Netzpolitik

"Wir glauben, der Chef liest unsere E-Mails"

„Viele Unternehmen wollen heutzutage mehr Daten von ihren Mitarbeitern haben als früher. Hier muss der Betriebsrat bewusst gegensteuern", erzählt Soziologe Voigt der futurezone. Zusammen mit dem Internet-Experten Thomas Lohninger hielt er in den letzten zwei Jahren zahlreiche Workshops zum Thema „Datenschutz und Datensicherheit am PC" für Betriebsräte ab. Finanziert wurden die Workshops von der GPA-djp Bildungsabteilung, stattgefunden haben sie im EDV-Raum des Bildungszentrums der Arbeiterkammer (AK).

„Wir wurden dabei immer wieder mit einer ähnlichen Situation konfrontiert. Unternehmen wollen eine Art Compliance Software einsetzen, bei der der E-Mail-Verkehr und Voice Over IP-Gespräche gespeichert werden. Das Argument ist stets, dass das Unternehmen auch Aufträge aus öffentlicher Hand lukriert und das gespeichert werden muss, damit man sich vor potentiellen Korruptionsaffären absichert. Beworben werden die Systeme immer damit, sehr sicher zu sein", sagt Voigt.

Skepsis bei Umstellungen angebracht
Doch gerade bei der Einführung neuer Systeme sollten Betriebsräte immer skeptisch sein, denn bei derartigen Änderungen würden häufig Daten auf Vorrat gespeichert und mehr Daten erfasst werden als es im Betrieb bisher üblich war. „Oft wird das gemacht, um Betriebe zu optimieren. Da gibt es Berechnungsmodelle, nach denen effiziente Mitarbeiter errechnet werden. Welche Programme im Hintergrund laufen, können Betriebsräte aber schwer herausfinden, man kann aber sehr wohl Muster erkennen", meint Voigt.

In der Praxis sind auch durchaus Fälle bekannt geworden, in denen Angestellte durch Keylogger, (Anmerkung: Programme, bei denen die Tastatureingaben aufgezeichnet werden) überwacht worden sind. „Auch die gekündigte Schwangere ist kein Mythos", meint Voigt. „Es gab tatsächlich ein österreichisches Unternehmen, das ein Programm im Einsatz hatte, welches den Gang aufs Klo von weiblichen Angestellten erfasst hatte. Wenn diese plötzlich öfters als sonst aufs Klo gegangen sind, war das für die Firma ein Indiz, dass sie schwanger sind", erzählt Voigt. So etwas ist rechtswidrig – aber schwer nachweisbar.

Arbeitgeber liest E-Mails mit
Besonders nachgefragt bei den Workshops waren Verschlüsselungsprogramme wie PGP (Pretty Good Privacy). „Da gab es das größte Interesse, obwohl der Einsatz eines solchen Programms im Betrieb die größte Hürde von allen darstellt, wenn es um Datenschutz geht", erklärt Voigt. „Wir haben während den Workshops immer wieder gehört, dass Betriebsräte das Gefühl haben, dass ihre E-Mails mitgelesen werden. Bei ein paar Unternehmen hieß es sogar, dass sie wissen, dass mitgelesen wird", erklärt Voigt.

Doch auch das ist nicht immer ganz legal. Nach dem Datenschutzgesetz ist das Benutzen oder Zugänglichmachen personenbezogener Daten, die jemandem auf Grund seiner beruflichen Tätigkeit anvertraut wurden oder zugänglich geworden sind, verboten. Private E-Mails dürfen weder von den Mitarbeitern der EDV-Abteilung gelesen, noch an den Arbeitgeber weitergegeben werden.

Wenn es sich aber um geschäftliche E-Mails handelt, dürfen Vorgesetzte oder Betriebsinhaber den E-Mail-Verkehr im Einzelfall überwachen, um einen konkreten Missbrauch zu entdecken oder zu verhindern. Hier hängt vieles von der Betriebsvereinbarung ab, die Betriebsräte mit Unternehmen aushandeln. „Wünschenswert wäre hier, wenn derartiges nur mit Absprache des Betriebsrats passiert und nur nach einer schriftlichen Beantragung", sagt Voigt.

