Aufsatz : Die arbeitsrechtlichen Möglichkeiten von Unternehmen, wenn Arbeitnehmer bei digitalen Angriffen als „Werkzeug“ benutzt werden : aus der RDV 1/2014, Seite 11 bis 19
Erfolgreicher Datenschutz in Unternehmen setzt eine funktionierende Verzahnung von Geschäftsleitung, IT-Abteilung, Personalabteilung, Datenschutzbeauftragtem und Beschäftigten voraus. Am Beispiel des Arbeitnehmers als Angriffspunkt und Risiko zeigt sich dieses Erfordernis besonders deutlich. Die Unternehmensleitung als Entscheidungsträger der verantwortlichen Stelle muss die notwendigen Rahmenbedingungen und Arbeitsanweisungen festlegen. Die ITAbteilung muss die Unternehmensleitung mit entsprechenden Informationen zu Risiken und Stand der technischen Sicherheitsmaßnahmen versorgen. Die Personalabteilung muss die Einhaltung der Arbeitsanweisungen und arbeitsvertraglichen Vorgaben zum Datenschutz kontrollieren und notwendige arbeitsrechtliche Maßnahmen zur Einhaltung empfehlen und ergreifen. Der Datenschutzbeauftragte muss schließlich in seiner objektiven und übergreifend tätigen Funktion sowohl überwachend als auch hinweisend und notfalls eingreifend tätig werden. Nur durch ein funktionierendes Zusammenwirken aller Beteiligten können Risiken für Angriffe, bei denen Arbeitnehmer als „Werkzeug“ benutzt werden, verhindert bzw. bestmöglich minimiert werden. Der nachfolgende Beitrag beleuchtet den Arbeitnehmer als Einfallstor für Angriffe aus dem Netz und zeigt aus arbeitsrechtlicher Sicht die unternehmerischen Maßnahmen und Möglichkeiten, um auf Risiken zu reagieren.
I. Einleitung
Deutschland ist eines der Länder mit den meisten Patenten, Gebrauchsmustern und Urheberrechten. Eine Vielzahl von Unternehmen sind Marktführer in der globalen Wirtschaft. Wer sich als Unternehmen die Frage stellt und stellen muss, wie schütze ich mein Know-how und meine Daten gegen unberechtigte Zugriffe, der kommt um eine zentrale Frage nicht herum: Wie „benutzen“ Angreifer meine Arbeitnehmer als „Werkzeug“ zum Zugriff auf Daten, und welche Möglichkeiten habe ich als Unternehmer, um mich vor solchen Angriffen zu schützen? Der Arbeitnehmer bleibt als Mensch immer ein Risikofaktor. Er ist – der eine mehr der andere weniger – neugierig, fahrlässig und unterliegt physischen und psychischen Konzentrationsschwankungen. Ein Arbeitnehmer ist daher manipulierbar, angreifbar und als „Werkzeug“ nutzbar. Der folgende Beitrag beleuchtet Angriffsmethoden, bei denen Arbeitnehmer als Werkzeug zum Zugriff auf Daten benutzt werden können. Die Betrachtung erfolgt dabei aus arbeitsrechtlicher Sicht und stellt die Möglichkeiten der Unternehmen dar, sich hier zu schützen und zu reagieren[1].
II. Der Arbeitnehmer als Einfallstor für Angriffe aus dem Netz
Digitale Angriffe erfolgen zunehmend gezielt. Es sind oftmals professionelle Organisationen, die im Auftrag Daten von Unternehmen ausspähen und abgreifen. Das „Geschäft“ ist äußerst lukrativ und zugleich risikoarm. Die betroffenen Unternehmen sind hier weitgehend auf sich allein gestellt. Polizei und Staatsanwaltschaften sind zumeist technisch, aber auch personell im Nachteil. Viele Unternehmen bekommen gar nicht mit, dass sie Opfer eines digitalen Angriffs sind oder gewesen sind.
Es gibt verschiedene Möglichkeiten, einen digitalen Angriff auf ein Unternehmen durchzuführen. Ein Weg ist der Angriff über einen Arbeitnehmer eines Unternehmens. Betrachtet man den Arbeitnehmer als Zielobjekt und Einfallstor, fällt der Fokus schnell auf drei Hauptangriffsmethoden: den Angriff per E-Mail, den Angriff über das Internet und den Angriff über einen mobilen Datenträger.
Allen drei Formen des Angriffs ist das Ziel des Angreifers gemeinsam: Der Angreifer will sich des Arbeitnehmers als „Werkzeug“ bedienen, um so Zugriff auf Daten des Unternehmens zu bekommen.
1. Der Angriff per E-Mail
Angriffe per E-Mail erfolgen in erster Linie über die Versendung von Schadprogrammen in E-Mail-Anhängen. Der Angreifer muss dabei grundsätzlich zwei Hindernisse überwinden: Zum einen muss er die technischen Schutzmechanismen des Unternehmens überwinden, damit die E-Mail den Arbeitnehmer als Empfänger überhaupt erreicht, zum anderen muss der Arbeitnehmer den E-Mail-Anhang öffnen.
Die technischen Schutzmechanismen zum Schutz vor unerwünschten E-Mails sind vielfältig. Im Wesentlichen werden Hard- und Softwarefirewalls, SPAM-Filter, Sandbox-Software sowie Virenschutzprogramme eingesetzt, die – freilich auf aktuellem technischen Stand und mit entsprechendem Support – zum Standard eines jeden Unternehmens gehören sollten.
Die Formate für Datei-Anhänge mit Schadprogramm sind ebenfalls vielfältig. Beliebt sind PowerPoint-Dateien (*.ppt), komprimierte Dateien (*.zip u.a.), MS-Office-Dateien (*xlsx; *.docx, u.a.), aber auch PDF-Dateien (*pdf).
Die technischen und organisatorischen Maßnahmen zum Schutz sind unternehmensindividuell und sollen hier nicht weiter beleuchtet werden. Für eine arbeitsrechtliche Betrachtung ist das zweite Hindernis, nämlich das Verhalten des Arbeitnehmers nach Erhalt einer „bösen“ E-Mail, entscheidend.
Da vielen Anwendern und insbesondere Arbeitnehmern zunehmend bekannt ist, dass E-Mail-Anhänge von unbekannten Absendern oder ohne erkennbaren Bezug zur Person oder zur dienstlichen Tätigkeit nicht geöffnet werden sollten, reagieren die Angreifer entsprechend trickreich. Sie versuchen vermehrt, eine persönliche Beziehung zum Arbeitnehmer oder zu dessen Tätigkeit herzustellen. Die Versendung von derartigen E-Mails mit persönlichem Bezug tritt zunehmend neben die Massenversendung von E-Mails an eine willkürliche Vielzahl von Empfängern. Die E-Mail-Angriffe mit persönlichem Bezug erfolgen zumeist mit einem vermeintlich bekannten Absender. So wird zum Beispiel ein Verwandter, ein Freund oder ein Bekannter des Arbeitnehmers als Absender fingiert. Das Ziel liegt auf der Hand: Der Angreifer versucht das Vertrauen des Arbeitnehmers zu erheischen.
