Als Unternehmer, beziehungsweise Arbeitgeber, kann man immer wieder in unerwartete, missliche Situationen kommen, in denen es sich leider nicht vermeiden lässt, die Datenverarbeitung der Arbeitnehmer zu kontrollieren oder nachzuvollziehen. Im Folgenden ein paar Grundregeln, bei deren Einhaltung es dem Arbeitgeber möglich ist, digitale Vorgänge rechtskonform zu überprüfen, um im Ernstfall Schaden von seinem Unternehmen abzuwenden.

Außerdem ein wichtiger Faktor, um die Sicherheit sensibler Unternehmensgeheimnisse zu gewährleisten, der sorgfältige Umgang der Mitarbeiter, mit der zur Verfügung gestellten ITInfrastruktur. Auch dieser lässt sich über eine IT-Nutzungsrichtline verbindlich vorgeben und definieren. Denn es ist ja allgemein bekannt, dass die größte Sicherheitslücke oftmals vor dem Bildschirm sitzt.

Welche Medien müssen idealerweise gelegentlich bezüglich Ihrer Nutzung und gewisser Arbeitsvorgänge durch den Arbeitgeber überprüft werden:

  • Dienst-Laptop und/oder PC
  • Firmenhandy und/oder Tablet
  • ERP-Software und/oder CRM-System
  • E-Mail-Postfach und/oder Internetnutzung

Hierbei stellen bei der Benutzerkontrolle ERP-Software und CRM-System das kleinste Übel da. In diesen Systemen ist ein kontrolliertes und durchdachtes Berechtigungskonzept eine Pflichtübung und dieses ermöglicht es für gewöhnlich auch automatisch nachzuvollziehen, wer, wann, welche Änderungen vorgenommen hat. Hier gibt es auch rechtlich wenig Angriffspotenzial für den Arbeitgeber, da diese Systeme von den Mitarbeitern ausschließlich geschäftlich genutzt werden.

Bei allen anderen Komponenten spielt die Frage nach der privaten Nutzung eine große Rolle. Der einfachste Weg für den Arbeitgeber ist in diesem Fall, die private Nutzung im Rahmen einer entsprechenden Richtlinie komplett zu verbieten. Ist dies gegeben, sind stichprobenartige Kontrollen im Rahmen der Verhältnismäßigkeit gar kein Problem. Sie sind sogar erforderlich, um die Einhaltung
der Richtlinie zu prüfen und nicht wegen fehlender Kontrollen, versehentlich in eine Duldung und damit Erlaubnis der privaten Nutzung zu rutschen.

Der zuvor beschriebene Weg ist zwar der einfachste und auch gewisseste, mit welchem sich die Systeme auch im Rahmen der IT-Sicherheit am besten schützen lassen; aber ist er auch immer möglich? In Zeiten des Fachkräftemangels, wo der Fokus auf Work-Life-Balance liegt und die Arbeit aus dem Home Office an Attraktivität gewinnt, ist das komplette Verbot der privaten Nutzung oft nicht die optimale Lösung wenn der Arbeitgeber Mitarbeiter für sein Unternehmen begeistern möchte.

Wenn eine private Nutzung in Teilbereichen erlaubt sein soll, erfordert dies zum einen Technologien, die privaten Nutzungsbereiche von den geschäftlichen auf den Geräten trennen und die geschäftlichen Bereiche besonders absichern. Zum anderen erfordert es eine deutlich detailliertere und ausführliche IT-Nutzungsrichtlinie, in der genau beschrieben und geregelt ist, was erlaubt ist und was nicht und in welchen Bereichen eine Überprüfung stattfindet und in welcher Form.

Ist eine private Nutzung erlaubt, bedarf die Kontrolle und Überprüfung des Verhaltens und der Verbindung einer Einwilligung des Mitarbeiters. Diese Einwilligung kann Bestandteil der Richtlinie sein und sollte Grundvoraussetzung dafür sein, dass die private Nutzung erlaubt wird. Für den Arbeitgeber sind diese Kontrollen und Überprüfungen, solange sie Verhältnismäßig sind, nämlich sehr wichtig und ein berechtigtes Interesse, um die IT-Sicherheit und die produktive Arbeit in seinem Unternehmen sicherzustellen.

Sie benötigen Beratung, um sich in diesem Bereich richtig aufzustellen oder möchten, dass wir eine rechtskonforme Richtline nach Ihren Bedürfnissen für Sie erstellen? Dann kontaktieren Sie uns jederzeit gerne für ein unverbindliches Angebot und fachkompetente Unterstützung.

+49 (0) 25 06 / 93 20 600info@katlex.dehttps://katlex.de