Protokollierung des Internet-Zugangs am Arbeitsplatz
Der Zugriff des einzelnen Beschäftigten bei Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz kann beispielsweise durch den Proxy- oder Web-Server umfänglich protokolliert und ausgewertet werden [1]. Aus diesen Protokollen können nicht nur die Benutzeridentifikation (IP-Adresse, MAC-Adresse), Datum und Uhrzeit des Zugriffs sowie die übertragene Datenmenge hervorgehen, sondern vor allem auch die Zieladresse des Zugriffs. Anhand des Protokolls wäre also genau nachvollziehbar, wer wann worauf zugegriffen hat und das kann einen Eingriff in die Persönlichkeitsrechte der Beschäftigten darstellen.
Zumeist ist es möglich, im einzelnen festzulegen, was konkret protokolliert wird. Es ist daher in einem ersten Schritt zu prüfen, ob ein alle Einzelheiten umfassendes Protokoll überhaupt bzw. welche Angaben unbedingt erforderlich sind. Folgende Grundsätze sind dabei zu beachten:
- Der Umfang der Protokolldaten muss festgelegt und den Beschäftigten bekannt gegeben werden (z.B. Datum, Uhrzeit, Rechner- oder Benutzerkennung, Fehlercode, Anzahl der übertragenen Bytes, evtl. Zieladresse des angeforderten Dokuments, Fehlercode der Übertragung).
- Die Verwendung der Protokolldaten muss an genau definierte Zwecke gebunden werden, z.B.
- zur Aufrechterhaltung der Systemsicherheit,
- zur Analyse und Korrektur technischer Fehler im Netz,
- zur Optimierung der Rechnerleistungen,
- zur Ermittlung der Kosten verbrauchter Ressourcen zwecks interner Leistungsverrechnung sowie
- zur Kontrolle der Einhaltung dienst-/arbeitsrechtlicher Vorgaben.
- Der Zugriff auf die Protokolldaten muss auf das technische Personal begrenzt bleiben, das für den Netzwerkbetrieb und die Bereitstellung der verfügbaren Dienste zuständig ist. Diese Personen sind verpflichtet, sich an die bekannt gegebene Zweckbindung zu halten und außerhalb der beschriebenen Zwecke keine Detailinformationen aus den Protokollen weiterzugeben.
- Die Speicherdauer der Protokolldateien wird so kurz gehalten, wie dies zur Erfüllung der beschriebenen Zwecke erforderlich ist.
- In begründeten Fällen von Missbrauch oder beim Verdacht strafbarer Handlungen kann eine weitergehende Einsicht in die Protokolldaten vorgenommen werden. Dabei sollte ein Verfahren gewählt werden, das die betroffene Person von dem Verdacht in Kenntnis setzt und die zuständige Personalvertretung einbezieht.
- Um die Einhaltung der genannten Regelungen durch den Arbeitgeber bzw. seinen Beauftragten zwingend zu machen, kann ein "Beweisverwertungsverbot" verabredet werden, wonach Informationen aus den Protokolldateien, die unter Verletzung der vorgenannten Regelungen gewonnen oder weiterverarbeitet wurden, zur Begründung personeller Maßnahmen nicht verwertet werden dürfen.
- Der Personalvertretung kann das Recht zugesichert werden, in Fällen begründeten Missbrauchs durch den Arbeitgeber bzw. seinen Beauftragten technische Sicherungsvorkehrungen zu verlangen, die die Beteiligung der Personalvertretung technisch sicherstellen und die durch die Administration vorgenommenen Zugriffe elektronisch protokollieren.
Weitere Informationen
- E-Mail und Internet am Arbeitsplatz
- Anforderungen an eine Dienstvereinbarung E-Mail und Internet am Arbeitsplatz
- Musterdienstvereinbarung/-anweisung E-Mail und Internet am Arbeitsplatz
Weblinks
- Orientierungshilfe der Datenschutzaufsichtsbehörden zur datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz (Januar 2016), mit Mustern einer Betriebsvereinbarung für die private Nutzung des Internets und einer Betriebsvereinbarung für die private Nutzung des Internets und des betrieblichen E-Mail-Postfachs
Einzelnachweise
- ^ BfDI: Leitfaden Internet und E-Mail am Arbeitsplatz (2008)
Dieser Text wurde aus dem Datenschutz-Wiki der BfDI übernommen. Bearbeitungen vor dem 16.April 2016 stehen unter der Lizenz Creative Commons Namensnennung 3.0 Deutschland.