IT-Recht Kanzlei
Fragen oder Anregungen?

Kontaktieren Sie uns:
IT-Recht Kanzlei
Kanzlei Keller-Stoltenhoff, Keller
Alter Messeplatz 2
Tel.: +49 (0)89 / 130 1433-0
Fax: +49 (0)89 / 130 1433-60
E-Mail: info@it-recht-kanzlei.de
von RA Max-Lion Keller, LL.M. (IT-Recht)

"Die rechtlich zwingende Archivierung von e-Mails - was sollte durch eine IT-Betriebsvereinbarung geregelt werden?"

Serie der IT-Recht Kanzlei zu den Themen E-Mailarchivierung und IT-Richtlinie Hinweis: Interessante weiterführende Informationen zum Thema hat die IT-Recht Kanzlei in ihrem Beitrag "Serie der IT-Recht Kanzlei zu den Themen E-Mailarchivierung und IT-Richtlinie" veröffentlicht.

Nachfolgend veröffentlicht die IT-Recht Kanzlei einen Vortrag, den RA Max-Lion Keller, LL.M. (IT-Recht) kürzlich auf dem Starnberger IT-Forum gehalten hat. In ähnlicher „Mission“ ist Herr Keller übrigens auch wieder am 08.10.07 unterwegs – diesmal auf der „IBM – Softsphere Konferenz“ in Frankfurt.

Sehr geehrte Damen und Herren,

ich freue mich, Ihnen heute ein wenig über das Thema „Rechtliche Rahmenbedingungen der Archivierung von E-Mails“ erzählen zu dürfen. So sperrig die Überschrift des Themas auch klingen mag, ich verspreche Ihnen, dass ich versuchen werde, meinen Vortrag möglichst kurzweilig und interessant zu halten.

Kurz zu Beginn ein paar Informationen zu meiner Person: Mein Name ist Max-Lion Keller, ich bin Rechtsanwalt und Partner der IT-Recht Kanzlei, die ihren Sitz in München hat. Die IT-Recht Kanzlei konzentriert sich ausschließlich auf das IT- Marken- sowie Vergaberecht, wobei ich mich unter anderem mit dem Wettbewerbsrecht und auch dem Urheberrecht beschäftige. Ein weiterer Schwerpunkt meiner anwaltlichen Tätigkeit betrifft dabei die rechtliche Beratung von Unternehmen hinsichtlich der folgenden drei Bereiche, nämlich

- dem IT-Lizenzmanagement,

- der IT-Security sowie

- dem rechtlichen Risikomanagement.

Gerade die letzten drei Themen, die sehr viel mit Vorsorge zu tun haben, werden immer noch von vielen Unternehmen eher stiefmütterlich behandelt, ja mitunter gar ignoriert und ich darf Ihnen verraten, dass gerade diese Nachlässigkeit bereits sehr viele Leuten sehr viel Geld gekostet hat. Dieser unheilvolle Zustand konnte nun auch dem Gesetzgeber nicht entgehen, der sich dann letztendlich aufraffte und ein ganzes Bündel von Gesetzen und Maßnahmen verabschiedete, um damit „dem inneren Schweinehund eines jeden Unternehmens“ endlich beizukommen.

Das selbst gesteckte Ziel des Gesetzgebers ist dabei nicht weniger als den Unternehmer mittels einer ganzen Reihe von gesetzlichen Bestimmungen, Verordnungen wie auch Richtlinien zu einem gewissenhaften Risikomanagement, also dem planvollen Umgang mit unternehmerischen Risiken zu „erziehen“ – ob der Unternehmer will oder nicht.

Von dieser „Erziehung“ ist nun auch das Thema „E-Mail Archivierung“ umfasst, welches als ein Teilaspekt des IT-Risikomanagements verstanden wird und gerade aufgrund der vielen neuen rechtlichen Vorgaben in den letzten Jahren für viel Verwirrung und Rechtsunsicherheit gesorgt hat und zwar auf beiden Seiten – sowohl der Arbeitnehmerschaft, als auch auf Seiten der Arbeitgeber.