Ein üblicher Weg ist es hier beispielsweise, aus sozialen Netzen und Foren möglichst viele Fakten über den Empfänger zu sammeln, um daraus eine Angriffs-E-Mail zu erstellen. Das nachfolgende Beispiel verdeutlicht dies:
Ein Angreifer will sich über einen Arbeitnehmer Zugriff auf Daten des Unternehmens A verschaffen. Zielführend ist es für den Angreifer dabei insbesondere, wenn der Arbeitnehmer über möglichst weitreichende Berechtigungen verfügt. Der Angreifer nutzt die sozialen Netze Xing und Linkedin, um Arbeitnehmer von A zu finden. Er entscheidet sich für den Prokuristen Müller und den IT-Mitarbeiter Meyer. Über den Prokuristen Müller findet er keine weiteren nutzbaren Informationen, während der IT-Mitarbeiter Meyer in einem IT-Forum aktiv ist und dort regelmäßig Einträge postet. Der Angreifer meldet sich unter einem Alias in dem Forum an und tritt mit dem IT-Mitarbeiter Meyer in Kontakt. Da Meyer das Forum auch während seiner Arbeitszeit nutzt, um dort Fragen und Tipps zu erörtern, benutzt er dort auch seine dienstliche E-Mail. Der Angreifer hat inzwischen weiter herausgefunden, dass Meyer gerne Mountainbike fährt und sendet ihm per E-Mail eine Einladung zu einem „super Rennen“. Meyer ist begeistert und öffnet interessiert die angehängte Datei und damit unbewusst das Schadprogramm, welches nun im Hintergrund seine Arbeit aufnimmt.
Der Angreifer hat insbesondere zwei menschliche Aspekte zum Vorteil genutzt: zum einen die Gewohnheit des Users. Meyer ist es gewohnt, das Forum zu nutzen, ohne dass dies bislang negative Folgen hatte. Er wiegt sich daher in Sicherheit. Zum anderen die Emotionen des Users. Die Aussicht auf ein „super Rennen“ löst bei Meyer Vorfreude und Begeisterung aus. Argwohn und Vorsicht werden dadurch gezielt verdrängt. Meyer war einfach neugierig auf den Inhalt der Einladung.
2. Der Angriff über das Internet
Auch der Angriff über das Internet dient aus Sicht des Angreifers dazu, ein Schadprogramm in das Netzwerk des Unternehmens einzuschleusen. Der Angreifer muss dazu den Arbeitnehmer bewegen, eine entsprechend infizierte Internetseite anzusteuern und das dort vorhandene Schadprogramm zu aktivieren bzw. herunterzuladen.
Die Angriffe über das Internet erfolgen in der Regel über Seiten, die entweder vielbesucht sind oder, wie beim Angriff per E-Mail, Emotionen auslösen, die den Arbeitnehmer als Opfer des Angriffs ablenken oder unvorsichtig werden lassen. Zu den viel besuchten Internetseiten gehören typischerweise soziale Netzwerke, Mailing-Dienste, Massenmedien usw. Zu den emotionalen Internetseiten gehören zumeist Seiten mit pornografischen Inhalten oder illegalen Produkten, beispielsweise Raubkopien von Filmen. Das Opfer wird dabei durch Werbeanzeigen oder über die Ergebnisse einer Suchmaschine auf die „böse“ Seite gelenkt.
3. Der Angriff über einen mobilen Datenträger
Die weniger häufige, aber dennoch akute dritte Form des Angriffs mittels eines Arbeitnehmers erfolgt über mobile Datenträger. Auch diese sind wiederum mit entsprechenden Schadprogrammen behaftet, die es dem Angreifer ermöglichen, sich Zugriff auf das Unternehmensnetzwerk zu verschaffen. Unter der Überschrift „Der Datenstick als Köder“ berichtete beispielsweise das ARD Wirtschaftsmagazin PLUSMINUS im Juli 2013 zum Datenklau in der Wirtschaft[2]. Die Verwendung von mobilen Datenträgern, insbesondere USB-Sticks, als Köder, zielt wiederum auf die menschliche Neugier und Fahrlässigkeit ab. Da in den meisten Unternehmen eine Vielzahl von USB-Sticks eingesetzt werden und es zumeist keine Regelungen für die Verwendung gibt, ist ein Argwohn oder eine Sensibilität der Arbeitnehmer kaum vorhanden. Erst recht gilt dies, wenn mobile Datenträger von Kunden und Geschäftspartnern üblich sind. Der Angriff erfolgt also denkbar einfach: Der mobile Datenträger wird im Unternehmen platziert, was noch die schwerste Hürde für den Angreifer darstellt, und dann vom Arbeitnehmer ín einem Netzwerkrechner verwendet. In der Regel handelt es sich um mobile Datenträger, die per Post versendet werden, beispielsweise als Werbegeschenk[3]. Ist der mobile Datenträger erst einmal physisch in das Unternehmen gelangt, dauert es meist nicht lange, bis ihn ein Mitarbeiter anschließt.
4. Die Gemeinsamkeit der Angriffsmethoden
Den vorstehenden Angriffsmethoden ist ein wesentlicher Aspekt gemeinsam, der für die arbeitsrechtliche Betrachtung maßgeblich ist: Der Arbeitnehmer muss handeln. Jeder Angriff, bei dem der Arbeitnehmer als Werkzeug eingesetzt wird, erfordert also ein aktives Tun des Arbeitnehmers. Er muss einen E-Mail-Anhang öffnen, er muss eine Internet-Seite ansteuern, er muss einen mobilen Datenträger verwenden. Das Handeln des Arbeitnehmers ist aus arbeitsrechtlicher Sicht entscheidend für die Rechte und Möglichkeiten des Arbeitgebers. Diese hängen insbesondere vom Verschuldensgrad des Arbeitnehmers ab. Der Bogen reicht hier von leichtester Fahrlässigkeit über grobe Fahrlässigkeit bis hin zur Absicht des Arbeitnehmers, das Unternehmen gezielt zu schädigen.
III. Das Unternehmen muss Kenntnis von einem Angriff über einen Arbeitnehmer erlangen
Für das Unternehmen als Arbeitgeber ist aber zunächst entscheidend, überhaupt Kenntnis von einem digitalen Angriff zu erlangen, bei dem ein Arbeitnehmer als Mittel zum Zweck „benutzt“ wurde. Das Unternehmen hat also ein berechtigtes Interesse, entsprechende Kontroll- und Sicherungsinstrumente und -maßnahmen einzusetzen. Die Maßnahmen des Unternehmens unterliegen hier aber Einschränkungen insbesondere durch das Persönlichkeitsrecht des jeweiligen Arbeitnehmers und den Grundsatz der Verhältnismäßigkeit.
