Worauf müssen Unternehmen beim VoIP achten?

20.06.2013

Das klassische Telefon wird in vielen Betrieben nach und nach in Rente geschickt. An seine Stelle tritt das moderne Voice over IP oder kurz VoIP. Die neue Technik kann Kosten sparen, verlangt auf der anderen Seite allerdings auch, die IT-Sicherheit und den Datenschutz zu überdenken bzw. anzupassen. Schließlich laufen die Verbindungen beim VoIP über die Server, lassen sich speichern, problemlos auswerten und sogar abfangen. Deshalb gilt es, klare Regeln aufzustellen, um nicht unbedarft gegen geltendes Recht zu verstoßen.

Für die IT-Sicherheit heißt das: Sie muss Speicherfristen definieren und den Zugriff auf die Datenpakete organisieren, idealerweise über ein Sicherheits- und Berechtigungskonzept. Nur so ist gewährleistet, dass die Gespräche nicht unerlaubterweise gespeichert und ausgewertet werden. Darüber hinaus ergibt sich eine weitere Baustelle: Es muss sichergestellt werden, dass Dritte die Datenpakete beim Voice over IP weder abzweigen noch speichern können.

Der zweite Aspekt ist der Datenschutz. Da die digitale Technik erlaubt, personenbezogene Daten zu verarbeiten, sind mehrere Schritte erforderlich. Zum einen ist ein Verfahrensverzeichnis zu erstellen. Zum anderen muss geklärt und eindeutig geregelt werden, ob und in welchem Umfang die Informationen im Rahmen einer Leistungs- und Verhaltenskontrolle genutzt werden dürfen.

Sollte ein Unternehmen sich dazu entschließen, die Leistung der Mitarbeiter mithilfe der VoIP-Technik zu kontrollieren, greift Paragraf 87 Absatz 1 Nr. 6 des Betriebsverfassungsgesetzes: „Der Betriebsrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, in folgenden Angelegenheiten mitzubestimmen: Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen.“ Eine solche Betriebsvereinbarung sollte dann auch berücksichtigen, ob Missbrauchskontrollen gestattet sind, welche Rolle der Datenschutzbeauftragte spielt und wann Betroffene in Kenntnis gesetzt werden.

Entscheidend ist zudem, ob ein Unternehmen gestattet, die betrieblichen Telefone privat zu nutzen. Ist dem so, übernimmt der Arbeitgeber die Rolle eines Anbieters von Telekommunikationsdiensten und unterliegt den entsprechenden Vorschriften. Die besagen, dass eine Speicherung der Daten über das Ende der Verbindung hinaus nur in Ausnahmen zulässig ist. Auch wenn die Telefone im Betrieb nicht privat genutzt werden dürfen, ist eine unangemessene Kontrolle nicht statthaft und müssen Speicherung und Löschung der Daten klar geregelt werden.