Zusammenfassung:
Dieses Muster regelt eine erlaubte private Internetnutzung (inklusive Webmail-Diensten wie web.de oder gmx.net), eine private Nutzung des betrieblichen E-Mail-Kontos ist jedoch untersagt.
Die Musterbetriebsvereinbarung behandelt ausschließlich datenschutzrechtliche Aspekte; andere arbeitsrechtliche Fragestellungen sind ggf. nicht berücksichtigt.
Es basiert auf einem überarbeiteten Muster der Datenschutzkonferenz (Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder) aus dem Januar 2016.
|
Betriebsvereinbarung
Zwischen
der A-GmbH
und
dem Betriebsrat der A-GmbH,
wird folgende Betriebsvereinbarung über die
Nutzung von Internet und E-Mail
geschlossen.
Gegenstand und Geltungsbereich
Die Betriebsvereinbarung regelt die Grundsätze für die Nutzung der betrieblichen Kommunikationssysteme E-Mail und Internet.
Diese Betriebsvereinbarung gilt räumlich für den Betrieb der A-GmbH in …
Die Betriebsvereinbarung gilt persönlich für Beschäftigte der A-GmbH.
Betriebliche und/oder private Nutzung
Die Nutzung der von der Arbeitgeberin zur Verfügung gestellten Kommunikationssysteme und Endgeräte zur Nutzung von Internet ist grundsätzlich nur zu betrieblichen Zwecken gestattet. Das betriebliche E-Mail Postfach darf ausschließlich zur betrieblichen Kommunikation genutzt werden.
Die Gestattung der privaten Nutzung des Internetzugangs nach den Vorgaben dieser Betriebsvereinbarung erfolgt ausschließlich gegenüber denjenigen Beschäftigten, die zuvor gegenüber der Arbeitgeberin eine Einwilligung gemäß Anlage 1 abgegeben haben.
Liegt eine Einwilligung vor, ist die private Nutzung des betrieblichen Internetzugangs im Umfang von [Definition durch Vertragspartner, z.B.: in geringem Umfang und ohne Beeinträchtigung der Arbeitsleitung] zulässig.
Die Beschäftigten sind frei in ihrer Entscheidung, ob sie eine solche Einwilligung abgeben wollen. Die Einwilligung ist jederzeit mit Wirkung für die Zukunft widerruflich. Soweit die Einwilligung nicht erteilt wird oder widerrufen wurde, so ist nur eine betriebliche Nutzung zulässig.
Verhaltensgrundsätze
Unzulässig ist jede vorsätzliche Nutzung der betrieblichen Kommunikationssysteme, die den Interessen des Arbeitgebers oder dessen Ansehen in der Öffentlichkeit schadet oder die gegen geltende Rechtsvorschriften verstößt. Dazu zählen
der Abruf von für den Arbeitgeber kostenpflichtigen Internetseiten
das Abrufen, Verbreiten oder Speichern von Inhalten, die gegen persönlichkeitsrechtliche, datenschutzrechtliche, lizenz- und urheberrechtliche oder strafrechtliche Bestimmungen verstoßen
Aktivitäten, die sich gegen die Sicherheit von IT-Systemen richten (z.B. Angriffe auf externe Webserver)
Aktivitäten, die sich gegen das Unternehmen richten (sog. Compliance-Verstöße [hier auf Compliance-Dokumente verweisen])
…
[Hinweise, soweit bestimmte Internetseiten/ - dienste gesperrt werden (Blacklists)]
Zum Schutz der IT-Systeme vor Viren, Trojanern und ähnlichen Bedrohungen ist der Download von Programmen aus dem Internet nicht gestattet.
Nutzungsregelungen und Zugriffsrechte
[Ggf. allgemeine Regelungen zum Herunterladen von Inhalten, Speicherungen von Anhängen/ Dateien, Möglichkeit bzw. Pflicht zur Verschlüsselung von E-Mails etc. nennen.]