1. Die Kontroll- und Überwachungsmöglichkeiten des E-Mail-Verkehrs
Die Kontroll- und Überwachungsmöglichkeiten des E-MailVerkehrs richten sich nach vorherrschender Auffassung nach wie vor maßgeblich danach, ob es sich um dienstlichen E-MailVerkehr handelt oder ob auch eine private E-Mail-Nutzung vorliegt[4]. Bei einer ausschließlich dienstlichen Nutzung ist der Arbeitgeber berechtigt, den E-Mail-Verkehr zu überwachen und entsprechende Protokollierungen vorzunehmen[5]. Die entsprechende rechtliche Grundlage stellt § 32 BDSG dar, denn aus dem Beschäftigungsverhältnis folgt das Recht des Arbeitgebers, das vertragsgemäße Verhalten des Arbeitnehmers zu überprüfen[6]. Andernfalls hätte der Arbeitgeber nicht die Möglichkeit, Pflichtverstöße selbst festzustellen. Dieses aus § 32 BDSG abgeleitete Überwachungs- und Kontrollrecht des Arbeitgebers findet seine Grenzen in der vom Gesetzgeber vorgesehenen Beschränkung auf „erforderliche“ Datenerhebungen, -verarbeitungen und -nutzungen[7]. Nun gibt es bislang – wie Gola zutreffend anführt[8] – noch keine höchstrichterliche Rechtsprechung dazu, in welchem Umfang der Arbeitgeber den dienstlichen E-Mail-Verkehr überwachen und kontrollieren darf. Hier ist der jeweilige Einzelfall maßgeblich. Die berechtigten Interessen des Unternehmens als Arbeitgeber zur Abwendung von Schäden und die berechtigten Interessen des jeweiligen Arbeitnehmers zum Schutz seines Persönlichkeitsrechts sind gegeneinander abzuwägen[9]. Sofern die E-Mail-Nutzung auch zu privaten Zwecken gestattet ist, steht dem Arbeitgeber ein entsprechendes Kontrollrecht grundsätzlich nicht zu. Er unterliegt insoweit den Einschränkungen des TKG und des TMG, da er – so die nach wie vor vorherrschende Auffassung[10] – Telekommunikationsdienste anbietet[11]. Insbesondere greift bei einer privaten Nutzung das Fernmeldegeheimnis des § 88 TKG, das eine Kenntnisnahme vom Inhalt der Telekommunikation grundsätzlich untersagt. Eine Kontrolle bedarf hier im Einzelfall der Einwilligung des jeweils betroffenen Arbeitnehmers[12].
Ein Unternehmen ist deshalb als Arbeitgeber gut beraten, sorgfältig abzuwägen, ob eine private E-Mail-Nutzung erlaubt wird. Es ist nicht verpflichtet, eine private Nutzung zu gestatten. Wenn es sich aber für eine auch private Nutzung entscheidet, sollte in jedem Fall eine eindeutige und klare Regelung zum Umfang und zur Art und Weise der E-Mail-Nutzung getroffen werden. Diese sollte insbesondere entsprechende Kontrollund Prüfungsrechte des Arbeitgebers vorsehen und als Vereinbarung gestaltet sein oder zumindest eine ausdrücklich Einwilligung des Arbeitnehmers vorsehen. Soweit ein Betriebsrat vorhanden ist, ist dieser ordnungsgemäß nach dem BetrVG zu beteiligen.
2. Die Kontroll- und Überwachungsmöglichkeiten der Internet-Nutzung
Die Überwachung der Internetnutzung erfolgt in der Regel durch Auswertung und Analyse entsprechender Protokolldaten. Auch hier ist ein Unternehmen als Arbeitgeber gut beraten, die Kontrolle- und Überwachung transparent zu gestalten und dem Arbeitnehmer bereits vor Beginn des Arbeitsverhältnisses durch entsprechende Regelung auf den ordnungsgemäßen Umgang mit dem Internet zu verpflichten.
Eine vollständige Überwachung eines Arbeitnehmers in Form einer lückenlosen Protokollierung der Aktivitäten am PCArbeitsplatz ist jedoch unverhältnismäßig und damit unzulässig[13]. Der Arbeitgeber ist also gehalten, anhand von Stichproben oder Überprüfungen aus konkretem Anlass zu kontrollieren, ob der Arbeitnehmer sich vertragskonform verhält.
Gola weist zu Recht darauf hin, dass der Arbeitgeber hier grundsätzlich abgestuft vorgehen sollte[14]. Ergibt die stichprobenartige oder anlassbezogene Kontrolle, dass eine pflichtwidrige Internetnutzung vorliegen könnte, ist zunächst die aufgerufene Internetseite dahingehend zu überprüfen, ob es sich um eine Seite ohne dienstlichen Bezug handelt[15]. Erst wenn der fehlende dienstliche Bezug feststeht, sollte dann in einem zweiten Schritt dem Missbrauchsverdacht weiter nachgegangen werden.
3. Die Kontroll- und Überwachungsmöglichkeiten der Nutzung von mobilen Datenträgern
Auch die Kontrolle der ordnungsgemäßen Nutzung von mobilen Datenträgern sollte stichprobenartig erfolgen. Soweit möglich sollte die Nutzung von betriebsfremden mobilen Datenträgern untersagt werden. Das Unternehmen sollte wissen und steuern, welche mobilen Datenträger im Einsatz sind. Diese gehören insbesondere in ein entsprechendes Hardwareverzeichnis. Durch technische Maßnahmen kann ein ausufernder und unkontrollierter Einsatz mobiler Datenträger unterbunden werden, indem die entsprechenden Ports und Schnittstellen gesperrt werden. Wer als Arbeitnehmer keinen USB-Stick oder eine USB-Festplatte anschließen kann und über kein DVD-Laufwerk verfügt, ist in seinen Möglichkeiten entsprechend eingeschränkt. Für eine Datenübertragung bleibt dann grundsätzlich nur der Weg der E-Mail oder des Exportierens über das Internet.
Sowohl eine private Nutzung als auch den Einsatz von privaten mobilen Datenträgern sollte das Unternehmen als Arbeitgeber grundsätzlich verbieten. Es ist nur selten ein Grund ersichtlich, warum ein Arbeitnehmer einen mobilen Datenträger zu privaten Zwecken im Betrieb benötigt. Wenn dieser seltene Fall doch einmal eintreten sollte, kann dem Arbeitnehmer ein mobiler Datenträger des Unternehmens zur Verfügung gestellt werden.
In der Praxis gilt es freilich zumeist für das Unternehmen, erst einmal Ordnung in den „Bestand“ der mobilen Datenträger zu bringen. In der Regel herrscht ein erheblicher Wildwuchs an mobilen Datenträgern, insbesondere an USB-Sticks, die als billige Massenware vom Werbeträger bis hin zu betriebseigenen Beständen vielfältig vorhanden sind. Die Datenmengen, die bereits ein einfacher USB-Stick speichern kann, stellen auch bereits ein beträchtliches Risiko für einen erheblichen Datenverlust dar. Für einen Angriff mittels eines Datenträgers ist aber entscheidend, dass der Datenträger schlichtweg verwendet wird, damit sich ein Schadprogramm installieren kann. Wenn aber der Arbeitgeber den Einsatz von Datenträgern nicht regelt, insbesondere den Einsatz privater mobiler Datenträger verbietet, ist das Eindringen eins Schadprogramms durch einen mobilen Datenträger nur eine Frage der Zeit.
