VI. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Sachsen-Anhalt vom 01.04.2001 - 31.03.2003
23.2 Internet und E-Mail am Arbeitsplatz
Immer mehr öffentliche Stellen ermöglichen ihren Beschäftigten die Nutzung des Internets zur schnellen Informationsbeschaffung und zum Informationsaustausch per E-Mail. Dabei sind jedoch bestimmte datenschutzrechtliche Anforderungen zu beachten, die davon abhängen, ob den Beschäftigten neben der dienstlichen auch die private Nutzung von Internetdiensten und E-Mail gestattet wird.
Die grundsätzlichen Anforderungen an eine datenschutzgerechte Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz hat die 63. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 07./ 08.03.2002 in einer Entschließung beschrieben (Anlage 14).
Der Arbeitskreis Medien der Konferenz hat bezüglich der Problematik der dienstlichen und privaten Nutzung eine Orientierungshilfe veröffentlicht, deren wesentliche Aussagen im folgenden Beitrag zusammengefasst werden. Die gesamte Orientierungshilfe steht auf der Homepage des Landesbeauftragten zum Herunterladen zur Verfügung.
Dienstliche Nutzung
Gestattet der öffentliche Arbeitgeber die Nutzung von Internetdiensten und E-Mail ausschließlich zu dienstlichen Zwecken, ist er nicht Anbieter im Sinne des Telekommunikationsgesetzes (TKG), da im Dienstverhältnis die Mitarbeiter gegenüber ihrem öffentlichen Arbeitgeber nicht Dritte sind
(§ 3 Ziff. 5 TKG).
Die Erhebung und Verarbeitung von Verbindungs- und Inhaltsdaten, d.h. von Daten, die über das Nutzungsverhalten der Beschäftigten Auskunft geben, richtet sich für Beamte nach den einschlägigen Vorschriften des BG LSA bzw. für Tarifbedienstete des Landes nach den Vorschriften des DSG-LSA.
Der öffentliche Arbeitgeber ist hierbei grundsätzlich berechtigt, die dienstliche Nutzung von Internetdiensten und E-Mail stichprobenartig zu kontrollieren. Dabei ist jedoch der Grundsatz der Datenvermeidung bzw. der Datensparsamkeit zu beachten (§ 1 Abs. 2 DSG-LSA). Das bedeutet z.B., dass bei einer Protokollierung zunächst von der Möglichkeit einer anonymen Aufzeichnung Gebrauch gemacht werden sollte.
Weitergehende Kontrollen bis hin zu einer automatisierten Vollkontrolle von Beschäftigten ist nur bei einem konkreten Missbrauchsverdacht unter strikter Beachtung des Verhältnismäßigkeitsgrundsatzes zulässig. Es empfiehlt sich, in Zusammenarbeit mit dem Personalrat eine Dienstvereinbarung zu erstellen, in der der Umfang der Protokollierung, die Auswertung und mögliche Sanktionen bei Missachtung des Verbots der privaten Nutzung geregelt werden.
Erfolgt eine Protokollierung der Nutzung von Internetdiensten und E-Mail zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage, unterliegen diese Daten der engen Zweckbindung des § 10 Abs. 4 DSG-LSA, d.h. sie dürfen nur für diese Zwecke verwendet werden. Die Nutzung dieser Daten für eine Verhaltens- und Leistungskontrolle der Beschäftigten ist gem. § 28 Abs. 4 DSG-LSA unzulässig.
Ein- und ausgehende dienstliche E-Mails seiner Beschäftigten darf der öffentliche Arbeitgeber in demselben Maße zur Kenntnis nehmen wie dienstlichen Schriftverkehr. Demzufolge könnte der Vorgesetzte - ähnlich wie bei einer zentralen Poststelle - verfügen, dass ihm alle ein- und ausgehenden E-Mails zur Kenntnis gegeben werden.
Private Nutzung
Die Gestattung der - wenn auch nur gelegentlichen - privaten Nutzung von Internet und E-Mail ist mit erheblichen datenschutzrechtlichen Problemen verbunden, da der öffentliche Arbeitgeber dann gegenüber seinen Beschäftigten zum Telekommunikationsdiensteanbieter wird und damit gem. § 85 Abs. 2 TKG zur Einhaltung des Fernmeldegeheimnisses (§ 85 Abs. 1 TKG) verpflichtet ist.
Zum Schutz der personenbezogenen Daten der an der Telekommunikation Beteiligten wurden auf der Grundlage der Verordnungsermächtigung aus § 89 Abs. 1 Satz 1 TKG mit der Telekommunikations-Datenschutzverordnung (TDSV) die entsprechenden Regelungen erlassen.