Bei geplanter Abwesenheit eines Beschäftigten ist durch den Beschäftigten ein automatisierter Hinweis auf die Abwesenheit des Beschäftigten sowie auf seine Vertretung einzurichten. Soweit dies für betriebliche Zwecke erforderlich ist, kann ein Vertretungsassistent eingerichtet werden bzw. können eingehende E-Mails automatisiert an einen Vertreter weitergeleitet werden.
a) Wurde eine Abwesenheitsnachricht entgegen 4.2 nicht eingerichtet oder war dies aufgrund einer ungeplanten Abwesenheit nicht möglich, kann dies durch den Arbeitgeber erfolgen.
b) Eine automatisierte Weiterleitung wird nur in dringend erforderlichen Fällen eingerichtet, insbesondere soweit eine Abwesenheitsnachricht allein den betrieblichen Erfordernissen nicht gerecht wird.
c) Ein Zugriff auf das betriebliche E-Mail-Postfach des betroffenen Beschäftigten für betriebliche Zwecke – etwa wenn Inhalte des Postfachs für die weitere Bearbeitung benötigt werden – darf darüber hinaus nur erfolgen, soweit dies für betriebliche Zwecke erforderlich ist. Derartige Zugriffe können unter Hinzuziehung von Vertrauenspersonen [konkret zu benennen] im Vier-Augen-Prinzip durchgeführt werden. Der Beschäftigte wird über den Zugriff unverzüglich unterrichtet. Erkennbar private E-Mails und solche, die der Kommunikation des Beschäftigten mit den unter 4.6 angesprochenen Stellen dienen, dürfen inhaltlich nicht zur Kenntnis genommen werden.
Die eingehenden und ausgehenden E-Mails des betrieblichen E-Mail Postfachs werden zur Sicherstellung der Funktionsfähigkeit des Systems im Abstand von … Tagen gespeichert und für maximal ... Jahre aufbewahrt.
Um gesetzlich vorgegebenen Aufbewahrungspflichten (z.B. gem. § 257 HGB, § 147 AO) gerecht zu werden, werden die eingehenden und ausgehenden E-Mails des betrieblichen E-Mail Postfachs im Abstand von … Tagen archiviert und für maximal ... Jahre aufbewahrt.
Persönliche, aber geschäftlich veranlasste E-Mails (z.B. Kommunikation mit dem Betriebsrat, Betriebsarzt, Sozialberatung, Datenschutz oder Compliance Office) sollten über alternative Kommunikationswege abgewickelt werden (z.B. telefonisch, postalisch, private E-Mail-Adresse). Sollte dennoch derlei Kommunikation über das betriebliche E-Mail-Postfach abgewickelt werden, ist diese zu löschen bzw. lokal abzuspeichern. Bei einem Zugriff erkannte derartige Kommunikation (z.B. anhand des Betreffs bzw. Kommunikationspartners) darf inhaltlich nur durch den vorgesehenen Empfänger zur Kenntnis genommen werden.
Funktionspostfächer
E-Mail-Postfächer und die Internetkommunikation von Personen, die einer besonderen Vertraulichkeit unterliegen, sind von den Kontrollen nach dieser Vereinbarung ausgeschlossen. Eine Aufstellung dieser Postfächer findet sich in Anlage 2.
Spamfilter und Virenschutz
Durch eine zentrale Spamfilterung können Spammails erkannt werden, indem auf eingehenden E-Mails zugegriffen wird. Erkannte Spammails werden im Betreff mit dem Wort „Spam“ markiert und an den Empfänger weitergeleitet. Dieser hat sorgfältig zu prüfen, inwieweit es sich tatsächlich um eine Spam-Nachricht handelt. Ist dies zutreffend sollte diese unverzüglich gelöscht werden und der Erhalt derartiger E-Mails möglichst unterbunden werden.
Liegen konkrete Anhaltspunkte dafür vor, dass eine E-Mail Schadsoftware enthält, so wird diese automatisiert herausgefiltert und untersucht. Bestätigt sich der Verdacht, findet eine Weiterleitung an den Empfänger nur statt, wenn zuvor die entsprechenden Teilinhalte oder Anlagen entfernt wurden und Störungen oder Schäden durch die Weiterleitung ausgeschlossen werden können.
Verhaltenskontrolle
Die bei der Nutzung des betrieblichen E-Mail-Postfachs und des Internets anfallenden personenbezogenen Daten werden nur im Rahmen dieser Betriebsvereinbarung kontrolliert; insofern findet eine Verhaltenskontrolle statt. Sie unterliegen der Zweckbindung dieser Vereinbarung und den einschlägigen datenschutzrechtlichen Vorschriften. Darüber hinausgehende Leistungs- und Verhaltenskontrollen werden nicht durchgeführt.
