close

Anmelden

Neues Passwort anfordern?

Anmeldung mit OpenID

Internetsicherheit im Unternehmen – Prävention gegen zivil- wie

EinbettenHerunterladen
Univ.-Prof. Dr. jur. Dirk-M. Barton
Lehrstuhl für Wirtschafts- und Medienrecht
Universität der Informationsgesellschaft Paderborn
Früherer Hauptgeschäftsführer und Chefjustitiar des
Bundesverbandes Deutscher Zeitungsverleger (BDZV)
Private Anschrift:
Am Brunnen 15, 53343 Wachtberg-Oberbachem
Tel.: 0228 / 340 963
Fax: 0228 / 349 019
E-Mail: dirk.barton@immobilien-barton-schreiber.de
Internetsicherheit im Unternehmen –
Prävention gegen zivil- wie
strafrechtliche Haftungsrisiken
1
Inhaltsverzeichnis
I.
Einführung .......................................................................................................... 5
II.
Zu den rechtlichen Rahmenbedingungen ......................................................... 7
A)
Haftung nach geltendem Recht .......................................................................... 9
I.
Haftungspotentiale ........................................................................................ 9
1.
Veränderung der rechtlichen Rahmenbedingungen: KonTraG,
Aktiengesetz (AktG), GmbH-Gesetz (GmbHG) .................................. 9
2.
Verpflichtung der Unternehmen zur Einrichtung eines Risikofrüherkennungssystems, § 91 Abs. 2 AktG ............................................. 10
3.
Folgen des Verstoßes gegen die Pflicht zur Implementierung eines Risikofrüherkennungssystems, § 93 Abs. 2 AktG ....................... 12
4.
Wie soll ein Risikofrüherkennungssystem gestaltet sein? .................. 13
5.
Leitlinien für den Wirtschaftsprüfer ................................................... 15
6.
Risikoprävention gem. § 91 Abs. 2 AktG hinsichtlich der
IT-Sicherheit ....................................................................................... 17
B)
Risiken infolge der Online-Kommunikation von Mitarbeitern .................... 19
I.
Rechtsmissbräuchliche Nutzung ................................................................. 19
II.
Haftung des Unternehmens für Internetaktivitäten ihrer Arbeitnehmer ..... 19
1.
Haftung aus Vertragsverletzung (Leistungsstörungen) ...................... 19
2.
Haftung für den Verrichtungsgehilfen gem. § 831 BGB .................... 20
3.
Zur Organhaftung gem. § 31 BGB ..................................................... 20
III. Haftungsszenarien, Beispiele ...................................................................... 21
1.
Beispielsfälle aus der Praxis ............................................................... 22
2.
Haftung des Unternehmens ................................................................. 22
3.
Haftung für den Verrichtungsgehilfen gem. § 831 BGB .................... 23
4.
Haftung der Geschäftsleitung ............................................................. 24
5.
Haftung der IT-Security-Verantwortlichen auf der nachgeordneten Ebene aus arbeitsrechtlichen Grundsätzen.................................... 24
2
IV. Das Damoklesschwert des Strafrechts ........................................................ 25
1.
Beispiele für Rechtsmissbräuche durch Arbeitnehmer unter strafrechtlichen Aspekten ........................................................................... 26
2.
(Mit-)Verantwortlichkeit des Arbeitgebers – Beihilfe durch Unterlassen............................................................................................... 28
a)
Nichteinschreiten bzw. Dulden als Anknüpfungspunkt ............. 29
b)
Der Internetarbeitsplatz als Gefahrenquelle; Garantenstellung aus einer Verkehrssicherungspflicht .................................. 29
V.
c)
Notwendigkeit und Zumutbarkeit der Erfolgsverhinderung ...... 31
d)
Bedingter Vorsatz ....................................................................... 32
e)
Ergebnis ...................................................................................... 32
Risikomanagement und Controlling im Zusammenhang mit der Nutzung von Online-Aktivitäten ....................................................................... 32
1.
Kontrolle als Voraussetzung einer Exkulpation ................................. 32
2.
Technologische Seite: Software Filter ................................................ 33
3.
Zulässigkeit einer Inhaltskontrolle ..................................................... 34
a)
Derzeitige Rechtslage in Deutschland ........................................ 35
b)
Strafrechtliche Seite der Internet- bzw. E-Mail-Kontrolle ........ 39
(1) Verletzung des Briefgeheimnisses, § 202 StGB ................ 39
(2) Ausspähen von Daten, § 202a Abs. 1 StGB....................... 40
(a) Zugangssicherung ......................................................... 41
(b) Passwort ........................................................................ 42
(c) Ergebnis ........................................................................ 44
(3) Verletzung des Fernmeldegeheimnisses, § 206 StGB ....... 44
(a) Anwendungsbereich des § 206 StGB i. V. m. § 88
TKG .............................................................................. 44
(b) Die Tathandlungen........................................................ 45
aa) Unbefugte Mitteilung ........................................... 45
3
bb) Unbefugtes Öffnen bzw. Unterdrücken von
Sendungen ............................................................ 48
(c) Überlegungen auf europäischer Ebene ......................... 52
4.
Die arbeitsrechtliche Seite der Internettätigkeit.................................. 55
a)
Individualarbeitsrechtliche Konsequenzen ................................. 55
aa) Abmahnung ........................................................................ 56
bb) Kündigung .......................................................................... 57
cc) Schadensersatz ................................................................... 58
dd) Fälle aus der Rechtsprechung der Arbeitsgerichte ............. 59
b)
Kollektivarbeitsrecht; Mitbestimmung und Betriebsvereinbarung ......................................................................................... 61
aa) Mitbestimmungsrecht des Betriebs- bzw. Personalrates ........................................................................................ 61
bb) Betriebsvereinbarung ......................................................... 63
C.
Ausreichende Speicherkapazität als Risikovorsorge ..................................... 65
I.
Mangelnde Investitionsbereitschaft ............................................................ 65
II.
Datenflut und ausreichende Speicherkapazität ........................................... 66
III. Ökonomische Risikopotentiale ................................................................... 67
IV. Die Schaffung ausreichender Speicherkapazität und effiziente Datenadministration als Teil des Risikomanagements im Unternehmen ............. 69
V.
Aufbewahrung und Verwaltung von Unterlagen im handelsrechtlichen bzw.
steuerlichen Umfeld .................................................................................... 71
VI. Aufbewahrung von Verträgen und Vereinbarungen ................................... 72
VII. Aufbewahrungspflicht für Unterlagen aus Arbeitsverhältnissen ................ 76
Weiterführende Literatur ......................................................................................... 77
4
I.
Einführung
Mit dem Einzug der modernen Kommunikationstechnologien in die Unternehmen ist
das Gefahrenpotential, durch Missbräuche nachhaltige Schäden zu erleiden, überproportional gestiegen.
Dies dokumentieren allein schon die Schadenszahlen, die durch Computerviren hervorgerufen werden.
Virenprogramme bestehen in der Regel aus zwei Komponenten, dem Verbreitungsmechanismus und der Schadensroutine. Viren sind so programmiert, dass sie sich
systematisch auf andere Computer oder Dateien ausbreiten. Neben dem Zerstören von
Dateien kann ein Schaden bereits durch die bloße Verbreitung, z. B. durch Netzüberlastung, entstehen.
Weiteren Schaden richten Viren dadurch an, dass Sicherheitsmaßnahmen deaktiviert
werden und somit der Zugang zu sensiblen Daten und damit auch zu Betriebsgeheimnissen offen steht.
In letzter Zeit verbreiten sich vor allem Makroviren mit rasender Geschwindigkeit.
Diese Form der Viren breitet sich durch Datenaustausch per E-Mail oder Downloads
im Internet aus.
Neben den eigentlichen Computerviren, die den Schaden dadurch verursachen, dass
sie möglichst viele Dateien eines Systems befallen, treten ebenso gefährliche Würmer
oder Trojanische Pferde auf. Ein Wurm verbreitet sich selbständig im Netzwerk und
nutzt dabei z. B. die Funktion von E-Mail-Programmen, um sich per E-Mail ohne
menschliches Zutun zu verbreiten. Ein Trojanisches Pferd nutzt die gleichen Mechanismen, tritt aber getarnt als nützliche Verwendung auf. Beim Start des Tarnprogrammes wird gleichzeitig die Schadensroutine aktiviert, die z. B. sensible Benutzerdaten
ausspäht oder das ganze System für einen Hackerangriff öffnet.
5
Virenschäden z. B. verursacht durch den weltweit agierenden Virus „I love you“ sind
spektakulär. Obwohl „I-love-you“ im Jahr 2000 weltweit einen finanziellen Schaden
von rund 30 Milliarden US-Dollar verursacht hat, sind sich die Experten darüber einig,
dass diese beispielhaft genannten Schadprogramme im Hinblick auf das theoretische
Schadensszenario, das solche Software herbeiführen kann, vergleichsweise harmlos
waren.
Aber ebenso gravierend – allerdings für die betroffenen Unternehmen – sind Schäden,
die unmittelbar oder mittelbar durch Mitarbeiter verursacht werden.
So z. B. durch die Belastungen, die dadurch entstehen, dass Mitarbeiter aufgrund privater Aktivitäten, also durch privates Surfen im Internet, ihre Arbeitskraft nicht mehr
uneingeschränkt zur Verfügung stellen. Dies stellt ggf. nicht nur eine Verletzung der
arbeitsrechtlichen Pflichten dar, sondern führt auch zu Produktivitätseinbußen.
Das Surfen im Internet bildet oftmals die Grundlage für weitere private Aktivitäten,
die nicht mit den arbeitsrechtlichen Pflichten vereinbar sind.
Man benutzt das Internet zunehmend für Bankaktivitäten oder zur Buchung des Urlaubs.
Hinzukommen hier weitere Kosten, und zwar für die Netzbelastung, aber auch Schäden, die durch Viren entstehen, die im Rahmen privaten Surfens in das Unternehmen
gelangen.
Nicht von der Hand zu weisen sind denkbare Schäden, die dadurch einem Unternehmen entstehen, dass Mitarbeiter zivil- wie strafrechtlich relevante – auch im Interesse
des Arbeitgebers – fremde Daten ausspähen oder urheberrechtlich geschützte Werke
herunterladen und unternehmensintern verwenden.
6
Hier kommt nicht nur der Mitarbeiter selbst in eine Haftungssituation, sondern auch
sein Arbeitgeber, wie im Einzelnen noch zu zeigen ist. Die Palette möglicher Schadensrisiken lässt sich beliebig erweitern.
Genannt sei in diesem Zusammenhang die mangelnde Speicherkapazität, die Anlass
dafür ist, dass unternehmensrelevante Datenbestände verloren gehen oder für einen
gewissen Zeitraum nicht mehr verfügbar sind.
Diese Szenarien bilden die Grundlage zur Klärung der Frage, inwieweit unter rechtlichen Aspekten eine entsprechende IT-Security geschaffen werden muss, um Schadensprävention zu betreiben.
II.
Zu den rechtlichen Rahmenbedingungen
Vorstände wie Aufsichtsräte sehen sich zunehmend einem gesteigerten persönlichen
Haftungsrisiko ausgesetzt.
Dies ist u. a. eine Folge des sog. KonTraG (des „Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich“ aus dem Jahr 1998) und entsprechenderen Änderungen
des Aktiengesetzes. Einen Schwerpunkt bildet dabei § 91 Abs. 2 AktG, der ein Risikomanagement jetzt zwingend vorschreibt und damit Vorstände und Aufsichtsräte in
eine besondere Pflicht nimmt. Seine Bedeutung wird noch dadurch hervorgehoben,
dass der Wirtschafts- bzw. Abschlussprüfer bei börsennotierten Aktiengesellschaften
die Funktionstauglichkeit eines solchen Risikomanagementsystems in seine Prüfung
einzubeziehen hat.
Teil dieses Risikomanagements ist auch die IT-Sicherheit im Unternehmen.
Im Rahmen unseres Seminars geht es um die zentralen Fragestellungen:
 Welche Haftungsprobleme treten auf, wenn infolge mangelnder IT-Sicherheit
interne wie externe Schäden entstehen?
7
 Wie sollte zwecks Haftungsprävention das vom Gesetz geforderte Risikomanagementsystem im Hinblick auf IT-Sicherheit ausgestaltet sein?
IT-Security ist eine unternehmensstrategische Aufgabe und Teil des Risikomanagements im Unternehmen
Der Begriff der IT-Sicherheit ist ein durchaus vielschichtiger Begriff, unter dem verschiedene Aspekte zusammengefasst werden.
„IT-Security“ umfasst vor allem den Schutz gegen

unzulässige Einflussnahmen auf Rechnersysteme von außen, ferner die Verhinderung einer rechtsmissbräuchlichen
Verwendung von Online-Systemen durch Mitarbeiter

die zunehmend aktueller werdende Problematik unter
dem Label „Storage“, d. h. der Schaffung ausreichender
Speicherkapazität
In den o. g. Fallbereichen geht es um sicherheitstechnische Zwänge, die durch die
elektronische Kommunikation bedingt sind. Sowohl der Schutz vor Missbrauch wie
auch die Schaffung einer ausreichenden Speicherkapazität für elektronische Daten ist ein durchaus zentraler Teil dieser „Internet-Sicherheit“.
Dies wird sehr schnell deutlich, betrachtet man nur einmal die rechtlichen, aber auch
die ökonomischen Risiken, die auf ein Unternehmen zukommen, wenn dem Schutz
vor Missbräuchen oder einer ausreichenden Speicherkapazität bzw. einem ordnungsgemäßen Datenmanagement nicht die notwendige Aufmerksamkeit geschenkt
wird.
8
A) Haftung nach geltendem Recht
I.
1.
Haftungspotentiale
Veränderung der rechtlichen Rahmenbedingungen: KonTraG, Aktiengesetz
(AktG), GmbH-Gesetz (GmbHG)
Die vermeidbare, alltägliche Fehlentscheidung hat es unvermeidlich immer gegeben
und ist nun einmal Teil des unternehmerischen Handelns. Trotzdem waren Haftungsprozesse gegen Organe von Aktiengesellschaften in der Vergangenheit – jedenfalls in
größeren Unternehmen – eher die Ausnahme. Dies aber dürfte sich in der Zukunft ändern.
Vorstands- wie Aufsichtsratsmitglieder einer Aktiengesellschaft, aber auch Geschäftsführer einer GmbH, sehen sich zunehmend einem gesteigerten persönlichen Haftungsrisiko ausgesetzt.
Dies ist nicht zuletzt eine Folge des sog. K o n T r a G , dem „Gesetz zur Kontrolle
und Transparenz im Unternehmensbereich“ vom 27.4.1998, das zu Verschärfungen im
Aktiengesetz geführt hat.
Aber auch die Rechtsprechung hat die Rahmenbedingungen verschärft. Genannt sei
nur die sog. ARAG/Garmenbeck-Entscheidung des BGH. Sie zwingt den Aufsichtsrat dazu, Ansprüche gegen den Vorstand geltend zu machen, sofern diese Erfolg versprechend erscheinen.
Damit wird der Aufsichtsrat aus seiner eher passiven Rolle in die eines aktiv Handelnden gezwungen, will er sich nicht selbst einer Haftung aussetzen.
Aber nicht nur die rechtlichen Rahmenbedingungen haben sich verändert.
9
Es ist auch das Klima. Gerade in wirtschaftlich schwierigen Zeiten wendet sich der
allseits propagierte „Share-Holder-Value“ gegen die Organe der Gesellschaften,
wenn Managementfehler oder vermeintliche Fehlentscheidungen Anlass zu heftiger
Kritik geben.
Aktionärsversammlungen von großen Unternehmen in jüngerer Zeit sind hier ein beredtes Beispiel, wo auch die eher sonst zurückhaltenden Fonds-Gesellschaften massive
Vorwürfe gegen das Management erhoben haben.
Hinzutreten die Aktivitäten spezialisierter Anwaltskanzleien, die Sammelklagen von
Aktionären erheben oder am Erfolg beteiligte Prozesskostenversicherer, die in ihrer
Gesamtheit den Druck verstärken.
2.
Verpflichtung der Unternehmen zur Einrichtung eines Risikofrüherkennungssystems, § 91 Abs. 2 AktG
Spektakuläre Insolvenzen bedeutender Unternehmen sowie Unternehmenszusammenbrüche aufgrund zweifelhafter oder gar illegaler Praktiken solcher Unternehmen
haben in den vergangenen Jahren den Gesetzgeber auf den Plan gerufen. Er hat es sich
zum Ziel gesetzt, dass derartige Vorgänge für die Zukunft weniger oft bzw. mit weniger gravierenden Auswirkungen vorkommen. Sachkundigen Beobachtern musste damit klar sein, dass weitere Maßnahmen zur Eindämmung von Insolvenzen sehr weitgehende Eingriffe in die Geschäftsführung der Unternehmen mit sich bringen müssen.
Eines der vielleicht wichtigsten und wirkungsvollsten Instrumente, die der Gesetzgeber dabei geschaffen hat, ist die Verpflichtung der Aktiengesellschaften zur Installation eines Risikofrüherkennungssystems.
10
§ 91 Abs. 2 AktG, der auf Grund des KonTraG eingefügt
wurde, lautet:
„Der Vorstand hat geeignete Maßnahmen zu treffen,
insbesondere ein Überwachungssystem einzurichten,
damit den Fortbestand der Gesellschaft gefährdende
Entwicklungen früh erkannt werden.“
Mit dem Risikofrüherkennungssystem sollen alle bestandsgefährdenden Unternehmensrisiken systematisch erfasst und gesteuert werden. Diese Gesetzesformulierung
bedeutet aber nicht, dass das Risikofrüherkennungssystem nur einige besonders bedeutende Risiken erfassen muss. Auch kleinere Risiken können sich kumuliert bestandsgefährdend auswirken, weshalb die Meßlatte für die Erfassung und Beobachtung
von Risiken nicht sehr hoch gelegt werden darf.
Dass die Verpflichtung zur Installation eines Risikofrüherkennungssystems im Aktiengesetz zu finden ist, könnte zunächst zu der Auffassung führen, dass diese Verpflichtung auch nur für Aktiengesellschaften gilt. Die wohl herrschende Meinung ist
aber anderer Auffassung.
§ 91 Abs. 2 präzisiert die allgemeine Leitungsaufgabe und die damit verbundene Organisations-, Kontroll- und Überwachungspflicht des Vorstands.
Die Sorgfaltspflichten eines GmbH-Geschäftsführers unterscheiden sich davon
grundsätzlich nicht, da es hierbei keine nennenswerten Unterschiede zwischen AG und
GmbH gibt. Deshalb wird überwiegend die Auffassung vertreten, dass auch Unternehmen in anderen Rechtsformen als der Aktiengesellschaft zur Einführung eines Risikofrüherkennungssystems verpflichtet sind.
11
3.
Folgen eines Verstoßes gegen die Pflicht zur Implementierung eines Risiko-
früherkennungssystems, § 93 Abs. 2 AktG
Gesetzesvorschriften haben nun einmal nur dann Sinn, wenn die Nichtbefolgung mit
Sanktionen bedroht ist. In den Gesetzen, die das Gesellschaftsrecht regeln, also im
Wesentlichen dem Aktiengesetz und dem GmbH-Gesetz, sind solche Konsequenzen
im letzten Abschnitt des Gesetzes geregelt. Dort finden sich die Straf- und Bußgeldvorschriften. Allerdings findet man dort keine Strafmaßnahmen oder Ordnungswidrigkeitsfolgen, wenn in der betreffenden Gesellschaft ein Risikofrüherkennungssystem
nicht oder nicht in geeigneter Form existiert. Das liegt wohl im Wesentlichen daran,
dass Strafen und Ordnungswidrigkeiten einen exakt definierten gesetzlichen Tatbestand voraussetzen, was bei einem Risikofrüherkennungssystem nur schwer möglich
ist.