Verunsicherung auf Seiten der Arbeitgeber:

Um nur drei Beispiele zu nennen:

→ Welche gesetzlichen Vorgaben gibt es im Zusammenhang mit der E-Mail Archivierung? Muss man diese tatsächlich ernst nehmen? Falls ja, welche Mails müssen wie lange gespeichert werden? Ist es möglich, der Einfachheit halber einfach alle Mails speichern, die sich auf den betrieblichen Servern befinden – also unter Umständen auch private Mails der Mitarbeiter?

--> Stichwort: Ausnahmslose zentrale Speicherung aller privaten Mails der Mitarbeiter.

Dies verträgt sich nicht wirklich mit dem Datenschutzrecht. Ist es von daher nicht sinnvoll, einfach von vornherein die private Nutzung der betrieblichen Kommunikationseinrichtungen der Mitarbeiter komplett zu unterbinden? Das private Surfen, Mailen und Chatten etc. der Mitarbeiter ist ja sowieso vielen ein Dorn im Auge, da es den Unternehmen auf den ersten Blick nur Nachteile mit sich bringt, wie etwa,

- dass in betriebswirtschaftlicher Hinsicht unerwünschte Kosten produziert werden.

- dass die Nettoarbeitzeit ohne Einverständnis des Arbeitgebers reduziert wird.

- dass das Unternehmen auf einmal zum Telekommunikationsanbieter wird und sich entsprechend mit den einschlägigen Bestimmungen (insbesondere das TKG) rumzuschlagen hat.

- dass das private Surfen der Mitarbeiter auch negative Auswirkungen auf die IT-Sicherheit haben kann, z.B. durch das Downloaden schadensstiftender Software oder gar strafbarer Inhalte auf die unternehmenseigenen Server.

- etc. etc.

→ Selbst wenn man sich dazu entschließt, den Umgang mit den betriebseigenen Kommunikationseinrichtungen regeln zu wollen. Wie macht man das? Was gilt etwa in Betrieben, in denen seit Jahren das private Surfen im Internet durch die Mitarbeiter zur täglichen Übung gehört? Kann man dies nun so einfach unterbinden? Ist hier ein Komplettverbot überhaupt noch möglich? Welche Regelungsmöglichkeiten bzw. -alternativen gibt es hier? Hat man etwa auch den Betriebsrat einzubeziehen und wie kann das Surfverhalten der Mitarbeiter kontrolliert werden?

Verunsicherung auf Seiten der Arbeitnehmer:

 

Aber auch der Arbeitnehmer machen sich so seine Gedanken:

Beispiel:

--> Ein kurzer nervöser Blick ins Online-Bankingkonto, ein kleiner Mailaustausch mit der Freundin, noch eine CD bei Amazon gekauft und sich bei spiegel online informiert. Auch wenn das alles nicht lange dauern muss, inwieweit ist man dazu überhaupt während der Arbeitszeit berechtigt – gerade wenn es keine klaren Vorgaben des Chefs gibt?

Zusammengefasst geht es also im wesentlichen um folgende zwei Fragestellungen, auf die ich im Rahmen meines weiteren Vortrages eingehen möchte:

Fragestellung Nr. 1: Wie sind die gesetzgeberischen Vorgaben hinsichtlich der E-Mail Archivierungspflicht konkret ausgestaltet?

Fragestellung Nr. 2: Eng damit verbandelt ist die Frage, wie denn nun die E-Mail Archivierung in der Praxis tatsächlich umgesetzt werden kann. Was hat der Unternehmer konkret zu tun, um seinen rechtlichen Pflichten nachzukommen, ohne, dass er sich im Gestrüpp der zum Teil diametral entgegenstehenden rechtlichen Vorgaben (nämliche einmal die Pflicht zur Archivierung von Daten und zum anderen das Datenschutzrecht) verheddert? Wie ist hier sein rechtlicher Spielraum ausgestaltet – etwa im Rahmen einer IT-Betriebsvereinbarung?

