ich stehe vor einem Problem, bei dem ich Erfahrungen von Kollegen gebrauchen kann: Wenn wir die private Nutzung des Internet-Zugangs im Unternehmen verbieten wollen, müssen wir das offenbar auch kontrollieren, um nicht in die „betriebliche Übung“ zu gelangen.
Nun fragen wir uns, wie wir diese Kontrolle machen können. Wenn wir uns das Logfile für zufällig ausgewählte Kollegen anschauen, können wir in der Regel überhaupt nicht erkennen, ob eine Adresse für private oder dienstliche Zwecke aufgerufen wurde. Die Urls und Domainnamen sind ja heute so wild und nichtssagend, dass wir dann eigentlich jede Seite einzeln manuell aufrufen müssten, um zu bewerten, ob das dienstlich oder privat gewesen sein könnte. Das ist ja ein enormer Aufwand und greift eigentlich auch ziemlich stark in die Privatsphäre des Mitarbeiters ein – auch wenn er nur dienstlich surft. Wir wollen ja keine Totalüberwachung am Arbeitsplatz.
Wie kann man das Problem angemessen lösen? Ich bin für jeden Hinweis dankbar.
Absolut ein heikles Thema undja man will keine Totalüberwachung.
Man könnte es Whitelisting probieren - oder aber man erkennt die Seiten also z.B. Seiten von Kunden, Dienstleistern etc.
Wenn aber irgendwelche komischen URLs oder sagen wir mal Adult Content Seiten dabei sind - sehe ich es nicht unbedingt als dienstlich an. (es sei den es geht um die Strafverfolgung oder man ist in der entsprechenden Branche).
Daher kommt es denke ich auf den kontext an (Branche etc. - was ist branchenüblich)
Ein Whitelisting ist bei einem Unternehmen in der IT/Medien/Tech-Branche mit mehreren Tausend Mitarbeiter leider nicht umsetzbar.
Und wenn wir nur nach Adult, Gambling etc. suchen, werden wir wohl nie etwas finden, denn die “normale” Privatnutzung ist ja nicht immer nur so extrem - das sind zumeist ganz normale Seiten zu Urlaub, Haustieren, Finanzen, Gesundheit etc., die in keinem Filter auftauchen.
Naja, ob White- oder Blacklist: Ohne manuelles Eingreifen funktioniert es auch in der IT nicht.
Die Alternative zur Kontrolle ist ein Proxy, der Domains und IPs lernt, als Blacklist einsetzt und blind blockiert. Meines Wissens existieren diverse Listen (DBLs), die genutzt oder angepasst werden können (neben Listen mit suspekten Domains auch solche wie die Umbrella Popularity List uä). Falls man Squid nicht selbst aufsetzen will, kann man auf Hersteller proprietärer Soft-/Hardware zurückgreifen, die Domain Blacklisting anbieten, vorwiegend im Rahmen von Spam, Malware Detection und Fraud Prevention. Eine Auswertung der Zugriffe zur Erweiterung / Anpassung der Blacklist muss auch nicht personenbezogen erfolgen, wenn nur nach URL gefiltert wird. Ich würde bei den IT-/Tech-Kollegen im Haus nachfragen, ob und welche Produkte bereits im Einsatz sind und ob und wie eine Blacklist implementiert und gepflegt werden könnte.
Für mich wäre die Frage, warum das Unternehmen das verbieten will. Zumal die MA einfach ihr obligatorisches smartphone nutzen könnten, wenn’s um “Arbeitszeit” geht - und mehr steckt i d R nicht hinter betriebl Übung. Wenn’s um Sicherheit geht, dann … aber dazu sehe ich nix der Frage.
Mit betriebliche Übung kann ein MA kaum argumentieren, wenn das Unternehmen ein Verbot ausspricht und regelmäßig erinnert - da kann ein MA einfach nicht vermuten, dass diese Nutzung geduldet ist.
Wenn wir es nicht verbieten würden, müssten wir uns wohl eine Einwilligung holen für den Eingriff in das Fernmeldegeheimnis, da wir Security-Scanner im Einsatz haben, die auch den Content untersuchen.
