In einem Satz. Eine IT-Nutzungsrichtlinie regelt, wie Beschäftigte E-Mail, Internet und Firmengeräte nutzen dürfen — die zentrale Weichenstellung ist die Privatnutzung: Ist sie untersagt oder klar geregelt, darf der Arbeitgeber im Rahmen von § 26 BDSG kontrollieren; ist sie erlaubt oder geduldet, sind zusätzlich Fernmelde- und Datenschutzgrenzen zu beachten.
Ohne klare Richtlinie entsteht Rechtsunsicherheit bei Kontrolle, Protokollierung und Zugriff auf Postfächer. Diese Vorlage schafft eine belastbare Grundlage. Der Beschäftigtendatenschutz ist im Leitfaden zu Mitarbeiterdaten vertieft.
Wichtige Punkte
- Kernfrage: Privatnutzung erlaubt, geduldet oder untersagt?
- Rechtsgrundlage der Kontrolle: § 26 BDSG, Art. 6 Abs. 1 lit. f.
- Mitbestimmung des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG.
- Verschlüsselung und Zugriffskonzept als flankierende TOM.
- Transparente Information der Beschäftigten (Art. 13).
Das Muster (Auszug)
IT-NUTZUNGSRICHTLINIE
1. Geltungsbereich
Für alle Beschäftigten und Nutzer betrieblicher IT-Systeme (PC,
Laptop, Smartphone, E-Mail, Internet, Cloud).
2. Zweck
Sicherer, rechtmäßiger und wirtschaftlicher Umgang mit IT-Ressourcen;
Schutz von Unternehmens- und personenbezogenen Daten.
3. Private Nutzung
[Variante A – untersagt]: Die private Nutzung von E-Mail und Internet
ist untersagt. Systeme dienen ausschließlich dienstlichen Zwecken.
[Variante B – erlaubt/geregelt]: Eine gelegentliche private Nutzung in
geringem Umfang ist gestattet, soweit dienstliche Belange nicht
beeinträchtigt werden. Sie erfolgt auf eigenes Risiko.
4. Passwörter und Zugänge
Individuelle, starke Passwörter; keine Weitergabe; Sperrung bei
Verlassen des Arbeitsplatzes; Zwei-Faktor-Authentifizierung wo
vorgesehen.
5. Umgang mit Daten
Kein Speichern personenbezogener Daten auf privaten Geräten oder
Cloud-Diensten ohne Freigabe; Verschlüsselung mobiler Datenträger.
6. Verbotene Handlungen
Installation nicht freigegebener Software, Umgehung von
Sicherheitsmaßnahmen, Nutzung für rechtswidrige Zwecke.
7. Protokollierung und Kontrolle
Zur Gewährleistung der IT-Sicherheit werden systembezogene Protokoll-
daten (Login, Zugriffe, Sicherheitsereignisse) erhoben. Eine
Auswertung erfolgt nur anlassbezogen, verhältnismäßig und im Rahmen
von § 26 BDSG. Eine lückenlose Verhaltens- oder Leistungskontrolle
findet nicht statt.
8. E-Mail bei Abwesenheit / Ausscheiden
[Regelung zu Stellvertreterzugriff, Abwesenheitsnotiz, Umgang mit dem
Postfach nach Ausscheiden.]
9. Meldung von Sicherheitsvorfällen
Verdächtige E-Mails, Verlust von Geräten oder mögliche Datenpannen
sind unverzüglich der IT / dem DSB zu melden.
10. Folgen von Verstößen
Verstöße können arbeitsrechtliche Konsequenzen nach sich ziehen.
Inkrafttreten: [Datum] | Mitbestimmung: [Betriebsvereinbarung Nr. ...]
Warum die Privatnutzung entscheidend ist
Ist die private Nutzung untersagt, gelten E-Mail und Internet als rein dienstliche Systeme; der Arbeitgeber darf im Rahmen von § 26 BDSG und der Verhältnismäßigkeit kontrollieren. Ist die private Nutzung erlaubt oder geduldet, argumentierten Aufsichtsbehörden lange, der Arbeitgeber werde zum Anbieter von Telekommunikationsdiensten mit besonderen Grenzen. Diese Einordnung ist umstritten und wurde durch die Reform (TTDSG/TDDDG) relativiert — dennoch bleibt die geduldete Privatnutzung das größte Risiko, weil sie unbeabsichtigt weitreichende Schutzpflichten auslöst. Klare Regeln sind deshalb Pflicht.