Zur Fragestellung Nr. 1:

Worum geht es also bei der E-Mail Archivierungspflicht? Ganz einfach: Wie es auch schon der Gesetzgeber bereits seit geraumer Zeit unermüdlich, fast schon gebetsmühlenartig in allerlei Gesetzen, „Verhaltensregeln“ etc. wiederholt, sind E-Mails, die in Bezug zu Rechtsgeschäften stehen oder sonst wie steuerrechtlich relevant sind, nach handelsrechtlichen sowie steuerrechtlichen Anforderungen mehrere Jahre lang, revisionssicher zu archivieren.

Wieso legt sich hier der Gesetzgeber so ins Zeug? Ganz einfach: Noch immer wird in vielen Unternehmen die E-Mail in ihrer rechtlichen Bedeutung vollkommen unterschätzt, nicht wirklich ernst genommen bzw. oft auch als eher relativ unverbindlich eingeschätzt. Dies völlig zu Unrecht, schließlich kommt der in einer E-Mail enthaltene Erklärung bzw. Information im Geschäftsverkehr im Prinzip dieselbe rechtliche Bedeutung zu wie ihr Pendant in Papierform. Ja, meiner Erfahrung nach, sind in vielen (meist rechtlich nicht betreuten) Projekten E-Mails überhaupt die einzige Möglichkeit, um

- etwa Absprachen zwischen den Streitparteien,

- vereinbarte Milestones von Projekten,

- Verantwortlichkeitsverteilungen,

- möglichen Change-Requests,

- Dokumentationen von Geschäftsvorfällen,

- Protokolle zu Meetings,

- Terminsverschiebungen etc.

nachweisen zu können – gerade auch vor Gericht.

Dies hat schon vor Jahren der Gesetzgeber erkannt, der nun den Unternehmer dazu anhalten möchte, wichtige elektronische Mitteilungen revisionssicher und in einer Art und Weise zu speichern und zu indexieren, die insbesondere

- den permanenten und schnellen Zugriff erlaubt („Allzeit-Verfügbarkeit“) und

- die Integrität der Daten gewährleistet.

Eine Mail darf also nicht einfach mehr in der Verfügungsgewalt des einzelnen Mitarbeiters gelassen oder gar gelöscht werden, sondern es ist im Gegenteil zumindest theoretisch jeweils im Einzelfall zu prüfen, ob sie nicht über Jahr hinaus aufwendig zu archivieren ist. Gerade die letzte Vorgabe (also die E-Mail Archivierungspflicht) möchte der Gesetzgeber ernst genommen wissen und dementsprechend beeindruckend ist die gesetzliche Drohkulisse - die Palette möglicher Sanktionen bei einer nur mangelhaften E-Mail Archivierung ist beeindruckend lang.

So kann etwa eine nur mangelhafte E-Mail Archivierung

- als Verletzung handelsrechtlicher Buchführung gewertet werden.

- unter Umständen gar strafrechtlich geahndet werden.

- zu Schadensersatzansprüchen führen.

- eine persönliche Haftung der Geschäftsführung nach sich ziehen.

- und und und…

Hinsichtlich der Einzelheiten darf ich Sie hier auf unser eBook mit dem Titel „Gesetzliche Archivierungspflicht von E-Mails“ verweisen, welches kostenlos auf unserer Homepage www.it-recht-kanzlei.de abrufbar ist.

1

Wie sieht nun der Rechtsrahmen der elektronischen Archivierung von E-Mails aus?

Der Gesetzgeber möchte bez. der E-Mail Archivierungspflicht genommen werden und dann sollte man ihn auch erst nehmen und sich einmal kurz mit den gesetzlichen Vorgaben im Einzelnen auseinandersetzen.