Und was machen wir dann mit denen, die die Einwilligung nicht abgeben? Dann müssten wir ja auch wieder Prüfungen machen, um nicht zu einer betrieblichen Übung zu kommen.
Achso, es geht gar nicht um die Technik der Kontrolle oder andere Möglichkeiten.
Wie auch immer: Die Einwilligung scheint mir als Rechtsgrundlage nicht geeignet. Wenn ein Mitarbeiter nicht einwilligt oder widerruft, wird der Security-Scanner dann abgeschaltet? Das Unternehmen hat nicht nur ein berechtigtes Interesse, Sicherheitsmaßnahmen einzusetzen, es wird durch DSGVO und TKG zu technischen und organisatorischen Maßnahmen verpflichtet. Des weiteren erlaubt §100 TKG die Erhebung und Verwendung von Verkehrsdaten zur Störungsbeseitigung und Missbrauchserkennung. Fraglich ist, ob der Arbeitgeber ein Diensteanbieter im Sinne des TKG ist. Die Gerichte lehnen es ab, die Aufsichtsbehörden sehen ihn in dieser Funktion. Folgt man den Gerichten, dann ist das Fernmeldegeheimnis nicht anwendbar.
BAG, Urteil vom 19.8.2015, 5 AZR 450/14:
Unter einer betrieblichen Übung ist die regelmäßige Wiederholung bestimmter Verhaltensweisen des Arbeitgebers zu verstehen, aus denen die Arbeitnehmer schließen können, ihnen solle eine Leistung oder eine Vergünstigung auf Dauer eingeräumt werden. Aus diesem als Vertragsangebot zu wertenden Verhalten des Arbeitgebers, das von den Arbeitnehmern in der Regel stillschweigend angenommen wird (§ 151 BGB), erwachsen vertragliche Ansprüche auf die üblich gewordenen Leistungen. Entscheidend für die Entstehung eines Anspruchs ist nicht der Verpflichtungswille, sondern wie der Erklärungsempfänger die Erklärung oder das Verhalten des Arbeitgebers nach Treu und Glauben unter Berücksichtigung aller Begleitumstände (§§ 133, 157 BGB) verstehen musste und ob er auf einen Bindungswillen des Arbeitgebers schließen durfte (BAG 19. März 2014 - 5 AZR 954/12 - Rn. 43).
Mir ist noch nicht klar, wie aus einem schriftlich ausgesprochenen Verbot eine Erklärung oder ein regelmäßiges Verhalten des Arbeitgebers werden kann, das auf seinen gegenteiligen Bindungswillen schließen lässt. Was sagt denn der Betriebsrat dazu? Sachverhalte wie Internetnutzung, Security-Scans, Viren-/Spamschutz u.ä. sind doch regelmäßig Bestandteil von Betriebsvereinbarungen.
Der Gedanke mit der Verpflichtung zu Schutzmaßnahmen ist sehr gut - darauf bin ich noch gar nicht gekommen. Vielen Dank. Allerdings geht es ja nicht nur um Verkehrs-, sondern auch um Inhaltsdaten, wenn es um die Suche nach Malware in Kommunikationsinhalten geht. Im Zweifel schaut ein Mitarbeiter da ja direkt rein (in die private Mail!).
Bei denjenigen Mitarbeitern, die zugestimmt haben, sollte es (wenn die Einwilligung wirksam ist) OK sein. Den anderen ist die private Nutzung verboten und somit ist alles dienstlich und man kann auch rein schauen.
Der Punkt ist nun der: Wenn die restlichen trotzdem privat nutzen und es nichts passiert spricht sich rum, dass man auch privat nutzen kann ohne eine Einwilliung abzugeben. Und dann haben wir ggf. die betriebliche Übung. Das ist die Frage.
Aus welcher Perspektive stellst Du denn Deine Fragen?
Das Thema ist doch für einen Laden mit mehreren Tausend MA nicht neu und der sollte neben DSB und Perso / Arbeitsrechtler (und Betriebsrat?) eine Position dazu haben und sicherlich die Antworten wie in anzolinos Post kennen,
Na ja, wenn alles klar wäre, würde ich ja nicht fragen. Die neue Qualität, die sich gegenüber der letzten Jahrzehnte ergibt, sind die neuartigen Security-Scanner, bei denen im Falle eines Alarms die Mitarbeiter auch in die Inhalte schauen - also z. B. in private Mails und Surf-Inhalte. Früher hatten wir ja nur recht dumme Viren- und SPAM-Scanner.
Aber wenn auch hier die Meinung ist, dass sich dadurch keine neue Qualität ergibt, dann ist das ja auch eine Antwort.
Das hört sich an, als ob Sie jetzt total genervt von meiner Frage sind. Tut mir sehr leid, wenn die Frage unter dem Forum-Niveau war. Ich bin ja noch recht neu hier. Allerdings ist das ja auch ein Punkt, den man nirgends beantwortet findet. Auch die Orientierungshilfe der DSK hört bei der Einwilligung in Privatnutzung auf. Was mit denen passiert, die nicht einwilligen und trotzdem nutzen, steht da nirgends.
Sie nerven nicht. Sie gehen aber auch nicht auf Fragen zum Sachverhalt ein. Das macht einen Austausch schwierig, weil eine Diskussionssubstanz fehlt und in der Folge die Einschätzung eines Sachverhalts kaum möglich ist. Zudem erweckt es den Eindruck einer rein theoretischen Abhandlung ohne Praxisbezug. Dieses Forum ist im Alter von vier Wochen noch zu jung, um sein Niveau einordnen zu können. Hier sind alle recht neu.
Der Punkt wird im BAG-Urteil 2 AZR 681/16 (Überwachung mittels Keylogger - Verwertungsverbot) beantwortet. In der Entscheidung erläutert das BAG die Verarbeitungserlaubnisse für Daten im Rahmen der Durchführung und Beendigung des Beschäftigenverhältnisses und geht nachfolgend auf die Angemessenheit stichprobenartiger Kontrollen zur Überprüfung der Einhaltung von Verboten / Beschränkungen der Privatnutzung von IT-Einrichtungen ein. Zwar bezieht es sich auf das BDSG aF und die RL 95/46/EG, nach meiner Ansicht können diese Verweise jedoch auf das BDSG nF und die DSGVO übertragen werden.
Es wird im Unternehmen kommuniziert, dass regelmäßig kontrolliert wird und wie.
Ich lasse mir von der HR eine gewissen Anzahl an Mitarbeiter*innen nennen (möglichst aus unterschiedlichen Abteilungen)
Diese Personen kontaktiere ich einzeln und bitte sie, mir ihren Browserverlauf und ihre gesendeten Elemente in Outlook zu zeigen. Wenn sie damit einverstanden sind, legen wir los. Ich selber stehe nur dabei bzw sehe den geteilten Bildschirm.
Wenn mir eine Seite oder Mailadresse komisch vorkommt, frage ich nach (muss mir nicht gezeigt werden).
Bisher waren alle Kolleginnen mit der Kontrolle einverstanden. Das Vorgehen wurde bereits im jährlichen Audit (ISO 27001) vom TÜV akzeptiert.
Wenn der Browserverlauf gelöscht wurde, hab ich übrigends Pech gehabt;-)
Dieses Vorgehen hat den Vorteil, dass ihn viele Kolleginnen mitbekommen (es wird darüber geredet) und so sensibilisiert werden. Das ist mir viel wichtiger, als tatsächliche Verstöße zu finden.
Viele Grüße
Jana
Ist es denn wirklich der Fall, dass wenn ein Verbot nicht kontrolliert wird, dass die betriebliche Übung eröffnet sein könnte? Ich meine, wenn der Verantwortliche im Unternehmen/Behörde (Geschäftsführer, Abteilungsleiter etc.) Grund zur Annahme hat bzw. Kenntnis davon erlangt hat, dass das Verbot nicht angewandt wird - okay, klar, dann muss kontrolliert werden, aber sollte auch schon ohne jeglichen Verdacht kontrolliert werden?
