Hintergrund

Wenn der Chef mitliest

Alles, was Mitarbeiter am Geschäftscomputer machen, hinterlässt auf Servern Spuren. Das zeigt sich im Fall Mörgeli. Stellt sich die Frage: Was darf der Arbeitgeber – und was nicht?

Der Arbeitgeber darf E-Mails nicht flächendeckend überwachen: Arbeitsplatz in einem Zürcher Grossraumbüro.

Der Arbeitgeber darf E-Mails nicht flächendeckend überwachen: Arbeitsplatz in einem Zürcher Grossraumbüro. Bild: Keystone

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Mehrere Mitarbeiter der Universität Zürich haben in den letzten Wochen überraschend Kontakt mit der Staatsanwaltschaft gehabt– weil sie per E-Mail mit Journalisten in Verbindung waren, als der «Tages-Anzeiger» im Spätsommer 2012 den Fall Christoph Mörgeli recherchierte. Sie gelten als potenziell verdächtig, das Amtsgeheimnis verletzt zu haben. Die Staatsanwaltschaft hatte die Mail-Daten von der Uni erhalten.

Das wirft ein Licht auf eine weit verbreitete Praxis: Nicht nur Suchmaschinen wie Google zeichnen Internet- und Mail-Aktivitäten ihrer Nutzer auf, sondern auch Firmenserver. In sogenannten Logfiles wird festgehalten, wer wann wem mit welcher Betreffzeile ein E-Mail geschickt hat und wer welche Internetseiten aufgerufen hat. Und nicht nur das: Selbst die Inhalte von E-Mails werden teilweise aufgezeichnet.

Das ist vielen Arbeitnehmern nicht bewusst – obwohl die Überwachung des Datenverkehrs völlig legal ist, jedenfalls wenn sie in einem Reglement festgehalten wurde, das den Mitarbeitenden bekannt ist. An der Uni beispielsweise regelt ein siebenseitiges, auf der Website einsehbares Dokument den Umgang mit Informatikmitteln, die Aufzeichnung und Auswertung von Internet-Zugriffen und Mail-Verkehr eingeschlossen. In vielen Privatbetrieben sind die Reglemente Bestandteil des Arbeitsvertrags.

Wie viele Firmen solche Daten auswerten, kann Francis Meier, wissenschaftlicher Mitarbeiter beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (Edöb), nicht sagen. Es dürften aber viele sein, denn für die Aufzeichnung gibt es gute Gründe. Logfiles können beispielsweise bei einem Virenangriff helfen, die Schwachstelle zu ermitteln. Und sie können zeigen, ob ein boomendes Online-Game die Mitarbeiter von ihren Aufgaben abhält oder ob gar unerlaubte Inhalte aus dem Netz heruntergeladen werden.

Private Mails sind – fast – tabu

Die Tücken dieser Logfiles: Sie können personenbezogen ausgewertet werden, auch vom Arbeitgeber. Auch das ist in Grenzen legal. Aber nicht ganz unproblematisch. Zwar stellt der eidgenössische Datenschützer ein Musterreglement zur Verfügung, das festhält, was der Chef darf und was nicht – dennoch gibt es einen gewissen Graubereich. Einerseits, was die interne Verwendung dieser Daten anbelangt. Anderseits aber auch bei der Weitergabe solcher Daten. Firmenintern gelten folgende Regeln:

  • Die flächendeckende Überwachung der Aktivitäten aller oder einzelner Mitarbeiter ohne konkreten Verdacht ist nicht erlaubt. Bestehen allerdings Hinweise auf Missbrauch, darf der Arbeitgeber die Daten auswerten. Er muss die Betroffenen aber im Voraus darüber informieren, und die Überwachung muss verhältnismässig sein.
  • Die rückwirkende Auswertung der Daten ist ebenfalls heikel. Bruno Baeriswyl, der Datenschutzbeauftragte des Kantons Zürich, ist der Meinung, dass dies nicht zulässig ist: «Der Arbeitgeber muss den Mitarbeiter vorher abmahnen und ihm mitteilen, dass seine Aktivitäten in nächster Zeit kontrolliert werden.» Dennoch erlauben die Reglemente vieler Firmen eine rückwirkende Auswertung über mehrere Monate. An der Uni etwa sind es drei Monate.
  • Das Überprüfen von Inhalten ist ebenfalls umstritten. Edöb-Mitarbeiter Meier ist der Meinung: «Das Auswerten von Inhalten sollte den Behörden überlassen werden.» Der Zürcher Datenschützer Bruno Baeriswyl sagt hingegen: «Private Mails darf ein Arbeitgeber zwar nicht lesen. Wenn eine Firma aber klar festhält, dass am Firmencomputer keine privaten Aktivitäten zulässig sind, ist die Schwelle für das Mitlesen von Mails und Daten relativ tief. Denn alles auf dem Computer ist Geschäftseigentum.» Die Krux daran: Niemand kann verhindern, dass Leute von Aussen private E-Mails an Firmenadressen senden.

Im Fall der Universität Zürich hat aber nicht der Arbeitgeber persönliche Daten angesehen, sondern die Staatsanwaltschaft. Und hier stellt sich die Frage: Unter welchen Umständen dürfen Datensätze wie Webprotokolle weitergegeben werden? Martin Farner, Anwalt und ehemaliger Richter am Arbeitsgericht Zürich, sagt: «Webprotokolle und Logfiles gelten als Personendaten, und diese dürfen nur für den Zweck bearbeitet werden, für den sie erhoben wurden.» Daraus folgt aus seiner Sicht: «Die Uni hätte die Betroffenen zuerst informieren müssen. Kein Mitarbeiter muss damit rechnen, dass seine Daten den Behörden weitergegeben werden.» Er verweist auf die Rechtslage bei den Banken, wenn Datensätze an die USA geliefert werden: «Da dürfen sich die Betroffenen im Voraus äussern.»

