Warten auf webFox light

webFox heißt eine Software, die mit der Idee der Trennung von privater und dienstlicher Nutzung von Webseiten punkten will. Doch Aufmerksamkeit ist angesagt, denn viele mit dem Systemeinsatz verbundene Probleme tun sich erst auf dem zweiten Blick auf...

webFox ist eine Reaktion auf das juristische Durcheinander, das sich um die Fragestellung rankt, wann die private Nutzung des Internets am Arbeitsplatz zulässig ist und vor allem, ob der Arbeitgeber durch eine Erlaubnis rechtlichen Beschränkungen unterliegt (zum Beispiel bei der Auswertung der anfallenden Daten). In so manchem - streitbaren - rechtlichen Kommentar wird die Position vertreten, dass ein Arbeitgeber, der die private Nutzung erlaubt, als Provider anzusehen sei und damit besondere Datenschutzvorschriften zu beachten hätte. Unausgesprochen ist damit die Einschätzung verbunden, dass ein Verbot der privaten Nutzung die schrankenlose Protokollierung und Auswertung der Internetnutzung der Beschäftigten ermöglichen würde.

Die webFox-Software stellt den Beschäftigten eine Schaltfläche zur Verfügung, mit der die Benutzer kennzeichnen sollen, ob sie jeweils privat oder dienstlich im Netz unterwegs sind. Die anfallenden Nutzungsprotokolle werden getrennt nach privater und dienstlicher Nutzng verschlüsselt gespeichert.

Was mit den Daten passiert und was ausgewertet werden darf, dazu gibt es bei webfox kaum Vorgaben, fast alles ist einstellbar: Das System kann z.B. so eingerichtet werden, dass eine Einblicknahme in die Protokolle nur unter vier Augen (zum Beispiel Betriebsrat und Arbeitgeber) möglich ist. Die Protokolle können aber auch zur Auswertung freigegeben werden. Die Internetnutzung kann summarisch oder detailliert (welche IP-Adresse hat wann auf welche Seiten zugegriffen?) ausgewertet werden, die Nutzer sind dabei ermittelbar oder pseudonymisiert. Auch eine nur auf Stichproben zugreifende Auswertung ist möglich. Man kann die Auswertungsregeln für "dienstliche" und "private" Protokolle differenzieren. Alles eine Konfigurationsfrage - und natürlich eine Frage der Mitbestimmung. Der Hersteller hat uns mitgeteilt, dass er sich dieser Frage bewusst ist und deshalb seinen Kunden eine "Einbeziehung" des Betriebsrates empfiehlt - immerhin.

Problematische Leistungsmerkmale:

Die private Nutzung kann vom Arbeitgeber mit einem Zeitbudget versehen werden, z.B. auf zwei Stunden/Monat. Wenn das Budget überschritten ist, wird dies dem Nutzer signalisiert. Anschliessend greifen die Regeln, die für die dienstliche Internetnutzung hinterlegt sind und die Zugriffe sind im Rahmen der für "dienstliche" Protokolle hinterlegten Auswertungsregeln kontrollierbar.

Quelle: webfox.de

Kritik vorweg: Eine wirklich aussagekräftige Zeitmessung ist technisch nicht möglich. Denn beim Abruf von Internetseiten werden keine Zeitspannen protokolliert, sondern nur Zeitstempel der jeweiligen Webseiten: Ob ein Beschäftigter die Seite nach dem Abbruch zwei Sekunden oder 15 Minuten lang liest, ist jedenfalls nicht ermittelbar. Cleverles überlisten das System, indem sie alle interessanten Webseiten in kurzer Zeit in jeweils neuen Fenstern aufrufen, dann auf dienstliche Nutzung zurückschalten und erst danach mit der Lektüre anfangen.

Optional kann auch eine Einschränkung der private Nutzung auf einen Zeitraum, z.B. mittags 12:15 Uhr bis 12:45 Uhr konfiguriert werden. Wer außerhalb der definierten Zeiträume das Internet benutzt, surft dann dienstlich..

Quelle: webfox.de

webfox bietet die Möglichkeit einer Anbindung des Systems an das betriebliche Zeiterfassungssystem: Wer ehrlich ist und den Button klickt, muss zur Belohnung länger arbeiten. Ob dienstliche Mehrarbeit wohl auch sekundengenau abgerechnet wird? Nur wer Interesse hat, das Betriebsklima nachhaltig zu stören, wird auf die Verkoppelung setzen, sie sollte daher abgelehnt werden. Sie wäre in etwa vergleichbar mit einer Pflicht der Beschäftigten, sich vor dem Kollegengespräch am Kopierer oder während des Kaffeekochens per Handy am Zeiterfassungssystem abzumelden.