So passen Sie das Muster an
- Privatnutzung eindeutig regeln. Entscheiden Sie sich für Variante A oder B — Duldung ohne Regelung ist der schlechteste Zustand.
- Betriebsrat beteiligen. Technische Einrichtungen, die zur Verhaltens- oder Leistungskontrolle geeignet sind, unterliegen der Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG. Regeln Sie die Richtlinie idealerweise per Betriebsvereinbarung.
- Kontrolle verhältnismäßig gestalten. Anlasslose Vollprotokollierung ist unzulässig — H&M zeigt mit 35,3 Mio. €, wie teuer exzessive Beschäftigtenüberwachung wird.
- Mit TOM verzahnen. Verschlüsselung, Zugriffskonzept und Protokollierung stammen aus Ihrem TOM-Muster.
- Transparent informieren. Beschäftigte müssen nach Art. 13 wissen, welche Daten zu welchem Zweck erhoben werden. Die Richtlinie ist auch Homeoffice-Nutzung anzupassen.
Richtlinie oder Betriebsvereinbarung?
Eine IT-Nutzungsrichtlinie kann als einseitige Weisung des Arbeitgebers (Direktionsrecht, § 106 GewO) oder als Betriebsvereinbarung mit dem Betriebsrat ausgestaltet werden. Die Betriebsvereinbarung hat zwei Vorteile: Sie bindet beide Seiten verbindlich und kann zugleich als eigenständige Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten dienen (Art. 88 DSGVO i. V. m. § 26 Abs. 4 BDSG). Gerade für Protokollierung, Zugriffsregelungen und Kontrollmaßnahmen ist das wertvoll, weil § 87 Abs. 1 Nr. 6 BetrVG bei technischen Überwachungseinrichtungen ohnehin ein Mitbestimmungsrecht vorsieht. Wo ein Betriebsrat besteht, führt an seiner Beteiligung deshalb kein Weg vorbei — eine ohne Mitbestimmung eingeführte Kontrollmaßnahme ist unwirksam und kann zu Beweisverwertungsverboten führen.
Achten Sie darauf, dass die Betriebsvereinbarung die Anforderungen des § 26 Abs. 4 BDSG erfüllt: Sie muss angemessene Maßnahmen zur Wahrung der Beschäftigtenrechte enthalten und darf das Datenschutzniveau der DSGVO nicht unterschreiten. Eine reine „Blankovollmacht" zur Überwachung genügt nicht.
Praktische Umsetzung im Alltag
Eine Richtlinie wirkt nur, wenn sie bekannt ist und gelebt wird. Lassen Sie die Kenntnisnahme dokumentiert bestätigen — idealerweise verknüpft mit einer kurzen Datenschutzschulung, in der die wichtigsten Regeln erklärt werden. Klären Sie insbesondere den Umgang mit dem E-Mail-Postfach bei Urlaub, Krankheit und Ausscheiden vorab: Ohne Regelung droht später ein unbefugter Zugriff auf möglicherweise private Kommunikation. Bewährt haben sich Stellvertreterregelungen, verpflichtende Abwesenheitsnotizen mit Weiterleitung an ein Funktionspostfach und die Zusage, das persönliche Postfach nach dem Ausscheiden für einen definierten Zeitraum zu sperren und dann zu löschen.
Häufige Fehler
- Private Nutzung dulden ohne Regelung. Der riskanteste Zustand: weder klare Kontrollbefugnis noch dokumentierte Grenzen.
- Betriebsrat übergehen. Ohne Mitbestimmung sind Kontrollmaßnahmen angreifbar; die Betriebsvereinbarung ist zugleich eine mögliche Rechtsgrundlage.
- Heimliche Kontrolle. Verdeckte Überwachung des E-Mail- oder Surfverhaltens ist regelmäßig unzulässig und kann Beweisverwertungsverbote und Bußgelder auslösen.
