RECHTLICHE ANFORDERUNGEN AN DIE IT-SICHERHEIT IM UNTERNEHMEN
Welche Rolle spielt der eigene Mitarbeiter?
Rechtsanwältin Christine Libor
Fachanwältin für Urheber- und Medienrecht
Königsallee 60 C (Kö-Höfe) 40212 Düsseldorf Tel. 0211 / 302015-22 Fax 0211 / 302015-90 Mail: Libor@fps-law.de www.fps-law.de
Inhalt 12.09.2014 2
Inhaltsverzeichnis
I. Vorgaben an Arbeitnehmer
1. Reichweite der privaten Nutzung 2. Details
3. Soziale Netzwerke II. Beteiligung des Betriebsrates III. Zugriff auf Arbeitnehmerdaten
1. Bei Abwesenheit (Krankheit / Urlaub), Zusammenarbeit 2. Spamfilter / Firewall
3. Recherche bzgl. möglichem Fehlverhalten
I. Vorgaben an Arbeitnehmer 12.09.2014 3
I. Vorgaben an Arbeitnehmer
Kommunikation ist, wenn man darüber spricht!
Rechtliche Anforderungen an die IT-Sicherheit im Unternehmen
I. Vorgaben an Arbeitnehmer 12.09.2014 4
Regeln für Internet- und E-Mail-Nutzung
• schriftlich (Nachweisbarkeit)
• Anhang zum Arbeitsvertrag oder spätere Arbeitgeberanweisung
I. Vorgaben Arbeitgeber 12.09.2014 5
1. Reichweite der privaten Nutzung
• Nur in den Pausen
• Privat-Mails nur über Web-Account
• Keine Onlinespiele (nie!)
• Keine Speicherung von privaten Daten auf den Firmenrechnern
Rechtliche Anforderungen an die IT-Sicherheit im Unternehmen
I. Vorgaben Arbeitgeber 12.09.2014 6
Warum diese Regeln?
• Strikte Trennung von privaten und dienstlichen Inhalten erleichtert Zugriff des Arbeitgebers auf dienstliche Inhalte (dazu später mehr)
• Optimale Nutzung der Arbeitszeit für Arbeitszwecke
• Nachweis Pflichtverletzung nur, wenn Anweisung dokumentiert
ènur dann Haftung / Regress, Abmahnung, Kündigung möglich
I. Vorgaben an Arbeitnehmer 12.09.2014 7
2. Details:
• Keine Downloads von Programmen, Add-ons etc., keinerlei Installationen
• Keine Downloads von illegalen Inhalten (z.B.
Urheberrechtsverletzungen)
• Keine kostenpflichtigen Websites, Datenbanken ohne vorherige Freigabe durch Arbeitgeber
• Keine Websites mit illegalen, pornografischen, gewaltverherrlichenden Inhalten ansteuern
Rechtliche Anforderungen an die IT-Sicherheit im Unternehmen
I. Vorgaben an Arbeitnehmer 12.09.2014 8
Warum diese Regeln?
• Firmen-IP-Adresse identifiziert Unternehmen als Störer èGrds. Haftung für illegale Aktivitäten
è Enthaftung durch Nachweis der ordnungsgemäßen Weisung und Aufklärung
• Arbeitnehmer erweckt bei kostenpflichtiger Registrierung z.B. für Datenbank Anschein der Vollmacht für das Unternehmen
è Unternehmen vertraglich zur Zahlung verpflichtet
• Schutz vor Viren etc.
• Privatnutzung frisst Arbeitszeit
è Unternehmen bezahlt hierdurch erforderliche Überstunden
I. Vorgaben an Arbeitnehmer 12.09.2014 9
3. Soziale Netzwerke
Pro: Mediale Präsenz des Unternehmens
Contra: Unprofessionelle Darstellung Privatnutzung Zeitfresser
Rechtliche Anforderungen an die IT-Sicherheit im Unternehmen
I. Vorgaben an Arbeitnehmer 12.09.2014 10
Zu empfehlen:
• Code of Conduct
• Registrierung von Accounts für Firma / Marke / Produkte auf den Namen der Firma, nicht eines Mitarbeiters
• Ggf. Sperrung bestimmter Websites, z.B. Facebook, Messenger- Dienste
ggf. mit Whitelist für einzelne User
II. Beteiligung des Betriebsrates 12.09.2014 11
II. Beteiligung des Betriebsrates
Mitbestimmungsrechte § 87 Abs. 1 Betriebsverfassungsgesetz (BetrVG) bzgl.