Der Gesetzgeber hat ein anderes Mittel gewählt, um das Risikobewusstsein der Vorstände und Geschäftsführer zu schärfen: Die persönliche Haftung.
§ 93 Abs. 1 AktG legt ganz allgemein fest, dass Vorstandsmitglieder bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters
anzuwenden haben. Und im Abs. 2 folgt dann auch sogleich die Bedrohung, wenn
hiergegen verstoßen wird:
„Vorstandsmitglieder, die ihre Pflichten verletzen, sind der Gesellschaft zum Ersatz
des daraus entstehenden Schadens als Gesamtschuldner verpflichtet.“
Diese Bedrohung wird noch dadurch verschärft, dass die Vorstandsmitglieder im
Zweifelsfall beweisen müssen, dass sie die notwendige Sorgfalt angewandt haben.
Insoweit gilt eine Beweislastumkehr.
Ähnlich ist dies im GmbH-Gesetz geregelt. Hier finden wir § 43 Abs. 1 GmbHG, der
den Geschäftsführer zur allgemeinen Sorgfalt eines ordentlichen Geschäftsmannes
verpflichtet, und § 43 Abs. 2 GmbHG, wonach die Geschäftsführer bei Obliegenheits12
verletzung der Gesellschaft solidarisch haften. Nur die Beweislast ist in diesem Gesetz
nicht den Geschäftsführern auferlegt.
Die herrschende Meinung in der Literatur sagt, dass die Sorgfaltspflicht eines GmbHGeschäftsführers keinen anderen Inhalt hat, als die eines AG-Vorstands. Deshalb treffe
– so diese Auffassung – die GmbH-Geschäftsführer genauso die Pflicht zur Einführung eines Risikofrüherkennungssystems. § 91 Abs. 2 AktG strahle hier entsprechend
aus.
Durch das „Kapitalgesellschaften- und Co-Richtlinie-Gesetz“ (KapCoRiLiG), das am
9. März 2000 in Kraft getreten ist, werden Offene Handelsgesellschaften (OHG) und
Kommanditgesellschaften (KG) den Kapitalgesellschaften neuerdings gleichgestellt,
so dass auch diese Personengesellschaften ein Überwachungssystem implementieren
müssen. Allerdings ist dies an die Bedingung geknüpft, dass bei den vorbezeichneten
Personengesellschaften keine natürliche Person als persönlich haftender Gesellschafter
fungiert, so etwa wie im Fall einer GmbH & Co. KG.
4.
Wie soll ein Risikofrüherkennungssystem gestaltet sein?
Der Gesetzgeber hat hier keine Präzisierung vorgenommen. An einer Legaldefinition
ermangelt es. Sie wäre angesichts der vielfältigen Risiken – je nach Branche – wohl
auch kaum möglich. Diese Unschärfe verstärkt aber gleichzeitig das Haftungsrisiko.
In der Betriebswirtschaftslehre und vor allem im Berufsstand der Wirtschaftsprüfer,
die das Risikomanagement einer Prüfung gem. § 317 Abs. 4 HGB zu unterziehen haben, haben sich gewisse Leitlinien zur Gestaltung eines Risikofrüherkennungssystems
herausgebildet. Dabei ist es wohl als Selbstverständlichkeit zu verstehen, dass die
Ausgestaltung des Risikofrüherkennungssystems abhängig ist von der Art und Größe
des Unternehmens, von den Unternehmenszielen und den zugehörigen Erfolgsfaktoren.
13
In Abhängigkeit von diesen Bestimmungsfaktoren sind folgende wesentliche Elemente
eines Risikofrüherkennungssystems zu nennen:
 Risikoidentifikation
 Risikoanalyse
 Risikobewertung
 Risikokommunikation
 Risikoüberwachung
 Risikobewältigung
Interessanterweise wird in einschlägigen Publikationen die Risikobewältigung nicht
als Bestandteil des gesetzlich geforderten Überwachungssystems betrachtet, weil eben
§ 91 Abs. 2 AktG nur von der Risikofrüherkennung, also der Identifikation von Risiken, nicht aber von Risikobewältigung spricht. Eine so formalistische Betrachtung
dürfte aber nicht zweckmäßig sein. Die bloße Aufdeckung von Risiken wäre wohl völlig sinnlos, wenn auf die Erkenntnis, dass ein Risiko konkret zu werden droht, nicht
auch geeignete Maßnahmen folgen müssen, um dem Risiko zu begegnen.
Was beinhalten die einzelnen aufgezeigten Elemente?
Die Risikoidentifikation ist der erste Schritt. In dieser Phase werden die einzelnen
Risiken, die das Unternehmen bedrohen können, festgestellt und aufgelistet. Dabei
unterteilt man zweckmäßigerweise das Unternehmen in die verschiedenen Funktionsbereiche.
Betrachten wir dies am Beispiel der IT-Sicherheit:
Risiken im IT-Bereich:
 Ausfall von Hardware
 Ausfall von Mitarbeitern
 externe Störungen (Hacker, Viren, Würmer)
14
 Online-Missbrauch
 mangelnde Speicherkapazität.
Bei großen Unternehmen umfasst die Risikoauflistung ein ganzes Buch. Die Risikoidentifikation muss alle Risiken erfassen, die für sich alleine oder kumuliert mit anderen Risiken zu nennenswerten Störungen des Geschäftsablaufs und zur Gefährdung der
Unternehmensziele führen können.
Es spielt dabei keine Rolle, ob die Risiken von außen kommen oder im Unternehmen
selbst vorhanden sind, ob sie beeinflussbar sind oder nicht. Auch nicht beeinflussbare
Risiken müssen erfasst werden (z. B. Gesetzesänderungen).
Wenn man die Risikoidentifikation gründlich durchführt, wird man feststellen, dass
es Interdependenzen von Risiken gibt und Risikohierarchien. Außerdem wird bewusst werden, dass sich die Risikostruktur im Zeitablauf ändern kann.
5.
Leitlinien für den Wirtschaftsprüfer
Gerade die Identifikation von Risiken bereitet oft die meisten Schwierigkeiten und
lässt sich nur durch ein strukturiertes System erfassen. Für die Rechtsabteilungen
bzw. auch Personalverantwortlichen dürften hierbei die Leitlinien hilfreich sein, die
seitens der Wirtschaftsprüfung erarbeitet wurden, soweit es um die IT-Sicherheit
geht. Ich zitiere einen Auszug aus dem IDW PS 330:
 Verschaffen Sie sich einen Überblick über das IT-Risikobewusstsein im Unternehmen anhand von Erhebungen bzw. Befragungen.
 Sind die Risiken aus dem Einsatz von IT Gegenstand der Erörterung in den
Aufsichtsgremien oder in den Strategiesitzungen der Geschäftsführung?
 Kommuniziert das Unternehmen IT-Risiken und die zur Begegnung dieser Risiken umgesetzten Maßnahmen an die Mitarbeiter? Wird auf aktuelle Risiken
15
aus dem Einsatz von IT hingewiesen (z. B. Virenwarnungen per Rundschreiben
oder E-Mail)?
 Werden IT-Schulungen bzw. andere Aus- und Weiterbildungsmaßnahmen angeboten, die auch das Thema IT-Risiken und IT-Sicherheit behandeln?
 Besteht bei der Unternehmensleitung und Mitarbeitern ein angemessenes Risikobewusstsein bezüglich möglicher Risiken aus dem IT-Einsatz?
 Beurteilen Sie die Angemessenheit im Hinblick auf die festgestellten Maßnahmen.
 Werden vom Risikofrüherkennungssystem die maßgeblichen IT-Risiken erfasst, bewertet und mitgeteilt, die zu einer Bestandsgefährdung führen können?
 Sind Sachverhalte aktenkundig, die ihre Ursache in einem Verstoß der Unternehmensleitung oder der Mitarbeiter gegen IT-relevante Sicherheitsbestimmungen, Arbeitsanweisungen oder Gesetzesbestimmung (bspw. Bundesdatenschutzgesetz) haben?
 Gab es nennenswerte Ausfälle des IT-Systems, die zu einer Beeinträchtigung
der Leistungsfähigkeit des Unternehmens in der Vergangenheit geführt haben?
 Wurden unberechtigte Zugriffe auf das IT-System festgestellt?
 Sind
Schäden
aufgetreten,
die
bspw.
auf
unzureichende
IT-
Sicherheitsmaßnahmen bzw. auf Verfügbarkeitsprobleme bezüglich des ITSystems zurückzuführen sind?
Ganz wesentlich ist auch die Risikokommunikation. Sie muss den Informationsfluss
über die identifizierten Risiken sicherstellen. Um die Frühwarnfunktion zu gewährleis16
ten, muss ein geeignetes und wirksames Berichtswesen installiert werden. Es muss
sowohl Angaben über den Risikoeintritt als auch über Veränderungen bei der Eintrittswahrscheinlichkeit oder der möglichen Schadenshöhe enthalten.
Für jedes Risiko muss der Berichtsweg festgelegt werden: Wer muss an wen berichten
und welche weiteren Konsequenzen sind vom Berichtsempfänger zu veranlassen? Es
ist ganz klar, dass die Wirksamkeit des Risikoüberwachungssystem ganz entscheidend
von der Risikokommunikation abhängt. Deshalb müssen Personen (Berichterstatter
und Berichtsempfänger sowie deren Vertreter und Untervertreter), Zeitpunkte und Inhalte der Berichte sehr detailliert festgelegt werden, weiterhin auch die Verantwortlichkeiten und die vorzunehmenden Handlungen bei Eintritt bestimmter Risikowarnstufen.
Schließlich ist ein bedeutendes Element des Risikofrüherkennungssystems die Risikoüberwachung. Sie dient der Sicherstellung der dauerhaften Wirksamkeit des Systems.
Allen Organisationssystemen droht die Gefahr der unerkannten und unmerklichen
Unwirksamkeit, weil sie bei schleichenden Veränderungen mit den neuen Bedingungen nicht mehr kompatibel sind.
6.
Die Risikoprävention gem. § 91 Abs. 2 AktG hinsichtlich der IT-Sicherheit
Als bestandsgefährdend werden – wie schon erwähnt – solche Sachverhalte qualifiziert, die eine Überschuldung oder Illiquidität auslösen können.
Die Gesetzesbegründung nennt hier insbesondere risikobehaftete Geschäfte, Unrichtigkeiten bei der Rechnungslegung und Verstöße gegen gesetzliche Vorschriften, die
sich auf die Vermögens-, Finanz- und Ertragslage nachhaltig auswirken.
In diesen Kontext gehören auch die vielfältigen Gefahren, die mit der Etablierung der
modernen Kommunikationsmittel in den Unternehmen verbunden sind.
17
Die aus einer Internetnutzung am Arbeitsplatz resultierenden Risiken mögen zwar
im Einzelfall nicht gleich zu einer Bestandsgefährdung führen.
Indessen kann es durchaus existenzbedrohend sein, wenn entsprechende Kontrollmechanismen fehlen und z. B. Betriebsgeheimnisse, wie Konstruk-tionspläne, Kostenkalkulationen oder gar Informationen über neue Produkte, versehentlich oder gar bewusst
in das Netz gelangen und auf diesem Weg Konkurrenten zugänglich gemacht werden,
insbesondere bei Unternehmen, die sich bereits in einer wirtschaftlichen Krise befinden. Dies gilt auch für Viren oder Trojaner, die Datensysteme lahmlegen und infolgedessen ein Produktionsstillstand eintritt oder Daten über offene Forderungen verlorengehen, die sodann verjähren. Das Spektrum solcher IT-bedingter Risiken ließe sich
beliebig erweitern, wobei Einzelrisiken in ihrer Kumulierung durchaus existenzgefährdende Wirkung entfalten können.
Die Risikobewertung sollte vor allem unter dem Gesichtspunkt der möglichen Höhe
und der Eintrittswahrscheinlichkeit des denkbaren Schadens erfolgen.
Dies gilt auch für I m a g e – R i s i k e n, wie sie in dem hier relevanten Zusammenhang z. B. daraus entstehen können, dass Mitarbeiter die Online-Systeme zu rechtsmissbräuchlichen Handlungen nutzen oder ein Vertrauensverlust bei Geschäftpartnern
entsteht, weil der Verdacht aufkommt, vertrauliche Daten und Informationen würden
nicht mit der gebotenen Sorgfalt
behandelt. Diese Risiken lassen sich zwar nur schwer in Zahlen fassen, sollten aber
angesichts ihrer nachhaltigen Wirkungen ebenfalls in das „Frühwarnsystem“ einbezogen werden.
Hinzutreten die Risiken, die aus einer mangelnden Speicherkapazität resultieren.
18
B) Risiken infolge der Online-Kommunikation von Mitarbeitern
I.
Rechtsmissbräuchliche Nutzung
Neben dem Empfang bzw. dem Versenden pornographischer Dateien oder extremistischer Inhalte vom Internetarbeitsplatz aus, die – werden sie öffentlichkeitswirksam –
durchaus zu Imageverlusten bei dem betroffenen Unternehmen führen können, dürfen
z. B. auch Urheberrechtsverletzungen nicht außer Acht bleiben, die mit der Etablierung des Internet in hohem Maß zugenommen haben.
Verschafft sich ein Mitarbeiter auf illegale Weise den Zutritt zu fremden Datenbanken,
um z. B. vertrauliche Informationen über Produkte eines anderen Herstellers zu erlangen, so liegt ein Verstoß gegen § 202a StGB vor, ein Straftatbestand, der auch zivilrechtliche Schadensersatzansprüche gegen das Unternehmen auslösen kann.
Dies gilt z. B. auch für die – wenn auch nur fahrlässige – Weiterverbreitung eines Virus, wenn dadurch Systeme anderer Unternehmen in Mitleidenschaft gezogen werden.
II.
Haftung des Unternehmens für Internetaktivitäten ihrer Arbeitnehmer
Für das jeweilige Unternehmen stellt sich die Frage, ob und in welchem Umfang es für
solche Missbräuche von Mitarbeitern in die Haftung genommen werden kann.
1.
Haftung aus Vertragsverletzung (Leistungsstörungen)
Sofern im Rahmen eines Vertragsverhältnisses zwischen dem Unternehmen, für das
der Mitarbeiter tätig ist und dem Vertragspartner infolge von „Missbräuchen“ der
Internetkommunikation (z. B. Verbreitung von Viren, Datenmanipulation, Computer19
sabotage, Urheberrechtsverletzungen etc.) Schäden entstehen, kommt eine Haftung
gem. §§ 280 Abs. 1 S. 1, 276, 278 BGB in Betracht. Der Mitarbeiter ist hier als „Erfüllungsgehilfe“ anzusehen, für dessen Verschulden einzustehen ist.
2.
Haftung für den Verrichtungsgehilfen gem. § 831 BGB
Neben der Zurechnung bei der Verletzung von Vertragspflichten gem. § 278 BGB,
kommt insbesondere eine Haftung gem. § 831 BGB für den sog. „Verrichtungsgehilfen“ in Betracht, sofern dieser eine sog. „unerlaubte Handlung“ begeht.
Anknüpfungspunkt ist dabei das Unterlassen entsprechender Schutzmaßnahmen, wobei der Internetarbeitsplatz, von dem aus z. B. die Weiterverbreitung eines Virus oder
eine sonstige schadensverursachende Maßnahme ausgeht, eine potentielle Gefahrenquelle darstellt, aus der sich eine Art „I n t e r n e t - V e r k e h r s i c h e r u n g s p f l i c h t “
ergibt.
3.
Zur Organhaftung gem. § 31 BGB
Über die Haftungsregelungen des Aktiengesetzes bzw. des GmbH-Gesetzes für Vorstände bzw. Geschäftsführer hinaus findet in e x t e n s i v e r Weise auch die Zurechnungsregelung des § 31 BGB Anwendung, d. h. die Haftung für „sog. verfassungsmäßig berufene Vertreter“.
Dadurch wird j e d e r Arbeitnehmer erfasst, der die juristische Person aufgrund einer
e i g e n v e r a n t w o r t l i c h e n Tätigkeit repräsentiert.
Diese Regelung entstammt zwar dem Vereinsrecht. Sie wird jedoch auch bei anderen
juristischen Personen entsprechend herangezogen, insbesondere, um die über § 831
BGB mögliche Exkulpation – also die Freistellung von der Haftung – weitgehend auszuschalten.
20
4.
Weitere Zurechnungsregelungen des Wirtschaftsrechts
Da gerade Urheberrechtsverletzungen im Rahmen der Internetnutzung durchaus an der
Tagesordnung sind – man betrachte nur einmal eine jüngere Entscheidung des OLG
Frankfurt, die den Geschäftsführer einer GmbH wegen Urheber- bzw. Markenrechtsverstößen von Mitarbeitern – auch ohne dessen Kenntnis hiervon – persönlich in die
Haftung nimmt – , gehört es auch zu einem effizienten Risikomanagement, die Beschäftigten durch entsprechende Dienstanweisungen, Informationen und durch ein entsprechendes Controlling auf die wirtschaftlichen wie rechtlichen Folgen hinzuweisen.
III.
Haftungsszenarien, Beispiele
Natürlich ist derjenige strafbar, der von außen oder von innen Viren, Trojaner oder
Würmer in das Netz einspeist, Daten vernichtet oder ausspäht.
Das Strafgesetzbuch sieht in den §§ 303a, 303b StGB für diese Fälle empfindliche
Haftstrafen vor.
Aber was nützen im Ergebnis solche Straftatbestände und mögliche Sanktionen
gegen die Verursacher, wenn der Schadensfall eingetreten ist.
Das geschädigte Unternehmen fragt indessen seine Geschäftsführung, wie es zu
diesem „Unfall“ kommen konnte. Und die Versicherung, die den Schaden kompensieren soll, stellt die gleiche Frage. Sie wird im Zweifelsfall den Schutz versagen, weil
sie die Verantwortung für Lücken im Sicherungssystem der Geschäftsleitung zuweist.
Und die Geschäftsleitung, die selbst „am Pranger“ steht, stellt diese Frage natürlich
dem IT-Sicherheitsverantwortlichen bzw. den Mitarbeitern, die in diesem Bereich
tätig sind. Der Grund hierfür liegt auf der Hand. Man will die Verantwortung und damit vor allem die Haftung auf möglichst viele Schultern verteilen.
Lassen Sie uns dies einmal an Hand von zwei Beispielen, wie sie tagtäglich vorkommen, demonstrieren:
21
1.
Beispielsfälle aus der Praxis
Szenario 1
Sie sind IT-Verantwortlicher eines Unternehmens. Ein Hacker dringt in Ihr EDVSystem ein und entwendet vertrauliche Entwicklungsdaten eines Ihrer Kunden, die bei
Ihnen gespeichert sind. Dieser will entsprechenden Schadensersatz von Ihrem Unternehmen. Das Unternehmen kommt auf Sie zu und will persönlich von Ihnen die
Schadenskompensation. Es stellt sich heraus, dass Ihr Sicherheitskonzept bzw. die
Technologien nicht mehr auf dem aktuellen Stand sind.
Szenario 2
Sie sind Vorstand, Geschäftsführer oder IT-Sicherheitsbeauftragter.
Einer Ihrer Mitarbeiter surft dienstlich im Internet und fängt sich einen Virus, da der
Virenscanner nicht mehr auf neuestem technischem Stand ist.
In Unkenntnis überträgt er diesen Virus im Rahmen der geschäftlichen Kommunikation an einen Ihrer Kunden, dem ein erheblicher wirtschaftlicher Schaden entsteht. Er
verlangt von Ihrem Unternehmen den Schadensausgleich; das Unternehmen von Ihnen.
Die Rechtslage stellt sich, wenn wir einmal den Haftungs- und Regressprozess
nachzeichnen, wie folgt dar:
2.
