Beitrag in der internet world 2/03, S. 50

Der Administrator in einem Unternehmen ist regelmäßig zum einen für die allgemeine Funktionsfähigkeit des gesamten DV-Systems, zum anderen für dessen Sicherheit verantwortlich. Gleichzeitig werden ihm teilweise ergänzende Aufgaben übertragen, wonach Internet- oder E-Mail-Aktivitäten zu überwachen sind. Häufig bewegt sich der Administrator im Grenzbereich des rechtlich Zulässigen und muss in einem Spagat zwischen Aufgabenerfüllung und Strafbarkeit tätig sein.

Zunächst entscheidend für die Befugnisse des Administrators ist, ob private E-Mail- oder Internetnutzung einem Verbot unterliegt. Ist eine private Nutzung zumindest geduldet, greift das Telekommunikationsgesetz (TKG), infolgedessen eine Überwachung grundsätzlich das Fernmeldegeheimnis gem. § 85 TKG verletzt (s. Internet World 6/02, S. 42). Überwacht ein Administrator in diesem Falle den E-Mail- oder Internetverkehr macht er sich strafbar, es sei denn, den Arbeitnehmern sind Missbrauchskontrollen angekündigt worden. Folgerichtig ist auch das Scannen von Mail-Anhängen äußerst problematisch.

Ein bisher nicht durch Gerichte auf seine Rechtmäßigkeit überprüftes Verfahren, jedoch unter dem Gesichtspunkt des Unternehmensschutzes nach Auffassung des Autors zulässig ist es, Mail-Anhänge, die im Verdacht stehen, maliziöse Dateien zu enthalten, in einem automatisiertem Scanvorgang abzukoppeln und nachfolgend den Adressaten der E-Mail von der Zwischenspeicherung in einer „Black-box“ zu unterrichten und um Mitteilung zu bitten, ob er die „abgehängte“ Datei benötige.

Hierbei handelt es sich um einen rein technischen Vorgang ohne Einsichtnahme, sodass auch der Versuch von außen, beispielsweise virenverseuchte Mails einzuschleusen, vergleichsweise gut und in den engen rechtlichen Schranken abgewehrt werden kann.

Soweit jegliche Privatnutzung untersagt ist, bestehen keine Zweifel gegen die Überwachungsmaßnahmen als solche. Umstritten ist indes, in welchem Umfang diese erfolgen dürfen. Unter Berücksichtigung datenschutzrechtlicher Grundsätze, insbesondere der Datenvermeidung, ist das Unternehmensinteresse an den Überwachungsmaßnahmen in einer Abwägung der Schwere des Eingriffs in das Persönlichkeitsrecht gegenüberzustellen. In der Praxis bedeutet dies, dass es insbesondere darauf ankommt, ob das Unternehmen beispielsweise ein erhöhtes Interesse am Schutz von sensiblen Unternehmensdaten hat.

Bei dem Verbot der Privatnutzung kann der Administrator somit sowohl Mail-Inhalte untersuchen als auch bei entsprechender Ankündigung einer Überwachung, die Internet-Nutzung einzelner Arbeitnehmer auf Verstöße mitprotokollieren. In jedem Falle sollte der Administrator zu seiner Absicherung Maßnahmen mit dem jeweiligen Datenschutzbeauftragten erörtern und sich deren Zulässigkeit am besten schriftlich bestätigen lassen, um sein Risiko zumindest zu senken.