Nr. 1: Verhaltensregeln und -kontrolle für Mitarbeiter
Nr. 6: Einführung / Anwendung von technischen Einrichtungen, mit denen Überwachung der Mitarbeiter möglich
Regelung über Betriebsvereinbarungen
Rechtliche Anforderungen an die IT-Sicherheit im Unternehmen
II. Beteiligung des Betriebsrates 12.09.2014 12
Nicht mitbestimmungspflichtig:
• Ob und Reichweite der Erlaubnis der Privatnutzung
• Nutzung von Filtern für Sperre von Internetseiten, Virenscanner, Firewall
• Beschränkung der Nutzerprofile im IT-System bzgl. Installation, Zugriff auf bestimmte Programme, Ordner etc.
• Einzelanweisungen an Mitarbeiter
II. Beteiligung des Betriebsrates 12.09.2014 13
Mitbestimmungspflichtig:
• Einführung von Hard-/Software, die die Überwachung und Kontrolle der Mitarbeiter ermöglicht
è Unabhängig davon, ob Nutzung der Kontrollmöglichkeit beabsichtigt!
• IT-gestützte Kontrollmaßnahmen im Einzelfall
• Aufstellung von allgemeinen Verhaltensregeln für Mitarbeiter
Rechtliche Anforderungen an die IT-Sicherheit im Unternehmen
III. Zugriff auf Arbeitnehmerdaten 12.09.2014 14
III. Zugriff auf Arbeitnehmerdaten
1. Bei Abwesenheit (Krankheit / Urlaub), Zusammenarbeit Interessenabwägung zwischen
• Interesse Arbeitgeber an reibungslosen Arbeitsabläufen
• Interesse Arbeitnehmer an Privatsphäre, Schutz Persönlichkeitsrecht, Datenschutz
Wichtig: keine Vermischung der dienstlichen mit den privaten Daten èInteresse Arbeitnehmer tritt zurück
III. Zugriff auf Arbeitnehmerdaten 12.09.2014 15
Damit möglich:
• Vorgaben zu Abwesenheitsassistenten / Weiterleitung bzgl. E-Mail
• Nötigenfalls (z.B. plötzliche Erkrankung) kann Herausgabe Passwort gefordert / durch Administrator ersetzt werden, um dies zu ermöglichen
• Zugriff auf Dateiordner
Rechtliche Anforderungen an die IT-Sicherheit im Unternehmen
III. Zugriff auf Arbeitnehmerdaten 12.09.2014 16
2. Spamfilter / Firewall
Arbeitnehmer hat sicher kein Recht, gefährliche Mails zu erhalten und damit Unternehmen zu gefährden.
Problemfall:
Zurückbehalt potenziell gefährlicher Mails und Prüfung in gesichertem Bereich durch Administrator
è Datenschutz, Briefgeheimnis bei privaten Mails
è Wird vermieden bei nur dienstlicher Nutzung des Dienst-Mail- Accounts
Alternative:
Zurückbehalt und Information an Adressaten, nur dieser hat Zugriff und Kontrolle auf gesicherten Ordner mit seinen potenziell gefährlichen Mails, kann löschen oder in regulären Ordner verschieben.
è Problem: Kann Mitarbeiter Gefährlichkeit wirklich beurteilen?
12.09.2014 17
Rechtliche Anforderungen an die IT-Sicherheit im Unternehmen
III. Zugriff auf Arbeitnehmerdaten 12.09.2014 18
3. Recherche bzgl. möglichem Fehlverhalten
Heimliches Mithören / Aufzeichnen von Telefonaten –geht gar nicht!
èVerletzung des Persönlichkeitsrechts
èBei privaten Telefonaten Straftat § 206 StGB (Verletzung Fernmeldegeheimnis)
èBeweisverwertungsverbot
III. Zugriff auf Arbeitnehmerdaten 12.09.2014 19
Inhaltliche Kontrolle
• von dienstlichen E-Mails èwie dienstliche Post
è§ 32 BDSG: nur erforderliche Datenverarbeitung è Stichproben zulässig, keine Vollkontrolle
• von (auch) privaten E-Mails
ènur beim konkretem Verdacht = legitimem Zweck
Rechtliche Anforderungen an die IT-Sicherheit im Unternehmen
III. Zugriff auf Arbeitnehmerdaten 12.09.2014 20
Speicherung / Auswertung von Verbindungsdaten, Verlauf des Browsers
§32 BDSG: nur erforderliche Datenverarbeitung
èInteressenabwägung im Einzelfall
èStichprobe zur Feststellung unerlaubter Privatnutzung èRecherche bei Anfangsverdacht
Vielen Dank für Ihre Aufmerksamkeit!
12.09.2014 21
Rechtliche Anforderungen an die IT-Sicherheit im Unternehmen
BERLIN
Kurfürstendamm 220 10719 Berlin T +49 30 88 59 27-0
DÜSSELDORF
Königsallee 60 C (KÖ-Höfe) 40212 Düsseldorf T +49 211 30 20 15-0
FRANKFURT AM MAIN Eschersheimer Landstr. 25–27 60322 Frankfurt am Main T +49 69 95 957-0
HAMBURG
Große Theaterstraße 42 20354 Hamburg T +49 40 37 89 01-0