IV. Die arbeitsrechtlichen Möglichkeiten des Unternehmens als Arbeitgeber
Hat das Unternehmen einen Angriff über einen Arbeitnehmer als Werkzeug rechtskonform festgestellt, so hat es als Arbeitgeber verschiedene Möglichkeiten, mit arbeitsrechtlichen Maßnahmen zu reagieren. Entscheidend ist dabei zunächst, ob es sich um eine Pflichtverletzung der arbeitsvertraglichen Pflichten des Arbeitnehmers handelt, oder ob sich dieser vertragskonform verhalten hat. Maßgeblich ist ferner der bereits angesprochene Verschuldensgrad. In jedem Fall sollte das Unternehmen aber immer zunächst präventive Maßnahmen ergreifen.
1. Die Präventiv-Maßnahmen zum Schutz vor digitalen Angriffen mittels eines Arbeitnehmers
a. Die vorherige Regelung der Pflichten des Arbeitnehmers
Die wichtigste präventive Maßnahme des Unternehmens zum Schutz vor Pflichtverletzungen stellt zunächst eine klare und unmissverständliche Regelung der Pflichten des Arbeitnehmers dar. Aufgrund seines Direktionsrechts sollte das Unternehmen als Arbeitgeber im Rahmen der gesetzlichen Möglichkeiten eindeutig festlegen und bestimmen, welche arbeitsvertraglichen Pflichten der Arbeitnehmer in Bezug auf E-Mail-Verkehr, Internetnutzung und den Einsatz mobiler Datenträger hat. Dies gilt entsprechend natürlich auch für die Nutzung der weiteren technischen Einrichtungen des Betriebes, beispielsweise der Nutzung von Telefon und Fax.
Trotz mahnender Hinweise von Behörden, Verbänden und Datenschutzbeauftragten zeigt die Praxis nach wie vor vielfach eklatante Lücken bei der Umsetzung von Regelungen zur Nutzung technischer Einrichtungen in Unternehmen. Es fehlt oftmals überhaupt an Regelungen oder Arbeitsanweisungen. Insbesondere die Nutzung von E-Mail und Internet erfolgt ohne klare Vorgaben durch das Unternehmen. Bei vielen Unternehmen beschränken sich die Regelungen auf eine Verschwiegenheitsklausel im Arbeitsvertrag, so es denn überhaupt schriftliche Arbeitsverträge gibt.
Angesichts zahlreicher Praxishilfen[16] ist dieses Versäumnis der Unternehmen nicht nachvollziehbar. Der Arbeitgeber trägt die Beweislast für ein Fehlverhalten bzw. eine Verletzung der arbeitsvertraglichen Pflichten. Ohne eine schriftliche Regelung der Pflichten wird der Nachweis unnötig erschwert oder gar unmöglich. Unternehmen sind deshalb gut beraten, im Vorfeld, in der Regel bereits bei Begründung des Arbeitsverhältnisses, klare Regelungen für die Nutzung von E-Mail und Internet aber auch für den Einsatz von mobilen Datenträgern festzulegen. Es empfiehlt sich beispielsweise, eine entsprechende Anlage zum Arbeitsvertrag zu gestalten oder eine Dienstanweisung zu verwenden, auf die im Arbeitsvertrag Bezug genommen wird.
Aufgrund der Schnelllebigkeit der Technik und der stetigen Weiterentwicklung der Kommunikationsmittel und -möglichkeiten sind Unternehmer sicher auch gut beraten, wenn sie sich hier für eine modulare Gestaltung der Regelungen entscheiden. Aktualisierungen und Anpassungen sind dadurch leichter möglich.
Jede Regelung setzt aber immer die Grundentscheidung durch das Unternehmen als Arbeitgeber voraus, welche Rechte und Möglichkeiten den Arbeitnehmern im Rahmen des Arbeitsverhältnisses offen stehen sollen und welche Begrenzungen gelten sollen. Von der uneingeschränkten Nutzung und Verwendung bis hin zum absoluten Verbot reicht der mögliche Regelungsrahmen, der freilich mit Bedacht und Sorgfalt ausgeschöpft werden will. Eine pauschale Musterlösung für jedes Unternehmen gibt es insoweit nicht. In einer technischen Produktion wird die E-Mail- und Internetnutzung anders zu regeln sein als in einer Werbeagentur oder bei einem Beratungsdienstleister. Der Ablauf ist jedoch gleichbleibend: Die Risiken sind zu erkennen und zu bewerten, sodann sind im Vorfeld Regelungen zum Schutz vor Risiken zu treffen. Diese sind als Bestandteil des Arbeitsverhältnisses umzusetzen.
In der Praxis sollte aber in jedem Unternehmen eine Regelung für die Nutzung von E-Mail und Internet aber auch für den Einsatz und die Verwendung von mobilen Datenträgern vorhanden sein, da diese technischen Möglichkeiten zum Alltag eines Unternehmens gehören. Sofern ein Betriebsrat vorhanden ist, sind dabei – wie bereits ausgeführt – die Mitbestimmungsrechte nach dem Betriebsverfassungsgesetz zu beachten.
b. Die technischen und organisatorischen Maßnahmen
Neben der formal-juristischen „Vorsorge“ in Form von schriftlichen Regelungen durch Vertrag oder Dienstanweisung sind natürlich auch die entsprechenden technischen und organisatorischen präventiven Maßnahmen zum Schutz von Angriffen über E-Mail, Internet und mobile Datenträger zu treffen. Die üblichen Schutzvorkehrungen wurden bereits genannt. Neben Antivirensoftware, SPAM-Filter, Firewalls, Protokollierungen und deren Auswertungen gibt es hier zahlreiche spezielle und unternehmensspezifische Hard- und Softwarelösungen, die an dieser Stelle nicht im Einzelnen beleuchtet werden können. Die IT-Abteilung und der IT-Dienstleister sind hier in Abstimmung mit dem Datenschutzbeauftragten der richtige Ansprechpartner. Eine wichtige Quelle und ein sicherer Ratgeber bilden insoweit auch die Informationen und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik, die beispielsweise zur Sicherheit im Internet eine Broschüre mit Empfehlungen zum Schutz von IP-Netzen und -Diensten zum Download zur Verfügung stellen[17]. Auch die Landesdatenschutzbeauftragten stellen hier Informationsmaterial zur Verfügung[18].
c. Zwischenergebnis
Selbst wenn ein Unternehmen präventiv die vorstehenden arbeitsvertraglichen und technischen und organisatorischen Maßnahmen trifft, sind Angriffe und Schäden leider nicht auszuschließen. Für die Sanktionierung sind dann – wie ausgeführt – das Verhalten des Arbeitnehmers und der Verschuldensgrad maßgeblich.
2. Der Arbeitnehmer verhält sich vertragskonform
Verhält ein Arbeitnehmer sich vertragskonform und kommt es dennoch zu einem Angriff und gegebenenfalls einem Schaden, ist dem Arbeitnehmer im rechtlichen Sinn kein Verschuldensvorwurf zu machen. Sendet beispielsweise ein Kunde ein Angebot als Anhang zu einer E-Mail und enthält der Anhang ein Schadprogramm, ohne dass dies der Kunde und der Arbeitnehmer wissen, liegt kein schuldhaftes Fehlverhalten des Arbeitnehmers vor.