Ich bin bislang stets davon ausgegangen, dass eine betriebliche Übung eine Duldung auf längere Zeit ist und diese stattfindet, wenn es keine organisatorischen Regelungen gibt.
Nein, mangelnde Kontrollen können keine betriebliche Übung auslösen. In einem Gesetz steht das so nicht, weil die betriebliche Übung von den Arbeitsgerichten entwickeln worden ist. Es handelt sich um schlüssiges Verhalten des Arbeitgebers, das wiederholt vorkommt, ohne dass der Arbeitgeber die Freiwilligkeit oder die Widerruflichkeit betont hat. In diesem Fall dürfen die Arbeitnehmer bei mehrmaligen gleichförmigen Verhalten des Arbeitgebers darauf vertrauen, dass dies auch in Zukunft so bleibt. Dem Arbeitgeber bliebe dann nur eine Änderungskündigung.
Fehlende Kontrollen können wie gesagt meiner Meinung nach keine betriebliche Übung auslösen. Anders sieht es aus hinsichtlich der Erhebung von pb Daten zur Kontrolle.
Dann kann einem das Unternehmen nur leid tun, dann ist es wohl in der falschen Branche. Freilich ist es anfangs ein ziemlicher Aufwand, die Listen zu erstellen, aber nicht unmöglich wie eine ständige lückenlose Überwachung.
Quatsch. Es sollte wohl kein Problem sein, nur “dienstliche” Seiten zuzulassen und alle anderen zu sperren. Wird jedenfalls auch von großen Firmen und Behörden praktiziert.
Und private Mails zu unterbinden sollte wohl erst recht kein Problem sein. Jeder Mitarbeiter kriegt - so nötig - seine Adresse max.mustermann@firma.com, und der Mailserver stellt sicher, dass er nur darüber E-Mails mit der Außenwelt austauschen kann, und zwar auch nur mit bestimmten Adressen. Fertig.
Und grundsätzlich können nur auf der lokalen Maschine ausführbare Programme Schaden anrichten. In diesem Sinne können Mails auch nicht gefährlich werden, weil der Maiclient sie lediglich für den Menschen lesbar darstellt. Äußerst beliebt sind allerdings Schadprogramme als Mailanhänge, üblicherweise als harmlose Grafiken oder sonstige Dateien “getarnt”. Die haben schon ganze - teilweise recht sicherheitskritische - Netze lahmgelegt. Nur ein Beispiel: Klinikum Fürth
Schöne Grüße an die gut bezahlten ITler dort - in deren Haut wollte ich da nicht stecken. Die gebräuchlichste Schutzmaßnahme dagegen ist, Mailanhänge gleich 'rauszufiltern, so dass Max Mustermann sie gar nicht zu sehen kriegt. Links auf “zweifelhafte” Seiten in Mails auch.
Bei Webseiten ist es noch einfacher: Einfach die Ausführung von JavaScript blockieren. Und wenn ein Geschäftspartner meint, das wäre für die Funktionalität der B2B - Kommunikation erforderlich, dann kann er einem leid tun, dann soll er sich das Geld wiedergeben lassen, das er in die Entwicklung der Seiten gesteckt hat. Das geht nämlich auch anders. Im Übrigen gibt’s für Webseiten Sicherheitszertifikate, die ein gängiger Browser schon “von Haus aus” prüft.
@Alle: Hab’ ich was vergessen?
Ach richtig: Wenn der Chef es nicht ausdrücklich gestattet, ist die private Nutzung firmeneigener Kommunikationsmittel eh’ verboten. Die Diskussion über “notwendige Zustimmung der Mitarbeiter” und alle “rechtlichen” Fragen drumrum (die übrigens herzlich wenig mit Datenschutz und Datensicherheit zu tun haben), hat also nun genau was ergeben?
Im Übrigen kann die “betriebliche Übung” dem Chef herzlich wurscht sein, so lange sie die Arbeitsleistung nicht beeinträchtigt. Sehe ich was falsch?
