Interview zu Internet und E-Mail im Unternehmen
Privatnutzung muss kein Risiko sein
Die private Nutzung von E-Mail und Internet im Betrieb schafft unkalkulierte Risiken, behaupten manche Berater und die Hersteller von Überwachungsprodukten. Prof. Dr. Alfred Büllesbach, Konzernbeauftragter für den Datenschutz bei der Daimler Chrysler AG, ist anderer Ansicht.
Das Unternehmen Daimler Chrysler erlaubt seinen Angestellten weltweit, E-Mail und Internet am
Arbeitsplatz auch privat zu nutzen. Beschäftigten in der Produktion, die keinen PC-Arbeitsplatz
benötigen, stellt der Konzern eigene Terminals für den Webzugriff bereit. LANline fragte den
obersten Datenschützer des Konzerns, wie sich ein derart freiheitliches Konzept absichern
lässt.
LANline: Viele Rechtsanwälte behaupten, Privatnutzung von E-Mail und Internet am Arbeitsplatz
setze ein Unternehmen unkalkulierbaren Risiken aus. Wie stehen Sie dazu?
Büllesbach: Ein Unternehmen kann die Privatnutzung verbieten. Es kann sie aber auch erlauben,
ohne zu hohe Risiken einzugehen. Ein bloßer Rat zum Verbot wird durchaus nicht jeder Umgebung
gerecht.
LANline: Was ist mit gängigen Schreckensszenarien wie dem Fall des Drogen- oder gar
Kinderporno-Anbieters im Betrieb?
Büllesbach: Solche Probleme wird kein Unternehmen los, indem es Privatnutzung verbietet. Wer
kriminell handeln will, wird dies auch im Rahmen seiner geschäftlichen Tätigkeiten versuchen.
LANline: Mit der Erlaubnis zur Privatnutzung vergibt eine Organisation aber die Chance, die
Inhalte des Mail- und Internetverkehrs standardmäßig zu kontrollieren. Stellt dies kein Problem
dar?
Büllesbach: Die permanente technische Überwachung von Personen ist aus meiner Sicht keine
Option. Die Daimler Chrysler AG etwa kann als international agierender Konzern doch nicht auf
Mittel zurückgreifen, wie sie ein Überwachungsstaat verwendet. Menschen unter Beobachtung verhalten
sich nie so, wie wir uns unsere Mitarbeiter wünschen.
LANline: Wie sollten die Regeln in einem Unternehmen aussehen, das die Privatnutzung
erlaubt?
Büllesbach: In Deutschland lässt sich per Betriebsvereinbarung zusammen mit einem Betriebsrat
festlegen, dass die privaten Aktionen während der Arbeitszeit weder die benutzten Systeme noch die
Arbeit selbst beeinträchtigen dürfen. Virenschutz und Firewall müssen benutzt, Kennwortvorgaben
eingehalten und sicherheitsrelevante Vorfälle gemeldet werden. Außerdem lassen sich im Rahmen der
Vereinbarung kriminelle Aktivitäten und etwa der Zugriff auf Pornographie explizit ausschließen.
Eine mögliche Messlatte für die Grenzen des Erlaubten wäre zum Beispiel eine spürbare Verringerung
der Kapazitäten für den betrieblichen Datenverkehr durch private Downloads. Außerdem ist es
sinnvoll, private Nachrichten im Mail-Verkehr als solche zu kennzeichnen. Mitarbeiter dürfen keine
politischen Statements abgeben oder Persönlichkeitsrechte verletzen, wenn sie als
Konzernangehöriger kommunizieren, denn dann sind sie Vertreter ihres Unternehmens. In
internationalen Konzernen muss zudem ein Verhalten an den Tag gelegt werden, dass kulturell
bedingten Empfindlichkeiten Rechnung trägt. In unserem Unternehmen fördern wir zusätzlich gezielt
das Sicherheitsbewusstsein der Mitarbeiter durch Awareness-Trainings.
LANline: Wie lassen sich Regeln durchsetzen, wenn dies nicht technisch geschieht?
Büllesbach: Jeder Mitarbeiter muss die Richtlinien zur Kenntnis nehmen und ist für sich selbst
und seinen Umgang mit den Kommunikationssystemen verantwortlich. Außerdem empfiehlt es sich, die
Erlaubnis zur Privatnutzung beim jeweiligen Vorgesetzten zu verankern, denn dann lässt sie sich im
Missbrauchsfall leicht entziehen. Liegt ein konkreter, begründeter Verdacht vor – einen
Generalverdacht darf es nicht geben – kann das Unternehmen gemeinsam mit dem Betriebsrat
Untersuchungen vornehmen, wenn auch der Datenschutz zustimmt. Generell glaube ich, dass bei
Regelungen der IT- und Unternehmenssicherheit oft zuviel Vertrauen in Technik und zu wenig
Kommunikation im Spiel ist.
LANline: Aber wenn etwas geschieht, kommt der Staatsanwalt und beschlagnahmt die
Datenverarbeitungsanlagen. Besteht diese Gefahr nicht?
Büllesbach: Natürlich kann es staatliche Ermittlungen gegen Mitarbeiter geben. Aber heute wird
in solch einem Fall in der Regel nur mit forensischen Systemen ein Abzug der vorliegenden Daten
gemacht. Weiterarbeit ist danach möglich.
LANline: Ist das Filtern des Datenverkehrs angebracht?
Büllesbach: Selbstverständlich muss im Netz auf Viren und Spam gefiltert werden. Die
Wahrscheinlichkeit, dass ein Mitarbeiter tatsächlich ein Recht auf Pornoempfang am Arbeitsplatz
einfordert, ist wohl gering.
LANline: Was ist mit den Kosten der Privatnutzung?
Büllesbach: Gute Regeln schließen übertriebenes Surfen aus. Beim Zugriff nach Arbeitsschluss ist
Daimler Chrysler übrigens bewusst ein bisschen generös.
LANline: Geraten Sie als Datenschützer eigentlich mit den Verantwortlichen für die IT-Sicherheit
im Hause Daimler Chrysler in Konflikt?
Büllesbach: Unser Unternehmen verfolgt ein integriertes Datenschutz- und Sicherheitskonzept,
nicht zuletzt weil ein Großteil der zu treffenden Sicherheitsmaßnahmen ohnehin dem Schutz von Daten
dient – dem von Unternehmensinformationen etwa, aber auch beispielsweise dem von Kunden- und
internen Mitarbeiterdaten. Deshalb bilden die zuständigen Abteilungen für Unternehmenssicherheit,
IT-Sicherheit und Datenschutz bei Daimler Chrysler ein gemeinsames Security-Steering-Komittee, das
die entsprechenden Richtlinien entwickelt und die zugehörigen Maßnahmen lenkt.
Lesen Sie mehr zum Thema
