Der geschützte Zugang auf das System über eine eigene Quarantänezone ist in den meisten Fällen aber nicht erforderlich. Ebenfalls nur in bestimmten Bereichen erforderlich ist es, die Firewall mit einem Intrusion Detection System (IDS) zu ergänzen beziehungsweise dieses direkt auf dem zu überwachenden Computersystem laufen zu lassen, um Missbrauch beziehungsweise Anomalien zu erkennen. Wichtig: Werden zur Wartung von Firewalls oder IDS Drittfirmen eingesetzt, sind zwingend die Bestimmungen zur Auftragsdatenverarbeitung gemäß § 11 V, I BDSG zu beachten – dazu mehr im nächsten Teil.

E-Mail- und URL-Filter
Beim Einsatz von Filtersoftware ist darauf zu achten, dass sich diese Eingriffe in die ITK-Systeme stets an der Grenze zur Strafbarkeit bewegen. Dies gilt jedenfalls dann, wenn den Mitarbeitern auch die Privatnutzung der IT erlaubt ist, da das Unternehmen dann wie ein Telekommunikationsanbieter behandelt wird. Zwar ist die Unterdrückung von virenbehafteten privaten E-Mails aus Gründen der Datensicherheit grundsätzlich erlaubt (§§ 88 Abs. 3 TKG i. V m. § 109 TKG). Dies gilt aber nicht bei der weitergehenden Filterung der Kommunikation aus anderen Gründen, etwa von SPAM-Mails oder anhand einer Negativliste von bestimmten Keywords wie Beleidigungen oder Extremismus-Begriffe. Hierbei kann es sich um eine Unterdrückung der Kommunikation im Sinne des § 206 I Nr. 2 StGB handeln, selbst wenn die Daten weder gelesen noch ausgewertet werden.

SSL-Scanner
Beim Einsatz von SSL-Scannern taucht – neben der strafrechtlichen Problematik – noch ein weiteres Problem auf. Da beim SSL-Scanner der verschlüsselt übertragene Datenstrom in einer abgesicherten Umgebung entschlüsselt, analysiert und wieder verschlüsselt an den Datenempfänger weitergeleitet wird, handelt es sich faktisch um eine unternehmensseitig gewollte Man-in the-Middle-Attacke. Nutzt der Mitarbeiter die Unternehmens-IT für sein privates Onlinebanking und kommt es in der Folge zu Störungen, kann die Bank wegen des bloßen Einsatzes des SSL-Scanners theoretisch die Haftung gegenüber den Kunden verweigern. Jedenfalls kann das im Zweifel zu einer Umkehr der Beweislast führen, da beim SSL-Scanner die sichere Verbindung faktisch durchbrochen wird und bestimmungsgemäß Dritte vollen Zugriff auf die Daten haben. Weißt der Arbeitgeber den Mitarbeiter nicht auf diese Problematik hin, hat dieser unter Umständen die Möglichkeit, den Schaden an den Arbeitgeber weiterzureichen.

Transportkontrolle
Meist beschränken sich Unternehmen auf die technische Absicherung der Übermittlung. Was aber vielfach vergessen wird: Eine Kontrolle ist nicht nur bei der Übermittlung, sondern auch beim physischen Transport der Daten erforderlich. Oft liegen die wichtigsten Geschäftsdaten und Betriebsgeheimnisse (etwa bei Außendienstmitarbeitern, Vertrieblern, Technikern) auf mobilen Datenträgern wie Laptops, USB-Sticks und DVDs. Gehen solche Datenträger mit sensiblen Geschäftsdaten verloren, können hohe Schäden entstehen. Handelt es sich bei den Daten um personenbezogene Daten, muss das Unternehmen den Verlust den Betroffenen gemäß § 42a BDSG melden oder schlimmer: eine halbseitige Anzeige in zwei bundesweit erscheinenden Tageszeitungen schalten. Werden Datenträger also nicht verschlüsselt, handelt das Unternehmen grob fahrlässig. Dies gilt auch für den Transport von Sicherungskopien (Magnetbändern, Festplatten, DVDs) zum Bankschließfach.

Übermittlungskontrolle
Neben den technischen Maßnahmen fordert das Gesetz auch organisatorische Kontrollmaßnahmen wie das Erstellen von Verfahrensverzeichnissen und Protokollen darüber, wer und zu welchem Zweck (personenbezogene) Daten an dritte Stellen übermittelt. Zudem sollte ein Nachweis über Versand, Kennzeichnung und Inventarisierung von Datenträgern erstellt und die Verantwortlichkeiten festgelegt werden. Ist geklärt, wer überhaupt auf Daten zugreifen und diese weiterleiten kann, sind die Mitarbeiter gemäß § 5 BDSG entsprechend auf das Datengeheimnis zu verpflichten und zu sensibilisieren.

Fazit
Die Anlage zu § 9 BDSG bestimmt, dass die Weitergabe von personenbezogenen Daten zu kontrollieren ist. Welche Maßnahmen hierfür erforderlich sind, hängt von Art und Umfang der Datenverarbeitung ab. Bei der Auswahl der konkreten Maßnahmen sind in einer Risikoanalyse die Kosten und Nutzen gegeneinander abzuwägen. Zudem ist zu beachten, dass nicht alles, was technisch machbar auch rechtlich ohne weiteres möglich ist. Da bei der Weitergabekontrolle immer auch die Mitarbeiter kontrolliert werden, sind deren Rechte ebenfalls zu beachten.


Rechtsanwalt Christian Regnery, LL.M. ist Fachanwalt für IT-Recht, gewerblichen Rechtsschutz und Urheber- und Medienrecht sowie Consultant für Datenschutz und IT-Compliance bei der intersoft consulting services AG.

 

  <<Vorherige Seite                Seite 2 von 2

Christian Regnery/dr/ln