- Zugriff auf Postfächer Ausgeschiedener. Ohne Regelung droht ein unbefugter Zugriff auf möglicherweise private Kommunikation — vorab Stellvertreter- und Ausscheidensregeln festlegen.
- Keine Meldepflicht für Vorfälle. Ohne Meldeprozess bleiben Datenpannen unerkannt und die 72-Stunden-Frist verstreicht.
Damit Richtlinie, Betriebsvereinbarung und TOM zusammenpassen, hält Legiscope Ihre internen Richtlinien versioniert vor und verknüpft sie mit den betroffenen Verarbeitungstätigkeiten im Verzeichnis.
FAQ
Darf ich die private Internetnutzung verbieten?
Ja. Der Arbeitgeber ist nicht verpflichtet, private Nutzung zu erlauben. Ein klares Verbot vereinfacht die datenschutzrechtliche Lage erheblich, weil E-Mail und Internet dann als rein dienstliche Systeme gelten und im Rahmen von § 26 BDSG kontrollierbar sind. Wichtig ist, das Verbot auch tatsächlich durchzusetzen — sonst entsteht eine geduldete Nutzung.
Muss der Betriebsrat zustimmen?
Bei technischen Einrichtungen, die geeignet sind, Verhalten oder Leistung der Beschäftigten zu überwachen, besteht ein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG. Protokollierungs- und Kontrollregelungen fallen typischerweise darunter. In der Praxis wird die IT-Nutzungsrichtlinie deshalb häufig als Betriebsvereinbarung ausgestaltet.
Darf ich E-Mails der Beschäftigten lesen?
Nur eng begrenzt. Bei ausschließlich dienstlicher Nutzung ist ein anlassbezogener, verhältnismäßiger Zugriff im Rahmen von § 26 BDSG möglich. Ist private Nutzung erlaubt oder geduldet, sind der Kontrolle enge Grenzen gesetzt. Eine anlasslose oder heimliche Vollkontrolle ist in beiden Fällen unzulässig.
Gilt die Richtlinie auch für private Geräte (BYOD)?
Nur, wenn Sie BYOD ausdrücklich zulassen — und dann brauchen Sie ergänzende Regelungen. Auf privaten Geräten treffen dienstliche und private Daten aufeinander, was Kontrolle und Löschung erschwert. Regeln Sie deshalb Verschlüsselung, die Trennung beider Datenbereiche (Container-Lösung), die Fernlöschmöglichkeit bei Verlust und den Umgang bei Ausscheiden. Ohne solches Konzept ist BYOD ein erhebliches Risiko; die sicherere Variante bleibt das verschlüsselte Dienstgerät.
Wie setze ich die Richtlinie tatsächlich durch?
Eine Richtlinie ohne Durchsetzung schafft nur Scheinsicherheit. Drei Elemente sind entscheidend: erstens die dokumentierte Kenntnisnahme jedes Beschäftigten, damit im Streitfall belegbar ist, dass die Regeln bekannt waren; zweitens die technische Flankierung — was verboten ist, sollte, wo möglich, auch technisch verhindert werden (etwa Sperrung nicht freigegebener Software oder erzwungene Bildschirmsperre); drittens die konsequente, gleichmäßige Reaktion auf Verstöße, denn eine nur selektiv durchgesetzte Regel verliert ihre Wirkung und ihren rechtlichen Wert. Gerade bei der Privatnutzung gilt: Wird ein formales Verbot in der Praxis geduldet, entsteht wieder der riskante Zustand der geduldeten Nutzung. Verankern Sie die Richtlinie deshalb im Onboarding, in der Schulung und im arbeitsrechtlichen Sanktionsrahmen.
Fazit
Die IT-Nutzungsrichtlinie steht und fällt mit einer eindeutigen Regelung der Privatnutzung. Legen Sie fest, beteiligen Sie den Betriebsrat, gestalten Sie Kontrollen verhältnismäßig und informieren Sie transparent. So schaffen Sie Rechtssicherheit für Beschäftigte und Arbeitgeber gleichermaßen. Den § 26 BDSG lesen Sie unter gesetze-im-internet.de, Orientierung zum Beschäftigtendatenschutz bietet der BfDI.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial