Dass die Nutzung des Internets - sei es privat oder im Unternehmen oder der Behörde - mit Sicherheitsrisiken verbunden ist, kann ich mit gutem Gewissen als bekannt voraussetzen. Ebenso ist es offensichtlich, dass kein Unternehmen und keine Behörde (und auch keine Privatperson) diesen Risiken völlig schutzlos ausgeliefert sein muß. Auch wenn es im Bereich der Informations- und Kommunikationstechnik – wie sonst fast überall auch - keine hundertprozentige Sicherheit gibt, so lassen sich doch mit geeigneten Mitteln die Risiken stark minimieren. Ziel des Beitrages ist es allerdings nicht, solche Sicherheitstechniken und Methoden im Detail vorzustellen, sondern das Spannungsfeld zwischen dem Datenschutz und der IT-Sicherheit im Bereich der Nutzung von Internet und E-Mail darzustellen, sowie Lösungsvorschläge für diese Problematik aufzuzeigen.

2 Datenschutzrechtliche Grundlagen

Im Rahmen diese Beitrages ist es nicht möglich tiefgehend und umfassend alle datenschutzrechtlichen Grundlagen zu diskutieren. Die folgende Darstellung soll vielmehr einen punktuellen Überblick über anzuwendendes Recht geben.

2.1 Teledienstegesetz (TDG) und Teledienstedatenschutzgesetz (TDDSG)

Es ist seit dem 01.08.1997 in Kraft.
Die letzte Novellierung erfolgte im Dezember 2001.
Der Anbieter eines Teledienstes (sehr viele WWW-Seiten fallen unter diesen Begriff) ist deutlich anzugeben.

o Die Dienstenutzung darf nicht von der Einwilligung der NutzerInnen in zweckfremde Nutzung der personenbezogenen Daten abhängig gemacht werden.

Das Ziel der Gestaltung und Auswahl technischer Einrichtungen muss sich daran orientieren, keine oder so wenige personenbezogene Daten wie möglich zu erheben, verarbeiten oder nutzen.
Die anonyme oder pseudonyme Nutzung und Zahlung der Teledienste sind ermöglichen.
Die Nutzer/innen sind vor Erhebung über Art, Umfang, Ort und Zwecke der Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten unterrichten.
Die Nutzung der personenbezogenen Daten für Werbezwecke ist nur mit ausdrücklicher Einwilligung der NutzerInnen erlaubt
Nutzungsdaten sind frühestmöglich zu löschen

2.2 Signaturgesetz

Die erste Fassung ist am 01.08.1997 in Kraft getreten.
Die letzte Novellierung ist am 22.05.2001 in Kraft getreten.
Es regelt die Rahmenbedingungen für elektronische Signaturen.
Es schreibt aber deren Verwendung nicht vor.
Es stellt die elektronische Signatur nicht der Schriftform gleich

Elektronische Signaturen (vormals digitale Signaturen) können die Authentizität und die Integrität elektronisch übermittelter Dokumente sichern

2.3 Mediendienste-Staatsvertrag (MDStV)

Dieser ist seit dem 01.08.1997 in Kraft und enthält einen ausführliche Datenschutzabschnitt mit ähnlichen Regelungen wie sie das TDDSG in seiner ursprünglichen Fassung enthielt (s.o.)
Eine Novellierung ist in Arbeit.
WWW-Seiten können auch Mediendienste darstellen

2.4 Fernabsatzgesetz (FAG)

Es ist seit 2000 in Kraft und regelt das Verhältnis zwischen gewerblichen Anbieter und privaten KundInnen z.B. bei Einkäufen über das Internet.

2.5 Telekommunikationsgesetz (TKG)

Es ist seit dem 01.08.1996 in Kraft und seitdem mehrfach geändert worden.
Der § 85 schreibt das Fernmeldegeheimnis fest.
Im § 89 sind die Rahmenbedingungen für eine Datenschutzverordnung vorgegeben (s.u.)

2.6 Telekommunikationsdatenschutzverordnung (TDSV)

Sie ist am 20. Dezember 2000 auf Basis des TKG in Kraft getreten
Sie regelt die datenschutzrechlichen Befugnisse und Verpflichtungen von Anbietern von Telekommunikation für Dritte (Dritte sind z.B. auch ArbeitnehmerInnen, die über die betriebliche Telefonanlage privat Telefonieren dürfen oder denen die private Nutzung von E-Mail erlaubt wurde).