Das hat zur Folge, dass eine Protokollierung der privaten Nutzung von Internetdiensten und E-Mail nur zu Abrechnungszwecken erlaubt ist. Da in der Praxis bei den öffentlichen Stellen im Allgemeinen keine Abrechnung erfolgt und insbesondere beim Surfen im Internet eine Unterscheidung zwischen dienstlicher und privater Nutzung nicht ohne größeren technischen Aufwand möglich ist, ist eine Protokollierung problematisch.
Eine Möglichkeit, dieses Problem zu lösen, bietet die individuelle Einwilligungserklärung. Dabei muss dem öffentlichen Arbeitgeber gestattet werden, die private Nutzung von Internetdiensten und E-Mail wie die dienstliche zu behandeln, d.h. die Nutzung im erforderlichen Umfang zu protokollieren und stichprobenartig auszuwerten. In dieser Einwilligungserklärung muss detailliert beschrieben werden, welche Daten für welche Zwecke protokolliert und wie lange sie gespeichert werden. Weiterhin muss festgelegt werden, unter welchen Umständen welche Personen vom Inhalt privater E-Mails Kenntnis nehmen dürfen (z.B. Vertretungsregelung; Systemverwalter bei Virenalarm u.ä.).
Beschäftigten, die eine solche Einwilligungserklärung nicht unterzeichnen möchten, dürfen daraus keine Nachteile entstehen, allerdings ist für sie die private Nutzung verboten.
Der Landesbeauftragte weist darauf hin, dass eine allgemeine Dienstvereinbarung auch mit Beteiligung des Personalrates die individuelle Einwilligungserklärung durch den einzelnen Beschäftigten nicht ersetzen kann, da es sich hier um einen Eingriff in das Persönlichkeitsrecht handelt.
Dienstvereinbarungen basieren auf dem Personalvertretungsrecht, das vornehmlich der Vertretung kollektiver Interessen dient. § 70 PersVG LSA sieht zudem lediglich vor, dass über die in § 65 Abs. 1 Satz 1 Nrn. 1 bis 7 PersVG LSA genannten Fragen (Bereiche der Mitbestimmung in sozialen Angelegenheiten) Dienstvereinbarungen abgeschlossen werden können. Als Rechtsvorschriften, die Eingriffe in das Persönlichkeitsrecht über das gesetzlich zugelassene Maß hinaus gestatten, kommen sie in der Regel nicht in Betracht.
Öffentliche Stellen, die die private Nutzung von Internetdiensten und E-Mail nicht ausdrücklich in einer Dienstanweisung verboten und diesbezüglich keine individuelle Einwilligung ihrer Beschäftigten eingeholt haben, verstoßen im Falle einer Protokollierung des Nutzungsverhaltens gegen das Fernmeldegeheimnis (§ 85 TKG) sowie gegen die Bestimmungen der TDSV.
Fazit
Nicht nur vor dem Hintergrund der genannten Problematik bei der - wenn auch nur gelegentlichen - privaten Nutzung von Internetdiensten und E-Mail am Arbeitsplatz weist der Landesbeauftragte darauf hin, dass aus Gründen der Datensicherheit im Einzelfall abgewogen werden muss, ob tatsächlich jeder Beschäftigte einer Behörde Internetdienste und E-Mail für die Erfüllung seiner dienstlichen Aufgaben benötigt.
Insbesondere durch die Möglichkeit des Herunterladens von Dateien aus dem Internet und durch die Verbreitung von Computerviren u.a. per E-Mail kann es zu einer Gefährdung der Sicherheit und Verfügbarkeit des Behördennetzes und damit u.U. auch zu einer Gefährdung bei der Verarbeitung personenbezogener Daten kommen (vgl. Ziff. 12.3).
Die Staatssekretärskonferenz stimmte am 29.01.2001 der privaten Nutzung von Internetdiensten und E-Mail im Ausnahmefall unter einschränkenden Bedingungen zu. Das Ministerium des Innern legte dazu eine ressortübergreifende Musterdienstanweisung vor, gegen die der Landesbeauftragte für eine Übergangszeit keine datenschutzrechtlichen Bedenken erhoben hat.
Das Ministerium des Innern hat in seinen organisatorischen Regelungen zum Einsatz der Informationstechnik diese Musterdienstanweisung in vorbildlicher Weise berücksichtigt.
Der Landesbeauftragte geht davon aus, dass auch andere Ressorts die Musterdienstanweisung in ähnlicher Weise umgesetzt haben.