Protokollierung
Die Nutzung des Internets wird, soweit dies für die Gewährleistung der Systemsicherheit und/oder der Funktionsfähigkeit der eingesetzten IT-Systeme erforderlich ist, mit folgenden Informationen für jedes aufgerufene Objekt protokolliert:
Datum/Uhrzeit
Benutzerkennung
IP-Adresse
Zieladresse
übertragene Datenmenge
... [abschließende Aufzählung aller Protokolldaten]
Ein- und ausgehende E-Mails werden mit folgenden Informationen protokolliert:
Datum/Uhrzeit
Absender- und Empfängeradresse
Message ID
Nachrichtengröße
Betreff
... [abschließende Aufzählung aller Protokolldaten]
Die Protokolldaten nach Ziffer 8.1 und 8.2 werden ausschließlich zu Zwecken der
Analyse und Korrektur technischer Fehler,
Gewährleistung der Systemsicherheit,
Aktualisierung der Liste gesperrter Internet-Seiten („Black List“)
Optimierung des Netzes und
Datenschutzkontrolle
verwendet.
Die Protokolldaten nach Ziffer 8.1 werden für maximal … Tage, Protokolldaten nach Ziffer 8.2 werden für maximal … Tage aufbewahrt und dann automatisch gelöscht oder wirksam anonymisiert. Die Regelungen zur Zweckbindung aus § 31 Bundesdatenschutzgesetz bzw. Art. 5 Abs. 1 Buchst. b DSGVO sind zu beachten.
Personal, das Zugang zu Protokollinformationen hat, wird besonders auf die Sensibilität dieser Daten hingewiesen und auf die Einhaltung des Datenschutzes verpflichtet. Bei der Auswahl des Personals ist dies als Eignungsvoraussetzung zu berücksichtigen. Dafür wird auch (z.B. durch vertragliche Vereinbarung) Sorge getragen, wenn und soweit es sich nicht um eigenes Personal handelt.
Kontrollen
Zur Aktualisierung der gesperrten Internetseiten (Black-List) und zur Analyse von
deutlich über dem üblichen Nutzungsverhalten liegende, auffällige Häufungen im Kommunikationsverhalten oder
extensivem Anstieg von Übertragungsvolumina bzw. besonders hohen Übertragungsvolumina bestimmter Internet- oder externen E-Mail-Domänen
kann die geschäftliche und private Nutzung von Internet und E-Mail mit folgenden Kontrolldaten für einen Zeitraum von einem Monat protokolliert und getrennt von den Protokolldaten nach Ziffer 8.1 und Ziffer 8.2. gespeichert werden:
Gruppenzugehörigkeit
Datum und Uhrzeit
genutzte externen E-Mail-Domänen
aufgerufene Internetdomänen (URL)
übertragene Datenmengen
Für die Analysen werden statistische Aufbereitungen der protokollierten Kontrolldaten angefertigt, indem die im Zeitraum der Protokollierung auffällig häufig aufgerufenen Domänen und Übertragungsvolumina für Internet und E-Mail dargestellt sind (Domänanalysen). Diese anonymen Kontrolldaten werden durch den Arbeitgeber monatlich oder aus gegebenem Anlass gesichtet und ausgewertet.
Ergeben sich bei der Auswertung der Daten nach Ziffer 9.1. Hinweise auf unzulässige Zugriffe gem. Ziffer 3.1 oder auf eine Überschreitung der erlaubten privaten Nutzung (Stufe 1), ist der betroffene Kreis der Beschäftigten zunächst pauschal auf die Unzulässigkeit dieses Verhaltens hinzuweisen (Stufe 2). Gleichzeitig wird darüber unterrichtet, dass bei Fortdauer der Verstöße zukünftig eine gezielte Kontrolle (Stufe 3) nach einem gesondert festzulegenden Verfahren stattfinden kann. An der Festlegung des Verfahrens der Auswertung von Protokolldaten sind der Betriebsrat, die IT-Abteilung und der betriebliche Datenschutzbeauftragte zu beteiligen. Das Verfahren ist den Beschäftigten bekannt zu geben.
