ich stehe vor einem Problem, bei dem ich Erfahrungen von Kollegen gebrauchen kann: Wenn wir die private Nutzung des Internet-Zugangs im Unternehmen verbieten wollen, müssen wir das offenbar auch kontrollieren, um nicht in die „betriebliche Übung“ zu gelangen.
Nun fragen wir uns, wie wir diese Kontrolle machen können. Wenn wir uns das Logfile für zufällig ausgewählte Kollegen anschauen, können wir in der Regel überhaupt nicht erkennen, ob eine Adresse für private oder dienstliche Zwecke aufgerufen wurde. Die Urls und Domainnamen sind ja heute so wild und nichtssagend, dass wir dann eigentlich jede Seite einzeln manuell aufrufen müssten, um zu bewerten, ob das dienstlich oder privat gewesen sein könnte. Das ist ja ein enormer Aufwand und greift eigentlich auch ziemlich stark in die Privatsphäre des Mitarbeiters ein – auch wenn er nur dienstlich surft. Wir wollen ja keine Totalüberwachung am Arbeitsplatz.
Wie kann man das Problem angemessen lösen? Ich bin für jeden Hinweis dankbar.
Absolut ein heikles Thema undja man will keine Totalüberwachung.
Man könnte es Whitelisting probieren - oder aber man erkennt die Seiten also z.B. Seiten von Kunden, Dienstleistern etc.
Wenn aber irgendwelche komischen URLs oder sagen wir mal Adult Content Seiten dabei sind - sehe ich es nicht unbedingt als dienstlich an. (es sei den es geht um die Strafverfolgung oder man ist in der entsprechenden Branche).
Daher kommt es denke ich auf den kontext an (Branche etc. - was ist branchenüblich)
Ein Whitelisting ist bei einem Unternehmen in der IT/Medien/Tech-Branche mit mehreren Tausend Mitarbeiter leider nicht umsetzbar.
Und wenn wir nur nach Adult, Gambling etc. suchen, werden wir wohl nie etwas finden, denn die “normale” Privatnutzung ist ja nicht immer nur so extrem - das sind zumeist ganz normale Seiten zu Urlaub, Haustieren, Finanzen, Gesundheit etc., die in keinem Filter auftauchen.
Naja, ob White- oder Blacklist: Ohne manuelles Eingreifen funktioniert es auch in der IT nicht.
Die Alternative zur Kontrolle ist ein Proxy, der Domains und IPs lernt, als Blacklist einsetzt und blind blockiert. Meines Wissens existieren diverse Listen (DBLs), die genutzt oder angepasst werden können (neben Listen mit suspekten Domains auch solche wie die Umbrella Popularity List uä). Falls man Squid nicht selbst aufsetzen will, kann man auf Hersteller proprietärer Soft-/Hardware zurückgreifen, die Domain Blacklisting anbieten, vorwiegend im Rahmen von Spam, Malware Detection und Fraud Prevention. Eine Auswertung der Zugriffe zur Erweiterung / Anpassung der Blacklist muss auch nicht personenbezogen erfolgen, wenn nur nach URL gefiltert wird. Ich würde bei den IT-/Tech-Kollegen im Haus nachfragen, ob und welche Produkte bereits im Einsatz sind und ob und wie eine Blacklist implementiert und gepflegt werden könnte.
Für mich wäre die Frage, warum das Unternehmen das verbieten will. Zumal die MA einfach ihr obligatorisches smartphone nutzen könnten, wenn’s um “Arbeitszeit” geht - und mehr steckt i d R nicht hinter betriebl Übung. Wenn’s um Sicherheit geht, dann … aber dazu sehe ich nix der Frage.
Mit betriebliche Übung kann ein MA kaum argumentieren, wenn das Unternehmen ein Verbot ausspricht und regelmäßig erinnert - da kann ein MA einfach nicht vermuten, dass diese Nutzung geduldet ist.
Wenn wir es nicht verbieten würden, müssten wir uns wohl eine Einwilligung holen für den Eingriff in das Fernmeldegeheimnis, da wir Security-Scanner im Einsatz haben, die auch den Content untersuchen.
Und was machen wir dann mit denen, die die Einwilligung nicht abgeben? Dann müssten wir ja auch wieder Prüfungen machen, um nicht zu einer betrieblichen Übung zu kommen.
Achso, es geht gar nicht um die Technik der Kontrolle oder andere Möglichkeiten.