Nur, bereits hier wird es dem Unternehmer nicht wirklich leicht gemacht. Ein Gesetz, welches sämtliche gesetzlichen Regelungen mit Bezug zur Archivierung von E-Mails zusammenfassen würde gibt es nicht. Vielmehr hat man sich die entsprechenden Regelungen mühsam aus den verschiedenen gesetzlichen Bestimmungen zusammenzuklauben.

Da wären etwa folgende Gesetze (bzw. rechtliche Vorgaben) zu nennen:

- das Handelsgesetzbuch (HGB).

- das Bundesdatenschutzgesetz (BDSG).

- das Telekommunikationsgesetz (TKB).

- das Aktiengesetz (AG)

- das Gesetz betreffend die Gesellschaften mit beschränkter Haftung (GmbHG),

- Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KontraG).

- die Abgabenordnung (AO).

- die GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen).

- die GoBS (Grundsätze ordnungsmäßiger DV-gestützter Buchführungssystem)

- vielfältige allgemeine kaufmännische Sorgfaltspflicht etc.

- Basel II.

Sinn meines Vortrages ist nun aber nicht Sie noch weiter zu verwirren, so dass ich Ihnen die folgenden wichtigsten Handlungsverpflichtungen zusammenfassen möchte:

1. Das Handelsgesetzbuch verlangt, dass eine Kopie aller abgesendeten sowie eingegangenen „Handelsbriefe“ sicher aufzubewahren ist. Da man unter einem Handelsbrief jedes Schreiben versteht, welches „der Vorbereitung, den Abschluss, der Durchführung oder auch der Rückgängigmachung eines Geschäfts“ dient, ist damit auch die gesamte in E-Mails gehaltene Geschäftskorrespondenz eines Unternehmens betroffen.

Dazu gehören etwa

- Aufträge (auch Änderungen und Ergänzungen)

- Auftragsbestätigungen,

- Versandanzeigen,

- Frachtbriefe,

- Lieferpapiere,

- Reklamationsschreiben

- Rechnungen und

- Zahlungsbelege sowie

- schriftlich gefasste Verträge.

2. Neben den Handels- oder auch Geschäftsbriefen sind auch all diejenigen abgesandten E-Mails aufzubewahren, die in steuerrechtlicher Hinsicht von Bedeutung sind (vgl. § 147 AO). Das können insbesondere E-Mails sein, die folgende Inhalte enthalten:

- Inventare,

- Jahresabschlüsse,

- Lageberichte,

- die Eröffnungsbilanz sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und Organisationsunterlagen,

- die empfangenen aber auch abgesandten Handels- oder Geschäftsbriefe,

- Buchungsbelege

- sonstige Inhalte, für die Besteuerung von Bedeutung sind.

3. Wenn ich von einer „sicheren Aufbewahrung spreche“ meine ich damit, dass

- jede E-Mail unveränderbar zu archivieren ist und zwar auch mit Anlagen, wenn etwa die jeweiligen Mail ohne die zugehörigen Anlagen nicht verständlich ist.

- jede E-Mail mit geeigneten Retrievaltechniken (zum Beispiel durch das Indexieren mit Metadaten) wieder auffindbar sein muss.

- keine E-Mail darf während ihrer vorgesehenen Lebenszeit zerstört werden können darf.

- jede E-Mail in genau der gleichen Form, wie sie erfasst wurde, wieder angezeigt und gedruckt werden können muss.

- alle E-Mails zeitnah wiedergefunden werden können müssen.

Übrigens, das Gesetz hält sich hier bewusst zurück bzw. privilegiert keine bestimmte Speichertechnologie. Es kommt nur darauf an, dass eine fälschungssichere sowie dauerhafte Speicherung der Daten in elektronischer Form gewährleistet wird.

4. Zur Dauer der Archivierungspflicht sollte man sich die folgende Faustregel merken:

- Gemäß § 147 Abgabenordnung sind die als Handels- oder Geschäftsbriefe einzustufende E-Mails sechs Jahre aufzubewahren.