Gerade der vorstehende Fall zeigt exemplarisch, welches Ziel ein Angreifer verfolgt: Er will den Arbeitnehmer bewusst und zielgerichtet als gutgläubiges Werkzeug benutzen. Das Werkzeug soll trotz Anwendung der im Verkehr erforderlichen Sorgfalt den Angriff nicht erkennen. Es handelt also weder fahrlässig oder gar vorsätzlich, sondern ist es ein sogenanntes undoloses Werkzeug. Dieser Weg ist deshalb für den Angreifer so interessant, weil sein Angriff dann oftmals sogar unbemerkt bleibt oder aber nur sehr schwer zu ihm zurückverfolgt werden kann.
Der Fall liegt nicht anders, als wäre dem Arbeitnehmer ein Unfall passiert, ohne dass den Arbeitnehmer ein Verschulden trifft. Freilich besteht hier der gravierende Unterschied für das Unternehmen darin, dass der Schädiger, nämlich der Angreifer, anders als bei einem Unfall verborgen bleibt und in der Regel auch nicht greifbar ist.
Die Parallele zum Unfall zeigt mithin aber auch eine Möglichkeit auf, sich als Unternehmen gegen derartigen Angriffe über einen gutgläubigen und schuldlos handelnden Arbeitnehmer abzusichern: Das Unternehmen kann seinen Schaden ersetzen lassen, wenn eine Versicherung für den Schaden eintritt. Am Beispiel der Versicherung zeigt sich wiederum die Notwendigkeit für die bereits genannten präventiven Maßnahmen. Hat es ein Unternehmen versäumt, vertragliche Regelungen zu treffen und technische und organisatorische Maßnahmen zum Schutz vor derartigen Schäden zu ergreifen, kann eine Versicherung die Schadensübernahme gegebenenfalls verweigern oder zumindest schadensmindernd ein erhebliches Mitverschulden zu Lasten des Unternehmens ansetzen.
3. Der Arbeitnehmer verletzt seine vertraglichen Pflichten
Von praktisch größerer Bedeutung ist der Fall, dass ein Arbeitnehmer seine arbeitsvertraglichen Pflichten verletzt und es dadurch zu einem Angriff und gegebenenfalls sogar zu einem Schaden kommt. Das Unternehmen hat als Arbeitgeber verschiedene arbeitsrechtliche Möglichkeiten, auf einen solchen Pflichtverstoß des Arbeitnehmers zu reagieren.
a. Die Ermahnung
Das Unternehmen kann einen Arbeitnehmer bei einem Pflichtverstoß ermahnen. Mit der Ermahnung weist das Unternehmen auf die Pflichtverletzung hin, ohne dass zugleich eine Kündigungsandrohung ausgesprochen wird. Das Unternehmen setzt also darauf, dass allein die Ermahnung die Wirkung entfaltet, dass ein Pflichtverstoß zukünftig ausbleibt. Kommt es im weiteren Verlauf des Arbeitsverhältnisses erneut zu einer gleichartigen Pflichtverletzung, kann das Unternehmen die Ermahnung dann gerade nicht als Grundlage für eine Kündigung heranziehen, da die Ermahnung als solche kündigungsrechtlich ohne Bedeutung ist[19]. Die Ermahnung ist damit ein milderes Mittel einer Sanktion und ebenso wie beispielsweise der bloße kollegiale Ratschlag eine Vorstufe der Abmahnung[20]. Auf die Art und Weise der Pflichtverletzung kommt es für die Möglichkeit zum Ausspruch einer Ermahnung nicht an. Jede Pflichtverletzung kann grundsätzlich mit einer Ermahnung sanktioniert werden.
In der Praxis ist aufgrund der vorstehenden milden Wirkung sorgfältig abzuwägen, ob eine bloße Ermahnung bereits ausreicht, um zukünftige Pflichtverletzungen zu vermeiden. Neben der Art und Weise der Pflichtverletzung spielen bei der Abwägung insbesondere die drohenden Schäden aber auch die Unternehmenspolitik eine wichtige Rolle. Entscheidend ist, dass grundsätzlich nicht mit zweierlei Maß gemessen wird, sondern vergleichbare Pflichtverletzungen auch vom Arbeitgeber in gleicher Weise sanktioniert werden.
Sofern ein Unternehmen sich zum Ausspruch einer Ermahnung entscheidet, sollte diese aus Gründen der Nachweisbarkeit schriftlich ausgesprochen werden und dem Arbeitnehmer zugehen. Eine Frist zum Ausspruch einer Ermahnung hat der Gesetzgeber wie bei der im Folgenden dargestellten Abmahnung dabei nicht vorgesehen. Die zeitliche Grenze bestimmt sich hier nach den Grundsätzen der Verwirkung von rechtlichen Sanktionen. Das Unternehmen ist daher gut beraten, eine Ermahnung möglichst zeitnah nach der Pflichtverletzung auszusprechen. Dies sollte auch bereits aus dem Grund geschehen, um weitere Pflichtverletzungen und dadurch drohende Schäden schnellstmöglich zu vermeiden.
b. Die Abmahnung
Die Abmahnung ist ebenso wie die Ermahnung eine Rüge des Arbeitgebers. Das Unternehmen weist den Arbeitnehmer auf die Pflichtverletzung hin und teilt ihm mit der Abmahnung unmissverständlich mit, dass sein Pflichtverstoß nicht geduldet wird[21]. Weitergehender als die Ermahnung beinhaltet die Abmahnung aber auch den konkreten Hinweis auf die Folgen eines erneuten Pflichtverstoßes, nämlich die drohende Kündigung des Arbeitsverhältnisses[22]. Die Abmahnung dient also als deutliche Warnung, als gelbe Karte, das Verhalten sofort zu ändern. Voraussetzung für ein abmahnwürdiges Verhalten ist freilich wiederum, dass das Unternehmen die arbeitsvertraglichen Pflichten klar und unmissverständlich festgelegt hat. Fehlt es an derart eindeutigen Regelungen und Dienstanweisungen, kommt eine Abmahnung nicht in Betracht. Gerade im Bereich der E-Mail- und Internetnutzung besteht hier oftmals ein Klarstellungsbedarf, insbesondere wenn die E-Mail- und Internetnutzung sich „verselbständigt“ hat und der Arbeitgeber die private Nutzung stillschweigend duldet.
Die Abmahnung selbst ist formfrei[23]. Sie bedarf insbesondere keiner Schriftform. Allerdings sollte eine Abmahnung grundsätzlich schriftlich ausgesprochen werden, zum einen aus Gründen der Nachweisbarkeit, zum anderen aus Gründen der Klarheit. Nur wenn der Arbeitnehmer weiß, welches Fehlverhalten ihm vorgeworfen wird, kann er sein Verhalten ändern und zukünftige Verstöße vermeiden. Gerade hier können Versäumnisse zu weitreichenden Folgen führen, bis hin zur Unwirksamkeit einer später auf die Abmahnung gestützten Kündigung. Der Arbeitnehmer muss klar und unmissverständlich erkennen können: 1.) Welches Fehlverhalten ihm vorgeworfen wird, 2.) wie er sich zukünftig verhalten soll und 3.) welche Sanktionen ihm bei einem erneuten Fehlverhalten drohen[24]. Für das Unternehmen bedeutet dies, klare Formulierungen zu verwenden. Insbesondere sollten keine Floskeln oder allgemeine Umschreibungen verwendet werden. Die Abmahnung sollte vielmehr konkrete Angaben zu Ort, Zeit, Art und Ablauf der Pflichtverletzung beinhalten.