Wie auch immer: Die Einwilligung scheint mir als Rechtsgrundlage nicht geeignet. Wenn ein Mitarbeiter nicht einwilligt oder widerruft, wird der Security-Scanner dann abgeschaltet? Das Unternehmen hat nicht nur ein berechtigtes Interesse, Sicherheitsmaßnahmen einzusetzen, es wird durch DSGVO und TKG zu technischen und organisatorischen Maßnahmen verpflichtet. Des weiteren erlaubt §100 TKG die Erhebung und Verwendung von Verkehrsdaten zur Störungsbeseitigung und Missbrauchserkennung. Fraglich ist, ob der Arbeitgeber ein Diensteanbieter im Sinne des TKG ist. Die Gerichte lehnen es ab, die Aufsichtsbehörden sehen ihn in dieser Funktion. Folgt man den Gerichten, dann ist das Fernmeldegeheimnis nicht anwendbar.
BAG, Urteil vom 19.8.2015, 5 AZR 450/14:
Unter einer betrieblichen Übung ist die regelmäßige Wiederholung bestimmter Verhaltensweisen des Arbeitgebers zu verstehen, aus denen die Arbeitnehmer schließen können, ihnen solle eine Leistung oder eine Vergünstigung auf Dauer eingeräumt werden. Aus diesem als Vertragsangebot zu wertenden Verhalten des Arbeitgebers, das von den Arbeitnehmern in der Regel stillschweigend angenommen wird (§ 151 BGB), erwachsen vertragliche Ansprüche auf die üblich gewordenen Leistungen. Entscheidend für die Entstehung eines Anspruchs ist nicht der Verpflichtungswille, sondern wie der Erklärungsempfänger die Erklärung oder das Verhalten des Arbeitgebers nach Treu und Glauben unter Berücksichtigung aller Begleitumstände (§§ 133, 157 BGB) verstehen musste und ob er auf einen Bindungswillen des Arbeitgebers schließen durfte (BAG 19. März 2014 - 5 AZR 954/12 - Rn. 43).
Mir ist noch nicht klar, wie aus einem schriftlich ausgesprochenen Verbot eine Erklärung oder ein regelmäßiges Verhalten des Arbeitgebers werden kann, das auf seinen gegenteiligen Bindungswillen schließen lässt. Was sagt denn der Betriebsrat dazu? Sachverhalte wie Internetnutzung, Security-Scans, Viren-/Spamschutz u.ä. sind doch regelmäßig Bestandteil von Betriebsvereinbarungen.
Der Gedanke mit der Verpflichtung zu Schutzmaßnahmen ist sehr gut - darauf bin ich noch gar nicht gekommen. Vielen Dank. Allerdings geht es ja nicht nur um Verkehrs-, sondern auch um Inhaltsdaten, wenn es um die Suche nach Malware in Kommunikationsinhalten geht. Im Zweifel schaut ein Mitarbeiter da ja direkt rein (in die private Mail!).
Bei denjenigen Mitarbeitern, die zugestimmt haben, sollte es (wenn die Einwilligung wirksam ist) OK sein. Den anderen ist die private Nutzung verboten und somit ist alles dienstlich und man kann auch rein schauen.
Der Punkt ist nun der: Wenn die restlichen trotzdem privat nutzen und es nichts passiert spricht sich rum, dass man auch privat nutzen kann ohne eine Einwilliung abzugeben. Und dann haben wir ggf. die betriebliche Übung. Das ist die Frage.
Aus welcher Perspektive stellst Du denn Deine Fragen?
Das Thema ist doch für einen Laden mit mehreren Tausend MA nicht neu und der sollte neben DSB und Perso / Arbeitsrechtler (und Betriebsrat?) eine Position dazu haben und sicherlich die Antworten wie in anzolinos Post kennen,
Na ja, wenn alles klar wäre, würde ich ja nicht fragen. Die neue Qualität, die sich gegenüber der letzten Jahrzehnte ergibt, sind die neuartigen Security-Scanner, bei denen im Falle eines Alarms die Mitarbeiter auch in die Inhalte schauen - also z. B. in private Mails und Surf-Inhalte. Früher hatten wir ja nur recht dumme Viren- und SPAM-Scanner.
Aber wenn auch hier die Meinung ist, dass sich dadurch keine neue Qualität ergibt, dann ist das ja auch eine Antwort.
