelten als Dritte. Der Firma obliegt keine gesetzliche Aufbewahrungspflicht im Zusammenhang mit Protokollie‐ rungen. Zu Beweissicherungszwecken dürfen die Protokollierungen für eine beschränkte Zeit, in der Regel nicht länger als vier Wochen, aufbewahrt werden. Die Aufbewahrungsdauer hängt vom Zweck der Protokollierung ab. Im Rahmen von Sanktions‐ verfahren oder Strafverfolgungen dürfen sie bis zum Ablauf der entsprechenden Rechtsmittel‐ fristen aufbewahrt werden. Internet‐ und E‐Mail‐Überwachung September 2013 39/39