«Die Uni hätte sich im Namen ihrer Mitarbeiter wehren können»

Die Universität selbst sieht die Sache anders. Es hätte der Untersuchung geschadet, wenn sie die Betroffenen über die Weitergabe informiert hätte, schrieb sie am Freitag in einer Mitteilung. Tatsächlich hätten sich Täter dann möglicherweise absprechen können – sofern die Uni keine Inhalte, sondern nur Aufzeichnungen darüber weitergegeben hat, wer wann mit den Medien Kontakt hatte. Die Uni hielt zudem fest, sie habe die Daten auf Aufforderung der Staatsanwaltschaft herausgerückt. Mit anderen Worten: Sie habe gar keine Wahl gehabt. Corinne Bouvard, Sprecherin der Staatsanwaltschaft, bestätigt das: «Hätte uns die Uni die verlangten Daten nicht geliefert, wären wir ans Zwangsmassnahmengericht gelangt.»

Kann ein Arbeitgeber also nichts tun, wenn die Strafverfolgungsbehörden Daten wollen? Francis Meier vom Edöb ist dieser Ansicht. Bestehe der Verdacht auf eine Straftat, sei ein Arbeitgeber verpflichtet, die nötigen Datensätze herauszugeben – den Datenschutz zu gewährleisten, sei dann Sache der Untersuchungsbehörden. Datenschützer Baeriswyl sieht das anders: «Natürlich können die Behörden eine Herausgabe der Daten verfügen. Aber der betroffene Arbeitgeber kann sich im Namen seiner Mitarbeiter wehren, wenn die Herausgabe unverhältnismässig ist.»

Erstellt: 06.11.2013, 07:21 Uhr

Umfrage

Wo ist es für Sie am Schlimmsten, wenn der Chef es «mitschneidet»?

Mail

 
28.4%

Telefon

 
24.6%

Facebook

 
6.2%

Kein Problem, wenn der Chef mithört

 
40.8%

772 Stimmen


Artikel zum Thema

Uni geht im Fall Mörgeli in die Offensive

Die Affäre um das Medizinhistorische Institut zieht immer weitere Kreise. Der Rektor der Universität Zürich wehrt sich gegen den Vorwurf, er habe ein Bauernopfer erbracht. Mehr...

Kontakt mit Journalisten? Verdächtig!

Hintergrund Im «Fall Mörgeli» greift die Staatsanwaltschaft hart durch: Ein Uni-Mitarbeiter hatte Kontakt mit dem «Züritipp» - und wurde von der Polizei einvernommen. Mehr...

Weiterer Wirbel im Fall Mörgeli

Hintergrund Die SVP fordert, dass die Aufsichtskommission des Kantonsrats Strafanzeige gegen die Universitätsleitung einreicht. Derweil wehrt sich ein emeritierter Professor heftig für seine entlassene Tochter. Mehr...

Tipps und Tricks

E-Mails via Handy verschicken
Wer verhindern will, dass Randdaten oder gar der Inhalt von privaten E-Mails im Server des Arbeitgebers hängen bleiben, hat verschiedene Möglichkeiten. Aber Vorsicht: Nicht alle haben den gewünschten Effekt.


  • Mails zu verschlüsseln, schützt zwar den Inhalt vor unerlaubtem Zugriff. Randdaten wie Absender, Empfänger, Versanddatum und -zeit und die Betreffzeile werden dennoch aufgezeichnet.
  • Private Mails zu löschen, bringt nicht besonders viel, denn auch der Löschvorgang wird aufgezeichnet. Und: Gelöschte Daten lassen sich wiederherstellen.
  • Sicherer ist es, private elektronische Post nicht übers Firmen-E-Mail zu verschicken, sondern via Browser auf eine private Mailadresse zuzugreifen. Zwar kann der Arbeitgeber dann noch immer nachweisen, dass man auf der Seite eines Mailanbieters war – mehr aber nicht. Freilich kann auch das auffällig sein, wenn es zu oft passiert.
  • Wer noch weniger Spuren hinterlassen will, verschickt private E-Mails via Handy, und zwar ohne dass das Handy ins Firmen-WLAN eingeloggt ist. Aber auch hier gilt: Wer zu oft am Handy hängt, fällt auf.
  • Absolute Sicherheit bietet letztlich nur eins: kein privates Surfen und keine privaten E-Mails am Arbeitsplatz.

(leu)

Das Ressort Zürich auf Twitter

Das Zürich-Team der Redaktion versorgt Sie hier mit Nachrichten aus Stadt und Kanton.

Paid Post

Ausstellungseröffnung: «Schatten»!

Mit einer Auswahl von fast 140 Werken zeigt die Ausstellung «Schatten» in der Hermitage 500 Jahre Kunstgeschichte.

Kommentare

Die Welt in Bildern

Auf Händen getragen: Eine handgeschnitzte Statue der Jungfrau Maria wird anlässlich des Fests zu Ehren der «Virgen del Carmen» durch die andalusische Stadt Málaga geführt. (16. Juli 2019)
(Bild: Daniel Perez / Getty Images) Mehr...