Haftung des Unternehmens
Zwischen dem Unternehmen und dem Kunden besteht ein Vertragsverhältnis. Im
Rahmen dieser Rechtsbeziehung haftet das Unternehmen – sofern eine Sicherheitslücke besteht – gem. den §§ 280 Abs. 1 S. 1, 241 Abs. 2 BGB wegen der schuldhaften
Verletzung von Sorgfaltspflichten auf Schadensersatz. § 241 Abs. 2 des BGB sieht
vor, dass das Unternehmen verpflichtet ist, alles Erforderliche zu unternehmen, um
22
Schaden von dem Vertragspartner abzuwenden. Da § 280 Abs. 1 S. 2 BGB auch noch
eine „Umkehr der Beweislast“ beinhaltet, muss das Unternehmen sein NichtVerschulden beweisen. In der Praxis dürfte dies nur schwer möglich sein. Dies bedeutet, dass von einer Schadensersatzpflicht des Unternehmens auszugehen ist.
Also tritt eine Haftung des Unternehmens auf Schadensersatz gegenüber Ihrem Kunden ein. Als Haftungstatbestände kommen auch die folgenden o. g. Regelungen in
Betracht:
3.
Haftung für den Verrichtungsgehilfen gem. § 831 BGB
Neben der Zurechnung bei der Verletzung von Vertragspflichten gem. § 278 BGB, ist
eine Haftung gem. § 831 BGB für den sog. Verrichtungsgehilfen in Betracht zu ziehen, sofern dieser eine unerlaubte Handlung i. S. d. § 823 BGB begeht.
Sofern z. B. durch einen Virus, der in das System eines anderen Unternehmens gelangt, dort Datenbestände vernichtet werden, kommt eine „Eigentumsverletzung“ i. S.
d. § 823 Abs. 1 BGB bzw. der Eingriff in den „eingerichteten und ausgeübten Gewerbebetrieb“ i. S. d. § 823 Abs. 1 BGB in Betracht.
Anknüpfungspunkt ist dabei das Unterlassen entsprechender Schutzmaßnahmen,
wobei der Internetarbeitsplatz, von dem aus eine schadensverursachende Maßnahme ausgeht, eine potentielle Gefahrenquelle darstellt, aus der sich eine Art „I n t e r n e t - V e r k e h r s i c h e r u n g s p f l i c h t “ ergibt.
Da der Mitarbeiter ein sog. Verrichtungsgehilfe ist, haftet das Unternehmen, es sei
denn, es kann sich exkulpieren, weil es den Mitarbeiter sorgfältig ausgewählt und
überwacht hat.
23
4.
Haftung der Geschäftsleitung
Ist eine Lücke im Sicherheitssystem vorhanden, so wird sich das Unternehmen zunächst bei dem Vorstand der Aktiengesellschaft gem. § 93 Abs. 2 AktG bzw. in entsprechender Anwendung der Regelung bei der Geschäftsführung einer GmbH schadlos
halten.
Nun aber stellt sich die Frage, wie jetzt z. B. der IT-Security-Manager, der ITAbteilungsleiter etc. haften.
Während die Haftung der Geschäftsleitung unmittelbar aus dem Aktiengesetz oder aus
einer entsprechenden Anwendung der aktienrechtlichen Regelungen bei GmbH’s, also
aus der Organhaftung herzuleiten ist, richtet sich die Haftung leitender Mitarbeiter
nach den allgemeinen arbeitsrechtlichen Grundsätzen.
5.
Haftung der IT-Security-Verantwortlichen auf der nachgeordneten Ebene
aus arbeitsrechtlichen Grundsätzen
Abzustellen ist dabei auf den Arbeitsvertrag und auf die daraus resultierenden Pflichten.
Ob es sich nun um Virenschutz handelt oder um die Schaffung ausreichender Speicherkapazitäten – worauf später noch einzugehen ist – hat der Mitarbeiter, sofern er für
den IT-Bereich zuständig ist, dafür Sorge zu tragen, dass entsprechende immer wieder
zu überarbeitende Schutzkonzepte vorhanden sind, ebenso die effektivsten Technologien.
Dabei trifft ihn die sicherlich mühsame Pflicht, in Gesprächen mit der Geschäftsführung auf die Notwendigkeit der ständigen Verbesserung von Sicherheitsstandards hinzuweisen.
24
Im eigenen wohlverstandenen Interesse sollte er ein lückenloses Dokumentationsund Berichtswesen schaffen, aufgrund dessen er jederzeit nachweisen kann, dass er
alles Erforderliche getan hat um Schäden zu vermeiden.
Andernfalls drohen folgende Konsequenzen: Den Mitarbeiter trifft sodann der Vorwurf der sog. Positiven Vertragsverletzung des Arbeitsvertrages, was wiederum die
Ersatzpflicht aus § 280 Abs. 1 S. 1 BGB auslöst und dies ebenfalls mit einer Beweislastumkehr gem. § 280 Abs. 1 S. 2 BGB. Zwar hat die Arbeitsrechtsprechung eine
Haftungserleichterung bei „betrieblich veranlassten Schäden“ geschaffen.
Dies bedeutet, dass man nur bei leichtester Fahrlässigkeit (der sog. levissima) von
der Haftung befreit ist.
Bei grober Fahrlässigkeit oder gar Vorsatz haftet man jedoch in vollem Umfang.
Ansonsten, d. h. bei mittlerer Fahrlässigkeit, erfolgt eine Schadensersatzteilung.
IV. Das Damoklesschwert des Strafrechts
Wann setzt sich ein Arbeitgeber dem Vorwurf der Beihilfe gem. § 27 StGB oder sogar
der Mittäterschaft i. S. d. § 25 Abs. 2 StGB aus, wenn der Mitarbeiter pornographische
bzw. extremistische Dateien empfängt oder versendet, wenn er wettbewerbsrechtswidrige Äußerungen verbreitet oder Markenrechtsverstöße bzw. urheberrechtswidrige
Handlungen begeht?
Mit der Implementierung der §§ 7 bis 10 TMG (Telemediengesetz) (früher §§ 8 TDG,
MDStV a.F.) hat der Gesetzgeber zum Teil „P r i v i l e g i e r u n g e n “ geschaffen, die
sog. ( p r o f e s s i o n e l l e ) P r o v i d e r sowohl von einer straf- wie einer zivilrechtlichen
Verantwortung und Inanspruchnahme freistellen.
So sieht § 8 Abs. 1 TMG vor, dass der A n b i e t e r grundsätzlich nicht verantwortlich
ist, der „fremde Informationen in einem Kommunikationsnetz übermittelt“ oder zu
denen er den „Zugang zur Nutzung vermittelt“.
25
1.
Beispiele für Rechtsmissbräuche durch Arbeitnehmer unter strafrechtlichen
Aspekten
An Beispielen aus der Praxis für solche Rechtsmissbräuche ermangelt es nicht. Wie
Presseveröffentlichungen und vereinzelte arbeitsgerichtliche Entscheidungen dokumentieren, wird der dienstliche Internetanschluss z. B. zum Empfang pornographischer
Dateien verwendet. So wurde dem Leiter eines Kindergartens fristlos gekündigt, als
anlässlich staatsanwaltschaftlicher Ermittlungen auf dessen PC aus dem Internet heruntergeladene Bilddateien mit Kinderpornographie (strafbar gem. § 184b Abs. 1 Nr. 3
StGB) sichergestellt wurden. Das gleiche Schicksal ereilte einen Krankenhausarzt, der
an seinem Arbeitsplatz kinderpornographische Darstellungen aus dem Internet heruntergeladen hatte.
Dass es sich hierbei um Ausnahmefälle handelt, muss bezweifelt werden. Allerdings
dürften solche strafrechtlich relevanten Verhaltensweisen in Unternehmen und Organisationen in der Regel wohl eher auf der internen, rein arbeitsrechtlichen Ebene, z. B. in
Form von Abmahnungen, Kündigungen oder Aufhebungsverträgen behandelt werden.
Häufig scheut man seitens des Arbeitgebers aus Furcht vor Reputationsverlusten die
Einschaltung der Strafverfolgungsbehörden.
Außerdem wird der Arbeitnehmer auf einen Kündigungsschutzprozess lieber verzichten, weil er andernfalls mit einem Strafverfahren rechnen muss. Sollte ein solcher
Sachverhalt im Prozess durch den Arbeitgeber als Kündigungsgrund vorgetragen werden, sähe sich der Arbeitsrichter dazu veranlasst, die Akte an die Staatsanwaltschaft
weiterzuleiten.
Entsprechendes dürfte für die Verbreitung extremistischer Äußerungen gelten, die
durch eine Reihe von Strafnormen sanktioniert werden.
Auch spezifische Computerdelikte kommen hier in Betracht. Dazu zählen dass Ausspähen von Daten (§ 202a Abs. 1 StGB), die Datenveränderung (§ 203a StGB), die
26
Computersabotage i. S. d. § 303b StGB oder der Computerbetrug nach § 263a StGB;
Regelungen, die im übrigen Schutzgesetze i. S. d. § 823 Abs. 2 BGB darstellen und
Ersatzansprüche auslösen. So liegt ein Verstoß gegen § 202a Abs. 1 StGB vor, wenn
ein Mitarbeiter sich illegal das Passwort für die Zugangsberechtigung zu den Datensystemen der Entwicklungsabteilung eines anderen Unternehmens verschafft und per
Internet die Informationen über neue Firmenprodukte oder Konstruktionsdateien zugreift, um sie im eigenen Unternehmen zu verwenden.
Weniger spektakulär, aber infolge der großen volkswirtschaftlichen Schäden von eminenter Bedeutung, sind Urheberrechtsverletzungen, die mit der Einführung des Internets in hohem Ausmaß zugenommen haben, häufig jedoch mangels entsprechenden
Unrechtsbewusstseins noch der Kategorie der „Kavaliersdelikte“ zugeordnet werden.
Ein markantes Beispiel ist das Herunterladen von Musikdateien, wie das sog. AOLUrteil zeigt In dieser Entscheidung ging es zwar um die zivilrechtliche Haftung eines
sog. Host-Providers, der Raubkopien, sog. Midi-Files (Musik-Files im Midi-Format)
auf seinem Server bereitgehalten hatte. Indessen stellt sich eine vergleichbare Problematik, sofern in einem Unternehmen Mitarbeiter an ihrem Internetarbeitsplatz durch
das Downloading und die Weiterverbreitung raubkopierter Musik-Dateien Urheberrechtsverstöße begehen.
Überdies bietet das Internet die technische Möglichkeit, problemlos verschiedenste
Darstellungsformen, wie Texte, Bilder, Musikteile, Filmsequenzen oder Videos etc.,
miteinander zu kombinieren und zu einem neuen Werk zu verschmelzen. Dies schafft
einen erhöhten Anreiz, auf diese Weise fremde Urheberrechte zu verletzen.
Hierzu zählt z. B. auch die urheberrechtswidrige Verschaffung und Nutzung fremder,
in das Internet eingestellter Datenbankwerke oder Datenbanken i. S. d. § 87a UrhG.
Die Vorstellung, dass im „Tagesgeschäft“ solche Verstöße – durch Arbeitnehmer begangen – im Einzelfall durch den Arbeitgeber „übersehen“ oder gar bewusst „geduldet“ werden, etwa, wenn sie dem Unternehmen wirtschaftliche Vorteile verschaffen,
27
erscheint keinesfalls abwegig. Erhebliche Personal- bzw. Entwicklungskosten können
so eingespart werden.
Ein so erlangter „ökonomischer Mehrwert“ kann aber nicht nur zivilrechtliche Konsequenzen in Form von Schadensersatz- bzw. Unterlassungsansprüchen zur Folge haben.
Wie erheblich hier das haftungsrechtliche Risiko ist, macht u. a. eine jüngere Entscheidung des OLG Frankfurt deutlich. Dort wurde der Geschäftsführer einer GmbH
wegen Urheber- bzw. Markenrechtsverstößen seiner Mitarbeiter – auch ohne Kenntnis
hiervon – persönlich in die Haftung genommen, da die Voraussetzungen einer „Erstbegehungsgefahr“ gegeben waren.
Auch strafrechtliche Sanktionen sind zu bedenken. Gerade letztere werden häufig
nicht mit der notwendigen Schärfe gesehen.
Strafrechtlich bewehrt ist ein solcher Verstoß gem. §§ 106 ff. UrhG, wobei grundsätzlich ein S t r a f a n t r a g des Verletzten notwendig ist. Gem. § 108a UrhG erfolgt eine
Verfolgung sogar v o n A m t s w e g e n , sofern ein „g e w e r b s m ä ß i g e s “ Handeln vorliegt, also wenn aus der wiederholten Begehung eine Einnahmequelle von einer gewissen Dauer und Erheblichkeit geschaffen werden soll.
2.
(Mit-)Verantwortlichkeit des Arbeitgebers - Beihilfe durch Unterlassen
Ob den Arbeitgeber bei einem entsprechenden Vorverhalten des Arbeitnehmers das
Risiko einer s t r a f r e c h t l i c h e n Mitverantwortung trifft, wenn letzterer z. B. pornographische Darstellungen abruft bzw. versendet, Verbreitungs- bzw. Äußerungsdelikte
oder Urheberrechtsverletzungen begeht und der Arbeitgeber nicht einschreitet, hängt
u. a. davon ab, ob ihm z u m i n d e s t der Vorwurf einer Beihilfe gem. § 27 StGB gemacht werden kann. Entsprechendes gilt auf h a f t u n g s r e c h t l i c h e r E b e n e gem. §
830 Abs. 2 BGB, der die Beihilfe zu einer unerlaubten Handlung i. S. d. §§ 823 ff.
BGB erfasst, wobei auch diese Beihilfe im strafrechtlichen Sinne zu verstehen ist.
28
a) Nichteinschreiten bzw. Dulden als Anknüpfungspunkt
Anknüpfungspunkt ist hier das U n t e r l a s s e n eines Einschreitens bzw. das Dulden seitens des Arbeitgebers. Darin liegt der „S c h w e r p u n k t d e r V o r w e r f b a r k e i t “, das maßgebliche Kriterium, nach dem die herrschende Auffassung zwischen dem positiven Tun und dem Unterlassen abgrenzt.
Ebenso wenig, wie in der Einrichtung und dem Bereitstellen eines Servers – also
einem positiven Tun – durch einen Provider ein rechtlich zu missbilligendes Verhalten zu sehen ist, ebenso wenig gilt dies für die Einrichtung eines Internetarbeitsplatzes bzw. die Installierung eines E-Mail-Anschlusses.
b) Der Internetarbeitsplatz als Gefahrenquelle; Garantenstellung aus einer
Verkehrssicherungspflicht
Allerdings bedarf es – sowohl für die zivil- wie strafrechtliche Verantwortlichkeit
– einer G a r a n t e n s t e l l u n g des Arbeitgebers, aus der die Rechtspflicht erwächst, entsprechende Rechtsgutverletzungen zu verhindern.
Mangels einer ausdrücklich gesetzlich normierten Pflicht kommt eine Garantenstellung nach den „allgemeinen Grundsätzen“ in Betracht. Hierbei ist die Garantenstellung aus einer „V e r k e h r s s i c h e r u n g s p f l i c h t “ von Relevanz. Diese
folgt grundsätzlich aus der Verfügungsgewalt über eine Gefahrenquelle.
Vorliegend könnte sie sich aus der Einrichtung und Zurverfügungstellung des
Internetarbeitsplatzes ergeben. Von diesem geht die potentielle Gefahr für
Rechtsgüter Dritter aus.
Allgemein anerkannt ist aber, dass allein die tatsächliche Sachherrschaft über eine Gefahrenquelle noch nicht zur Begründung einer Garantenpflicht ausreicht.
29
Hinzutreten muss insbesondere ein „V e r t r a u e n s e l e m e n t “, das von der Rechtsprechung und der Literatur zur Begründung der Verkehrssicherungspflicht verlangt wird. Dieses beinhaltet, dass die Allgemeinheit davon ausgeht bzw. ausgehen kann, der Verantwortliche werde die Gefahr beherrschen.
Bezüglich der Internetkommunikation wird ein solcher Vertrauenstatbestand
vielfach noch mit dem Argument verneint, dass die Öffentlichkeit noch keine gefestigte Erwartungshaltung in Bezug auf die „Sauberkeit des Internets“ haben
könne. Das Gegenteil sei der Fall. Eine solche Betrachtung würde indessen, da –
bekannterweise – im Internet tagtäglich eine unüberschaubare Anzahl von
Rechtsverstößen begangen wird, dazu führen, dass in diesem Bereich mangels
des daraus resultierenden Vertrauenselements die Verkehrssicherungspflicht als
Garantenstellung weitgehend ihre Bedeutung verlieren würde.
Die „Erwartungshaltung“ der Allgemeinheit ist indessen differenzierter zu sehen
und dabei nicht allein soziologisch-faktisch zu begründen, sondern vor allem
„normativ“. Dabei wird nicht allein auf spezielle Einzelregelungen abgestellt,
sondern auf die wertende Betrachtung, die sich aus der G e s a m t r e c h t s o r d n u n g allgemein – oder in einem b e s t i m m t e n B e r e i c h – ergibt.
Nimmt man eine Garantenstellung an, so würde dies bei einem Nichteinschreiten
oder Dulden rechtswidriger Handlungen des Mitarbeiters (trotz Kenntnis) zu den
o.g. Folgen führen, sofern die übrigen verantwortlichkeitsbegründenden Voraussetzungen erfüllt sind.
Anders als im Strafrecht, wo Gefahrüberwachungspflichten grundsätzlich nur für
„unmittelbare Gefahren“, nicht aber für ein „selbständiges Verhalten Dritter“ bestehen, haftet im Bereich des Zivilrechts auch derjenige, der die Gefahrenquelle
geschaffen hat, selbst für ein vorsätzliches Handeln Dritter. Wenn der Arbeitnehmer haftungsbegründende Handlungen vornimmt, kommt mithin eine entsprechende (Mit-)Verantwortlichkeit des Arbeitgebers in Betracht.
30
Aber auch wenn im Strafrecht anerkannt ist, dass einer Garantenpflicht durch ein
„eigenverantwortliches“ deliktisches Verhalten Dritter Grenzen gesetzt sind, gelten entsprechende Ausnahmen. So, wenn der „eigene Organisationskreis“ (also
der des Herrschers über die Gefahrenquelle) mit dem des deliktisch selbständig
Handelnden verknüpft ist oder wenn eine irgendwie geartete „Beteiligung des
Beherrschers der Gefahrenquelle“ am Verhalten anderer Personen zu verzeichnen
ist. Zumindest die letztgenannte Voraussetzung wäre hier in Erwägung zu ziehen,
da durch die Zurverfügungstellung des Internetanschlusses eine Förderungshandlung bzgl. des „inkriminierenden“ Verhaltens des Mitarbeiters objektiv gegeben
ist.
c) Notwendigkeit und Zumutbarkeit der Erfolgsverhinderung
Allerdings müsste die Möglichkeit bestehen, dass die Rechtsgutverletzung in
„zumutbarer“ Weise verhindert werden kann.
Was notwendig und zugleich zumutbar ist, bestimmt sich in erster Linie nach der
Schwere der drohenden Gefahr für das jeweilige Rechtsgut. Die Entscheidung
über die Zumutbarkeit von Sicherheitsvorkehrungen orientiert sich dabei auch an
den Modalitäten der Gefahrherabsetzung und Gefahrbeherrschung, einschließlich
des damit verbundenen Aufwands, also am technisch Möglichen und am wirtschaftlich Machbaren.
Neben dem Einsatz von Filterlösungen, die verhindern, dass z. B. auf pornographische oder extremistische Dateien zugegriffen werden kann, ist bei Kenntniserlangung des Arbeitgebers von dem rechtswidrigen Verhalten des Mitarbeiters zu
erwarten, dass er z. B. den Mitarbeiter von dem Internetarbeitsplatz entfernt, also
arbeitsrechtliche Konsequenzen zieht.
31
d) Bedingter Vorsatz
Allerdings wäre für eine Beihilfe der entsprechende Vorsatz notwendig, wobei
ein „bedingter Vorsatz“ genügt. Der Gehilfe muss wissen, dass er eine bestimmte
fremde Tat unterstützt und dass es mit Hilfe seines Beitrags zur Vollendung
kommen wird, selbst dann, wenn ihm der Eintritt des Erfolges unerwünscht ist.