- Sollten die E-Mails dagegen Buchungsbelege, Rechnungen, Bilanzen, Jahresabschlüsse oder auch Lageberichte enthalten, betragen die Aufbewahrungsfristen 10 Jahre.

Mein Tipp: Speichern Sie einfach alle relevanten Mails 10 Jahre lang, so ersparen Sie sich einen großen organisatorischen Aufwand.

Zur Fragestellung Nr. 2:

 

Soweit nun also zu den rechtlichen Rahmenbedingungen der E-Mail Archivierung. Wie hat man dies nun alles in die Praxis umzusetzen? Welche Methoden bieten sich hierzu an? Wie sieht der Spielraum des Unternehmers aus?

Oftmals rede ich geraume Zeit auf Mandanten ein, um sie von der rechtlichen Notwendigkeit (ja dem Gebot) einer effizienten E-Mail Archivierung zu überzeugen. Irgendwann gelingt mir das, die Mandanten geben sich resignierend geschlagen und versprechen mir genervt hoch und heilig, ab nun an alle Unternehmensmails zentral zu speichern und fertig.

Nur ist das wirklich so einfach? Schließlich stößt eine zentrale Archivierungslösung aller „unternehmenseigenen“ E-Mails immer dann auf rechtliche „Vorbehalte“, wenn das jeweilige Unternehmen den Mitarbeitern etwa auch die Nutzung des Email-Postfachs zu privaten Zwecken gestattet hat. Stellt man nämlich den betriebseigenen Internetzugang für betriebsfremde (also private) Zwecke zur Verfügung, wird das Unternehmen in diesem Fall geschäftsmäßiger Anbieter von Telekommunikationsdiensten.

Dies hat wiederum zur Folge:

Das Unternehmen kann nicht mehr ohne weiteres auf private Nutzungs-, Abrechnungs- und Inhaltsdaten der Arbeitnehmer zugreifen. Diese sind während des Übertragungsvorgangs durch das Fernmeldegeheimnis und danach durch das Recht auf informationelle Selbstbestimmung geschützt (Art. 10 Abs. 1 Grundgesetz; Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 Grundgesetz). Jegliche Überwachung und Speicherung der Inhalte und Verbindungsdaten wäre demnach untersagt, ja man müsste derlei Daten vielmehr noch durch angemessene technische Vorkehrungen und sonstige Maßnahmen vor Kenntnisnahme schützen.

Erlaubt also ein Unternehmen die private E-Mail Nutzung, wird es schwierig

- im Bedarfsfall Mitarbeiterkontrollen gesetzeskonform durchführen, etwa wenn es um Fälle von Geheimnisverrat via E-Mail gehen könnte oder um sonstigen Missbrauch der privaten Nutzung von E-Mails.

- SPAM-Filter einzusetzen

- Vertretungszugriffe zuzulassen und

- E-Mails zentral zu archivieren.

Wie geht man nun mit diesem Problem um? Es gibt hierzu im Prinzip drei Möglichkeiten:

1. Möglichkeit = Totalverbot des Einsatzes von E-Mails zu privaten Zwecken im Unternehmen

Zumindest aus rechtlicher Sicht scheint diese Lösung die ideale: Das Unternehmen wird nicht zum Provider, Datenschutz spielt dann keine Rolle. So können Rechtsunsicherheiten für den Arbeitgeber und den Arbeitnehmer vermieden und SPAM-Filter, Vertretungszugriffe,, Archivierung und Kontrollen einer missbräuchlichen Nutzung ermöglicht werden. Das Unternehmen hat dann natürlich auch das Recht, beliebig und unbegrenzt auf die E-Mails der jeweiligen Mitarbeiter zuzugreifen bzw. auch zu archivieren.

Zu beachten wäre, dass das E-Mail Verbot in jedem Fall schriftlich fixiert werden sollte, etwa durch

- entsprechende Richtlinien betreffend der Nutzung der firmeneigenen IT-Infrastruktur,

- Betriebsvereinbarungen,

- Einverständniserklärungen der Belegschaft oder gar

- den individuellen Anstellungsvertrag.