Sofern der Arbeitnehmer mehrfache Pflichtverletzungen begangen hat, sind diese grundsätzlich einzeln und gesondert abzumahnen. Dies vor dem einfachen Hintergrund, dass bei einem etwaigen (Form-)Fehler einer Abmahnung eine spätere Sanktion auf die weitere wirksame Abmahnung gestützt werden kann.
Ebenso wie die Ermahnung unterliegt auch eine Abmahnung keiner Ausschlussfrist, sondern lediglich der Verwirkung[25]. Dennoch sollte die Abmahnung aus den gleichen Erwägungen wie eine Ermahnung möglichst zeitnah ausgesprochen werden, um weitere Pflichtverletzungen und drohende Schäden zu vermeiden.
c. Die Kündigung
Die Kündigung beendet das Arbeitsverhältnis, gleich ob sie als ordentliche oder als fristlose Kündigung ausgesprochen wird. Sie ist damit die schärfste Sanktion mit entsprechend weitreichenden Folgen für den Arbeitnehmer. Die Kündigung bedarf daher zunächst nach § 623 BGB zwingend der Schriftform. Eine mündliche Kündigung ist unwirksam und entfaltet keine Rechtswirkung.
Im Gegensatz zur Ermahnung und zur Abmahnung ist bei einer Kündigung der Betriebsrat, sofern vorhanden, nach § 102 BetrVG zu beteiligen. Er ist vor der Kündigung ordnungsgemäß anzuhören.
Die Kündigung bedarf eines Kündigungsgrundes. Eine Pflichtverletzung des Arbeitnehmers stellt insoweit einen verhaltensbedingten Kündigungsgrund dar. Anders als bei einer personen- oder betriebsbedingten Kündigung ist dem Arbeitnehmer daher vorab grundsätzlich die Möglichkeit einzuräumen, sein Fehlverhalten abzustellen und sich zukünftig vertragskonform zu verhalten. Die Kündigung ist insoweit eine ultima ratio, weil bei einer verhaltensbedingten Kündigung grundsätzlich eine entsprechende Abmahnung erforderlich ist. Nur wenn der Arbeitnehmer sich hartnäckig weigert, sein Verhalten zu ändern, oder er von vornherein uneinsichtig ist, kann eine Abmahnung entbehrlich sein[26].
Ist die Pflichtverletzung derart schwerwiegend, dass ein wichtiger Grund für eine Kündigung im Sinne von § 626 BGB vorliegt, kann eine fristlose Kündigung ausgesprochen werden. Im Bereich der Pflichtverletzungen bei E-Mail- und Internetnutzung, aber auch beim Einsatz von mobilen Datenträgern, kann ein wichtiger Grund insbesondere vorliegen, wenn die Handlungen des Arbeitnehmers einen Straftatbestand erfüllen oder eine schwere sittliche Verfehlung darstellen. In der Praxis sind dies zumeist Fälle des Austausches von kinderpornographischen oder rechtsextremen Daten oder der Besuch entsprechender Internetseiten. Aber auch das gezielte Entwenden von Daten durch einen Arbeitnehmer kann als Eingriff in das Eigentum des Arbeitgebers zu einer fristlosen Kündigung berechtigen. Die Beweislast für den Kündigungsgrund trägt das Unternehmen als Arbeitgeber. Es ist deshalb in der Regel gut beraten, eine fristlose Kündigung hilfsweise als ordentliche Kündigung auszusprechen. Sofern strafbare Handlungen im Raum stehen, sind die Einschaltung der Ermittlungsbehörden und eine entsprechende Strafanzeige zu berücksichtigen.
Bei einer fristlosen Kündigung ist die kurze Ausschlussfrist des § 626 Abs. 2 BGB zu beachten, wonach die Kündigung innerhalb von zwei Wochen auszusprechen ist, beginnend ab dem Zeitpunkt, in dem das Unternehmen von den für die Kündigung maßgebenden Tatsachen Kenntnis erlangt.
Gleich ob bei einer ordentlichen oder einer außerordentlichen Kündigung, muss ein Arbeitnehmer, sofern er die Kündigung für unbegründet hält, innerhalb von drei Wochen nach Zugang der schriftlichen Kündigung, Kündigungsschutzklage beim zuständigen Arbeitsgericht erheben[27]. Das Arbeitsgericht hat dann zu prüfen und zu entscheiden, ob die Kündigung rechtswirksam und begründet ist. In der Praxis enden Kündigungsschutzverfahren regelmäßig mit einer Einigung durch gerichtlichen Vergleich. Unterbleibt eine rechtzeitige Kündigungsschutzklage, wird die Kündigung rechtswirksam[28].
d. Der Widerruf und die Herausgabe von Arbeitsmitteln
Sofern ein Unternehmen dem Arbeitnehmer technische Geräte zur Erfüllung seiner arbeitsvertraglichen Pflichten überlässt, handelt es sich um betriebliche Arbeitsmittel[29]. Dazu gehören beispielsweise Laptops, Tablets, Smartphones, usw. Werden diese Arbeitsmittel vom Arbeitnehmer „missbraucht“, indem er seine arbeitsvertraglichen Pflichten verletzt, steht dem Unternehmen grundsätzlich ein Recht auf Herausgabe zu, da es sich um Eigentum des Unternehmens handelt.
Problematisch ist die Herausgabe, wenn der Arbeitnehmer die Arbeitsmittel benötigt, um seine arbeitsvertraglichen Pflichten zu erfüllen. Ein Vertriebsmitarbeiter, der bei Kundenbesuchen einen Laptop benötigt, wird beispielsweise schwerlich ohne diesen arbeiten können. Hier sind im Einzelfall arbeits vertragliche Maßnahmen sorgfältig abzuwägen. Gleiches gilt, wenn die Überlassung der betrieblichen Arbeitsmittel ausdrücklicher Bestandteil des Arbeitsvertrages ist, der Arbeitnehmer also einen arbeitsvertraglichen Anspruch auf Überlassung hat. Einen solchen vertraglichen Anspruch kann das Unternehmen als Arbeitgeber grundsätzlich nicht durch einseitige Erklärung beseitigen. Auch hier sind arbeitsrechtliche Maßnahmen, beispielsweise eine Änderungskündigung, im Einzelfall zu prüfen.
Um die vorgenannten Probleme von vornherein zu vermeiden, sollte das Unternehmen die Überlassung von Arbeitsmitteln vorab ausdrücklich regeln und sich dabei insbesondere ein Widerrufs- und Herausgaberecht ausdrücklich einräumen.