Das hört sich an, als ob Sie jetzt total genervt von meiner Frage sind. Tut mir sehr leid, wenn die Frage unter dem Forum-Niveau war. Ich bin ja noch recht neu hier. Allerdings ist das ja auch ein Punkt, den man nirgends beantwortet findet. Auch die Orientierungshilfe der DSK hört bei der Einwilligung in Privatnutzung auf. Was mit denen passiert, die nicht einwilligen und trotzdem nutzen, steht da nirgends.
Sie nerven nicht. Sie gehen aber auch nicht auf Fragen zum Sachverhalt ein. Das macht einen Austausch schwierig, weil eine Diskussionssubstanz fehlt und in der Folge die Einschätzung eines Sachverhalts kaum möglich ist. Zudem erweckt es den Eindruck einer rein theoretischen Abhandlung ohne Praxisbezug. Dieses Forum ist im Alter von vier Wochen noch zu jung, um sein Niveau einordnen zu können. Hier sind alle recht neu.
Der Punkt wird im BAG-Urteil 2 AZR 681/16 (Überwachung mittels Keylogger - Verwertungsverbot) beantwortet. In der Entscheidung erläutert das BAG die Verarbeitungserlaubnisse für Daten im Rahmen der Durchführung und Beendigung des Beschäftigenverhältnisses und geht nachfolgend auf die Angemessenheit stichprobenartiger Kontrollen zur Überprüfung der Einhaltung von Verboten / Beschränkungen der Privatnutzung von IT-Einrichtungen ein. Zwar bezieht es sich auf das BDSG aF und die RL 95/46/EG, nach meiner Ansicht können diese Verweise jedoch auf das BDSG nF und die DSGVO übertragen werden.
Es wird im Unternehmen kommuniziert, dass regelmäßig kontrolliert wird und wie.
Ich lasse mir von der HR eine gewissen Anzahl an Mitarbeiter*innen nennen (möglichst aus unterschiedlichen Abteilungen)
Diese Personen kontaktiere ich einzeln und bitte sie, mir ihren Browserverlauf und ihre gesendeten Elemente in Outlook zu zeigen. Wenn sie damit einverstanden sind, legen wir los. Ich selber stehe nur dabei bzw sehe den geteilten Bildschirm.
Wenn mir eine Seite oder Mailadresse komisch vorkommt, frage ich nach (muss mir nicht gezeigt werden).
Bisher waren alle Kolleginnen mit der Kontrolle einverstanden. Das Vorgehen wurde bereits im jährlichen Audit (ISO 27001) vom TÜV akzeptiert.
Wenn der Browserverlauf gelöscht wurde, hab ich übrigends Pech gehabt;-)
Dieses Vorgehen hat den Vorteil, dass ihn viele Kolleginnen mitbekommen (es wird darüber geredet) und so sensibilisiert werden. Das ist mir viel wichtiger, als tatsächliche Verstöße zu finden.
Viele Grüße
Jana
Ist es denn wirklich der Fall, dass wenn ein Verbot nicht kontrolliert wird, dass die betriebliche Übung eröffnet sein könnte? Ich meine, wenn der Verantwortliche im Unternehmen/Behörde (Geschäftsführer, Abteilungsleiter etc.) Grund zur Annahme hat bzw. Kenntnis davon erlangt hat, dass das Verbot nicht angewandt wird - okay, klar, dann muss kontrolliert werden, aber sollte auch schon ohne jeglichen Verdacht kontrolliert werden?
Ich bin bislang stets davon ausgegangen, dass eine betriebliche Übung eine Duldung auf längere Zeit ist und diese stattfindet, wenn es keine organisatorischen Regelungen gibt.
Nein, mangelnde Kontrollen können keine betriebliche Übung auslösen. In einem Gesetz steht das so nicht, weil die betriebliche Übung von den Arbeitsgerichten entwickeln worden ist. Es handelt sich um schlüssiges Verhalten des Arbeitgebers, das wiederholt vorkommt, ohne dass der Arbeitgeber die Freiwilligkeit oder die Widerruflichkeit betont hat. In diesem Fall dürfen die Arbeitnehmer bei mehrmaligen gleichförmigen Verhalten des Arbeitgebers darauf vertrauen, dass dies auch in Zukunft so bleibt. Dem Arbeitgeber bliebe dann nur eine Änderungskündigung.
Fehlende Kontrollen können wie gesagt meiner Meinung nach keine betriebliche Übung auslösen. Anders sieht es aus hinsichtlich der Erhebung von pb Daten zur Kontrolle.