2.7 Bundesdatenschutzgesetz

Die letzte Novellierung ist am 23.05.2001 in Kraft getreten,
Die nächste Novellierung ist in Arbeit
Es ist ein sogenanntes Auffanggesetz, d.h. wenn keine spezielleren gesetzlichen Regelungen vorhanden sind (wie z.B. die oben genannten), dann gelten die allgemeinen Regelungen des Bundesdatenschutzgesetzes.

3 Verfahren zur Sicherung des Internetverkehrs und ihre spezifischen Probleme

3.1 Firewalls

Firewalls dienen dem Schutz eines sicheren Netzes (z.B. des Firmennetzes) vor einem unsicheren Netz (z.B. das Internet). Sie werden aber auch zur Abschottung sensibler Bereiche eines Intranets vor anderen Bereichen (z.B. Abschottung der Personalabteilung vom restlichen Unternehmen) verwendet.

(Die Graphik wurde entnommen aus dem Grundschutzhandbuch des Bundesamt für Sicherheit in der Informationstechnik - http://www.bsi.de)

Firewalls sind – auch wenn es der Name vielleicht vermuten lässt – keine statischen Gebilde, die einmal errichtet werden und dann für immer einen ausreichenden Schutz garantieren. Es ist vielmehr erforderlich, dass die Firewalls durch kompetentes Personal administriert werden. Diesem ist die erforderliche Zeit und Fortbildung zur Verfügung zu stellen. Zur Administration gehört z.B. auch die regelmäßige Durchsicht der Protokolldateien, sogenannter Logfiles. Dies ist erforderlich um Angriffe schon frühzeitig erkennen und rechtzeitig notwendige Gegenmaßnahmen ergreifen zu können.

In den Logfiles werden typischerweise IP-Nummern erfasst. Dies sind personenbezogene Daten, da es mit mehr oder weniger hohem Aufwand möglich ist, zu einer IP-Nummer den entsprechende Rechner und damit auch die für den Zugriff verantwortliche Person festzustellen.

Firewalls müssen also bestimmte personenbezogene Daten protokollieren (Logfiles) und speichern damit selbst z.T. sehr sensible Daten. Daher bedingt ihr Einsatz eine Betriebsvereinbarung (oder - falls kein Betriebsrat besteht - eine ausführliche Information der betroffenen Mitarbeiter/innen und evtl. deren Einwilligung)

3.2 E-Mails

E-Mails stellen eine Form der Telekommunikation dar. Werden für Dritte E-Mails (dies können auch die - erlaubten oder auch nur geduldeten - privaten E-Mails der eigenen ArbeitnehmerInnen sein) transportiert, verteilt, ..., dann unterliegt dies dem Telekommunikationsgesetz und damit

dem Fernmeldegeheimnis aus § 85 TKG und
den Datenschutzanforderungen aus § 89 TKG sowie
der Telekommunikations-Datenschutzverordnung (TDSV – vom 18.12.2000).

Risiken beim Versand von E-Mail

Im Internet sind E-Mails standardmäßig ungeschützt gegen

- Mitlesen,

- Kopieren,

- Verändern des Inhalts

- Verfälschen der Absendedaten (Absender/in, Datum, ...)

Per E-Mail können personenbezogene und andere sensible oder vertrauliche Daten unbemerkt die Firma verlassen.

Schutz beim Versand von E-Mails

Die Sicherung der Vertraulichkeit kann durch geeignete Verschlüsselungsverfahren (z.B. durch asymmetrische Verschlüsselungsverfahren wie bei dem auch kommerziell kostenlos nutzbaren Softwarepaket GnuPG – http://www.gnupg.de) sehr wirksam erreicht werden. Die Integrität und Authentizität wird durch elektronische bzw. digitale Signaturen (z.B. ebenfalls mit Hilfe von asymmetrische Verschlüsselungsverfahren) gesichert. Allerdings bedarf es neben der Installation der Software, der Sensibilisierung und Schulung der MitarbeiterInnen auch eines guten Schlüsselmanagements sowie organisatorischer Regelungen zur Nutzung der Verschlüsselung und der digitalen Signaturen.

Ein Schutz gegen unzulässige Übermittlung ist dagegen nur bedingt möglich. Während früher Schnittstellen und Diskettenlaufwerke gesperrt wurden, um den unzulässigen Abzug von Daten vom Server zu unterbinden, helfen diese Sperren bei einer Anbindung an ein E-Mail-System nicht mehr weiter, da alle Dateien, auf die Lesezugriffsrechte vorliegen auch per E-Mail versandt werden können. Dabei kann schon der firmeninterne Versand eine unzulässige Weitergabe von personenbezogenen Daten darstellen. In besonders sensiblen Bereichen wird es erforderlich sein, durch geeignete technische Maßnahmen wie z.B.