Weiterhin problematisch: Die Software stellt eine Stichprobenfunktion bereit, mit der überprüft werden soll, ob sich die Nutzer tatsächlich an die Vorgaben halten und eine private Nutzung im System anmelden. Ob die Liste personenbeziehbar ist oder nicht und wer darauf Zugriff hat, ist wiederum eine Frage der Konfiguration. Klar sollte aber allen Beteiligten sein, dass es auch für eine dienstliche Nutzung keinen Persilschein für eine Pauschalüberwachung des Netzverhaltens gibt.

Möglich ist auch eine Auswertung der Verbindungsdaten des abgehenden eMail-Verkehrs der Mitarbeiter durch Webfox. Übersichten darüber, wer wem wann eine Mail geschickt hat, gehören unserer Empfehlung nach abgeschaltet.

Wie positioniert man sich als Arbeitnehmervertretung zur Software?

Positiv:

  • Der Ansatz, die Protokolldaten der Internetnutzung verschlüsselt abzuspeichern und einen auswertenden Zugriff nur dann zu ermöglichen, wenn zwei Personen (Arbeitgeber und Betriebsrat) gleichzeitig ihre Passworte eingeben, hat für Betriebsräte durchaus Charme. Vor allem, wenn das Vertrauensverhältnis zur Systemadministration gestört ist, kann auf diese Weise sicher gestellt werden, dass ungeregelte Auswertungen nicht ohne weiteres möglich sind. Auf dieser Basis könnte man regelmäßige summierte Auswertungen vereinbaren, den Zugriff auf personenbezogene Datensätze jedoch an die Mitwirkung des Betriebsrats koppeln.

  • Die Konfiguration von Webfox kann dabei ebenfalls im Vier-Augen-Verfahren vorgenommen werden, so dass einseitige Änderungen nachträglich nicht möglich sind.

Kritisch:

  • Wir meinen, dass die von webFox unterstützte Trennung von privater und dienstlicher Internetnutzung nebst Aufteilung in unterschiedliche Datenströme kein hilfreicher Lösungsansatz ist. Problematisch ist nicht nur die Bestimmung der Zeitdauer des Aufenthalts auf einer Webseite, auch die Klassifizierung von Webseitenbesuchen als "privat" klingt einfacher, als sie in der Praxis ist: Denn Grenzen zwischen privater und dienstlicher Nutzung sind nicht trennscharf. Und die Versuchung, während der dienstlichen Nutzung auf einen interessanten "privaten" Link zu klicken, ohne das System vorher auf "privat" umzuschalten, sollte nicht unterschätzt werden.

Alternativen:

  • In vielen Betriebsvereinbarungen zum Thema haben wir einen Passus verankert, wonach die Nutzung des Internet „zum dienstlichen Gebrauch bestimmt“ sei, dass eine geringfügige private Nutzung jedoch nicht geahndet werde. Mit dieser Formulierung kann eine Qualifizierung des Arbeitgebers als „Provider“ im Sinne der Telekommunikationsgesetze nach unserer Sicht der Dinge nicht vorgenommen werden.

  • Wenn vermeintlich dienstliche von privaten Daten getrennt protokolliert werden, wäre nach unserer Meinung eine restriktive Auswertungsregelung ganz besonders erforderlich, denn jeder falsche „dienstliche“ Mausklick kann dem betroffenen Mitarbeiter unter Umständen unter die Nase gerieben werden. Würden Daten gemeinsam ausgewertet, könnte aus ein paar Klicks auf die Wetter- oder Sportseite dieser negative Rückschluss nicht gezogen werden.

  • Wir empfehlen, eine eindeutige Zweckbestimmung der Protokolldaten zu vereinbaren, statt auf die Zweiteilung der Datenströme zu setzen: Solange die Daten zur technischen Fehleranalyse oder zur Gewährleistung der Systemsicherheit eingesetzt werden, sind hierauf bezogene Auswertungen in Ordnung. Dann ist es auch egal, ob Webseiten vermeintlich privat oder dienstlich aufgerufen worden sind. Für Einzelfälle könnte ein Verfahren zum „Missbrauchsaufdeckung“ vereinbart werden.

Fazit:

Den Datenzugriff nach dem Vier-Augen-Prinzip zu regeln ist für Betriebsräte eine Überlegung wert. Leider gibt es (noch) keine webFox-Light-Version, die sich auf diese Funktionalität beschränkt. Denn die Trennung von privater und dienstlicher Internetnutzung überzeugt uns nicht. Der Rahmen der zulässigen Auswertungen und die Zugriffsregeln sollte in jedem Fall in einer Vereinbarung eng und deutlich geregelt sein.