GDD-Infotag 2005

• Dr. Michael Schmidl "Rechtsprobleme der Filterung von E-Mails"
• Sascha Strauß "Antispam-Strategien - Unerwünschte E-Mails erkennen und abwehren"

Leitthema „Datenschutzkonforme IuK-Technik am Arbeitsplatz“

Am 30. Juni 2005 veranstaltete die GDD in Frankfurt am Main ihren traditionellen Informationstag, der GDD-Mitgliedern die Möglichkeit eröffnet, aktu­el­le Fragen zum Datenschutz mit Vertretern der Aufsichtsbehörden zu erörtern. Schwer­punkt des GDD-Infotages 2005 war das Thema „Datenschutzkonforme IuK-Technik am Arbeitsplatz“. Gast­geber war abermals die Fraport AG. Prof. Peter Gola, Vorstandsvorsitzender der GDD, dankte insbesondere der Datenschutzbeauftragten der Fraport AG, Dagmar Rebske, für die abermals gute Kooperation.

Mit dem Thema „Datenschutz bei der elektronischen Kommunikation am Arbeitsplatz“ beschäftigte sich der Vortrag von Peter Büttgen, Leiter des Referats Telekommunikations-, Tele- und Mediendienste beim Bundesbeauftragten für den Datenschutz. Ziel des Datenschutzes im Bereich der elektronischen Kommunikation am Arbeitsplatz, so Büttgen, sei es, einen angemessenen Ausgleich zwischen den berechtigten Interessen des Arbeitgebers (z.B. Schutz vor Verrat von Betriebsgeheimnissen, Abwehr von Zugriffen auf illegale Inhalte) einerseits und den schutzwürdigen Belangen der Mitarbeiter (Recht auf unbeobachtete Kommunikation) andererseits herzustellen. Im Hinblick auf die allgemeinen datenschutzrechtlichen Prinzipien seien dabei insbesondere der Transparenzgedanke, der eine umfassende Information der Mitarbeiter erforderlich mache, sowie der Grundsatz der Datenvermeidung und Datensparsamkeit (§ 3a BDSG) zu beachten.

Hinsichtlich der datenschutzrechtlichen Vorgaben im Einzelnen, so Büttgen, müssten zwei grundlegend verschiedene Konstellationen unterschieden werden. Soweit die Nutzung der betrieblichen Kommunikationsmittel alleine zu dienstlichen Zwe­cken gestattet sei, richte sich die datenschutz­rechtliche Bewertung von Protokollierungen und Kontrollmaßnahmen nach den Bestimmungen des BDSG. Kontrollen seien demnach zulässig, soweit sie zur Wahrung berechtigter Interessen des Arbeitgebers erforderlich seien und überwiegende schutz­wür­di­ge Interessen der Mitarbeiter nicht entgegenstünden (§ 28 Abs. 1 S. 1 Nr. 2 BDSG). Als Ergebnis dieser Abwägung sei eine Totalüber­wa­chung der Mitarbeiter grundsätzlich unzulässig. Als verhältnismäßig könnten regelmäßig nur stich­pro­benhafte und zeitnahe Kontrollen angesehen werden. Unabhängig von der Frage, ob die private Nutzung der dienstlichen Kommunikationsmittel erlaubt sei oder nicht, seien vor einer Realisierung entsprechender Kontrollen über­dies die Mitbestimmungsrechte des Betriebsrates (§ 87 Abs. 1 Nr. 6 BetrVG) sowie die Zweck­bindung der Protokolldaten (§ 31 BDSG) zu beachten. Zusätzliche Probleme, so Büttgen, ergäben sich im Bereich der erlaubten Privatnutzung, da die Gestattung der Privatnutzung zum Bestehen eines Anbieterverhältnisses im Sinne des Telekommunikationsgesetzes (TKG) führe, mit der Folge, dass der Ar­beit­geber die Bestimmungen über das Fernmeldegeheimnis (§§ 88 ff. TKG) zu berücksichtigen habe. In einem solchen Fall bestehe eine praktikable Lösung darin, eine Betriebsvereinbarung zu schaffen, die die Bedingungen für die private Nut­zung der betrieblichen Kommunikationsmittel, die Protokollierung und Kontrolle sowie die Maßnahmen bei Verstößen und Missbrauch regele. Würden die be­trieb­lichen Kommunikationsmittel sodann in Kenntnis der Vereinbarung zu privaten Zwe­cken genutzt, sei darin zugleich eine konkludente Einwilligung in die Einschränkung des Fern­me­lde­geheimnisses zu sehen. Hinsichtlich weiterer Informationen zum The­ma Internet und E-Mail am Arbeitsplatz verwies Büttgen auf den Leitfaden des BfD.