- Organisatorische Regelungen

- Ausschluss externer E-Mails oder

- Vollständigem Ausschluss vom E-Mail-Versand oder

- Internet- /E-Mail-Anbindung über zweiten Rechner/zweite Kennung

den unzulässigen Versand sensibler Daten zu erschweren.

In besonderen Fällen kann auch die Protokollierung der Absender und Empfänger, Datum und Uhrzeit des Empfangs bzw. Versands, Größe der Mail, Art und Anzahl der Anhänge erforderlich werden. Auch dies sind alles sensible personenbezogene Daten, die es zu schützen gilt. So unterliegen die genannten Daten bei privater Nutzung dem Fernmeldegeheimnis aus § 85 TKG. Aber auch bei der rein dienstlichen Nutzung ist eine solche Überwachung nur zulässig, wenn die MitarbeiterInnen hierüber informiert wurden. Denn dann gilt zumindest das Bundesdatenschutzgesetz. Ist ein Betriebs- oder Personalrat vorhanden, so ist seine Zustimmung erforderlich.

3.3 Zentraler Virenscan

Auch wenn der Einsatz von zentralen Virenscannern beim Durchgang durch die Firewall und auf dem Mailserver die Installation von arbeitsplatzbezogenen Virenscannern nicht erübrigt, so sind solche zentralen Virenscanner doch ein wesentlicher Bestandteil jeder umfassenden Sicherheitslösung für den Internetzugang.

Hierbei ist allerdings z.B. zu regeln, was mit virenbehafteten E-Mails geschieht. Sollen sie einfach komplett gelöscht werden und nur der Absender und/oder der Empfänger über den Erhalt einer solchen E-Mail informiert werden?. Sollen nur die verseuchten Anhänge gelöscht werden, die E-Mail aber ausgeliefert werden? Oder soll die E-Mail „eingepackt“ und mit einem entsprechenden Warnhinweis versehen werden? Oder bekommt der Administrator alle als virenbehaftet erkannten E-Mails zur Einzelentscheidung vorgelegt? Egal, welche Variante gewählt wird, es ist auch hier erforderlich die MitarbeiterInnen für die Virenproblematik zu sensibilisieren und entsprechend zu schulen. Unabhängig ob es eine nur automatische Behandlung von als virenbehaftet erkannten E-Mails gibt oder ob sie noch von der Administration zur Kenntnis genommen werden, die MitarbeiterInnen hierüber zu informieren und spätestens bei der Erlaubnis der privaten Nutzung ist ihr sogar ihr Einverständnis einzuholen. Auch hier gilt, dass ein vorhandener Betriebs- oder Personalrat seine Zustimmung erteilen muss.

3.4 Beteiligung des Betriebs- oder Personalrates

Wie durch das bisher Gesagte deutlich wurde, sind viele der Maßnahmen zur Sicherung des Internetzugangs und der E-Mail-Nutzung zwingend mitbestimmungspflichtig. Was sich aber für nicht wenige Personalleiter und Unternehmens- bzw. Behördenleitungen wie ein Schreckgespenst anhört, kann in Wirklichkeit eine große Chance zur Umsetzung (und nicht nur zur Schaffung) von Regelungen zum sicheren und sinnvollen Einsatz des Internet und von E-Mail sein.

3.4.1 Vorteile einer Betriebs- und Dienstvereinbarung

Durch eine Betriebs- oder Dienstvereinbarung werden für alle MitarbeiterInnen verbindliche Rahmenbedingungen geschaffen, mit denen der Umgang mit dem Internet und die Nutzung von E-Mail sinnvoll und effizient geregelt wird. Eine solche Dienst- oder Betriebsvereinbarung kann – wenn die entsprechenden Regelungen enthalten sind - auch die Rechtsgrundlage für die Erhebung, Erfassung, Speicherung und Verarbeitung der personenbezogenen Daten der MitarbeiterInnen darstellen. Auf Einzeleinwilligungen kann dann in den meisten Fällen verzichtet werden.

Daneben kann z.B. auch festgelegt werden, dass die private Nutzung soweit sie den betrieblichen Ablauf und die Aufgabenerledigung nicht behindert, zugelassen wird[1]. Es sollte dann dabei deutlich gemacht werden, dass die gleichen Sicherheitsmaßnahmen wie bei der dienstlichen Nutzung auch bei der privaten Nutzung angewendet werden.