Eingeschränkte Berechtigungen
Ein großes Hindernis für den Einsatz von Verschlüsselungstools in der Arbeitswelt ist, dass viele Mitarbeiter, aber auch Betriebsräte nur eingeschränkte Berechtigungen für ihre PCs haben und selten Administratoren-Rechte besitzen, um Programme auf ihren Geräten zu installieren. „Wir können diese Software in der Praxis nicht installieren", ist eines der meist gehörtesten Sätze während der Workshops. Dabei könne laut Voigt der Betriebsrat problemlos verlangen, auf seinem eigenen PC Software installieren zu dürfen. „Hier spreche ich von Software wie TrueCrypt, um Festplatten oder Datenträger zu verschlüsseln", erklärt Voigt. "Hier hilft es, wenn auch jemand aus der IT-Abteilung im Betriebsrat sitzt".

Betriebsräte sollten zudem genau überlegen, welche Daten und Dokumente sie innerhalb eines Betriebs austauschen. Selbst wenn der Arbeitgeber die Privatnutzung von Firmenrechnern ausdrücklich gestatten und Betriebsvereinbarungen das Recht auf private Internet-Nutzung absichern, sollten Betriebsräte aufgrund der Netzwerkprotokollierung zweimal überlegen, welche E-Mails sie von ihrem offiziellen Firmen-Account im Betrieb versenden.

Mehrere E-Mail-Adressen und Passwörter
Voigt empfiehlt außerdem, dass man sich generell immer mehrere E-Mail-Adressen für verschiedene Zwecke zulegen sollte, z.B. eine für Behördenwege, eine für seine private Kommunikation mit Vertrauten, eine für die Anmeldung von Newslettern und Social Networks.  Bei all diesen Adressen sollen zudem unterschiedliche Passwörter zum Einsatz kommen. Hier gab es auch in den Workshops Tipps, wie man sein Passwort am besten wählt, damit es möglichst sicher ist und wie man Passwortmanager einsetzen kann, damit man sich nicht alles merken muss.

Im Betrieb sollte man außerdem den Bildschirmschoner seines PCs mit einem Passwortschutz belegen, damit nicht in der Klo- oder Rauchpause jemand den Rechner in Betrieb nehmen und Dokumente oder E-Mails lesen kann.  Den Betriebsräten wurde außerdem beigebracht, was Metadaten sind und wie man diese aus Dokumenten oder Bildern sicher entfernen kann, ebenso Thema war, was https:// im Browser bedeutet oder wie man einen Leseschutz für Word-Dateien setzen kann.

Hacker- und Betriebsratswelt zusammenführen
"Die Workshops waren sehr nachgefragt", so Voigt. Deshalb gibt es voraussichtlich im Herbst 2013 noch weitere Termine zum Thema Datensicherheit und Datenschutz am Betriebs-PC. Wer keinen Platz ergattert (denn das Interesse ist nach wie vor groß), kann sich auf sogenannten „Cryptopartys" über Verschlüsselungstechniken informieren.

"Wir wollen mit unseren Workshops vor allem erreichen, dass die Betriebsratswelt und die Welt der Hacker zusammengebracht werden und sich austauschen. Das ist uns bisher sehr gut geglückt", mein Voigt zuversichtlich. Dieses Spezial-Wissen ist in der heutigen Zeit nämlich nicht nur etwas für Geeks und Nerds wichtig. „Mit einfachen Mitteln kann jeder seine Daten schützen, ohne dass dies ein Full-Time Job ist", so Voigt.

Mehr zum Thema

  • Postler können sich via GPS überwachen lassen
  • Yahoo-Büropflicht soll gut ankommen
  • Microsoft stellt "neue Welt des Arbeitens" vor
  • Die Zukunft der Arbeit

Zur Person:
Hans Christian Voigt ist Soziologe aus Wien mit besonderem Interesse für Bedingungen der Dissidenz in sozialen Systemen. 2006 setzte er sein erstes Wiki und später seinen ersten Blog auf und begann sich praktisch mit Möglichkeiten von Gegenöffentlichkeit, Wissensmanagement in Netzwerken und Organisationsentwicklung politischer Initiativen zu beschäftigen.

Voigt ist auch Herausgeber des Buches "Soziale Bewegungen und Social Media. Handbuch für Web 2.0". Seit 2012 führt er für die GPA-djp Workshops zum Thema "Datenschutz und Datensicherheit" durch.

 

Klicken Sie hier für die Newsletteranmeldung

Hat dir der Artikel gefallen? Jetzt teilen!

Barbara Wimmer

shroombab

Preisgekrönte Journalistin, Autorin und Vortragende. Seit November 2010 bei der Kurier-Futurezone. Schreibt und spricht über Netzpolitik, Datenschutz, Algorithmen, Künstliche Intelligenz, Social Media, Digitales und alles, was (vermeintlich) smart ist.

mehr lesen