Arbeitsrecht und IT-Sicherheit: Was gehört in den Arbeitsvertrag?

Mit der zunehmenden Nutzung von IT-Systemen im Arbeitsalltag steigt auch das Risiko für Unternehmen, Opfer von Cyberangriffen zu werden. Insbesondere die Verbreitung von Homeoffice und der Einsatz mobiler Geräte erhöhen die Bedrohungslage erheblich. Während viele Unternehmen verstärkt auf technische Lösungen zur Abwehr externer Angriffe setzen, zeigt sich immer häufiger, dass eine der größten Gefahren aus den eigenen Reihen kommt: Der Mitarbeiter selbst kann zunehmend zum Risikofaktor werden.

Dabei sind es häufig unbewusste Fehltritte oder schlicht mangelndes Wissen über sicherheitsrelevante Verhaltensregeln am Arbeitsplatz, die IT-Sicherheitslücken entstehen lassen. Unternehmen stehen vor der Herausforderung, sich nicht nur technisch, sondern auch organisatorisch und rechtlich gegen diese Bedrohungen abzusichern. Die zentrale Frage lautet: welchen Beitrag können arbeitsrechtliche Maßnahmen leisten, um IT-Sicherheitsrisiken zu minimieren?

Eine wichtige Maßnahme besteht darin, Regelungen zur IT-Sicherheit direkt im Arbeitsvertrag zu verankern. Dadurch soll sichergestellt werden, dass Mitarbeiter die Bedeutung der getroffenen Maßnahmen verstehen, erst nehmen und umsetzen. Gleichzeitig werden die Mitarbeiter vertraglich zur Einhaltung verpflichtet. Umfasst sind unter anderem der richtige Umgang mit Dienstgeräten, die Nutzung von genehmigten Programmen und die Beachtung der Datenschutzbestimmungen. Zudem schützen solche Regelungen nicht nur das Unternehmen, sondern die Mitarbeiter selbst. Klare Richtlinien bewahren sie vor ungewollten Verstößen gegen Sicherheitsvorgaben und damit verbundenen arbeitsrechtlichen Konsequenzen. Unternehmen, die ihre Mitarbeiter dabei unterstützen, sich korrekt und sicher zu verhalten, fördern ein vertrauensvolles und sicheres Arbeitsumfeld. Um sicherzustellen, dass die Mitarbeiter immer auf dem neuesten Stand sind, können Unternehmen im Arbeitsvertrag auch festhalten, dass regelmäßige IT-Sicherheitsschulungen verpflichtend sind.

In unserer Artikelserie „Arbeitsrecht und IT-Sicherheit“ beleuchten wir verschiedene Aspekte dieses Themenfeldes. Wir weisen auf grundlegende Bestimmungen hin, die in jeden Arbeitsvertrag gehören, um den Sicherheitsstandard im Unternehmen zu wahren und zugleich Mitarbeiter zu schützen.

Nutzung von Dienstgeräten

Eine der wichtigsten Regelungen, die im Arbeitsvertrag verankert sein sollte, betrifft die Nutzung von Dienstgeräten. Unternehmen stellen ihren Mitarbeitern in der Regel Computer, Smartphones oder andere technische Geräte zur Verfügung, die ausschließlich für dienstliche Zwecke genutzt werden sollten. Im Arbeitsvertrag muss deshalb klar definiert sein, dass diese Geräte nicht für private Aktivitäten verwendet werden dürfen.

Diese Regelung hat zwei Ziele: Zum einen schützt sie das Unternehmen vor Sicherheitsrisiken, die durch unsichere private Anwendungen oder Webseiten entstehen könnten. Zum anderen hilft sie den Mitarbeitern, Missverständnisse zu vermeiden und die klare Trennung zwischen beruflicher und privater Nutzung einzuhalten.

Sicherung der Dienstgeräte vor Zugriff durch Dritte

Ein weiterer wichtiger Punkt betrifft die Sicherheit der Dienstgeräte. Im Arbeitsvertrag sollte festgehalten werden, dass die Mitarbeiter verpflichtet sind, die von ihnen genutzten Geräte vor unbefugtem Zugriff zu schützen. Dies gilt nicht nur am Arbeitsplatz, sondern insb. bei mobiler Nutzung, wie beispielsweise im Homeoffice oder auf Dienstreisen.

