Viele KMU (kleine bis mittlere Unternehmen) sind sich des Federal Electronic Communications Privacy Act („ECPA“) nicht bewusst. ECPA befasst sich mit dem Abfangen und Überwachen elektronischer Kommunikation: Telefongespräche, Voicemail, E-Mail, Instant-Messaging-Chats und andere Online-Interaktionen fallen in die Sichtweise von ECPA. Verstöße gegen ECPA werden mit Geldstrafen oder einer Freiheitsstrafe von bis zu fünf Jahren geahndet; Personen, die durch einen ECPA-Verstoß geschädigt wurden, können einen angemessenen Schadensersatz beantragen, der Schadensersatz und Anwaltskosten von bis zu 10.000 US-Dollar abdeckt. Da viele KMU die elektronische Kommunikation ihrer Mitarbeiter überwachen und abfangen, kann das Verständnis der ECPA-Ausnahmen für die geschäftliche Nutzung das Risiko einer rechtlichen Gefährdung durch von Mitarbeitern eingereichte ECPA-Ansprüche verringern.
ECPA erweitert den Bundesschutz auf die Mitarbeiterkommunikation am Arbeitsplatz, dieser Schutz ist jedoch begrenzt. Vermutlich möchten Arbeitgeber die elektronische Kommunikation überwachen, um die Qualitätskontrolle zu gewährleisten und geistiges Eigentum zu schützen, Vorfälle von Fehlverhalten untersuchen usw., und ECPA sieht „Ausnahmen für die geschäftliche Nutzung“ vor, um dem Arbeitgeber die Möglichkeit zu geben, diese Dinge zu tun.
Einige Regeln zum Abfangen von Übertragungen und zur Überwachung von Mitarbeitern am Arbeitsplatz:
Einwilligung einer Partei. Das Abfangen und Überwachen ist zulässig, wenn entweder der Absender oder der Empfänger vorher zustimmt.
Gewöhnlicher Kurs. Ausnahmen zur geschäftlichen Nutzung gemäß ECPA schreiben vor, dass das Abfangen oder Überwachen im Rahmen des regulären Geschäftsablaufs des Arbeitgebers erfolgt und der Gegenstand ein berechtigtes Interesse des Arbeitgebers hat. Arbeitgeber sollten sich darüber im Klaren sein, dass der Arbeitgeber möglicherweise seine Befreiung verliert, wenn ein Sprachgespräch privat wird, da er nicht mehr befugt ist, solche Gespräche zu überwachen.
Ausrüstungseinschränkung. Arbeitgeber können nur die Geräte überwachen und abhören, die ihnen gehören und die im Rahmen ihrer regulären Geschäftstätigkeit verwendet werden.
Email. Arbeitgeber haben das Recht, die auf ihren Vermögenswerten (Client-Arbeitsplätze und Server) gespeicherten E-Mail-Kommunikationen der Mitarbeiter zu überwachen und darauf zuzugreifen. Dies ist schwierig, da Arbeitgeber nicht das Recht haben, von Dritten (wie AOL oder MSN) gehostete E-Mails zu überwachen oder darauf zuzugreifen, auch wenn diese Kommunikation möglicherweise über das Netzwerk des Unternehmens erfolgt.
Vorschläge für die Aufrechterhaltung der ECPA-Konformität durch das KMU drehen sich um die Schaffung guter Verwaltungskontrollen (Richtlinien), um die Erwartungen der Mitarbeiter zu steuern. Beispiel:
1. Den Mitarbeitern sollte eine Form der Benachrichtigung angeboten werden, entweder durch eine Erklärung, eine schriftliche, zum Zeitpunkt der Beschäftigung unterzeichnete Richtlinie oder eine Aufzeichnung über das Telefonsystem.
2. Arbeitgeber sollten eine Richtlinie vorlegen, die die persönliche Nutzung von Kommunikationsressourcen (Telefone, Mobiltelefone, Computer, private E-Mail-Systeme und Instant Messaging) verbietet und akzeptable Nutzungspraktiken festlegt, um die Nutzung durch Mitarbeiter auf rein geschäftliche Kommunikation zu beschränken.
3. Eine Richtlinie zur akzeptablen Nutzung, die die Verwendung persönlicher Kommunikations- und Speichergeräte – MP3-Player, Digitalkameras oder -rekorder, Mobiltelefone, USB-Sticks – zur Abwicklung von Unternehmensgeschäften verbietet.
4. Es sollte eine Datenschutzrichtlinie erstellt werden, um die von Mitarbeitern erfassten personenbezogenen Daten (PPI) zu identifizieren und festzulegen, wie diese PPI verwendet und verwaltet werden.
ECPA-Konformität ist in kleinen und mittleren Unternehmen heute wichtiger denn je: Persönliche Geräte, Software und geschützte Kommunikation der Mitarbeiter interagieren ständig drahtlos und mühelos mit den Vermögenswerten des Unternehmens. Durch die Vermischung geschützter Kommunikation und Geräte können die Vermögenswerte eines Unternehmens geschädigt werden, und es werden auch die rechtlichen Formen der Korrekturmaßnahmen eingeschränkt, die zu ihrem Schutz ergriffen werden können.
Die Einhaltung des ECPA ist im Allgemeinen richtliniengesteuert: Solange der Arbeitgeber gute Verwaltungsrichtlinien in die Tat umsetzt, die die Erwartungen im Voraus definieren, und er versteht, was gemäß den Ausnahmen für die geschäftliche Nutzung des ECPA zulässig ist und was nicht, ist die Einhaltung ziemlich einfach. Es beginnt mit der Absicht des Managements, eine gute akzeptable Nutzungsrichtlinie zu erstellen.