Erst recht ist eine eindeutige und sorgfältige Regelung zu empfehlen, wenn Arbeitnehmer zur Erfüllung ihrer dienstlichen Tätigkeit Arbeitsmittel einsetzen, die in ihrem privaten Eigentum stehen. Denn der Einsatz privater Arbeitsmittel, auch als sogenanntes Bring-your-own-device (BYOD) bezeichnet, wirft sowohl datenschutzrechtlich als auch arbeitsrechtlich erhebliche Rechtsfragen auf. Insbesondere ist ein Unternehmen grundsätzlich nicht berechtigt, ohne ausdrückliches Einverständnis des Arbeitnehmers, auf dessen Eigentum zuzugreifen[30].
e. Der Schadenersatz
Sofern eine Pflichtverletzung des Arbeitnehmers kausal einen Schaden verursacht, stellt sich für das Unternehmen natürlich die Frage, ob es einen entsprechenden Schadenersatzanspruch gegen den Arbeitnehmer hat. Der Haftungsgrundsatz, wer schuldhaft einen Schaden verursacht, ist zum Schadenersatz verpflichtet, gilt im Arbeitsrecht jedoch mit erheblichen Einschränkungen.
Verursacht ein Arbeitnehmer im Rahmen seiner betrieblichen Tätigkeit einen Schaden, haftet er grundsätzlich nur begrenzt. Die arbeitsgerichtliche Rechtsprechung hat hier die sogenannten Grundsätze des innerbetrieblichen Schadensausgleichs entwickelt[31]. Eine gesetzliche Regelung mit entsprechender Rechtssicherheit und Klarheit fehlt leider bis dato. Diese Grundsätze gelten für alle Schäden, die keine Personenschäden sind[32]. Bei Personenschäden greift die Bestimmung des § 105 SGB VII, der eine Haftung grundsätzlich vollständig ausschließt. Da bei einer Pflichtverletzung im Bereich der E-Mail- und Internetnutzung, aber auch beim Umgang mit Datenträgern, Personenschäden regelmäßig nicht auftreten, ist dies vorliegend nicht weiter von Bedeutung. Sehr wohl kommt es in der Praxis aber zu Sachschäden, wenn beispielsweise ein Schadprogramm zu konkreten Schäden an der Hardware führt und diese ersetzt oder repariert werden muss. Insbesondere kommt es aber auch zu Vermögensschäden, sowohl beim Unternehmen selbst als auch bei Dritten.
Ausgehend von den zivilrechtlichen Haftungsvorschriften, insbesondere den §§ 823 ff. BGB, würde der Arbeitnehmer, der einen Schaden schuldhaft verursacht, unbeschränkt haften. Der Verschuldensgrad reicht von Fahrlässigkeit in der weitesten Stufe als leichtester Fahrlässigkeit bis hin zum Vorsatz in seiner weitesten Stufe, nämlich der absichtlichen Schädigung. Dieser Maßstab gilt bei Schädigungen im Rahmen der betrieblichen Tätigkeit nicht[33]. Die derzeit aktuelle Rechtsprechung der Arbeitsgerichte legt vielmehr ein dreistufiges Haftungsmodell zu Grunde[34]. Ein Arbeitnehmer haftet danach für Schäden, die auf leichtester Fahrlässigkeit beruhen, gar nicht. Öffnet der Arbeitnehmer, der täglich zahlreiche E-Mails mit Anhängen von Kunden erhält, beispielsweise aus leichter Unachtsamkeit eine E-Mail, die bei sehr genauem Hinsehen als schadhafte E-Mail erkennbar gewesen wäre, so haftet er nicht. Für den Haftungsausschluss ist maßgeblich, dass es sich um eine Pflichtver letzung handelt, die grundsätzlich jedem Arbeitnehmer einmal passieren kann[35].
Für Schäden, die auf einer mittleren Fahrlässigkeit beruhen, haftet ein Arbeitnehmer grundsätzlich anteilig. Folgt er beispielsweise einem Link auf einer Internetseite, ohne sich den Inhalt durchzulesen, und aktiviert dadurch ein Schadprogramm, so kann dies eine mittlere Fahrlässigkeit darstellen. Der Umfang der anteiligen Haftung bestimmt sich im Einzelfall insbesondere nach der Art und Weise der Tätigkeit, insbesondere des Risikos für derartige Schäden, aber auch nach der Qualifikation und Erfahrung des Arbeitnehmers.
Erst bei grober Fahrlässigkeit oder Vorsatz wird eine volle Haftung des Arbeitnehmers begründet. Dies sind beispielsweise Fälle, in denen ein Arbeitnehmer gezielt Internetseiten ansteuert, die keinen Bezug zu seiner betrieblichen Tätigkeit haben und deren Anbieter und Inhalte nicht vertrauenswürdig sind. Typischerweise sind dies Internetseiten mit pornographischen, gewaltverherrlichenden oder rassistischen Inhalten. Aber auch Internetseiten mit vermeintlich günstigen Angeboten, Dating-Portale und Chat-Rooms sind derartige Seiten, deren bewusstes Aufrufen ein grob fahrlässiges oder gar vorsätzliches Handeln darstellen kann.
Das Unternehmen trägt als Arbeitgeber die vollständige Beweislast für die Tatbestandsvoraussetzungen eines Schadenersatzanspruchs[36]. Insbesondere müssen die Pflichtwidrigkeit selbst, der Grad des Verschuldens, aber auch der Schaden und die Kausalität zwischen Handlung und Schaden vollumfänglich nachgewiesen werden.
V. Zusammenfassung
Um sich Zugriff auf Daten eines Unternehmens zu verschaffen oder Schäden anzurichten, bedienen sich Angreifer auch gezielt der Arbeitnehmer. Die Täter benutzen diese bewusst als „Werkzeug“. Insbesondere der E-Mail-Verkehr und das Internet, aber auch mobile Datenträger bieten hier Einfallstore für Angriffe.
Unternehmen sollten deshalb neben den technischen und organisatorischen Maßnahmen zum Schutz der Daten auch arbeitsrechtliche Maßnahmen kennen und ergreifen. Bereits im Vorfeld und zur Prävention sollten klare und eindeutige Regelungen für die Nutzung von E-Mail, Internet und mobilen Datenträgern vereinbart werden. Dabei ist insbesondere abzuwägen und zu entscheiden, inwieweit die Nutzung ausschließlich dienstlich oder auch privat erfolgen soll. Sofern ein Betriebsrat vorhanden ist, sind dessen Mitbestimmungsrechte zu berücksichtigen.
Kommt es zu einer Pflichtverletzung des Arbeitnehmers, ist zu prüfen, ob der Arbeitnehmer schuldhaft gehandelt hat. Aufgrund der arbeitsrechtlichen Besonderheit des innerbetrieblichen Schadensausgleichs, der eine Haftungsbeschränkung zu Lasten des Unternehmens begründet, hängen die arbeitsrechtlichen Möglichkeiten maßgeblich davon ab, welcher Verschuldensgrad vorliegt. Im Einzelfall ist daher abhängig vom Verschuldensgrad zu entscheiden, welche arbeitsrechtlichen Maßnahmen ergriffen werden sollten. Dem Unternehmen stehen als Arbeitgeber hier die üblichen arbeitsrechtlichen Sanktionsmittel von der Ermahnung über die Abmahnung bis hin zur Kündigung zur Verfügung.