Der bedingte Vorsatz lässt es dabei für die erforderliche „intellektuelle Komponente“ genügen, dass der jeweilige Erfolg als möglich und nicht ganz fernliegend
erkannt wird.
Diese Grundsätze gelten auch, sofern seitens des Arbeitnehmers eine unerlaubte
Handlung i. S. d. § 823 Abs. 1, 2 BGB vorliegt, zu der i. S. d. § 830 Abs. 2 BGB
Beihilfe geleistet wird.
e) Ergebnis
Festzuhalten ist:
Ein Arbeitgeber kann sich nach den „allgemeinen Rechtsgrundsätzen“ zumindest
dem Vorwurf einer „Beihilfe“ aussetzen, sofern er nach Kenntniserlangung von
einer straf- bzw. zivilrechtlich relevanten missbräuchlichen Nutzung des dienstlichen Internetanschlusses aber auch eines anderen elektronischen Kommunikationssystems, wie einem E-Mail-Anschluss, durch den Arbeitnehmer nicht sofort
Gegenmaßnahmen ergreift oder diese Aktivitäten sogar duldet.
V.
Risikomanagement und Controlling im Zusammenhang mit der Nutzung
von Online-Aktivitäten
1.
Kontrolle als Voraussetzung einer Exkulpation
Nicht nur vor dem Hintergrund strafrechtlicher Risiken, sondern auch bezüglich einer zivilrechtlichen Haftung stellt sich die Frage nach Vermeidungsstrategien.
32
So postuliert § 91 Abs. 2 AktG generell ein Risikomanagement und ein entsprechendes Controlling.
Auch § 831 Abs. 1 S. 2 BGB verlangt dies, will sich der „Geschäftsherr“ exkulpieren, um einem Schadensersatzanspruch zu entgehen.
Um das bei dem Einsatz eines Verrichtungsgehilfen vermutete V e r s c h u l d e n des
Geschäftsherrn zu widerlegen, ist die fortgesetzte Prüfung erforderlich, ob der Mitarbeiter seine Verrichtungen ordnungsgemäß ausführt. Um das sog. „Überwachungsverschulden“ zu widerlegen, ist auch eine „planmäßige, unauffällige Überwachung
mit – auch unerwarteten – Kontrollen“ notwendig.
Neben den entsprechenden Hinweisen über Gefahren bei der Nutzung von OnlineSystemen, wie sie in vielen Unternehmen in Form von sog. IT-Policies, Dienstanweisungen oder Betriebsvereinbarungen – aber auch bereits in Arbeitsverträgen – anzutreffen sind, bedienen sich Unternehmen in zunehmendem Maße entsprechender F i l t e r t e c h n o l o g i e n , um die Internetaktivitäten von Mitarbeitern bzw. ein- und ausgehende E-Mails zu überwachen.
2.
Technologische Seite: Software-Filter
Dabei ist die individuelle Einsichtnahme in Mitarbeiter-E-Mails eine Möglichkeit, aber
angesichts deren Vielzahl kaum praktikabel. Softwareanbieter stellen daher eine breite
Palette von Programmen zur Verfügung, die vom einfachen Virenschutz über sog. Firewalls bis hin zu komplexen Filterlösungen reichen, die praktisch eine lückenlose
Inhaltskontrolle ermöglichen. So kann festgestellt werden, welche Dateien der Mitarbeiter in welchem Zeitraum bearbeitet bzw. welche Programme er wie lange benutzt.
Aufgerufene Seiten werden mit Datums- oder Zeitangaben festgehalten. Es können
Übersichten über bestimme Zeiträume erstellt werden. Daten werden in speziellen
Logfiles abgespeichert. Diese werden nach bestimmten Stichwörtern durchsucht, au33
tomatisch ausgewertet und zu Überschriften zusammengestellt, die den jeweiligen
Nutzern zugeordnet werden können.
Ein- bzw. ausgehende E-Mails werden auf der Basis des an die Nachricht angehängten
Anlagetyps „in Quarantäne“ geschickt und dort überprüft. Die Software ermöglicht die
Erkennung aller Dateien einer bestimmten Kategorie – z. B. urheberrechtswidrige Musikdateien, sexistische bzw. extremistische Inhalte – oder einer bestimmten Größe und
deren Blockade.
Zum Teil gehen Unternehmen dazu über, bei eingehenden E-Mails außenstehender
Dritter die Anhänge abzutrennen; zum einen, um Virenattacken vorzubeugen, aber
auch, weil solche Attachements häufig Inhalte aufweisen, die mit der Tätigkeit des
Mitarbeiters keinen Zusammenhang aufweisen.
Die Funktionsvielfalt solcher Programme ist groß. Die vorstehenden Ausführungen
können sie nur skizzieren, machen aber deutlich, wie eine a u t o m a t i s i e r t e I n h a l t s k o n t r o l l e im Prinzip erfolgt.
3.
Zulässigkeit einer Inhaltskontrolle
Neben den technischen Überlegungen steht also vor allem die Frage im Vordergrund,
ob und in welchem Umfang I n h a l t s k o n t r o l l e n erfolgen dürfen.
Hier aber zeigt sich eine Rechtslage, die durch zum Teil ineinander greifende arbeits-,
datenschutz- bzw. telekommunikationsrechtliche Parameter bestimmt ist; Rahmenbedingungen, die im Hinblick auf Umfang und Anwendbarkeit heftig umstritten sind.
In vielen Fällen bewegt sich der Arbeitgeber bei solchen Kontrollen – insbesondere
beim E i n s a t z v o n F i l t e r s ys t e m e n – in einer G r a u z o n e , die zu Unterlassungsansprüchen der betroffenen Mitarbeiter oder gar zu strafrechtlichen Sanktionen führen
kann.
34
a) Derzeitige Rechtslage in Deutschland
Die häufig verwendeten F i l t e r l ö s u n g e n reichen vom einfachen Virenschutz
über sog. Firewalls bis hin zu komplexen Content-Filtern, d. h. eine Inhaltskontrolle bewirkende Softwarelösungen.
Diese Technologien ermöglichen es z. B. – wie oben schon angesprochen – EMail-Anhänge mit inkriminierenden Inhalten zu blockieren oder garantieren, dass
vertrauliche Dokumente nur verschlüsselt versendet werden. So wird verhindert,
dass selbst kleinste Teile sensibler Dokumente das Unternehmen per E-Mail verlassen. Sog. Detektoren spüren auf, ob in Bildmaterialien Ausschnitte enthalten
sind, die pornographische Dateien enthalten.
Content-Filter ermöglichen zudem eine flexible Sperrung von Web-Seiten nach
den Kriterien: Nutzer, Nutzergruppe, Zeit- bzw. Zeitintervall; die Filterung von
Pop-ups, Plug-ins, Scripts bzw. von Animationen ist ebenfalls möglich. Zunehmend werden auch Filter eingesetzt, um der Spam-Flut, d. h. den unerwünschten
elektronischen Werbe-E-Mails, Herr zu werden.
Ob sich nun ein Arbeitgeber durch Öffnen der E-Mail Kenntnis vom Inhalt verschafft oder ob dies automatisiert durch eine F i l t e r s o f t w a r e geschieht; stets
geht es darum, wo die r e c h t l i c h e n G r e n z e n einer solcher Kontrolle verlaufen.
Auch wenn eine einschlägige höchstrichterliche Rechtsprechung hierzu derzeit
noch nicht vorliegt, ist die Diskussion im rechtswissenschaftlichen Schrifttum bereits in vollem Gange. Grundsätzlich werden Zulässigkeit und Umfang davon abhängig gemacht, ob die p r i v a t e N u t z u n g des Internet- bzw. des E-MailSystems erlaubt ist oder nur dessen g e s c h ä f t l i c h e b z w . d i e n s t l i c h e
Verwendung.
35
Während bei a u s s c h l i e ß l i c h e r l a u b t e r g e s c h ä f t l i c h e r N u t z u n g die
überwiegende Auffassung dem Arbeitgeber noch relativ weitgehende Kontrollrechte einräumen will, so erweist sich insbesondere die Rechtslage dort, wo auch
die private Nutzung erlaubt ist, als heftig umstritten.
Lediglich in einem Punkt herrscht wohl überwiegend Einigkeit und zwar darin,
dass bei einer e r l a u b t e n p r i v a t e n N u t z u n g das TKG (Telekommunikationsgesetz) zur Anwendung gelangen soll, welches das sog. „Fernmeldegeheimnis“ gem. § 88 TKG schützt. Danach ist derjenige, der geschäftsmäßig Telekommunikationsdienste erbringt – w o z u a u c h d e r A r b e i t g e b e r z ä h l e n
soll, der den Internet - bzw. den E-Mail-Anschluss auch zur
p r i v a t e n N u t z u n g z u r V e r f ü g u n g s t e l l t – verpflichtet, das Fernmeldegeheimnis zu wahren. Dieses v e r b i e t e t ihm sodann, sich über das für die geschäftsmäßige Erbringung der Telekommunikationsdienste erforderliche Maß hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation
zu verschaffen.
Dabei wird dieses Postulat so ausgelegt, dass nach dessen Zweckbestimmung eine Überprüfung n u r z u r B e s e i t i g u n g v o n M ä n g e l n bzw. zur E n t g e l t e r m i t t l u n g zulässig sein soll.
Ob ein Kontrollrecht auch zwecks Feststellung einer m i s s b r ä u c h l i c h e n o d e r
gar s t r a f r e c h t l i c h b e d e u t s a m e n N u t z u n g zugestanden wird, wird unterschiedlich beurteilt:
Zum Teil wird dies unter Hinweis auf ein bestehendes G e w o h n h e i t s r e c h t angenommen.
Nach anderer Auffassung soll ein g e n e r e l l e s K o n t r o l l v e r b o t bestehen;
ausgenommen hiervon sei nur die Beseitigung von Funktionsstörungen bzw. die
Erhebung von Daten zwecks Abrechnung. Dieses Überwachungsverbot gelte
auch beim Verdacht einer exzessiven Nutzung bzw. inkriminierender Inhalte.
36
Dem Arbeitgeber bleibe danach selbst bei strafbaren Inhalten nur die Möglichkeit, gerichtliche Maßnahmen zu erwirken. Will der Arbeitgeber diese Konsequenzen vermeiden, müsse er die private Nutzung verbieten bzw. die Erlaubnis
wieder zurücknehmen.
Unabhängig davon, wird allerdings ein Recht zur Inhaltskontrolle angenommen,
wenn der Arbeitnehmer sein g r u n d s ä t z l i c h e s E i n v e r s t ä n d n i s erklärt hat.
Zunächst einmal sind deutliche Zweifel angebracht, wenn es darum geht, den Arbeitgeber, der die private Nutzung gestattet, dem Anwendungsbereich des TKG
zuzuordnen.
Das TKG zielt vor allem darauf ab – wie § 1 TKG zeigt – den Wettbewerb im
Bereich der Telekommunikation zu fördern und flächendeckend eine „angemessene“ und „ausreichende“ Dienstleistung zu gewähren.
Unter diesem wettbewerbsrechtlichen Gesichtspunkt den Arbeitgeber in den Regelungsrahmen des TKG einzubeziehen, erscheint kaum einsichtig.
Ordnet man ihn allerdings diesem Anwendungsbereich zu, so drohen ihm bei
Überschreitung der durch das TKG gesetzten Grenzen durchaus erhebliche S a n
ktionen.
Insbesondere § 206 StGB muss hierbei Beachtung zuteil werden, der das Postbzw. Fernmeldegeheimnis schützt und zum einen die u n b e f u g t e M i t t e i l u n g über dem Fernmeldegeheimnis unterliegende Tatsachen erfasst bzw. b e s
t i m m t e A u s f o r s c h u n g s h a n d l u n g e n sowie das U n t e r d r ü k k e n von S e n d u n g e n.
Liegt allerdings eine E i n w i l l i g u n g des Arbeitnehmers vor, so dürfte
schon der Tatbestand dieser Regelung nicht erfüllt sein, da diese Einwilligung bereits t a t b e s t a n d s a u s s c h l i e ß e n d wirkt.
37
Daher ist
Unternehmen, die
auch
die
private
Nutzung
ermöglichen,
d r i n g e n d z u e m p f e h l e n , diese genauestens zu regeln und die Weitergabe von Erkenntnissen und Daten von dem für das System Verantwortlichen an
den Arbeitgeber aber auch die Weitergabe ggf. an Verfolgungsbehörden – soweit
es um rechtsmissbräuchliche Inhalte geht – in die Einwilligung ausdrücklich einzubeziehen; ebenso die Befugnis zur Löschung von E-Mails, bei denen aufgrund
filterbedingter Erkenntnisse der Verdacht auf einen Virus bzw. auf rechtswidrige
Inhalte besteht.
Dies umso mehr, als a l l g e m e i n e R e c h t f e r t i g u n g s g r ü n d e wie
z. B. der sog. rechtfertigende Notstand i. S. d. § 34 StGB nach h. M. nicht anwendbar sein sollen, da diese k e i n e n a u s d r ü c k l i c h e n B e z u g zum
Fernmeldegeheimnis aufweisen, wie § 88 Abs. 3 TKG dies verlangt. Erlaubt ist
danach lediglich die Erfassung von strafbaren Handlungen, die in dem Katalog
des § 138 StGB aufgeführt sind, m. a. W. nur bei den dort enumerativ genannten
schwerwiegenden Straftaten.
Allerdings hat das OLG Karlsruhe in einer Aufsehen erregenden Entscheidung
aus dem Jahr 2005 klargestellt, dass entgegen der h. M. die allgemeinen Rechtfertigungsgründe (§§ 32, 34 StGB) eingreifen könnten, sofern Fallgestaltungen vorliegen würden, „die den Rahmen des § 88 Abs. 3 S. 3 TKG sprengen würden“.
Eine Filterung von E-Mails wäre etwa dann gerechtfertigt, wenn eine E-Mail mit
einem Virus infiziert und geeignet sei, Schäden an den Telekommunikationsanlagen des Arbeitgebers zu hinterlassen. Auf das vorbezeichnete Urteil wird im Übrigen in Kap. V.(3) b) bb) noch im Einzelnen eingegangen.
38
b) Strafrechtliche Seite der Internet- bzw. E-Mail-Kontrolle
Sowohl bei individueller Überprüfung wie auch bei der durch Software-Filter erfolgenden automatisierten Erfassung, die aufgrund von Verbindungs- bzw. Inhaltsdaten die Zuordnung zu einer bestimmten Person ermöglicht und aufgrund
vorgegebener Stichworte erkennen lässt, welchen Inhalt die E-Mail aufweist,
könnten v e r s c h i e d e n e S t r a f t a t b e s t ä n d e verwirklicht werden.
(1) Die Verletzung des Briefgeheimnisses, § 202 StGB
Ausgehend von dem Terminus der E-Mail, also der e l e k t r o n i s c h e n
P o s t ist zunächst an § 202 StGB zu denken. Danach ist derjenige strafbar,
der unbefugt einen v e r s c h l o s s e n e n B r i e f oder ein a n d e r e s
v e r s c h l o s s e n e s S c h r i f t s t ü c k , welches nicht zu seiner Kenntnis
bestimmt sind, ö f f n e t oder sich vom Inhalt durch Öffnung des Verschlusses unter Anwendung technischer Hilfsmittel K e n n t n i s v e r s c h a f f t .
Entscheidende Vorfrage ist, ob die E-Mail unter den Rechtsbegriff des
S c h r i f t s t ü c k e s subsumiert werden kann. Der Brief ist dabei nur als
dessen Unterform zu verstehen. Vereinzelt findet sich in Kommentierungen
der Hinweis, dass E-Mails nicht unter diesen Tatbestand des § 202 StGB fallen.
Bei der Qualifizierung der E-Mail könnte zunächst § 11 Abs. 3 StGB herangezogen werden, der den Schriften u. a. Ton- und Bildträger bzw. Abbildungen und andere Darstellungen gleichstellt. Indessen kann dahinstehen, ob die
E-Mail mit dieser Begriffsbestimmung in einen Zusammenhang gebracht
werden kann. Sie ist nur dann relevant, wenn – was § 11 Abs. 3 StGB ausdrücklich verlangt – die entsprechende strafrechtliche Regelung auf § 11 Abs.
3 StGB ausdrücklich Bezug nimmt. Dies ist z. B. bei § 184a Abs. 1 StGB in39
folge des Klammerzusatzes der Fall, nicht jedoch bei § 202 StGB.
Daher kann der Schriftenbegriff des § 202 StGB nur aus dem Zweck dieser
Norm selbst bestimmt werden. Ein Schriftstück ist dabei nach herrschender
Auffassung jede V e r k ö r p e r u n g eines gedanklichen Inhalts durch
Schriftzeichen. An dieser, die eine s t o f f l i c h e F i x i e r u n g von einer
gewissen Dauerhaftigkeit voraussetzt, ermangelt es indes, wenn und solange
sich die E-Mail noch innerhalb des elektronischen Kommunikationssystems
befindet. Frühestens dann, wenn sie ausgedruckt ist, liegt eine Verkörperung
vor. In diesem Fall fehlt es jedoch an dem Merkmal des „Verschlossenseins“,
da die E-Mail nach dem Ausdruck auch von Dritten zur Kenntnis genommen
werden kann.
Im Übrigen wurde im Hinblick darauf, dass mit der Etablierung der elektronischen Informationsübermittlung eine Strafbarkeitslücke entstanden ist, § 202a
StGB in das Gesetzessystem eingefügt. Dieser schützt Daten und die E-Mail
unterfällt dem Datenbegriff i. S. d. Legaldefinition des § 202a Abs. 2 StGB.
Damit hat der Gesetzgeber gesetzessystematisch eine Abgrenzung zwischen
verkörperten und virtuellen Informationen vorgenommen, die es verbietet, die
Regelung des § 202 StGB extensiv auszulegen. Mangels Vorliegens eines
Schriftstücks erübrigt sich daher die Auseinandersetzung mit der Frage, wann
eine Inhaltskontrolle durch den Arbeitgeber nach § 202 StGB u n b e f u g t
ist.
(2) Das Ausspähen von Daten, § 202a Abs. 1 StGB
Danach ist strafbar, wer sich oder einem anderen Zugang zu Daten, die nicht
für ihn bestimmt sind u n d die gegen einen unberechtigten Zugang besonders
gesichert sind, unter Überwindung der Zugangssicherung, verschafft.
40
Die E-Mail erfüllt aufgrund ihrer informationstechnologischen Struktur den
Datenbegriff des § 202a Abs. 2 StGB. Die mangelnde Bestimmung für denjenigen, der sich Zugang zu diesen Daten verschafft und die besondere Zugangssicherung sind dabei Tatbestandsmerkmale, die k u m u l a t i v vorliegen müssen. Nicht von § 202a Abs. 1 StGB geschützt sind daher solche Daten, denen eine Zugangssicherung fehlt.
(a) Zugangssicherung
Selbst, wenn eine als privat zu erkennende Mitarbeiter-E-Mail aus Sicht des
Adressaten bzw. des Versenders nicht für den Arbeitgeber bestimmt ist, so ist
dessen Strafbarkeit gem. § 202a Abs. 1 StGB trotz Kenntnisnahme dann zu
verneinen, wenn k e i n e besondere Zugangssicherung vorhanden ist. Daher
bietet es sich an, zunächst die Frage der Z u g a n g s s i c h e r u n g zu erörtern.
Zum Teil wird, sofern § 202a StGB überhaupt im Verhältnis Arbeitnehmer/Arbeitgeber angesprochen wird, deren Existenz verneint, weil letzterer
als Inhaber der Computeranlage, ggf. über den Systemadministrator, ohnehin
jederzeit den ungehinderten Zugriff auf die „eingegangene Post“ habe.