Um dies zu erreichen ist es erforderlich – am besten in einer Anlage zur E-Mail- und Internetvereinbarung – darzulegen, welche personenbezogenen Daten wann, wo, wie lange und zu welchen Zwecken erfasst, gespeichert und verarbeitet werden. Dies stellt keine zusätzliche Arbeit da, da nach dem Bundesdatenschutzgesetz sowieso eine Verfahrensbeschreibung erstellt werden und dem betrieblichen Datenschutzbeauftragten (bzw. wenn dieser nicht vorhanden ist, der Datenschutzaufsichtsbehörde) übergeben werden muss.

Und nicht zu vergessen ist auch der Umstand, dass eine Regelung, die mit dem Betriebs- bzw. Personalrat vereinbart wurde im Allgemeinen bei den MitarbeiterInnen auf wesentlich höhere Akzeptanz stößt, als eine Dienstanweisung, die von der Unternehmens- oder Behördenleitung (oder gar von der IT-Abteilung) einfach erlassen wird.

Die frühzeitige Einbindung des betrieblichen Datenschutzbeauftragen erleichtert nicht nur die Gespräche mit dem Betriebsrat, sondern kann die Akzeptanz der Regelungen in der Belegschaft noch weiter erhöhen.

3.4.2 Regelungsgegenstände aus datenschutzrechtlicher Sicht

Um zu erreichen, dass die Betriebs- oder Dienstvereinbarung als Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten der MitarbeiterInnen angesehen werden kann, ist es erforderlich – am besten in einer Anlage zur E-Mail- und Internetvereinbarung – darzulegen, welche personenbezogenen Daten wann, wo, wie lange und zu welchen Zwecken erfasst, gespeichert und verarbeitet werden. Dies stellt keine zusätzliche Arbeit da, da nach dem Bundesdatenschutzgesetz sowieso eine Verfahrensbeschreibung erstellt werden und dem betrieblichen Datenschutzbeauftragten (bzw. wenn dieser nicht vorhanden ist, der Datenschutzaufsichtsbehörde) übergeben werden muss.

Es ist also deutlich darzustellen, welche Daten bei welchen Diensten (E-Mail, WWW-Zugriff, ...) erfasst werden, welche Protokolldateien erstellt werden und wie diese standardmäßig ausgewertet werden. Meist wird eine Leistungs- und Verhaltenskontrolle im Normalfall – also grundsätzlich -ausgeschlossen (z.B. dadurch, dass bei den IP-Nummern die letzten Stellen nicht erfasst werden (also z.B. 120.43.67.xxx). Sollten in Ausnahmefällen doch Kontrollen möglich sein, so sollte in der Vereinbarung bereits mögliche Gründe für diese Kontrollen und das Verfahren (z.B. Zustimmung des Betriebs- oder Personalrates im Einzelfall, Hinzuziehung des Betriebs- oder Personalrates, Information des Mitarbeiters bzw. der Mitarbeiterin oder dessen/deren Hinzuziehung zur Auswertung) ebenfalls geregelt sein.

Die Aufbewahrungsdauer der Protokolldateien sollte ebenso wie eventuelle Backup-Verfahren für die Protokolldateien in der Vereinbarung geregelt sein. Ein wichtiger Aspekt ist auch die umfassende Unterrichtung der MitarbeiterInnen über die Spuren (Cache, History, ...), die jede Internetnutzung auf dem Arbeitsplatzrechner hinterlässt, und darüber, wie – soweit möglich – diese Spuren auch wieder beseitigt werden können.

Die zentralen Virenscanverfahren sind in einer solchen Vereinbarung (bzw. besser in der Anlage zu dieser) genauso wie die Tatsache eventueller Inhaltskontrollen ebenfalls darzustellen.

Wenn in einer Betriebs- oder Dienstvereinbarung die dienstliche Regelung der Nutzung von E-Mail und des Internets datenschutzkonform geregelt ist, dann bestehen aller Voraussicht nach auch keinerlei datenschutzrechtliche Bedenken gegen eine private Nutzung von E-Mail und des Internets.