Praktisch bedeutet dies, dass Mitarbeiter sicherstellen müssen, dass weder Familienmitglieder noch andere Personen Zugang zu den Geräten und den darauf gespeicherten Daten erhalten. Zudem sollten grundlegende Sicherheitsmaßnahmen, wie die Verwendung sicherer Passwörter oder die Aktivierung der Bildschirmsperre bei Nichtgebrauch, ebenfalls vertraglich festgelegt werden. Diese Maßnahmen helfen, sensible Unternehmensdaten vor Diebstahl oder unbefugtem Zugriff zu bewahren.

Internet- und E-Mail-Nutzung am Arbeitsplatz

Die Nutzung von Internet und E-Mail ist aus dem Arbeitsalltag nicht mehr wegzudenken. Allerdings birgt die unsachgemäße Nutzung dieser Dienste erhebliche Risiken für die IT-Sicherheit eines Unternehmens. Im Arbeitsvertrag sollte daher klar geregelt sein, in welchem Umfang private Internet- und E-Mail-Nutzung am Arbeitsplatz zulässig ist – oder ob sie gänzlich verboten wird.

Einige Unternehmen erlauben eine eingeschränkte private Nutzung unter der Bedingung, dass diese die Sicherheit des Unternehmens nicht gefährdet. In jedem Fall sollten die Mitarbeiter über die rechtlichen Rahmenbedingungen informiert werden. Zudem sollte im Arbeitsvertrag festgehalten werden, dass der Arbeitgeber die Internet- und E-Mail-Nutzung im Rahmen der datenschutzrechtlichen Bestimmungen überwachen darf, um Sicherheitsrisiken erkennen und abzuwehren zu können.

Installation von Programmen

Ein kritischer Punkt in Bezug auf die IT-Sicherheit ist die Installation von Programmen auf Dienstgeräten. Unautorisierte Software stellt ein erhebliches Sicherheitsrisiko dar, da sie Schwachstellen im System verursachen oder Schadprogramme enthalten kann. Aus diesem Grund sollte der Arbeitsvertrag klar regeln, dass Mitarbeiter keine Programme oder Anwendungen auf Dienstgeräten installieren dürfen, ohne vorher die Genehmigung der IT-Abteilung oder des Arbeitgebers einzuholen.

Darüber hinaus ist es sinnvoll, im Arbeitsvertrag festzulegen, welche Programme standardmäßig verwendet werden sollen und welche Anforderungen an deren Sicherheit gestellt werden. Auf diese Weise wird gewährleistet, dass nur geprüfte und sichere Anwendungen zum Einsatz kommen.

Daten- und Geheimnisschutz

Der Schutz von Unternehmensdaten und Geschäftsgeheimnissen ist von zentraler Bedeutung. Der Arbeitsvertrag sollte daher eine Verschwiegenheitspflicht enthalten, die klar festlegt, wie mit vertraulichen Informationen umzugehen ist. Mitarbeiter müssen sicherstellen, dass sensible Daten weder an unbefugte Dritte weitergegeben noch unsachgemäß gespeichert werden.

Vertrauliche Informationen, wie Kundenlisten, Finanzdaten oder technische Entwicklungen, dürfen nicht auf privaten Geräten oder in unsicheren Speicherorten abgelegt oder über unsichere Kanäle wie unverschlüsselte E-Mails weitergegeben werden. Um diese Regelungen durchzusetzen, können sogenannte Non-Disclosure Agreements (NDAs) in den Arbeitsvertrag integriert werden. Sie verpflichten die Mitarbeiter dazu, die Vertraulichkeit zu wahren – auch nach Beendigung des Arbeitsverhältnisses.

Fazit

Die Einbindung klarer Regelungen zur IT-Sicherheit in den Arbeitsvertrag ist ein zentraler Schritt, um sowohl Unternehmen als auch Mitarbeiter vor den wachsenden Gefahren der digitalen Arbeitswelt zu schützen. Durch vertragliche Regelungen zur Nutzung von Dienstgeräten, Schutz vor unbefugtem Zugriff, Internet- und E-Mail-Nutzung, Installation von Programmen sowie zum Daten- und Geheimnisschutz schaffen Unternehmen eine sichere Arbeitsumgebung und geben ihren Mitarbeitern klare Vorgaben an die Hand.

Diese Maßnahmen schützen nicht nur das Unternehmen, sondern auch die Mitarbeiter, indem sie klare Grenzen und Verantwortlichkeiten definieren und so das Risiko von Sicherheitsverstößen und deren möglichen Konsequenzen minimieren.

Mehr zum Thema IT und Arbeitsrecht:

Erkan Elden, Bachelor of Science, Fachanwalt für Steuerrecht, Fachanwalt für Familienrecht
elden@web-partner.de

Stefan Haßdenteufel, Experte für Open Source Software, IT-Recht
hassdenteufel@web-partner.de