Dies ist zwar zutreffend. Auch wenn der Arbeitnehmer über ein Passwort verfügt oder wenn er seine Informationen verschlüsseln kann, bieten die vorhandenen Technologien dem Arbeitgeber eine uneingeschränkte Kontrollmöglichkeit, so dass der Betroffene praktisch zum „gläsernen Arbeitnehmer“ mutiert.
Eine Handlung ist aber nicht schon allein deshalb rechtmäßig, weil sie faktisch möglich ist. Vielmehr bedarf es schon der eingehenderen Klärung, ob
41
sich insbesondere aus einem Passwort oder einer Verschlüsselung eine besondere Zugangssperre ergibt, d i e a u c h i n d e r R e c h t s b e z i e h u n g
zwischen Arbeitnehmer und Arbeitgeber Wirkung
entfaltet.
Gegen einen unberechtigten Zugang besonders gesichert sind danach Daten,
wenn Vorkehrungen getroffen sind, die objektiv geeignet und subjektiv nach
dem Willen des Berechtigten dazu bestimmt sind, den Zugriff auf die Daten
auszuschließen oder wenigstens nicht unerheblich zu erschweren. Das braucht
zwar nicht der einzige Zweck zu sein; jedenfalls muss der Berechtigte durch
die Sicherung gerade sein spezielles Interesse an der Geheimhaltung dokumentieren.
(b) Passwort
Eine solche Zugangssicherung könnte nun das P a s s w o r t sein, über das
der Mitarbeiter in der Regel verfügt und das eingegeben werden muss, um die
entsprechende Information bzw. das elektronische System in Anspruch nehmen zu können. Dieses soll den Schutz vor missbräuchlichen Zugriffen oder
gegen unautorisierte Veränderungen gewährleisten und ist damit objektiv im
Sinne der o. g. Begriffsbestimmung geeignet.
Aber allein die Existenz des Passwortes kann noch nicht ausreichen, um eine
Zugangssicherung auch im V e r h ä l t n i s A r b e i t n e h m e r /
A r b e i t g e b e r zu begründen.
Es bedarf vielmehr der Klärung, welche S c h u t z r i c h t u n g das Passwort des Arbeitnehmers hat. Dabei sind zweckmäßigerweise objektive bzw.
subjektive Parameter zugrunde zu legen: Zum einen ist von der I n f r a s t r u k t u r auszugehen, in die der E-Mail-Anschluss einbezogen ist, ferner
42
von der Z w e c k b e s t i m m u n g , die mit dem Passwort des Mitarbeiters
verfolgt wird.
Der E-Mail-Anschluss wird durch den Arbeitgeber eingerichtet und ist integraler Bestandteil der Organisationsstruktur des Unternehmens, selbst dann,
wenn es sich um einen durch den Arbeitgeber eingerichteten Heimarbeitsplatz
handelt. In seiner Entscheidungsgewalt – ggf. wegen § 87 Abs. 1 Nr. 6
BetrVG unter Mitwirkung des Betriebsrats – liegt es, ob ein solcher Anschluss überhaupt zur Verfügung gestellt wird und welcher Mitarbeiter diesen
in welchem Umfang nutzen darf. Auch wenn die private Verwendung dieses
Anschlusses gestattet ist, so dient er p r i m ä r der geschäftlichen Kommunikation. Die private Nutzung weist lediglich nachrangigen Charakter auf.
Daraus folgt, dass das Passwort aus Sicht des Arbeitgebers in der Hauptsache
die Funktion hat, die betrieblich bestimmte E-Mail-Kommunikation gegen
e x t e r n e Z u g r i f f e zu schützen. Gleichzeitig ist damit auch die Zielsetzung verbunden, anderen nicht autorisierten Mitarbeitern die Möglichkeit des
Zugriffs zu nehmen.
Dadurch soll natürlich auch der Passwortinhaber davor geschützt werden,
dass ihm eventuelle Manipulationen Dritter zugerechnet werden.
Indessen kann der Arbeitgeber kraft seines Direktionsrechts die Anweisung
erteilen, dass der Inhaber des Passwortes dieses anderen Mitarbeitern mitteilt,
um etwa im Krankheitsfall oder bei Urlaubsabwesenheit eine Bearbeitung
eingehender E-Mails zu gewährleisten.
Letztlich liegt also die Dispositionsbefugnis über das jeweilige Passwort in
den Händen des Arbeitgebers. Diese Gesamtbetrachtung verbietet es, dem
43
Passwort eine besondere Sicherungsfunktion gegenüber dem Arbeitgeber zuzuweisen. Nichts anderes kann gelten, wenn eine Verschlüsselungssoftware
zur Verfügung gestellt wird.
(c) Ergebnis
Im Ergebnis kommt § 202a Abs. 1 StGB also schon deshalb nicht in Betracht,
weil es bei einer gemischten Nutzung an einer besonderen Zugangssicherung
ermangelt. Dies muss erst recht gelten, wenn eine ausschließlich geschäftliche
Nutzung vorgesehen ist.
Etwas anderes würde allerdings dann gelten, wenn zugunsten des Arbeitnehmers ein separater E-Mail-Anschluss allein zur privaten Nutzung eingerichtet
wird und der Mitarbeiter über ein Passwort verfügt.
(3) Verletzung des Fernmeldegeheimnisses, § 206 StGB
(a) Der Anwendungsbereich des § 206 StGB i. V. m. § 88 TKG
Im Zusammenhang mit der dem Mitarbeiter erlaubten privaten Nutzung wird
– ausgehend von § 88 TKG – auch auf dessen strafrechtliche Absicherung
durch § 206 StGB hingewiesen. In der Tat enthält diese Regelung im Zusammenhang mit § 88 TKG strafrechtliche Fallen, in denen sich der Arbeitgeber
leicht verfangen kann.
§ 206 Abs. 1 StGB schützt das Post- bzw. das F e r n m e l d e g e h e i m n i s zunächst gegen die u n b e f u g t e M i t t e i l u n g über Tatsachen an
andere Personen. Der Umfang des Fernmeldegeheimnisses und dessen Adressatenkreis werden dabei durch die Bestimmungen des § 88 Abs. 1 TKG und
des § 206 Abs. 5 S. 1 bzw. Abs. 1 StGB bestimmt. Insoweit sind die entsprechen-
den Regelungen des TKG zur Auslegung des § 206 StGB heranzuziehen.
44
Ungeachtet der Zweifel, ob das TKG bei privater Nutzung greift, darf jedoch
eine s t r a f r e c h t l i c h e B e t r a c h t u n g nicht unberücksichtigt bleiben, nicht zuletzt auch, weil das überwiegende Schrifttum für die Anwendbarkeit des § 88 TKG im Arbeitsverhältnis votiert und bspw. das ArbG Frankfurt a. M. in einer Entscheidung vom Juli 2004 die Anwendbarkeit des TKG
bei der privaten Nutzung des Internet am Arbeitsplatz bejaht hat.
Demzufolge unterliegen dem Fernmeldegeheimnis nach § 88 Abs. 1 TKG und
dem gleichlautenden § 206 Abs. 5 S. 2 StGB der I n h a l t der Telekommunikation und ihre n ä h e r e n U m s t ä n d e, insbesondere die Tatsache, ob
jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Dabei
erstreckt sich das Fernmeldegeheimnis auch auf die näheren Umstände erfolgloser Verbindungsversuche.
Auch die E-Mail wird sodann konsequenterweise vom Fernmeldegeheimnis
erfasst.
b) Die Tathandlunge
Tatbehandlung gem. § 206 Abs. 1 StGB ist zunächst die u n b e f u g t e
M i t t e i l u n g durch den Verpflichteten über Tatsachen, die dem Fernmeldegeheimnis unterliegen. Verpflichteter ist dabei der Inhaber oder der Beschäftigte des Unternehmens.
aa) Unbefugte Mitteilung
Um das Merkmal des Mitteilens zu erfüllen, reicht jede Form der Bekanntgabe, wobei der Empfänger nicht notwendig außerhalb des Fernmelde-
45
dienstes stehen muss, so dass auch Mitteilungen unter Bediensteten den
Tatbestand erfüllen können.
Da die Mitteilung die W e i t e r g a b e von Informationen – so auch § 88
Abs. 3 Satz 3 TKG – erfordert, kann die b l o ß e E i n s i c h t n a h m e
in die E-Mail oder aber das b l o ß e M i t p r o t o k o l l i e r e n einer privaten E-Mail-Kommunikation über unternehmenseigene Filter noch n i c h t
den Tatbestand des § 206 Abs. 1 StGB erfüllen.
Anders ist allerdings dann zu urteilen, wenn z. B. der Administrator, der von
den Inhalten Kenntnis erlangt bzw. über entsprechende Protokolle verfügt,
die Geschäftsleitung darüber informiert, oder wenn der Arbeitgeber z. B.
über inkriminierende Vorgänge die Strafverfolgungsbehörden in Kenntnis
setzt und damit Tatsachen weitergibt.
Es stellt sich die Frage, ob diese Mitteilungen u n b e f u g t erfolgen. Und
hier zeigen sich die eigentlichen Probleme.
Von einer mangelnden Befugnis ist zunächst auszugehen, wenn diese Weitergabe o h n e E i n w i l l i g u n g des Betroffenen erfolgt. Liegt sie vor,
wirkt sie bereits tatbestandsausschließend.
Allerdings geht eine Mindermeinung im Schrifttum davon aus, dass neben
der Einwilligung des Arbeitnehmers auch die Einwilligung des externen
Kommunikationspartners vorliegen muss – eine Ansicht, die durch die bereits an andere Stelle zitierte Entscheidung des OLG Karlsruhe untermauert
wurde.
46
Nichtsdestotrotz ist Unternehmen, die auch die private Nutzung ermöglichen, dringend zu empfehlen, diese genauestens zu regeln und die
Weitergabe von Erkenntnissen und Daten, z. B. von dem für das System
Verantwortlichen an den Arbeitgeber, aber auch die Weitergabe ggf. an
Verfolgungsbehörden – soweit es um strafrechtlich relevante Inhalte
geht –, in die Einwilligung ausdrücklich einzubeziehen.
Gerade für den letztgenannten Fall führt der Blick auf § 88 Abs. 3 S. 3
TKG, der in § 206 Abs. 1 StGB hineinzulesen ist, andernfalls zu rechtspolitisch bedenklichen Ergebnissen. In S. 3 ist geregelt, dass eine Weitergabe
zulässig ist, soweit das TKG oder eine andere gesetzliche Vorschrift dies
vorsieht u n d sich diese Erlaubnis ausdrücklich auf Telekommunikationsvorgänge bezieht. Lediglich – so S. 4 des § 88 Abs. 3 TKG – die Anzeigepflicht gem. § 138 StGB hat Vorrang vor dem Schutz des Fernmeldegeheimnisses.
Allgemeine Rechtfertigungsgründe indes – wie z. B. die §§ 32, 34 StGB –
die Notwehr bzw. der rechtfertigende Notstand – sollen nach h. M. dagegen
gänzlich unanwendbar sein, da diese keinen ausdrücklichen Bezug zum
Fernmeldegeheimnis aufweisen. Dies führt zu dem fragwürdigen Ergebnis,
dass eine Benachrichtigung von Verfolgungsbehörden seitens des Arbeitgebers nicht mehr gerechtfertigt werden kann, sofern die Kontrolle einer EMail auf Delikte schließen lässt, die nicht vom Katalog des § 138 StGB erfasst sind.
Wie aber soll sich der Arbeitgeber dann davor schützen, dass ein Geheimnisverrat begangen wird, wenn er entsprechende Erkenntnisse nicht weitergeben darf?
Dem gleichen Problem sieht sich im Übrigen auch ein Administrator ausgesetzt, der über Missbräuche informieren will.
47
Zwar lässt die h.M. im Schrifttum als Rechtfertigungsgrund die m u t m a ß l i c h e E i n w i l l i g u n g zu. Diese stellt aber auf den Willen des
Betroffenen ab, wie er aufgrund einer objektiv-sorgfältigen Prüfung der
Umstände zu vermuten ist. Ein erkennbar entgegenstehender Wille ist dabei
stets zu beachten und verhindert den Zugriff auf diesen Rechtfertigungsgrund. Fehlen Indizien für eine solche Willensrichtung, so ist davon auszugehen, ob er bei Kenntnis der Umstände die Einwilligung erteilt worden wäre. Davon kann aber wohl kaum ausgegangen werden, wenn ein Mitarbeiter
den E-Mail-Anschluss vertragswidrig oder sogar inkriminierend verwendet.
Auch der Rechtsgedanke des § 679 BGB, wonach ein entgegenstehender
Wille unbeachtlich ist, dürfte hier nicht weiterhelfen, da es nicht Sinn dieser
Vorschrift sein kann – sofern sie überhaupt herangezogen werden kann –,
pauschal eine Ermächtigung für Eingriffe in strafrechtlich geschützte
Rechtsgüter mit entsprechenden Duldungspflichten zu liefern.
Angesichts der den Bedürfnissen eines Arbeitgebers an einer wirksamen
Kontrolle zuwiderlaufenden Rechtslage, die auch durch die Novellierung
des TKG nicht korrigiert worden ist, sollte eine interessengerechte Regelung
alsbald in einem „Arbeitnehmerdatenschutzgesetz“ erfolgen.
Allerdings ist an dieser Stelle erneut darauf zu verweisen, dass das OLG
Karlsruhe in der bekannten Entscheidung aus dem Jahr 2005 ein Rückgriff
auf die allgemeinen Rechtfertigungsgründe (§§ 32, 34 StGB) im Ausnahmefall für rechtmäßig erachtet.
bb) Unbefugtes Öffnen bzw. unbefugte Kenntnisverschaffung, Unterdrücken von Sendungen
§ 206 Abs. 2 erfasst ferner bestimmte Ausforschungshandlungen von Insidern sowie das Unterdrücken von Sendungen. Danach ist gem. Abs. 2 Nr. 1
48
– der hier heranzuziehen ist (Nr. 2 erfasst das Unterdrücken) – das unbefugte Öffnen einer anvertrauten, verschlossenen S e n d u n g , das SichKenntnis-Verschaffen vom Inhalt einer solchen S e n d u n g – ohne Öffnung des Verschlusses – die jeweilige Tatbestandshandlung.
Allerdings ist nach herrschender Auffassung in Rechtsprechung und Literatur bei § 206 Abs. 2 Nr. 1 eine Sendung nur bei k ö r p e r l i c h e n Gegenständen anzunehmen. Dies folgt aus dem Terminus des „Verschlossenseins“. Nicht körperliche Gegenstände werden dagegen nicht erfasst, so dass
Inhalte, die dem Bereich der Telekommunikation zuzuordnen sind, ausscheiden.
Die Sichtung einer noch im Kommunikationssystem befindlichen Mail, sei
es durch individuelle Einsichtnahme oder aufgrund einer entsprechenden
Software, führt nicht zur Anwendung des § 206 Abs. 2 Nr. 1 StGB.
Hingegen ist eine Strafbarkeit gem. § 202 Abs. 2 Nr. 2 StGB naheliegender.
In diesem Zusammenhang hat sich das Oberlandesgericht Karlsruhe als erstes deutsches Gericht – soweit ersichtlich – zur datenschutz-/ strafrechtlichen Zulässigkeit derartiger Vorgehensweisen geäußert.
In diesem Verfahren erstattete ein wissenschaftlicher Mitarbeiter Strafanzeige gegen einen Angehörigen der dortigen Hochschule. Diesem wurde
vorgeworfen, unter Verletzung des Post- und Fernmeldegeheimnisses sämtliche E-Mails des Antragstellers auf dem E-Mail-Server gesperrt zu haben,
mit der Konsequenz, dass seine von ihm versendeten Nachrichten zwar noch
vom Mail-Server angenommen wurden, aufgrund der anschließenden Filterung aber nicht mehr beim Empfänger ankamen. Von diesem Verfahren
wurde der Kläger nicht in Kenntnis gesetzt. Entsprechendes galt zudem für
Nachrichten, die an den Kläger adressiert waren; diese wurden ebenfalls
49
nicht mehr zugestellt. Dahingegen wurden die Absender in dem Fall zumindest über die verweigerte Zustellung informiert.
Die dortige Kammer stellte bei der Überprüfung der Tatbestandvoraussetzungen klar, dass der Begriff „Unternehmen“, das „geschäftsmäßig Telekommunikationsdienste erbringt“, weit auszulegen sei. Geschäftsmäßiges
Erbringen von Telekommunikationsdiensten ist dabei gemäß der Legaldefinition in § 3 Nr. 10 TKG „das nachhaltige Angebot von Telekommunikation
für Dritte mit oder ohne Gewinnerzielungsabsicht“. Darunter könne auch eine Universität als Körperschaft des öffentlichen Rechts fallen, wenn sie
nicht ausschließlich hoheitliche Aufgaben wahrnehme. Stellt eine Hochschule ihre Telekommunikationsanlagen – wie vorliegend – unterschiedlichen Nutzergruppen (Mitarbeitern der Hochschule, Vereinen, außenstehenden Dritten) zur Verfügung, so sei eine Abgrenzung zwischen dienstlichen
und wissenschaftlichen einerseits und privaten und wirtschaftlichen Zwecken andererseits nicht mehr möglich. Somit sei die Hochschule nicht nur
ausschließlich hoheitlich tätig, sondern trete wie ein gewöhnliches Wirtschaftsunternehmen auf und sei einem solchen daher gleichzustellen. Die
Unternehmereigenschaft im Sinne des § 206 Abs. 1, 2 StGB wurde durch
das Gericht folglich festgestellt.
Um eine Strafbarkeit nach § 206 Abs. 2 Nr. 2 StGB zu bejahen, bedarf es
ferner einer „zur Übermittlung anvertrauten Sendung“. „Anvertraut“ ist eine
Sendung dann, wenn sie auf vorschriftsmäßige Weise in den Verkehr gelangt ist und sich im Gewahrsam des Unternehmens befindet. Einer Übereinkunft zwischen dem Versender und dem Transportunternehmen sei nicht
erforderlich. Davon ist auszugehen, wenn der die E-Mail versendende MailServer die Daten dem empfangenen Server übermittelt hat, was vorliegend
bejaht wurde.
Fraglich ist hingegen, ob eine elektronische Nachricht als „Sendung“ im
Sinne des § 206 StGB zu qualifizieren ist. Das Gericht machte diesbezüglich
50
deutlich, dass im Gegensatz zu § 206 Abs. 2 Nr. 1 StGB unter Nr. 2 ebenfalls unkörperliche Gegenstände fallen würden. Als „Sendung“ gemäß § 206
Abs. 2 Nr. 2 StGB sei unter anderem jede Form der dem Fernmeldegeheimnis unterliegenden Telekommunikation aufzufassen.
Zudem bedingt eine Strafbarkeit gemäß § 206 Abs. 2 Nr. 2 StGB ein „Unterdrücken“ von Sendungen. Diese Handlung liegt vor, wenn durch technische Eingriffe in den technischen Vorgang des Aussendens, Übermittelns
oder Empfangens von Nachrichten mittels Telekommunikationsanlagen
verhindert wird, dass die Nachricht ihr Ziel vollständig oder unverstümmelt
erreicht. Die Auffassung, wonach sich hinter diesem Begriff ausschließlich
ein Zurückhalten oder Umleiten von E-Mails an eine Adresse verbergen
soll, wurde verworfen.
Die dortige Kammer sah es als erwiesen an, dass durch das Herausfiltern der
E-Mails des Klägers von dem Hochschulangehörigen der Tatbestand des
„Unterdrückens“ erfüllt war.
Die Entscheidung des Oberlandesgerichts Karlsruhe zwingt die Unternehmen dazu, ihren alltäglichen Einsatz von Anti-Viren Software oder SpamFiltern auf den Prüfstand zu stellen. Gleiches gilt auch für die Hersteller derartiger Software, die andernfalls unter Umständen einer Beihilfe nach § 27
StGB i. V. m. § 206 Abs. 2 Nr. 2 StGB ausgesetzt sein können.