Für die gezielte Kontrolle (personenbezogene Auswertung) entsprechend Stufe 3 müssen der genaue Zweck, der Umfang der Daten, der Zeitraum der Auswertung vorab in einem Konzept festgelegt und angekündigt werden; der Umfang der von der Auswertung erfassten Personen muss dabei auf den Kreis der Betroffenen begrenzt werden (nach § 32 Abs. 1 Satz 2 BDSG a.F. bzw. § 26 Abs. 1 Satz 2 BDSG n.F.). Es dürfen nicht sämtliche Beschäftigte überwacht werden. Die personenbezogenen Daten sind nach Beendigung des Verfahrens zu löschen. Über das Ergebnis der Auswertung wird der Beschäftigte schriftlich in Kenntnis gesetzt. Ihm ist Gelegenheit zur Stellungnahme zu geben. Entsprechend der Ergebnisse der Auswertung ist das weitere Vorgehen (Stufe 4) abzuwägen:
Einstellen der Kontrollen/keine weitere Überwachung,
erneutes Ermahnen des betroffenen Personenkreises und Fortführen der gezielten Kontrolle oder
Verschärfen der Kontrolle, in dem die Protokollierung auf dem Arbeitsplatzrechner stattfindet.
Die Durchführung weiterer arbeitsrechtlicher Maßnahmen bleibt hiervon unberührt.
Für die Protokollierung auf dem Arbeitsplatzrechner (Stufe 4) gelten dieselben Anforderungen wie in Stufe 3 mit Ausnahme der Ankündigung. Die Beschäftigten müssen über diese Maßnahme nachträglich aufgeklärt werden.
Der Arbeitgeber ist berechtigt, bei Vorliegen eines auf zu dokumentierende tatsächliche Anhaltspunkte begründeten Missbrauchsverdachts bei der Internet- oder E-Mail-Nutzung, Protokolldaten nach Ziffer 8.1 und Ziffer 8.2 über einen Zeitraum bis zu maximal … Tagen aufzubewahren und personenbezogen auszuwerten.
Erweist sich der Verdacht als unbegründet oder werden die Protokolldateien nicht mehr zu weitergehenden Maßnahmen nach Ziffer 8 dieser Vereinbarung benötigt, so hat die Stelle, die eine Speicherung der Protokolldaten über … Tage hinaus veranlasst hat, unverzüglich die Löschung dieser Daten durch die IT-Abteilung zu veranlassen. Die erfolgte Löschung ist schriftlich gegenüber der beauftragenden Stelle durch die IT-Abteilung zu bestätigen. Die Betroffenen werden nach Abschluss der Maßnahmen unverzüglich darüber benachrichtigt.
Ein Verstoß gegen diese Betriebsvereinbarung kann arbeitsrechtliche Konsequenzen haben. Darüber hinaus kann ein Verstoß zivilrechtliche Schadensersatzpflichten auslösen, z.B. bei Nutzung kostenpflichtiger Internetseiten. Die Arbeitgeberin behält sich vor, bei Verstößen gegen diese Vereinbarung die private Nutzung des Internetzugangs und des betrieblichen E-Mail Postfachs im Einzelfall zu untersagen.
Schulung der Beschäftigten
Die Beschäftigten werden in regelmäßig stattfindenden Schulungen mit den technischen Möglichkeiten und einer datenschutzgerechten Anwendung der eingesetzten Verfahren vertraut gemacht. Gleichzeitig werden sie über Art und Umfang der Erhebung und Verwendung ihrer personenbezogenen Daten informiert.
Änderungen und Erweiterungen
Geplante Änderungen und Erweiterungen an den elektronischen Kommunikationssystemen werden dem Betriebsrat und dem betrieblichen Datenschutzbeauftragten rechtzeitig mitgeteilt. Es wird dann geprüft, ob und inwieweit sie sich auf die Regelungen dieser Vereinbarung auswirken. Notwendige Änderungen oder Erweiterungen zu dieser Vereinbarung können im Einvernehmen in einer ergänzenden Regelung vorgenommen werden.
Schlussbestimmungen
Die Unwirksamkeit einzelner Bestimmungen dieser Vereinbarung führt nicht zur Unwirksamkeit der übrigen Regelungen. Im Falle der Unwirksamkeit einzelner Regelungen werden Betriebsrat und Arbeitgeberin unverzüglich Verhandlungen über eine Neuregelung des jeweiligen Sachverhalts aufnehmen.
Diese Vereinbarung tritt mit ihrer Unterzeichnung in Kraft. Sie kann mit einer Frist … gekündigt werden.
Im Falle einer Kündigung dieser Betriebsvereinbarung gelten diese Regelungen bis zum Abschluss einer neuen Vereinbarung. Nach Eingang der Kündigung verpflichten sich die Betriebsparteien, unverzüglich Verhandlungen über eine neue Betriebsvereinbarung aufzunehmen.