Windows erkennt übrigens eine ausführbare *.exe nicht an der Dateiendung (die kann ruhig “pdf” oder sonstwie heißen), sondern am Header, der mit 4D 5A (“MZ”) anfängt…
Das nennt man “Stichproben”. Die Wahrscheinlichkeit, dass Datenschutz- oder schlimmer Datensicherheits-Verstöße entdeckt werden, ist also wie groß?
Um mögliche Schäden in der Firma zu verhüten, sollte man wohl auch und vor allem die empfangenen “Elemente” checken, meinst du nicht auch?
Übrigens gibt’s andere Browser und Mailclients als die, mit denen man sich auf Gedeih und Verderb von M$ abhängig macht. Seit ich mit Thunderbird und Firefox arbeite (und zwar sowohl unter Windows als auch unter Linux mit denselben Daten und demselben, nur leicht modifizierten Profil), kann ich MS Outlook, IE & Co. nichts mehr abgewinnen. Und mit dieser Meinung stehe ich nicht alleine da.
Und wenn nicht? Alles in Ordnung - wird schon nichts passieren?
Das ist natürlich ein erfolgversprechendes Suchkriterium. Nur Stümper verschicken Schadsoftware so, dass sie schon von außen an irgendwelchen “komischen” Adressen oder Seiten erkennbar ist. Ich habe schon absolut “echt” aussehende Mails (super HTML-formatiert) z.B. mit angeblichem Absender “Deutsche Bank” gekriegt. Die Dussel konnten ja nicht wissen, dass ich dort kein Konto habe. Natürlich habe ich das der Bank gemeldet.
Ach wo. Und welche Antworten kriegst du da, und was kannst du damit anfangen?
Nachvollziehbar. Das wäre der größte “Spion” oder “Saboteur” aber auch.
Das wage ich zu bezweifeln. Oder hat der TÜV dich genauso “angehört” wie du deine Mitarbeiter?
Die Norm spezifiziert Anforderungen für die Implementierung von geeigneten Sicherheitsmechanismen, welche an die Gegebenheiten der einzelnen Organisationen adaptiert werden sollen.
Welche Sicherheitsmechanismen habt ihr implementiert? Stichprobenartige “Überprüfungen”, wobei du nicht mal sehen musst, was da eigentlich abläuft? Lass’ dich nicht auslachen!
Das lässt sich übrigens auch verhindern. Stichwort: “Rechtevergabe” (nein, keine juristischen, sondern vom Betriebssystem verwaltete Rechte bestimmter User auf bestimmten Verzeichnissen, Dateien, Programmen). Hint: Ein Programm arbeitet immer mit den Rechten des Users, der es gestartet hat. Wenn der User des Browsers also kein Löschrecht auf die entsprechenden Dateien hat, kann er nix machen. Aber ab jetzt kostet’s Beraterhonorar.
Das machst du richtig. Die Verstöße kommen ggf. von ganz alleine, aber dann kracht’s richtig. Und ohne Rücksicht auf Sensibilitäten. Wie eben z.B. hier: Klinikum Fürth
Hallo @aka1 ,
du hast in all deinen Punkten recht, damit wäre die Kontrolle wesentlich “ertragsreicher” was die Findings angeht. Gleichzeitig bezweifle ich aber, dass sie effektiver wäre.
Das Ziel meiner Kontrolle liegt nicht darin, möglichst viel zu finden. Es liegt darin, Mitarbeitende zu sensibilisieren, das Verbot der Privatnutzung zu befolgen. Es geht mir hier um Vorbeugung und Akzeptanz der Richtlinien.
Wenn ich all deine Vorschläge umsetzen würde, wäre ich die Feindin der Belegschaft, das ISMS wäre diskreditiert und ich hätte den Betriebsrat am Hals. Kein Bedarf!
Freilich ist es anfangs ein ziemlicher Aufwand, die Listen zu erstellen, aber nicht unmöglich wie eine ständige lückenlose Überwachung.