Wichtig: Das Verbot ist auch in der Praxis durchzusetzen. Untersagt nämlich ein Arbeitgeber die private Nutzung von E-Mails, ohne dies dann regelmäßig zu kontrollieren, kann sich das Verbot in eine Duldung „umwandeln“. Der Arbeitnehmer hat nach einer Weile der Duldung einen Anspruch auf die Leistung, hier die Privatnutzung. Aus diesem Grund sind regelmäßig Kontrollen vorzunehmen und auch für den Fall von Verstößen Sanktionen vorzusehen, die in besonderen Fällen bis zu einer (verhaltensbedingten) Kündigung reichen können.

(Wegen des allgemeinen Betriebsklimas sei in diesem Zusammenhang empfohlen, bei den Mitarbeitern um ein Verständnis für ein Totalverbot der E-Mail Kommunikation zu privaten Zwecken zu werben – etwa mithilfe von Schulungen, welche die datenschutzrechtliche Problematik bei der privaten Nutzung von E-Mails näher bringen).

2. Möglichkeit = Vorbehaltslose Erlaubnis des Einsatzes von E-Mails zu privaten Zwecken

Diese Alternative ist aus rechtlicher Sicht alles andere als ideal. Dem Arbeitgeber ist es verwehrt, den privaten E-Mailverkehr seiner Mitarbeiter zu lesen, ja geschweige denn zu archivieren. Konsequenz: Dem Arbeitergeber bleibt nichts anderes übrig, als sich, in der Regel sehr aufwendigen und damit kostenintensiven technischen Lösungen zu bedienen, die in der Lage sind, private Mails von dienstlichen zu trennen. Von manchen Juristen wird vertreten, dass es in diesem Fall dem Arbeitgeber nicht verwehrt werden dürfe, immerhin den Betreff der jeweiligen E-Mail zu öffnen bzw. sichtbar zu machen. Es darf jedoch bezweifelt werden, ob eine solche Vorgehensweise mit dem Datenschutz in Einklang zu bringen ist. Rechtsprechung zu diesem Fall ist jedenfalls bislang nicht bekannt.

3. Möglichkeit = Die Zwischenlösung

Natürlich ist auch eine Zwischenlösung denkbar, etwa dergestalt, dass den Mitarbeitern im Einzelnen vorgeschrieben wird, auf welche Art und Weise mittels E-Mails privat über die firmeninterne IT-Infrastruktur kommuniziert werden kann. Folgende Lösungen bieten sich hierzu an:

- Zeitliche Ausnahmeregelung („Nutzung in Pausen und außerhalb der Arbeitszeit“ oder „nur zwischen xx Uhr und yy Uhr“) definieren, in der auf einen Freemail-Account (wie web.de) zugegriffen werden darf.

- Den Mitarbeitern kann neben einer geschäftlichen E-Mailadresse auch eine privat (und als solche gekennzeichnete) E-Mailadresse zur Verfügung gestellt werden - verbunden mit der Auflage, dass nur letztere zu privaten Zwecken genutzt werden darf. Damit würde eine zentrale, sowie effiziente Archivierung ermöglicht werden, da auf diese Weise eine Vermischung privater wie auch dienstlicher E-Mail ausgeschlossen würde. Nicht zuletzt würde man damit auch etwaigen Konflikten mit Betriebsräten aus dem Weg gehen können, die ansonsten bei betrieblichen Vereinbarungen zur E-Mailnutzung hinzugezogen werden müssten. So wird etwa das Mitbestimmungsrecht von Betriebsräten seitens der Rechtsprechung recht weit gefasst. Es sei demnach ausreichend, wenn technische Maßnahmen dazu geeignet sein könnten, den Arbeitnehmer zu überwachen – was naturgemäß gerade für Telekommunikationssysteme gilt.