Entsprechendes gilt insbesondere für die Verwendung sogenannter „Blacklists“ zur Abblockung unerwünschter elektronischer Post. Darunter verbirgt
sich der Abgleich eingehender E-Mails hinsichtlich ihrer Einkunft mit entsprechenden Einträgen in elektronischen Listen. Wird eine Nachricht bei
eventueller Übereinstimmung im nächsten Schritt blockiert, ist der Tatbestand des „Unterdrückens“ gemäß § 206 Abs. 2 Nr. 2 StGB grundsätzlich erfüllt, es sei denn, die selektierte E-Mail wird an den Absender zurückgeschickt. Eine Strafbarkeit würde vorliegend daran scheitern, dass die Nach51
richt ab diesem Zeitpunkt nicht mehr als „dem Unternehmen anvertraut“ im
Sinne des § 206 Abs. 2 Nr. 2 StGB gilt.
Um der Möglichkeit einer derartigen Strafbarkeit zu entgehen, sollten Arbeitgeber ihren Mitarbeitern beispielsweise selbst überlassen, ob sie den auf
ihrem Computer in der Regel installierten Spam-Schutz aktivieren oder
nicht. Der Arbeitgeber ist nicht der Adressat privater Nachrichten; das Direktionsrecht greift vorliegend nicht. Eine vom Softwarehersteller aktivierte
Schutzfunktion, die zwar im Nachhinein deaktiviert werden könnte, reicht
nicht aus.
Diese Vorgaben gelten jedoch nur im Falle einer (auch) privat gestatteten
Internetnutzung am Arbeitsplatz. Andernfalls ist der Vorwurf des Unterdrückens nach § 206 Abs. 2 Nr. 2 StGB schon deshalb abzulehnen, da der Arbeitgeber vorliegend nicht als Diensteanbieter im Sinne des Telekommunikationsgesetzes fungiert.
Entsprechende Vorkehrungen sollten auch die Anbieter von Filtersoftware
o. Ä. treffen. Neben der Information ihrer Klientel über das damit verbundene rechtliche Risiko, sollte sie die Aktivierung von Spam-Filtern ihren
Kunden selbst überlassen.
(c) Überlegungen auf europäischer Ebene
Während die durch das „F e r n m e l d e g e h e i m n i s“ bedingten Restriktionen bisher nur gelten sollen, sofern die p r i v a t e Nutzung erlaubt ist und
im Falle eines V e r b o t e s zwar keine uneingeschränkten, aber doch zumindest angemessene Kontrollbefugnisse zugestanden werden, gibt es nunmehr auf E U – E b e n e Bestrebungen, die den Arbeitgeber in einem noch
viel stärkeren und deutlich über den derzeitigen nationalen Rechtsrahmen hinausgehenden Umfang in seinen Kontrollrechten beschneiden würden.
52
Derzeit befindet man sich in der „Zweiten Phase der Anhörung der Sozialpartner zum Schutz von personenbezogener Daten von Arbeitnehmern“.
Im Rahmen dieses Verfahrens wurden die Sozialpartner darum gebeten, „darüber nachzudenken“, ob es ratsam sei, dass die Kommission auch hinsichtlich
der „Überwachung und Kontrolle des Arbeitsplatzes“ eine Initiative ergreifen
und in welcher Form eine entsprechende Gemeinschaftsaktion durchgeführt
werden soll.
In dem maßgeblichen Papier der Kommission hierzu heißt es u. a.: „die diesbezügliche rechtliche Situation in den Mitgliedstaaten zeige, dass die „Überwachung und Kontrolle von Arbeitnehmern“ durch ihre Arbeitgeber gemäß
einer Reihe von Grundsätzen und Vorschriften in verschiedenen Rechtsakten,
einschließlich Verfassung, Arbeitsgesetzgebung, Datenschutz, Telekommunikation, Strafrecht usw., geregelt ist. Dabei wird betont, dass die Wechselwirkung der jeweiligen Bestimmungen hinsichtlich ihrer Anwendung im Arbeitsbereich häufig nicht klar und die Situation in einigen Fällen ziemlich
kontrovers sei.“
Diese Situation werde – so heißt es weiter – sogar noch kritischer, wenn man
berücksichtige, dass die traditionellen Überwachungseinrichtungen, wie z. B.
das Abhören von Telefonen und die Videoüberwachung zunehmend durch
technologisch ausgereiftere und potenziell noch repressivere Mittel ergänzt
werden, so durch die Überwachung über die eigenen Arbeitsmittel des Arbeitnehmers wie PC (E-Mail, Internet, Logging usw.).
Der Arbeitnehmerschutz wird hier in einer Weise überbetont, die den Arbeitgeber eigener Schutzrechte und damit der Notwendigkeit einer wirksamen Risikokontrolle weit gehend beraubt.
Das von der Kommission angedachte grundsätzliche V e r b o t einer
R o u t i n e k o n t r o l l e , führt dazu, dass die Aufdeckung menschlichen
53
Fehlverhaltens bzw. entsprechender Missbräuche, sogar ein strafrechtlich relevantes Verhalten im Rahmen der Online-Nutzung, v o m Z u f a l l s p r i n z i p abhängig ist. Noch nicht einmal routinemäßige Stichproben wären
danach erlaubt.
Angesichts der kaum überschaubaren Vielzahl von Internet- oder E-MailAktivitäten, die tagtäglich – bereits in einem Unternehmen mittlerer Größe –
zu verzeichnen sind, kann jedoch nur eine
s y s t e m a t i s c h e
E r f a s s u n g – insbesondere in der Form des C o n t e n t – F i l t e r i n g
– eine wirksame Risikoprävention garantieren.
Auch das zusätzlich angedachte Verbot, private E-Mails von einer Individualkontrolle gänzlich auszunehmen, sofern sie als „privat deklariert“ werden,
gleichgültig, ob die private Nutzung e r l a u b t oder v e r b o t e n ist, stellt
den Arbeitgeber im Hinblick auf rechtsmissbräuchliche Verwendungen weitgehend schutzlos. Es läge dann a l l e i n in der Disposition des Arbeitnehmers, durch die entsprechende Kennzeichnung einer E-Mail als „privat“ dem
Arbeitgeber jeden Zugriff und jegliche Inhalts-Kontrolle zu verwehren. Dass
dies im Zusammenwirken mit dem Verbot einer Routinekontrolle jeglichem
Missbrauch Vorschub leisten würde, ja sogar einen besonderen Anreiz dazu
bieten würde, liegt eigentlich auf der Hand.
Zudem würde das Direktionsrecht des Arbeitgebers, der darüber entscheiden
kann, ob er die private Nutzung erlaubt oder verbietet, konterkariert und im
Ergebnis ausgehöhlt.
Selbst dann, wenn der Arbeitnehmer über die E-Mail rechtswidrige Inhalte
kommuniziert, die das Unternehmen sogar schädigen, wäre es dem Arbeitgeber verboten, zum Selbstschutz einzugreifen, sobald der Arbeitnehmer die
entsprechende Deklarierung vornimmt.
54
Sollte der Arbeitgeber, ungeachtet dieses generellen Verbots trotzdem eine
Kontrolle vornehmen und aufgrund eines die Interessen des Unternehmens
beeinträchtigenden Inhalts eine Kündigung aussprechen, so hätte er aufgrund
eines „B e w e i s v e r w e r t u n g s v e r b o t e s“ noch nicht einmal die
Möglichkeit, diese Kündigung vor einem Arbeitsgericht durchzusetzen.
Vollendet wäre die „faktische Entmündigung“ des Arbeitgebers, wenn zusätzlich das Verbot Realität werden sollte, wonach das „Brief- bzw. das Fernmeldegeheimnis“ n i c h t durch eine E i n w i l l i g u ng des Arbeitnehmers
aufgehoben werden darf.
Insofern bleibt mit Spannung abzuwarten, ob und mit welchem Inhalt der europäische Gesetzgeber letztendlich den Arbeitnehmerdatenschutz reglementieren wird. Allerdings ist eine entsprechende Inititative seitens der EUKommission in diesem Kontext zunächst aufgeschoben worden; voraussichtlich will man dort von dem o. g. Vorhaben, den Datenschutz im Arbeitsverhältnis gesondert zu regeln, gar gänzlich abrücken.
4.
Die arbeitsrechtliche Seite der Internettätigkeit
a)
Individualarbeitsrechtliche Konsequenzen
Erfüllt ein Arbeitnehmer seine Arbeitspflichten nicht oder werden Nebenpflichten verletzt, so kann es für ihn Rechtsfolgen haben.
Das zwischen dem Arbeitnehmer und Arbeitgeber bestehende Vertragsverhältnis kann
in den Leistungs- und in den Vertrauensbereich unterteilt werden. Der Leistungsbereich umfasst das Erbringen der Arbeitsleistung gegen Zahlung des Einkommens.
Kommt es in diesem Bereich zu Fehlverhalten, so ist eine Abmahnung erforderlich,
bevor eine Kündigung ausgesprochen werden kann. Bei einem Konflikt im Ver55
trauensbereich der Arbeitsbeziehung kann eine Abmahnung entbehrlich sein, da unter
Umständen dem Arbeitgeber eine Fortsetzung des Arbeitsvertrages nicht zugemutet
werden kann.
aa) Abmahnung
Die Abmahnung ist ein wichtiges arbeitsrechtliches Instrument, einen Arbeitnehmer auf dessen Verstoß gegen vertragliche Pflichten hinzuweisen, mit dem
Ziel weitere Verfehlungen zu unterlassen. Eine vorangegangene Abmahnung ist
für die verhaltensbedingte Kündigung grundsätzlich Voraussetzung, da eine
Kündigung nur das äußerste Mittel zur Beilegung von arbeitsrechtlichen Differenzen darstellt.
Die Abmahnung soll drei Funktionen erfüllen:
1. Dokumentationsfunktion – Die Verletzung von vertraglichen Pflichten
soll festgehalten werden, damit der Nachweis im Falle einer Kündigung
erleichtert wird.
2. Hinweisfunktion – Dem Arbeitnehmer soll mitgeteilt werden, dass der
Arbeitgeber ein entsprechendes Verhalten als vertragswidrig auslegt.
3. Warn- bzw. Androhungsfunktion – Der Arbeitnehmer soll davor gewarnt werden, dass ihm im Falle der Fortsetzung bzw. Wiederholung
seines vertragswidrigen Verhaltens die Kündigung droht.
Fehlt eine dieser dargelegten Funktionen, so liegt lediglich ein Verweis, ein
Hinweis oder eine Ermahnung vor, welche keine Kündigungsvoraussetzung
darstellt. Eine Abmahnung muss deshalb das genau beanstandete Verhalten
(allgemeine Hinweise auf schlechte Arbeitsleistung reichen nicht aus), den unmissverständlichen Hinweis auf die Vertragswidrigkeit und eine konkrete Androhung einer Kündigung enthalten.
Abgemahnt werden kann immer nur steuerbares Verhalten. Der Arbeitnehmer
56
muss Einfluss auf das Verhalten nehmen können, weshalb eine Abmahnung
aufgrund von Krankheit nicht wirksam ist.
War ein bestimmter Vorfall bereits Auslöser einer Abmahnung, so kann der
Arbeitgeber denselben Vorfall nicht als Grund für eine Kündigung heranziehen. Die Gründe, die zu dieser Abmahnung führten, können jedoch bei einem
späteren Fehlverhalten unterstützend für die Begründung einer Kündigung herangezogen werden. Erhält beispielsweise ein Arbeitnehmer eine Abmahnung
aufgrund eines Vorfalls der missbräuchlichen Internetnutzung, so ist der Arbeitgeber im Anschluss an diese Abmahnung nicht berechtigt, eine Kündigung
aufgrund des gleichen Vorfalls auszusprechen.
Im Wiederholungsfall kann allerdings dem Arbeitnehmer das bereits abgemahnte Fehlverhalten zur Last gelegt werden und eine Kündigung ausgesprochen werden.
Dem Arbeitnehmer muss nach einer Abmahnung die Möglichkeit gegeben werden sich zu bewähren. Aus diesem Grund verliert eine Abmahnung nach einer
längeren Zeit einwandfreier Führung ihre Wirkung. Der zeitliche Rahmen ist
hierfür jedoch nicht eindeutig bestimmt. In der Literatur wird in Anlehnung an
das Disziplinarrecht bei Beamten und an strafrechtliche Regeln eine Höchstfrist
von zwei bis drei Jahren angenommen.
bb) Kündigung
Die Kündigung des Arbeitsverhältnisses kann einen nachhaltigen Einfluss auf
das Leben des Arbeitnehmers haben und sollte deshalb das letzte Mittel zur
Ahndung arbeitsvertraglicher Vergehen darstellen.
Verletzungen von Arbeitsvertrags- oder Nebenpflichten können eine ordentliche oder sogar eine außerordentliche (fristlose) Kündigung rechtfertigen. Zu
57
den Verletzungen des Arbeitsvertrages über die Toleranzgrenzen hinaus, die
unter Berücksichtigung der jeweiligen Umstände zu einer Kündigung berechtigen können, zählt beispielsweise die übermäßige private Internetbenutzung
gegen den Willen des Arbeitgebers. Da die Umstände der privaten Internetnutzung von der jeweiligen Person beeinflusst werden können, liegen Gründe
im Verhalten der Person vor, welche eine verhaltensbedingte Kündigung rechtfertigen.
Liegen Gründe für eine ordentliche Kündigung vor, so kann dem Arbeitnehmer
mit Wahrung der gesetzlichen, tariflichen oder vertraglichen Fristen gekündigt
werden.
Dieses setzt jedoch bei Anwendbarkeit des KSchG voraus, dass der verhaltensbedingten Kündigung eine Abmahnung und wiederholte Zuwiderhandlung vorausgegangen ist (§ 1 Abs. 2 KSchG).
Darüber hinaus kann eine außerordentliche Kündigung gemäß § 626 BGB ausgesprochen werden. Voraussetzung hierfür ist die Vorlage eines „wichtigen
Grundes“. Dieser liegt gemäß § 626 Abs. 1 BGB vor, wenn „Tatsachen vorliegen, aufgrund derer dem Kündigenden unter Berücksichtigung des Einzelfalles
und unter Abwägung der Interessen beider Vertragsteile die Fortsetzung des
Dienstverhältnisses bis zum Ablauf der Kündigungsfrist oder bis zu der vereinbarten Beendigung nicht zugemutet werden kann“.´
Auch bei der außerordentlichen Kündigung ist bei Verstößen im Leistungsbereich eine Abmahnung erforderlich, da die Kündigung die unausweichlich letzte
Maßnahme (ultima ratio Prinzip) darstellt. Bei besonders schwerwiegenden
Verstößen (z. B. Straftaten, grobe Beleidigung, sexuelle Belästigung), insbesondere im Vertrauensbereich, ist eine Abmahnung hingegen entbehrlich, d. h.
der Mitarbeiter kann fristlos gekündigt werden.
cc) Schadenersatz
58
Ist dem Arbeitnehmer nachzuweisen, dass er durch sein vorsätzliches oder fahrlässiges Verhalten einen Schaden herbeigeführt hat, kann von ihm unter Umständen die Zahlung eines Schadenersatzes gefordert werden. Hierzu sind die
Grundsätze der Arbeitnehmerhaftung anzuwenden. Die Haftung richtet sich insbesondere nach der Schwere des Verschuldens.
Ist dem Arbeitnehmer nur geringe Schuld anzulasten, so spricht man von leichter Fahrlässigkeit, bei der jede Haftung ausscheidet. Bei mittlerer Fahrlässigkeit
wird der Schaden zwischen dem Arbeitgeber und Arbeitnehmer aufgeteilt, wobei alle Umstände des Einzelfalles zu berücksichtigen sind.
Den Arbeitnehmer trifft die volle Haftung, wenn er grob fahrlässig gehandelt
hat. Die grobe Fahrlässigkeit liegt jedoch nur dann vor, wenn dem Arbeitnehmer ein schwerer persönlicher Schuldvorwurf zu machen ist. Die Haftung des
Arbeitnehmers ist bei Vorsatz stets gegeben. Ein eventuelles Mitverschulden
gem. § 254 BGB des Arbeitgebers ist zu prüfen und gegebenenfalls zu berücksichtigen.
Die genannte Arbeitnehmerhaftung ist beispielsweise anwendbar, wenn ein Arbeitnehmer Computerviren in das Computersystem des Unternehmens eingeschleust hat. In einem solchen Fall ist die Schwere des Verschuldens zu untersuchen, die darüber entscheidet, ob den Arbeitnehmer eine Schadenersatzpflicht
trifft.
dd) Fälle aus der Rechtsprechung der Arbeitsgerichte
Analog zur Rechtsprechung bei dienstlichen bzw. privaten Telefonaten – ist für
eine wirksame Kündigung aufgrund einer rechtswidrigen Internetnutzung
grundsätzlich eine Abmahnung erforderlich.
Davon kann jedoch unter gewissen Bedingungen abgewichen werden, so z. B.
59
im Fall des ArbG Hannover. Dort wurde ein Fall verhandelt, bei dem einem
Mitarbeiter fristlos gekündigt worden war, weil dieser trotz eines bestehenden
Verbots, das Internet auch privat nutzen zu dürfen, u. a. große Mengen pornographischer Dateien auf seinen Firmenrechner heruntergeladen hatte. Das Gericht wies die Klage des ehemaligen Beschäftigten ab und verwies auf § 626
Abs. 1 BGB, wonach eine außerordentliche Kündigung aus wichtigem Grund
wirksam sei. Im vorliegenden Fall lägen schwerwiegende Pflichtverletzungen
vor, die eine außerordentliche Kündigung gerechtfertigt hätten.
Ferner hätte dem Kläger von Beginn an klar sein müssen, dass seine Art der
Internetnutzung keinesfalls mehr vom Willen der Beklagten gedeckt sein würde. In der Revision wurde das Urteil vom LAG Hannover bestätigt.
Mit einer ähnlichen Fallkonstellation wurde das ArbG Düsseldorf konfrontiert.
Die dortige Kammer bestätigte auch hier das Vorliegen eines wichtigen Grundes i. S. d. § 626 BGB, wonach eine außerordentliche Kündigung ohne vorausgegangene Abmahnung gerechtfertigt sei. Durch die Tatsache, dass der Kläger
in großem Umfang pornographisches Material auf seinem dienstlichen Rechner
abgespeichert hatte und außerdem diverse E-Mail-Kontakte mit Prostituierten
unterhielt – bei einem bestehenden Nutzungsverbot für private Zwecke – lägen
(analog zu dem oben erläuterten Fall) schwerwiegende Pflichtverletzungen vor,
deren Rechtswidrigkeit der Arbeitnehmer hätte erkennen können und dessen
Hinnahme durch den Arbeitgeber offensichtlich ausgeschlossen wäre.
Im Gegensatz dazu müsse ein Arbeitnehmer bei einer 80- bis 100-stündigen
privaten Nutzung pro Jahr nicht zwangsläufig eine solche Rechtswidrigkeit erkennen. Bei dieser beim ArbG Wesel anhängigen Streitigkeit wurde kein ausdrückliches Verbot ausgesprochen. Der Betroffenen wurde aufgrund des o.g.
Ausmaßes der privaten Nutzung fristlos gekündigt. Die Richter verneinten in
diesem Fall das Vorliegen eines wichtigen Grundes mit der Folge, dass die außerordentliche Kündigung, die gegen die Betroffene ausgesprochen wurde, unwirksam war. Die Klägerin hätte die 80 bis 100 Stunden nicht als Pflichtverlet60
zung erkennen müssen. Es hätte vorab einer Abmahnung bedurft.
Die Entbehrlichkeit einer Abmahnung sei – in einem Urteil des ArbG Frankfurt/M. nur dann gegeben, „wenn der Betroffene zu erkennen gebe, dass er
nicht willens sei, sich vertragstreu zu verhalten und selbst kundtue, dass er wieder Vertragsverletzungen begehen werde.