Auch eine mögliche Versicherung sollte in Erwägung gezogen werden. Diese kann insbesondere für risikobehaftete Tätigkeiten sinnvoll sein und für den Fall, dass der Arbeitnehmer gutgläubig und ohne Verschulden einen Schaden verursacht.
Manuel J. Heinemann
Der Autor ist Dipl.-Kfm (FH) sowie Rechtsanwalt und Fachanwalt für Arbeits- und Insolvenzrecht in Osnabrück. Er ist seit mehreren Jahren als externer Datenschutzbeauftragter für Unternehmen tätig und vom TÜV Rheinland als Datenschutzbeauftragter und Datenschutzauditor zertifiziert. Seit 2007 ist er zudem Lehrbeauftragter an der Universität Osnabrück. Seine Tätigkeitsschwerpunkte liegen im Arbeitsrecht und im Datenschutzrecht.
[1] Neben den Angriffen zum Ausspähen und Abgreifen von Daten ist in der Praxis auch der Angriff mit Schadprogrammen, die ausschließlich Schaden anrichten, ohne einen wirtschaftlichen Nutzen für den Angreifer oder Verwender zu haben, nach wie vor ein großes Problem für Unternehmen. Die Abwehrmaßnahmen sind sowohl technisch und organisatorisch als auch rechtlich weitgehend identisch.
[2] Vgl. www.daserste.de/information/wirtschaft-boerse/plusminus/sendung/br/2013/03072013-4-100.html.
[3] Der Spiegel titelte bereits im Jahr 2010 zum Thema Viren und Würmer per USB-Stick: „Jeder vierte Virus kommt zu Fuß“ (www.spiegel.de/netzwelt/web/trend-zu-usb-wuermern-jeder-vierte-virus-kommt-zu-fussa-714776.html).
[4] Barton, RDV 2012, 217 (218 f.) mit entsprechenden Nachweisen zum Meinungsstand.
[5] Gola/Schomerus, Kommentar zum BDSG, 11. Aufl. 2012, § 32 Rn. 18 m.w.N.; ders., Datenschutz am Arbeitsplatz, 4. Aufl. 2012, Rn. 367.
[6] Gola/Schomerus, Kommentar zum BDSG, 11. Aufl. 2012, § 32 Rn. 25; ders., Datenschutz am Arbeitsplatz, 4. Aufl. 2012, Rn. 201 ff. und 366.
[7] Gola, Datenschutz am Arbeitsplatz, 4. Aufl. 2012, Rn. 366; Wybitul, Handbuch Datenschutz im Unternehmen, 2011, Rn. 193.
[8] Gola, Datenschutz am Arbeitsplatz, 4. Aufl. 2012, Rn. 365.
[9] Wybitul weist hier zu Recht darauf hin, dass die Abwägung bei ausschließlich dienstlicher E-Mail-Nutzung grundsätzlich zu Gunsten des Arbeitgebers ausfallen dürfte (Wybitul, Handbuch Datenschutz im Unternehmen, 2011, Rn. 193).
[10] Zum Meinungsstand: Gola/Schomerus, Kommentar zum BDSG, 11. Aufl. 2012, § 32 Rn. 18. A.A. beispielsweise das LAG Berlin-Brandenburg, RDV 2011, 251.
[11] Gola/Schomerus, Kommentar zum BDSG, 11. Aufl. 2012, § 32 Rn. 18. Zum Meinungsstand auch Wybitul, Handbuch Datenschutz im Unternehmen, 2011, Rn. 191 ff. sowie Besgen/Prinz-Schumacher, Handbuch Internet.Arbeitsrecht, 3. Auflage 2013, § 1 Rn. 45 mit Verweis auf die maßgeblichen Entscheidungen des LAG Niedersachsen, LAG Brandenburg und VGH Kassel.
[12] Gola/Schomerus, Kommentar zum BDSG, 11. Aufl. 2012, § 2 Rn. 18
[13] Gola, Datenschutz am Arbeitsplatz, 4. Aufl. 2012, Rn. 372 mit weiteren Nachweisen.
[14] Gola, Datenschutz am Arbeitsplatz, 4. Aufl. 2012, Rn. 374.
[15] Gola, Datenschutz am Arbeitsplatz, 4. Aufl. 2012, Rn. 374
[16] Praxishilfen finden sich zum Beispiel auf der Seite der Gesellschaft für Datenschutz und Datensicherheit e.V. unter www.gdd.de. aber auch in der einschlägigen Fachliteratur.
[17] Vgl. www.bsi.bund.de.
[18] Zum Beispiel der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen www.ldi.nrw.de.
[19] Küttner, Personalbuch 2013, 20. Aufl., Stichwort 2 Abmahnung Rn. 6.
[20] Küttner, Personalbuch 2013, 20. Aufl., Stichwort 2 Abmahnung Rn. 6.
[21] Küttner, Personalbuch 2013, 20. Aufl., Stichwort 2 Abmahnung Rn. 1.
[22] Küttner, Personalbuch 2013, 20. Aufl., Stichwort 2 Abmahnung Rn. 1.
[23] Küttner, Personalbuch 2013, 20. Aufl., Stichwort 2 Abmahnung Rn. 24.
[24] Küttner, Personalbuch 2013, 20. Aufl., Stichwort 2 Abmahnung Rn. 25.
[25] Küttner, Personalbuch 2013, 20. Aufl., Stichwort 2 Abmahnung Rn. 31.
[26] Küttner, Personalbuch 2013, 20. Aufl., Stichwort 2 Abmahnung Rn.18.
[27] § 4 KSchG.
[28] § 7 KSchG. Gleiches gilt, wenn eine verspätete Kündigungsschutzklage nach § 5 KSchG nicht vom Arbeitsgericht zugelassen wird.
[29] Küttner, Personalbuch 2013, 20. Aufl., Stichwort 46 Arbeitsmittel Rn. 1.
[30] Zu den rechtlichen Fragestellungen beim BYOD: Conrad/Schneider, Einsatz „privater IT“ im Unternehmen, ZD 2011, 153; Imping/Pohle, BYOD – Rechtliche Herausforderungen der dienstlichen Nutzung privater Informationstechnologie, K & R 2012, 470; Arning/Moos/Becker, Vertragliche Absicherung von Bring Your own Device, CR 2012, 592.
[31] Küttner, Personalbuch 2013, 20. Aufl., Stichwort 33 Arbeitnehmerhaftung Rn. 8.
[32] Küttner, Personalbuch 2013, 20. Aufl., Stichwort 33 Arbeitnehmerhaftung Rn. 8.
[33] Küttner, Personalbuch 2013, 20. Aufl., Stichwort 33 Arbeitnehmerhaftung Rn. 8 ff.
[34] Küttner, Personalbuch 2013, 20. Aufl., Stichwort 33 Arbeitnehmerhaftung Rn. 12.
[35] Küttner, Personalbuch 2013, 20. Aufl., Stichwort 33 Arbeitnehmerhaftung Rn. 13.
[36] Küttner, Personalbuch 2013, 20. Aufl., Stichwort 33 Arbeitnehmerhaftung Rn. 22.