- Auch könnte man an Regelungen denken, die dem Mitarbeiter vorschreiben würden, private E-Mails auch im Header deutlich als „privat“ zu kennzeichnen. So wird es zum Teil auch von Behörden praktiziert.

Ich für meinen Teil empfehle, der eben skizzierten Zwischenlösung zu folgen. Wenn man dies rechtlich umsetzt, kriegt man ziemlich viel unter einen Hut:

- Meiner Erfahrung nach, fühlen sich die Mitarbeiter in der Regel schnell bevormundet (was wiederum dem Unternehmensklima nicht gerade zuträglich ist), wenn man jegliche private Nutzung der unternehmenseigenen Kommunikationseinrichtungen unterbindet. Die „Zwischenlösung“ hätte den Reiz, dass man durch klare Regelungen den Interessen beider Seiten (Arbeitgeber wie auch Arbeitnehmer) nachkommen kann.

 

- Der Unternehmer kann zudem durch klare rechtliche Vorgaben genau festlegen, in welchem Maße eine private Nutzung der TK-Einrichtungen möglich sein soll und Fälle der Zuwiderhandlung auch entsprechend sanktionieren.

 

- Die schwierige Abgrenzung zwischen privaten und dienstlichen Mails würde bei der „Zwischenlösung“ entfallen.

Zwar wird das Unternehmen Telekommunikationsanbieter und hat sich den erweiterten Datenschutzbestimmungen des TKG zu unterwerfen. Nur, auch dies kann man rechtlich ganz gut abfangen was mich nun zu der Frage führt, wie eine entsprechende IT-Handlungsanleitung in Form einer Mitarbeiterrichtlinie oder – je nach Größe des Unternehmens auch eine sog. IT- Betriebsvereinbarung aussehen könnte. Dies möchte ich Ihnen zuletzt noch kurz skizzieren:

Ziel einer „IT-Handlungsanleitung“, die die oben erwähnte „Zwischenlösung“ abbilden sollt, ist es allgemeine Richtlinien der Ausgestaltung und Entwicklung für das Arbeiten mit IT-Systemen aufzustellen, wobei insbesondere die folgenden Aspekte geregelt werden sollten:

1. Umgang mit Infrastruktur (Gebäude etc.)
2. Umgang mit Arbeitsplatz
3. Umgang mit Telefon, Internet und E-Mail
4. Umgang mit externen Datenträger
5. Passwortgebrauch, mobile Geräte und Home Office

Ich möchte an dieser Stelle aus Zeitgründen nur noch kurz auf die rechtlichen Regelungen zum Umgang mit den betriebseigenen Kommunikationseinrichtungen, wie etwa dem Telefon, dem Internet oder auch der E-Mail eingehen.

Ausgangspunkt:

Was viele nicht wissen: Nach einem Grundsatzurteil des Bundesarbeitsgerichts aus dem Jahr 2005 ist die Benutzung betrieblicher Kommunikationseinrichtungen zu privaten Zwecken unzulässig und dies auch in den Fällen, dass keine ausdrücklichen betrieblichen Verbote zur privaten Nutzung existieren! Hier mag allenfalls eine äußerst kurzfristige private Nutzung des Internets während der Arbeitszeit allgemein gerade noch als hinnehmbar angesehen werden.

Vor dem Hintergrund greift auch das Argument der sog. „betrieblichen Übung“ in den Fällen nicht, dass der Arbeitgeber schlicht den Umgang mit betriebsinternen Telekommunikationssystemen bisher nicht geregelt hat. Hier gilt im Grundsatz, dass auch in diesem Fall den Mitarbeitern verwehrt ist, etwa das Internet zu privaten Zwecken in nicht nur geringfügiger Form zu nutzen.

Also, wenn man den Arbeitnehmern die private Nutzung der unternehmenseigenen TK-Einrichtungen erlaubt, stellt dies eine rein freiwillige Leistung dar, die im Grundsatz auch jederzeit komplett wieder zurückgenommen werden kann – hierzu wäre auch nicht einmal ein Einvernehmen mit dem Betriebsrat nötig. Entscheidet man sich dagegen dafür, den Mitarbeitern in eingeschränkter Form auch privat das Internet, Telefon etc. zur Verfügung zu stellen, sollte man dies (notwendigerweise unter Beteiligung des Betriebsrats) wie folgt im Rahmen einer IT-Handlungsanleitung regeln:

Erster Regelungspunkt

Klargestellt muss zu Beginn immer sein, dass die private Nutzung von Telefon-, Internet- wie auch E-Maildiensten nur im geringfügigen Umfang zulässig ist und das auch nur, soweit die betriebliche Aufgabenerfüllung sowie die Verfügbarkeit der Telekommunikationsanlagen für betriebliche Zwecke nicht beeinträchtigt werden. Der Begriff „geringfügiger Umfang“ ist nun natürlich äußerst dehnbar und sollte unbedingt konkretisiert werden, etwa dass z.B. am Tag nur 2-3 kurze Telefonate während der Arbeitspausen gestattet werden, die insgesamt auch nicht länger als etwa 5 min dauern dürften.

Zweiter Regelungspunkt

Den Mitarbeitern sollte im Einzelnen vorgeschrieben werden, auf welche Art und Weise mittels E-Mails privat über die firmeninterne IT-Infrastruktur in geringfügigen Umfang (!) kommuniziert werden kann. Die bereits vorhin benannten Lösungen bieten sich hierzu an:

• Zeitliche Ausnahmeregelung ("Nutzung in Pausen und außerhalb der Arbeitszeit" oder "nur zwischen xx Uhr und yy Uhr") definieren, in der auf einen Freemail-Account (wie web.de) zugegriffen werden darf.

• Den Mitarbeitern kann neben einer geschäftlichen E-Mailadresse auch eine privat (und als solche gekennzeichnete) E-Mailadresse zur Verfügung gestellt werden - verbunden mit der Auflage, dass nur Letztere zu privaten Zwecken genutzt werden darf..

• Auch könnte man an Regelungen denken, die dem Mitarbeiter vorschreiben würden, private E-Mails auch im Header deutlich als "privat" zu kennzeichnen. (So wird es zum Teil auch von Behörden praktiziert.)

Hinweis: Eine professionelle Mitarbeiterrichtlinie (oder auch Betriebsvereinbarung) würde des Weiteren Regelungen zum Schutz der IT-Systeme „Internet und E-Mail“ vorsehen, eine Handlungsanweisung bei Virenbefall vorgeben und klare Regelungen zum Thema „Kontrolle der Mitarbeiter“ enthalten. So sollte etwa der Arbeitnehmer deutlich darauf hingewiesen werden, dass zur Überprüfung der rechtlichen Vorgaben regelmäßige, nicht personenbezogene Stichproben durchgeführt werden – im Rahmen der geltenden datenschutzrechtlichen Bestimmungen.

F. Fazit

Lange Rede gar kein Sinn oder auch langer Vortrag gar kein Sinn. ?

Wenn Sie zumindest den einen folgenden Ratschlag befolgen, habe ich heute Abend schon etwas erreichen können:

→ Egal, für welchen Weg Sie sich entscheiden, sorgen Sie mittels klarer rechtlichen Regelungen dafür, dass Sie in die Lage versetzt werden, den gesetzlichen Vorgaben hinsichtlich einer effektiven (weil revisionssicheren) E-Mail Archivierung problemlos zu genügen.

Ich danke Ihnen für die Aufmerksamkeit!

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Bildquelle:
S. Hofschlaeger / PIXELIO

Kontakt:

IT-Recht Kanzlei

Alter Messeplatz 2
80339 München

Tel.: +49 (0)89 / 130 1433 - 0
Fax: +49 (0)89 / 130 1433 - 60

E-Mail: info@it-recht-kanzlei.de