Anlagen:
Anlage 1: Einwilligungserklärung zur privaten Nutzung des betrieblichen Internets
Anlage 2: Von den Kontrollen ausgenommene E-Mail-Postfächer
__________________________________ __________________________________
Ort, Datum Ort, Datum
__________________________________ __________________________________
Unterschrift Geschäftsführer A-GmbH Unterschrift Betriebsrat der A-GmbH
Anlage 1 zur Betriebsvereinbarung: Einwilligungserklärung
Einwilligung bei einer privaten Nutzung des betrieblichen Internetzugangs
Ich möchte von dem Angebot Gebrauch machen, den betrieblichen Internetzugang in geringfügigem Umfang [ggf. konkret bestimmen] auch für private Zwecke zu nutzen.
Ich habe die Gelegenheit gehabt, die Betriebsvereinbarung über die Nutzung von Internet und E-Mail zur Kenntnis zu nehmen und bin mir über die folgenden, mit der Privatnutzung des Internets verbundenen Nutzungsbedingungen bewusst:
Die private Nutzung ist nur in geringfügigem Umfang [konkret bestimmen] gestattet und nur sofern und soweit dadurch die geschäftliche Aufgabenerfüllung und die Verfügbarkeit der IT-Systeme für geschäftliche Zwecke nicht beeinträchtigt werden.
Zum Schutz der IT-Systeme vor Viren, Trojanern und ähnlichen Bedrohungen sind der Download von Programmen aus dem Internet, sowie entsprechende Downloads von Dateianhängen im Rahmen der privaten Nutzung nicht gestattet.
Eine vorsätzliche Nutzung, welche geeignet ist, den Interessen der Arbeitgeberin oder deren Ansehen in der Öffentlichkeit zu schaden oder die gegen geltende Rechtsvorschriften verstößt, insbesondere
der Abruf für den Arbeitgeber kostenpflichtigen Internetseiten,
das Abrufen, Verbreiten oder Speichern von Inhalten, die gegen persönlichkeitsrechtliche, datenschutzrechtliche, lizenz- und urheberrechtliche oder strafrechtliche Bestimmungen verstoßen,
Aktivitäten, die sich gegen die Sicherheit von IT-Systemen richten (z.B. Angriffe auf externe Webserver) oder
Aktivitäten, die sich gegen das Unternehmen richten (z.B. Compliance-Verstöße [konkret benennen])
[…an Regelung in Betriebsvereinbarung anpassen]
unzulässig ist.
Die A-GmbH ist berechtigt, den Aufruf bestimmter Internet-Seiten durch den Einsatz geeigneter Filter-Programme zu verhindern. Es besteht kein Rechtsanspruch auf einen Zugriff auf gefilterte Internet-Inhalte.
Ich willige ein, dass auch meine privaten – also nicht nur die betrieblich veranlassten – Internetzugriffe im Rahmen der Betriebsvereinbarung vom [Datum einsetzen] verarbeitet und unter den Voraussetzungen der Ziffern 8. und 9. der Betriebsvereinbarung protokolliert sowie personenbezogen ausgewertet werden.
Mir ist bewusst, dass ich hierdurch auf den Schutz des Fernmeldegeheimnisses gem. § 88 TKG verzichte.
Ich bin mir darüber im Klaren, dass eine missbräuchliche oder unerlaubte Nutzung neben arbeitsrechtlichen Konsequenzen gegebenenfalls auch strafrechtliche Folgen haben kann und dass darüber hinaus ein Verstoß zivilrechtliche Schadensersatzpflichten auslösen kann.
Mir ist bewusst, dass ich diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. Wenn ich sie widerrufe, darf ich ab diesem Zeitpunkt den beruflichen Internetzugang nicht länger für private Zwecke nutzen.
________________________________________
Ort, Datum
________________________________________
Unterschrift des Beschäftigten
Anlage 2 zur Betriebsvereinbarung (Anhang 1): Ausgenommene E-Mail-Postfächer
Von den Kontrollen ausgenommene E-Mail-Postfächer
Folgende E-Mail-Postfächer bzw. Funktionspostfächer sind aufgrund von Verschwiegenheitsverpflichtungen von Kontrollen ausgenommen:
Betriebsarzt: …
Betriebsrat: …
Datenschutzbeauftragter: …
… usw.
Muster-BV-Internet mit Privatnutzung Seite von www.fox-on.de
|