4 Fazit

Es bestehen nicht unerhebliche Risiken bei der Internetnutzung im Betrieb oder der Behörde. Diese lassen sich aber stark reduzieren, wenn geeignete Werkzeuge (Firewalls, Verschlüsselung, Virenscanner, ...) verwendet und fachgerecht administriert werden. Hierzu sind der Administration ausreichend Zeit und auch die entsprechenden Fortbildungsmaßnahmen zu gewähren. Es sind klare Regelungen zu treffen, was erlaubt bzw. nicht erlaubt ist. Der Einsatz der meisten Sicherheitsprodukte erfordert eine umfassende Information der MitarbeiterInnen und teilweise auch deren Einwilligung in die Verarbeitung personenbezogener Daten.

Ist ein Betriebs- oder Personalrat vorhanden, ist dieser in fast allen Fällen zu beteiligen. Aber dies ist kein zusätzlicher Aufwand, denn wenn die sowieso erforderlichen Regelungen in die Form einer Betriebs- bzw. Dienstvereinbarung gegossen werden, dann lässt sich damit auch die Einzeleinwilligung der MitarbeiterInnen vermeiden und die Akzeptanz der getroffenen Regelungen erhöhen.

5 Anhang

5.1 Links zum Datenschutz [2]

http://www.datenschutz.de

Das virtuelle Datenschutz-Büro, hier finden sich nicht nur vielfältige Informationen zum Datenschutz, sondern auch die Adressen der Datenschutzaufsichtsbehörden und der Landes- sowie des Bundesbeauftragten für den Datenschutz. Eine integrierte Suchmaschine ermöglicht es themenspezifisch in den WWW-Angeboten der Datenschutzbeauftragten zu suchen.

http://www.bfd.bund.de

Im WWW-Angebot des Bundesbeauftragten für den Datenschutz (BfD) finden sich u.a. die unterschiedlichsten Informationsbroschüren, wie z.B. Sozialdatenschutz, der behördliche Datenschutzbeauftragte, Datenschutz in der Telekommunikation. Auch ein Kapitel Datenschutz zum Grundschutzhandbuch IT-Sicherheit (s.u.) findet sich hier: http://www.bfd.bund.de/technik/DS-KAP/35.htm

http://www.datenschutz-berlin.de/to/vnetz/index.htm

Orientierungshilfe zu Datenschutzfragen des Anschlusses von Netzen der öffentlichen Verwaltung an das Internet erstellt vom Arbeitskreis Technik der Konferenz der Datenschutzbeauftragten des Bundes und der Länder (in der überarbeiteten Fassung vom Mai 2000). Auch wenn der Titel sich nicht so anhört, die Informationen dieser Orientierungshilfe sind auch für Firmen interessant.

http://datenschutz.moergen.net

Eine private Seite mit unterschiedlichen Informationen zum Datenschutz

http://www.dud.de

Die WWW-Seiten der Zeitschrift Datensicherheit und Datenschutz beinhalten eine gut sortierte Rubrik über Neuigkeiten zu diesen Themenbereichen.

http://www.almeprom.de/wams-16.04.2000.htm

Ein Artikel von Christiane Schulzki-Haddouti zur Überwachung von E-Mail am Arbeitsplatz: „Der Chef liest jede E-Mail mit - Arbeitgeber kontrollieren verstärkt, was die Angestellten am Computer treiben. In den USA führte die private Nutzung des Firmen-PC schon zu Kündigungen“ (Quelle: Welt am Sonntag, 16. April 2000, S. 17)

5.2 Links zum Datensicherheit

http://www.bsi.de

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert nicht nur über aktuelle Virenwarnungen, sondern über alle wesentlichen Sicherheitsaspekte in der Informationstechnik. Besonders hervorzuheben ist das sogenannte Grundschutzhandbuch IT-Sicherheit: http://www.bsi.de/gshb/deutsch/menue.htm

http://www.sicherheit-im-internet.de

Dies ist eine Initiative des Bundesministerium für Wirtschaft und Technologie (BMWI, jetzt BMWA, http://www.bmwa.bund.de) und des Bundesministerium des Innern (BMI, http://www.bmi.bund.de). Sie wird unterstützt durch: das Bundesamt für Sicherheit in der Informationstechnik (s.o.) und die Regulierungsbehörde für Telekommunikation und Post (http://www.regtp.de). Bei letzterer finden sich u.a. die Rechtsgrundlagen des Telekommunikationsrechts.

[1] Ein evtl. geldwerter Vorteil durch private Nutzung des dienstlichen E-Mail- und/oder Internetzugangs ist nicht zu versteuern!

[2] Eine inhaltliche Verantwortung für die hier und im folgenden angegebenen Links kann weder vom Autor noch vom Verlag übernommen werden, auch wenn die hier angegebenen Informationen mit größter Sorgfalt zusammengestellt wurden.