Dazu zählen schwerwiegende und insbesondere vorsätzliche Vertragsverstöße
in allen Bereichen. In diesem Zusammenhang kämen schwere Beleidigungen,
Verleumdungen und Tätlichkeiten in Betracht. Eine Abmahnung sei aber nur
dann nicht notwendig, wenn sie kein geeignetes Mittel darstelle, das Verhalten
des Betroffenen nachhaltig zu ändern, etwa, wenn eine Verhaltensänderung objektiv unmöglich oder wenn eine derartige Korrektur nicht zu erwarten sei“.
Zum Erfordernis einer Abmahnung hat ferner das Bundesarbeitsgericht in seinen ersten Entscheidungen zu diesem Themenkomplex ebenfalls Position bezogen. Daraus kann abgeleitet werden, dass durchaus zahlreiche Fallgestaltungen
denkbar seien, in denen es einer Abmahnung nicht bedarf.
So könne der Arbeitnehmer im Falle einer ausschweifenden privaten Nutzung
nicht damit rechnen, dass der Arbeitgeber mit etwaigem Vorgehen einverstanden sei. Dieser Grundsatz habe selbst dann Bestand, wenn der Arbeitgeber keine klarstellenden Nutzungsregelungen aufgestellt habe. Zudem könne der Arbeitnehmer im Falle heruntergeladener pornographischer Dateien ebenfalls
nicht von dem Einverständnis des Arbeitgebers ausgehen, selbst wenn dieser
eine private Nutzung prinzipiell toleriere. Ein Abmahnung scheide demzufolge
in diesen Fällen aus, da eine solche grundsätzlich bezwecke, dem Einwand des
Arbeitnehmers zu begegnen, „er habe die Pflichtwidrigkeit seines Verhaltens
nicht erkennen bzw. nicht damit rechnen können, der Arbeitgeber werde sein
vertragswidriges Verhalten als so schwerwiegend ansehen.“
61
b)
Kollektivarbeitsrecht; Mitbestimmung und Betriebsvereinbarung
aa) Mitbestimmungsrecht des Betriebs- bzw. Personalrates
In Betrieben, die der betrieblichen Mitbestimmung nach § 1 BetrVG unterliegen und in denen ein Betriebsrat besteht, sind die dargestellten Überwachungsmöglichkeiten der dienstlichen und auch der privaten Internetnutzung
dem § 87 Abs. 1 Nr. 6 BetrVG zugeordnet.
Dies bedeutet, dass dem Betriebsrat ein Mitbestimmungsrecht zukommt,
wenn technische Einrichtungen eingeführt oder angewendet werden, die dazu
bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Das Mitbestimmungsrecht soll das Persönlichkeitsrecht wahren und
konkretisiert den in § 75 Abs. 2 enthaltenen Grundsatz, wonach Arbeitgeber
und Betriebsrat die freie Entfaltung der Persönlichkeit der im Betrieb beschäftigten Arbeitnehmer zu schützen und zu fördern haben. Es bildet die Grundlage,
präventive Schutzmaßnahmen zugunsten der potentiell in ihrer Persönlichkeitssphäre eingeschränkten Arbeitnehmer durchzuführen. Das Mitbestimmungsrecht des Betriebsrates greift demzufolge bereits, wenn die objektive Möglichkeit einer Kontrolle gegeben ist und nicht erst bei der tatsächlichen Durchführung.
Die technische Einrichtung darf erst in betriebsverfassungsrechtlich zulässiger
Weise betrieben werden, wenn eine Einigung zwischen Arbeitgeber und Betriebsrat erzielt wurde oder diese durch einen Schiedsspruch der Einigungsstelle
ersetzt worden ist. Sofern es zu keiner Einigung bezüglich der Durchführung
von Überwachungsmaßnahmen kommt, müssen bereits erfasste Daten gelöscht
werden und dürfen nicht gegen den Arbeitnehmer verwendet werden. Eine Zustimmung durch den Betriebsrat berechtigt den Arbeitgeber hingegen nicht, in
beliebigem Umfang Daten zu erfassen. Die Überwachung der Internetnutzung
hat sich vielmehr an den bereits in den Kapiteln 5.2 und 5.3 beschriebenen Vorschriften zu orientieren und darf das Persönlichkeitsrecht der Arbeitnehmer
62
nicht verletzen.
Das Mitbestimmungsrecht findet seine Anwendung, sowohl wenn PCs mit einem E-Mail-Anschluss bzw. Internetanschluss versehen werden, als auch wenn
eine technische Überwachungseinrichtung erweitert oder verändert wird.
Die Anforderungen einer technischen Einrichtung, mit der eine Datenerhebung
möglich ist, erfülle bereits ein PC, der mit Standardinternetsoftware ausgerüstet
ist, da bereits Programme wie der MS-Internet-Explorer oder der Netscape Navigator über eine Verlaufs- oder eine History-Funktion verfügen, anhand derer
die Internetnutzung detailliert nachvollzogen werden kann.
Eine geeignete Form der Mitbestimmung findet durch den Abschluss und der
Anwendung einer die Kontrolleinrichtung betreffenden Betriebsvereinbarung
statt. Eine so genannte Betriebsabsprache oder Regelungsabrede kann ebenfalls
angewandt werden.
bb) Betriebsvereinbarung
Der Abschluss einer Betriebsvereinbarung ist die allgemein übliche Form, die
Nutzung einer geplanten oder bereits vorhandenen technischen Einrichtung zu
regeln. Es sollte dabei darauf geachtet werden, dass die Vereinbarung möglichst
genau die zulässigen Nutzungsmöglichkeiten regelt. Eine unvollständige Regelung erfüllt ihren Zweck nicht und kann zu Problemen bei der späteren Prüfung
über die Zulässigkeit einer Maßnahme führen.
Die Betriebsvereinbarungen, welche die Internetnutzung regeln, sollten den Geltungsbereich, das Ziel und den Zweck der Regelung zum Inhalt haben. Alle
Begrifflichkeiten müssen klar definiert sein, um spätere Missverständnisse zu
vermeiden.
63
Darüber hinaus sollte detailliert bestimmt werden, wer von den Beschäftigten
das Internet nutzen darf, in welchem Umfang dies geschehen sollte bzw. welche
Nutzung unzulässig ist.
Dabei ist zu beachten, dass innerhalb einer Beschäftigungsgruppe der Gleichbehandlungsgrundsatz anzuwenden ist, was jedoch nicht bedeuten muss, dass
alle Arbeitnehmer die gleichen Zugangsrechte erhalten. So ist unter Umständen
einzelnen Mitarbeitern (z. B. Webdesignern) eine deutlich höhere Nutzung zu
gestatten als anderen Mitarbeitern.
Zu einem der wichtigsten Punkte, die mit einer Betriebsvereinbarung entschieden werden müssen, zählt die Frage, ob das Internet ausschließlich dienstlich
oder auch privat genutzt werden darf. Dies hat weitreichende Auswirkungen auf
die Überwachung der Internetnutzung. Im Fall der Erlaubnis der privaten Internetnutzung ist das Telekommunikationsgesetz anzuwenden, was zu einer Einschränkung der Kontrollrechte des Arbeitgebers führt. Bei einem Verbot der
privaten Nutzung ist diese dennoch nicht generell ausgeschlossen, da im Einzelfall auch eine private Internetnutzung als gestattet anzusehen ist.
So ist es denkbar, die Missbrauchsfälle in leichte und schwere Verstöße einzuteilen und die Konsequenzen dementsprechend zu unterscheiden. Als leichter
Verstoß kann beispielsweise der gelegentliche Aufruf von privaten Seiten zählen, während das Aufrufen von pornographischen oder rassistischen Seiten als
schwerer Verstoß zu ahnden ist. In der Betriebsvereinbarung sollten die Konsequenzen erläutert werden, die auf den Arbeitnehmer zukommen, wenn die Befugnisse von Arbeitnehmern verletzt werden. Dabei ist es auch sinnvoll, die
Rechte der Beteiligten und die Vorgehensweise bei Konflikten festzuhalten.
Ferner ist es wichtig, alle Erfassungs- und Verarbeitungsvorgänge der Überwachungssysteme, insbesondere den Inhalt der Protokolldateien, in der Betriebsvereinbarung aufzuschlüsseln und den Arbeitgeber an die Einhaltung der
Überwachungsvorschriften zu binden.
64
Auf diese Weise soll erreicht werden, dass die Datenerfassung und –
verwendung nur in den festgeschriebenen Grenzen erfolgen kann. Weiterhin ist
die Speicherung, Sicherung, Löschung und Weiterverwendung der erhobenen
Daten zu regeln, damit die Daten ausschließlich für die beabsichtigten Zwecke
verwendet werden. Sofern eine Abrechnung der Internetnutzung erfolgt, sind
die Einzelheiten der Erfassungs- und Abrechnungsvorgänge ebenfalls zu erläutern.
Da die oben genannten Themen von den Unternehmen im Detail unterschiedlich gehandhabt werden, macht es an dieser Stelle keinen Sinn, eine detaillierte
Musterbetriebsvereinbarung zu beschreiben. Eine große Anzahl
von Musterbetriebsvereinbarungen und Hinweisen zur Erstellung von Betriebsvereinbarungen finden sich in der Literatur sowie auf den Internetseiten, z. B.
unter http://www.soliserv.de und http://www.tse-hamburg.de.
C) Ausreichende Speicherkapazität als Risikovorsorge
I.
Mangelnde Investitionsbereitschaft
Während im Hinblick auf den Schutz der Rechnersysteme (z. B. durch Virenscanner)
oder hinsichtlich der Kontrolle der Internetaktivitäten am Arbeitsplatz aufgrund der
zivil- wie strafrechtlichen Haftungs- bzw. Verantwortlichkeitsfragen ein Sensibilisierungsprozess bei den meisten Unternehmen in Gang gekommen ist, scheinen insbesondere die r e c h t l i c h e n R i s i k e n , die aus einem unzulänglichen Datenmanagement resultieren, häufig noch nicht mit der notwendigen Schärfe
wahrgenommen zu werden.
65
Insbesondere gilt dies (wie Untersuchungen zeigen) für kleinere, aber auch für mittlere Unternehmen, in denen entsprechende Investitionsvorhaben exploriert worden
sind. Dabei erweist sich, dass die Probleme im Zusammenhang mit der Schaffung ausreichender Speicherkapazität zwar erkannt werden; aber die Bereitschaft, entsprechend
ausreichende Mittel hierfür einzusetzen, lässt vielfach zu wünschen übrig.
II.
Datenflut und ausreichende Speicherkapazität
Das ständige Anschwellen der Datenflut lässt das „Storage“ für Unternehmen zu einer
durchaus zentralen, wenn nicht gar häufig zu einer existentiellen Aufgabe werden.
Vor dem Hintergrund potentieller Schäden, die andernfalls drohen, ist die Schaffung
einer ausreichender Datenkapazität und die Administration des Datenmaterials
nicht nur eine technische, sondern auch und vor allem eine strategische Notwendigkeit, der sich alle Unternehmen und Unternehmensleitungen stellen müssen. Dies gilt
natürlich nicht nur für Unternehmen, die über Server ihren Kunden Speicherkapazität
zur Verfügung stellen und damit als Provider fungieren, sondern für jedes Unternehmen, das tagtäglich über eingehende und ausgehende Daten verfügt.
Dies wird vor allem dann in seinen Auswirkungen deutlich, betrachtet man nur einmal
die Verpflichtungen, die das KonTraG im Rahmen des vorgeschriebenen sog. Risikomanagements vor allem den börsennotierten Aktiengesellschaften auferlegt und
die Folgen bei einer Verletzung dieser Verpflichtungen.
Neben einer ggf. persönlichen Haftung von Vorstand und Aufsichtsrat können Versäumnisse bei der Einrichtung eines solchen Systems bei prüfungspflichtigen Unternehmen zu einem Versagen des Bestätigungsvermerks führen.
Aber Storage ist nicht nur für Großunternehmen in Form von Aktiengesellschaften
ein Muss, sondern auch für den mittelständischen Unternehmer. Die rechtlichen
66
Fragen sind im wesentlichen gleich gelagert, auch ohne dass, wie beim KonTraG oder
dem Aktiengesetz, spezifische Pflichten spezialgesetzlich normiert sind.
Zunehmend wird außerdem vertreten, dass die Pflicht zum Risikomanagement auch
Gesellschaften mit beschränkter Haftung trifft, wobei allerdings fraglich ist, ab
welcher Größenordnung dies anzunehmen ist.
III. Ökonomische Risikopotentiale
Betrachten wir zunächst einmal, welche wirtschaftlichen Risikopotentiale erwachsen,
wenn keine ausreichende Speicherkapazität vorgehalten wird.
Der Wandel von der Industrie- zur Informationsgesellschaft wird deutlich, vergegenwärtigt man sich nur einmal, welche gewaltigen Datenmengen heute schon in kleineren Unternehmen zu bewältigen sind.
Der wirtschaftliche Erfolg eines jeden Unternehmens – ob Hersteller oder Dienstleister
– beruht nicht nur auf seinen Produkten oder Dienstleistungen, sondern auch und vor
allem auf seinem Know-how, also auf Informationen im weitesten Sinne. Diese werden nicht mehr nur in Papierform verbreitet und administriert, sondern überwiegend
im Rahmen elektronischer Kommunikation und elektronischer Archivierung.
Die Quantität und der ökonomische Wert dieser Informationen, die heute als Daten
auf PCs oder Servern beheimatet sind, waren noch nie größer.
Dies bedeutet aber gleichzeitig, dass die Konsequenzen eines Verlustes dieser Daten
noch nie verheerender waren.
Jede Information, die unter erheblichem Zeit- und Personalaufwand erstellt bzw.
gesammelt und elektronisch archiviert wird, hat ihren eigenen betriebswirtschaftlichen Wert. Die meisten Unternehmen nutzen täglich unzählige Daten, die viel zu
wertvoll sind, um ihren Verlust zu riskieren.
67
Dazu zählen u. a.:
 Kundendaten
 Finanzdaten
 Steuerlich relevante Daten
 Betriebsberichte
 Konstruktionszeichnungen
 Wettbewerbsaktivitäten
 Produktinformationen
 Kostenkalkulationen
 vertrauliche Informationen
 Rechnungen
 Lagerbestände und Bestandsverzeichnisse
 Vertriebsberichte
Man stelle sich nur einmal vor, die Kopie einer Kundendatenbank – z. B. die Abonnentenkartei eines Zeitungsunternehmens –, die Konstruktionszeichnungen eines
Maschinenbau-Unternehmens oder die Auflistung offener Forderungen, insbesondere derjenigen, die zu verjähren drohen, würden versehentlich gelöscht.
Entscheidend ist, dass ein Datenverlust zu jeder Zeit geschehen kann. Ein kleiner technischer Vorfall oder eine Unachtsamkeit von Mitarbeitern reichen aus, um desaströse
Zustände herbeizuführen.
Umfragen entsprechend verursacht zu 85 % der Mensch durch Fahrlässigkeit, unsachgemäße Handhabung, Bedienungsfehler, aber auch durch Computersabotage solche Datenausfälle. 7 % beruhen auf technischem Versagen.
68
Selbst wenn die verlorenen Daten rekonstruierbar sind, bedarf es in der Regel eines
beträchtlichen zeitlichen wie finanziellen Aufwands, um sie wiederherzustellen. Häufig sind diese Folgekosten gar nicht hinreichend abschätzbar.
IV. Die Schaffung ausreichender Speicherkapazität und effiziente Datenadministration als Teil des Risikomanagements im Unternehmen
Zu den Sorgfaltspflichten gehört u. a., neben der Festlegung der Unternehmenspolitik,
die Implementierung einer funktionsfähigen Unternehmenskontrolle, die u. a. darüber zu wachen hat, dass z. B. die erforderlichen Handelsbücher geführt werden, steuerlich relevante Unterlagen archiviert und bereitgehalten werden. Aber nicht nur die lückenlose Dokumentation, sondern insbesondere auch die Einhaltung der vielfältigen
und zeitlich unterschiedlichen und manchmal kaum mehr zu überschauenden unterschiedlichen Aufbewahrungsfristen zählt hierzu.
Die Art der Daten und vor allem die Dauer vorgeschriebener Aufbewahrungsfristen
bestimmt letztlich den Umfang der vorzuhaltenden Speicherkapazität.
Was im einzelnen zu dem geforderten Früherkennungssystem gehört und welche der
bisherigen Vorkehrungen bereits ausreichend sind, ist abschließend noch nicht geklärt.
Die Gesetzesbegründung zu § 91 Abs. 2 AktG nennt hier insbesondere risikobehafete
Geschäfte, Unrichtigkeiten bei der Rechnungslegung und Verstöße gegen gesetzliche Vorschriften, die sich auf die Vermögens-, Finanz- und Ertragslage wesentlich
auswirken.
Damit ist mangels einer entsprechender Konkretisierung durch den Gesetzgeber lediglich der grobe Rahmen aufgezeigt, innerhalb dessen sich ein Risikomanagement zu
bewegen hat.
69
Dieser unscharfe Rahmen birgt natürlich auch Gefahren, sowohl für den Vorstand wie
für den Aufsichtsrat, betrachtet man einmal deren Haftungsrisiken.
Vorstände sind gem. § 93 Abs. 2 AktG im Falle der Verletzung ihrer Pflichten gegenüber der Gesellschaft zum Schadensersatz verpflichtet. Soweit streitig ist, ob sie die
Sorgfalt eines gewissenhaften Geschäftsleiters haben walten lassen, so trifft sie die
entsprechende Beweislast. D. h., sie haben den Nachweis im Rahmen eines Schadensersatzprozesses zu erbringen, dass sie alle Maßnahmen ergriffen haben, um entsprechende Schäden zu vermeiden.
Wie schwierig sich dies im konkreten Einzelfall gestaltet, zeigt die Praxis. Ohne einen
lückenlosen Nachweis, so z. B., dass ausreichende Speicherkapazität vorgehalten
wurde bzw. die Dokumentation entsprechender Daten nachgewiesen wird, gerät derjenige, gegen den entsprechende Schadensersatzansprüche geltend gemacht werden, in
Beweisnöte, die zu seinen Lasten gehen. Bleibt er beweisfällig, so steht der Durchsetzung der Ersatzansprüche gegen ihn nichts mehr im Wege.
Gem. § 116 AktG, der auf § 93 AktG verweist, kann auch der Aufsichtsrat, sofern er
seiner Kontrollpflicht nicht nachkommt, entsprechend auf Schadensersatz in Anspruch
genommen werden. Ihn treffen die gleichen Beweispflichten.
Die fehlende gesetzliche Definition des Risikomanagementsystems nach § 91 Abs. 2
AktG macht es notwendig, die entsprechenden Anforderungen unter Beachtung betriebswirtschaftlicher wie rechtlicher Gesichtspunkte zu bestimmen.
Als bestandsgefährdende Risiken i. S. d. § 91 Abs. 2 AktG werden danach solche
Sachverhalte qualifiziert, die eine Überschuldung oder Illiquidität auslösen können.
Um die systematische Erfassung und Steuerung bestandsgefährdener Risiken zu gewährleisten, sind alle wesentlichen Gefahrenpotentiale in den Prozess der Früherkennung einzubeziehen, da sich Einzelrisiken kumuliert oder in ihrer Wechselwirkung
mit anderen Risiken durchaus als bestandsgefährdend auswirken können.
70
Zwar mag im Einzelfall ein Datenverlust, der auf eine unzureichende Speicherkapazität zurückzuführen ist, nicht sogleich zu einer Bestandsgefährdung führen.
Aber ein Verlust steuerlich relevanter Daten oder der – wenn auch nur kurzzeitige –
Verlust des Datenbestandes über offene Forderungen, die aufgrund dessen wegen Verjährung nicht mehr geltend gemacht und durchgesetzt werden können, kann bei einem
Unternehmen, welches sich ohnehin in einer wirtschaftlichen Schieflage befindet,
durchaus den letzten Anstoß zur Insolvenz geben, zumindest aber zu einer Intensivierung der wirtschaftlichen Krise.
Ebenso gravierend können die wirtschaftlichen Auswirkungen sein, die der Reputationsverlust mit sich bringt.
Solche Image-Risiken sind zwar nur schwer in Zahlen zu fassen. Ihre Auswirkungen
können indessen auf längere Sicht noch viel nachhaltigere Wirkungen entfalten und
sind daher ebenfalls zwingend in ein Risikomanagement einzubeziehen.
Zur Risikoidentifikation bzw. zur Analyse zählt dabei ganz zweifellos auch die zentrale Frage, ob eine ausreichende Datenkapazität vorgehalten wird bzw. wie die entsprechenden Daten gesichert und administriert werden.
V.
Aufbewahrung und Verwaltung von Unterlagen im handelsrechtlichen bzw.
steuerlichen Umfeld
Handelsrechtliche Bücher und die sonst erforderlichen Aufzeichnungen sind von steuerpflichtigen Unternehmen zu führen und aufzubewahren. (§ 146 Abs. 2, Satz 1
Abgabenordnung [nachfolgend „AO“]) Zu den aufbewahrungspflichtigen Unterlagen
zählen beispielsweise neben den Büchern und den Aufzeichnungen, Inventarlisten,
Jahresabschlüsse, Lagebericht, die Eröffnungsbilanz sowie die zu ihrem Verständnis
erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen, empfange71
ne und abgesandte Handels- oder Geschäftsbriefe, Buchungsbelege und sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind. (§ 147 Absatz 1 AO)
Die Aufbewahrungszeiten betragen grundsätzlich sechs bzw. zehn Jahre (§ 147 Absatz
3 AO).
Welche Rechtsfolgen kommen nun in Betracht, wenn den vorstehend genannten
steuerlichen Pflichten nicht entsprochen wird?
Zunächst einmal ist an Zwangsmittel oder ggf. an Bußgelder zu denken. Überdies
droht eine Schätzung nach § 162 AO. Zwar darf eine „Strafschätzung“ nicht erfolgen. Aber fehlen entsprechende Daten, so können diese im Rahmen der Schätzung
eben nicht zur Entlastung herbeigezogen werden.
In diesem Zusammenhang sei auch auf die Vorschrift des § 283b StGB hingewiesen.
Schafft ein Unternehmer Handelsbücher oder sonstige Unterlagen, zu deren Aufbewahrung er nach dem Handelsrecht verpflichtet ist, vor Ablauf der gesetzlichen
Aufbewahrungsfristen beiseite oder zerstört er diese, kann dies unter Umständen mit
einer Geldstrafe bzw. mit einer Freiheitsstrafe von bis zu zwei Jahren bestraft werden. Sofern er fahrlässig handelt, kommt neben der Geldstrafe eine Freiheitsstrafe bis
zu einem Jahr in Betracht. Auch wenn gem. § 283b Abs. 3 i. V. m.. § 283 Abs. 6
StGB eine Strafbarkeit nur dann angenommen wird, wenn der Täter seine Zahlungen
eingestellt hat oder über sein Vermögen das Insolvenzverfahren eröffnet wurde bzw.
der Eröffnungsantrag mangels Masse abgewiesen wurde, so muss bereits im Vorfeld
über diese Konsequenzen durchaus nachgedacht werden.
Im Bereich des Steuerrechts macht sich dieser Unternehmer – sofern er steuerrelevante
Unterlagen vernichtet – dann möglicherweise der Steuerhinterziehung schuldig, was
mit einer Geldstrafe bzw. mit einer Freiheitsstrafe bis zu 5 Jahren geahndet wird (§
370 AO).
VI. Aufbewahrung von Verträgen und Vereinbarungen
72
Verträge und Vereinbarungen sollten mindestens zehn Jahre aufbewahrt werden. Hierunter fallen beispielsweise Darlehens-, Kauf- und Leasingverträge. Wichtig ist aber
auch, dass nicht nur die Verträge, sondern auch die damit im Zusammenhang stehende
Korrespondenz archiviert wird. Auch über gesetzliche Mindestaufbewahrungszeiten
hinaus kann es für ein Unternehmen aus Beweisgründen erforderlich sein, eine längere als die vorgesehene Aufbewahrung in Erwägung zu ziehen.
Können in einem zivilrechtlichen Verfahren entsprechende Unterlagen nicht vorgelegt werden, so können Prozesse bereits aus diesem Grund verloren werden, sofern die
Beweislast bei dem betreffenden Unternehmen liegt. Da unter Umständen auch zivilrechtliche Ansprüche erst in 30 Jahren verjähren können (siehe § 197 BGB), ist eine
Aussage über die Dauer der entsprechenden Aufbewahrungspflichten durchaus
schwierig und muss im Einzelfall geprüft werden. Vor einer Vernichtung von Datenunterlagen ist daher neben der Beachtung der Aufbewahrungspflicht jedenfalls stets zu
bedenken, ob eine Verwendung dieser Unterlagen zu Beweissicherungszwecken nicht
doch in Frage kommen kann. Dies bedeutet für das Unternehmen aber gleichzeitig,
dass das entsprechende Verlustrisiko erkannt und entsprechend abgesichert werden
muss.
Dies gilt nicht nur für den Fall, dass man selbst einem Anspruch ausgesetzt ist und
anhand des Vertrages nachweisen muss, ab welchem Zeitpunkt eine Verjährung beginnt, sondern auch dann, wenn man Gefahr läuft, einen Zahlungsanspruch zu verlieren, weil eine Verjährung droht. Dabei enthält das Verjährungsrecht des BGB
aufgrund seiner speziellen (z. B. im Kauf- oder Werkvertragsrecht für Gewährleistungsrechte) und seiner allgemeinen – differenzierten – Verjährungsregelungen der §§
194 BGB ff. eine Reihe von Fallstricken, die zum Forderungsverlust führen können.
Welche nachteiligen Folgen der Verlust einer E-Mail im Zusammenhang mit der
Verjährung zeitigen kann, soll an dem folgenden Beispielsfall verdeutlicht werden:
Fallbeispiel:
73
Ein Produktionsunternehmen P, welches Verpackungsfolien herstellt, hat eine
kleinere Anlage zur Herstellung 1 mm starker Plastikfolien bei dem Unternehmen
X erworben.
Da diese Folien aufgrund eines Konstruktionsfehlers nach 10 Monaten, in denen
die Anlage im Einsatz war, immer wieder Risse aufweisen, macht P seine Gewährleistungsrechte geltend. Diese verjähren aufgrund der vereinbarten Allgemeinen Geschäftsbedingungen innerhalb von 12 Monaten ab Auslieferung der
Anlage.
P meldet umgehend seine Gewährleistungsrechte kurz vor Ablauf der Verjährungsfrist an. Zunächst einmal reagiert der Hersteller X nicht.
Eine Woche vor dem Eintritt der Verjährung sendet der Hersteller X eine E-Mail
an P, in dem X anbietet, die Ursachen, die zu dem Fehler geführt haben, einmal
eingehend zu überprüfen.
Die E-Mail geht bei P auch ein und befindet sich zunächst auf dem Rechner des
zuständigen Mitarbeiters.
Infolge mangelnder Speicherkapazität bei P wird diese Mail nicht archiviert. Sie
ist später nicht mehr auffindbar.
Nachdem P einige Wochen danach bei X nachfragt, wie es um die Nachprüfung
des Mangels steht, verweist X auf die bereits eingetretene Verjährung.
Dieser Beispielsfall macht deutlich, welche Folgen ein Datenverlust haben kann.
Die Verjährung ist nach der materiellen Rechtslage nicht eingetreten. Zwar ist die
Verjährungsfrist verstrichen.
74
Indessen wird eine Verjährung gem. § 203 BGB gehemmt, sofern zwischen dem
Schuldner und dem Gläubiger Verhandlungen über den geltend gemachten
Anspruch – also hier über den Gewährleistungsanspruch des P – schweben bzw.
über die den Anspruch begründenden Umstände – also hier über die denkbaren
Konstruktionsfehler.
Durch die E-Mail wurde die Verjährung gehemmt, da X und P in entsprechende Verhandlungen i. S. d. § 203 BGB eingetreten sind.
Zwar handelt es sich hier um das einseitige Angebot von X, die fehlerrelevanten
Umstände eingehend zu überprüfen.
Der Begriff der Verhandlung ist jedoch extensiv auszulegen. Nach der Rspr. genügt jeder Meinungsaustausch über den Anspruch oder seiner tatsächlichen
Grundlagen.
Dabei genügen Erklärungen, die den Gläubiger zu der Annahme berechtigen, der
Schuldner lasse sich auf Erörterungen über die Berechtigung des Anspruches ein.
Eine solche Erklärung ist in der genannten E-Mail zu sehen.
Allerdings kann P gegenüber X die Hemmung der Verjährung in einem Rechtsstreit über seine Gewährleistungsrechte im Fall des Bestreitens der Existenz einer
solchen Erklärung nicht beweisen, da die E-Mail seitens P nicht vorgelegt werden kann.
Da P sich im Hinblick auf die Hemmung der Verjährung auf eine für ihn günstige Tatsache beruft, trifft ihn die volle Beweislast, der er nicht entsprechen kann.
Die Gewährleistungsansprüche könnten infolge der eingetretenen Verjährung
nicht durchgesetzt werden.
75
VII. Aufbewahrungspflicht für Unterlagen aus Arbeitsverhältnissen
Für Arbeitsverträge aus beendeten Arbeitsverhältnissen existieren ebenfalls gesetzliche Aufbewahrungsfristen. Dies gilt auch für Nachweise über Zuschüsse des Arbeitgebers an den Arbeitnehmer, Fahrtkostenerstattungen an Arbeitnehmer und Essensgeldabrechnungen. An-, Ab- und Ummeldungen der AOK und Ersatzkassen und Sozialversicherungsunterlagen erfordern vom Arbeitgeber ebenfalls eine sechsjährige
Aufbewahrungspflicht. Lohnbelege, Lohnlisten und Lohnsteuerkonten sowie Mutterschaftsgeldunterlagen müssen sogar zehn Jahre aufbewahrt werden. Werden die oben
aufgeführten Unterlagen aber zur Überprüfung der Lohnbelege benötigt, ist es auch in
diesem Zusammenhang für eigene Beweiszwecke ratsam, diese Unterlagen mindestens zehn Jahre aufzubewahren.
Der Arbeitsalltag ist heute zudem – wie oben in anderem Zusammenhang schon angesprochen – geprägt durch den Umgang und die Kommunikation mit neuen Medien,
wie E-Mail, Internet und Intranet. Betriebsinterne Daten und arbeitsrechtliche Anweisungen werden häufig per E-Mail an die jeweiligen Mitarbeiter gesandt. Aufgrund der schnellen Kommunikation können so selbst sensible Unternehmensdaten –
aus Versehen oder absichtlich – verschickt werden. Unter Zeit- und Leistungsdruck
lassen sich überlastete Mitarbeiter schon einmal zu einer unbeherrschten und nicht
nachvollziehbaren Reaktion hinreißen. E-Mails werden manipuliert, in dem darin befindliche Anweisungen beispielsweise verändert oder fingiert werden. Wenn es aufgrund solcher Manipulationen zu Kündigungsprozessen kommt, kann die archivierte
E-Mail, die z. B. eine Arbeitsanweisung enthält, ein wichtiges Beweismittel sein, um
die Verletzung der arbeitsrechtlichen Pflicht nachzuweisen.
76
WEITERFÜHRENDE LITERATUR
Altmeppen, Holger: Die Auswirkungen des KonTraG auf die GmbH, in: Zeitschrift
für Unternehmens- und Gesellschaftsrecht (Zeitschrift), 1999, Heft 3, S. 291-313.
Benjamin/ Weißnicht, Elmar: Überwachung am Arbeitsplatz und deren
Einfluss auf die Datenschutzrechte Dritter, in: Kommunikation & Recht (Zeitschrift), 2005, Heft 12, S. 537-542.
Balsmeier,
Barton, Dirk-Michael: Risikomanagement und IT-Sicherheit, in: Kommunikation &
Recht (Zeitschrift), 2004, Heft 7, S. 305-312.
Barton, Dirk-Michael: E-Mail-Kontrolle durch Arbeitgeber – Drohen unliebsame
strafrechtliche Überraschungen?, in: Computer und Recht (Zeitschrift), 2003,
Heft 11, S. 839-844.
Barton, Dirk-Michael: (Mit-) Verantwortlichkeit des Arbeitgebers für rechtsmissbräuchliche Online-Nutzungen durch den Arbeitnehmer – Findet die Haftungsprivilegierung des § 9 Abs. 1 TDG auch auf den Arbeitgeber Anwendung?, in:
Computer und Recht (Zeitschrift), 2003, Heft 8, S. 592-598.
Barton, Dirk-Michael/ Janssen, Gerhard: Risikomanagement und IT-Sicherheit, in:
Neue juristische Internet-Praxis (Zeitschrift), 2004, Heft 6/7, S. 29-40.
Barton, Dirk-Michael: Betriebliche Übung und private Nutzung des Internetarbeits
platzes- "Arbeitsrechtliche Alternativen" zur
Wiedereinführung der alleinigen
dienstlichen Verwendung; in: Neue Zeitschrift für Arbeitsrecht, Heft 9,2006.
Beckschulze, Martin/ Henkel, Wolfram: Der Einfluss des Internet auf das Arbeitsrecht,
in: Der Betrieb (Zeitschrift), 2001, Heft 27/28, S. 1491-1506.
Bier, Sascha: Internet und Email am Arbeitsplatz, in: Datenschutz und Datensicherheit
(Zeitschrift), 2004, Heft 5, S. 277-281.
77
Däubler, Wolfgang: Internet und Arbeitsrecht, 2. Auflage, Frankfurt am Main: BundVerlag 2002.
Däubler, Wolfgang: Nutzung des Internet durch Arbeitnehmer, in: Kommunikation &
Recht (Zeitschrift), 2000, Heft 7, S. 323-327.
Gerd/ Konradt, Thomas: Risikomanagement nach KonTraG aus dem
Blickwinkel des Wirtschaftsprüfers, in: Betriebs-Berater (Zeitschrift), 2000, Heft
10, S. 503-509.
Eggemann,
Elschner, Günther: Rechtsfragen der Internet- und E-Mail-Nutzung am Arbeitsplatz,
2004, Köln: Eul.
Ernst, Stefan: Der Arbeitgeber, die E-Mail und das Internet, in: Neue Zeitschrift für
Arbeitsrecht, 2002, Heft 11, S. 585-591.
Fleck, Ulrike: Brauchen wir ein Arbeitnehmerdatenschutzgesetz?, in: Betriebs-Berater
(Zeitschrift), 2003, Heft 6, S. 306-310.
Gola, Peter: Neuer Tele-Datenschutz für Arbeitnehmer? Die Anwendung von TKG
und TDDSG im Arbeitsverhältnis, in: MultiMedia und Recht (Zeitschrift), 1999,
Heft 6, S. 322-330.
Hartmann-Wendels,. Thomas: Basel II, Die neuen Vorschriften zur Eigenmittelunterlegung von Kreditrisiken, Economica Verlag, Hüthig GmbH & Co. KG, Heidel
berg / 2003.
Hommelhoff, Peter: Die neue Position des Abschlussprüfers im Kraftfeld der aktien
rechtlichen Organisationsverfassung (Teil I), Betriebs-Berater, Heft 50 vom
10.12.1998, s. 2567 – 2631.
Institut der Wirtschaftsprüfer in Deutschland: Prüfungsstandard 330: Entwurf IDW
Prüfungsstandard: Abschlussprüfung bei Einsatz von Informationstechnologie
(IDW PS 330), Stand: 03.07.2001.
Institut der Wirtschaftsprüfer in Deutschland: Entwurf IDW Stellungsnahme zur
Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von
Informationstechnologie (IDW ERS FAIT 1), Stand: 08.03.2001.
78
Institut der Wirtschaftsprüfer in Deutschland: Kenntnisse über die Geschäftstätigkeit
sowie das wirtschaftliche und rechtliche Umfeld des zu prüfenden Unternehmens
im Rahmen der Abschlussprüfung (IDW PS 230), aus: Die Wirtschaftsprüfung,
Heft 17/2ßßß, S. 842 ff., Stand: 13.09.2000.
Institut der Wirtschaftsprüfer in Deutschland: Prüfungsstandard 340: Die Prüfung des
Risikofrüherkennungssystems nach § 317 Abs. 4 HGB (IDW PS 340), in: Die
Wirtschaftsprüfung (Zeitschrift), 1999, Heft 16, S. 658-670.
Jofer, Robert/ Wegerich, Christine: Betriebliche Nutzung von E-Mail-Diensten: Kontrollbefugnisse des Arbeitgebers, in: Kommunikation & Recht (Zeitschrift), 2002,
Heft 5, S. 235-240.
Kiper, Manuel/ Schierbaum, Bruno: Arbeitnehmer-Datenschutz bei Internet- und EM@il-Nutzung, 2000, Oldenburg: BTQ-Beratungsstelle für Technologiefolgen
und Qualifizierung im Bildungswerk der DAG im Lande Niedersachen e. V.
Koch, Robert: Haftung für die Weiterverbreitung von Viren durch E-Mails, in: Neue
Juristische Wochenschrift (Zeitschrift), 2004, Heft 12, S. 801-807.
Lange, Knut Werner / Wall, Friederike: Risikomanagement nach dem KonTraG, Verlag Franz Vahlen München / 2001.
Lejeune, Mathias: Anmerkung zum Urteil des Oberlandesgericht Karlsruhe vom 10. 1.
2005 – AZ: 1 WS 152/04, in: Computer und Recht (Zeitschrift), 2005, Heft 4, S.
291.
Mengel, Anja: Kontrolle der E-mail- und Internetkommunikation am Arbeitsplatz, in:
Betriebs-Berater (Zeitschrift), 2004, Heft 37, S. 2014-2021.
Nägele, Stefan/ Meyer, Lars: Internet- und E-Mail am Arbeitsplatz: Rechtliche Rahmenbedingungen der Nutzung und Kontrolle sowie der Reaktion auf Missbrauch,
in: Kommunikation & Recht (Zeitschrift), 2004, Heft 7, S. 312-317.
Oehler, Andreas: Kreditrisikomanagement, 2. überarbeitete Auflage, SchäfferPoeschel Verlag Stuttgart, 2002.
Raffler, Andrea/ Hellich, Peter: Unter welchen Voraussetzungen ist die Überwachung
von Arbeitnehmer-E-mails zulässig?, in: Neue Zeitschrift für Arbeitsrecht, 1997,
Heft 16, S. 862-868.
79
Elmar: Die Nutzung des Internet am Arbeitsplatz, in: MultiMedia und
Recht (Zeitschrift), 2003, Heft 7, S. 448-453.
Weißnicht,
Weißnicht, Elmar: IT- Risikomanagement und Online- Überwachung von Arbeitneh
mern im Konzern, in: Jean- Monnet Schriftenreihe - Band 8, Dieter Krimphove,
(Hrsg.), EUL- Verlag 2008.
RECHTSPRECHUNGSVERZEICHNIS
Bundesarbeitsgericht, Urteil vom 31. 5. 2007 – 2 AZR 200/06, Pressemitteilung Nr.
39/07.
Bundesarbeitsgericht, Urteil vom 7. 7. 2005 – 2 AZR 581/04, Originalfassung des Gerichts („Außerordentliche Kündigung – ‚Surfen’ im Internet“), in: MultiMedia und
Recht (Zeitschrift), 2006, Heft 2, S. 94-98.
Bundesarbeitsgericht, Urteil vom 24. 11. 2004 – 10 AZR 202/04 („Vertragliche Inbezugnahme von tarifvertraglichen Sonderzahlungen – Änderung eines Vertrags durch
konkludentes Verhalten“), in: Neue Zeitschrift für Arbeitsrecht, 2005, Heft 6, S. 349352.
80
Document
Kategorie
Seele and Geist
Seitenansichten
51
Dateigröße
383 KB
Tags
1/--Seiten
melden