Sascha Strauss, Bundesamt für Sicherheit in der Informationstechnik (BSI), stellte die im Mai 2005 veröffentlichte BSI-Studie „Anti-Spam-Strategien - Unerwünschte E-Mails erkennen und abwehren“ vor. Der besondere Wert der Studie, so Strauss, bestehe vor allem in ihrem umfassenden Ansatz, denn die Studie bündele Informationen zu technischen, rechtlichen und organisatorischen Aspekten der Spamabwehr, die bisher nur einzeln verfügbar gewesen seien. Auf diese Weise werde es dem IT-Verantwortlichen ermöglicht, einen Überblick über alle Aspekte der Entwicklung einer in­di­vi­duellen Anti-Spam-Strategie zu erhalten ohne mehrere Informationsquellen in Anspruch nehmen zu müssen. Gleichsam als Basis für die weiteren Ausführungen beschäftige sich die Studie zunächst mit der Definition des Begriffes sowie der Funktionsweise von Spam. Den durch Spam verursachten Kosten würden sodann die Kosten von Anti-Spam-Maßnahmen gegenübergestellt. Um insoweit auch eine Orientierungshilfe für Investitionsentscheidungen bieten zu können, seien beispielhafte Kostenbetrachtungen für verschiedene Unternehmensgruppen aufgenommen worden. Des Weiteren werde eine Entscheidungshilfe dahingehend gegeben, ob sich im konkreten Fall eher ein Einkauf der Anti-Spam-Maßnahmen (Outsourcing) oder eine Eigenleistung anbiete. Auf die Ausführungen zu den Kosten der Spamabwehr, so Strauss, folge sodann eine umfassende Darstellung der juristischen Im­pli­kationen der Spamthematik. Angesprochen würden etwa die Punkte Schadensersatz und Ge­winn­ab­schöpfung bei Spam, Abmahnung, Strafbarkeit des Spamversands, rechtliche Folgen des Verbreitens von Malware sowie die rechtliche Be­urteilung von Filtermaßnahmen. Abgeschlossen werde die Studie durch verständliche und praxisnahe Erläuterungen zu den allgemeinen Grundlagen der Spam-Abwehr sowie deren einzelnen Verfahren (White- und Blacklists, Frequenzanalyse, Sperre des SMTP-Ports, MTAMARK, S/Mime, Greylisting, Heuristik, statische Inhaltsanalyse, Prüfsummenvergleiche etc.). Die Studie steht zum Download unter http://www.bsi.bund.de/literat/
studien/antispam/index.htm zur Verfügung.

Rechtsanwalt Dr. Michael Schmidl, Baker & McKenzie, München, berichtete über die Rechtsprobleme im Zusammenhang mit der Filterung von
E-Mails im Unternehmen. Weitestgehend gebannt seien die mit einer Filterung verbundenen Fallstricke, soweit die private Nutzung des Mediums E-Mail im Unternehmen ausdrücklich verboten sei. Soweit die private Nutzung des E-Mail-Zugangs ausdrücklich verboten sei, sei die Filterung aller eingehenden betrieblichen E-Mails ohne weiteres rechtmäßig. Die Filterung von gleichwohl empfangenen privaten E-Mails müsse richtigerweise als unvermeidbare und damit hinzunehmende Be­ein­trächtigung angesehen werden. Schwieriger ge­stalte sich die Lage, wenn der Arbeitgeber auch die private Nutzung des E-Mail-Zuganges gestatte oder zumindest dulde, da er dadurch zum zur Zustellung verpflichteten Anbieter im Sinne des Telekommunikationsgesetzes werde. Für die recht­liche Zulässigkeit der Filterung müsse dann zwischen infizierten E-Mails einerseits und unerwünschten E-Mails andererseits unterschieden werden. Über die Zulässigkeit einer automatischen Virenkontrolle herrsche auch im Falle der erlaubten Privatnutzung Einigkeit. Zu Gunsten des Unternehmens griffen insoweit allgemeine Rechtfertigungstatbestände ein. Die Argumentation zur Ausfilterung virenbehafteter E-Mails könne aber nicht gleichermaßen auf die Ausfilterung von Spam-Mails übertragen werden. Zum einen bedrohe hier nur die schiere Masse das Unternehmen, nicht aber die einzelne E-Mail, zum anderen könne der Adressat einer Spam-Mail durchaus In­teresse am Inhalt der Nachricht haben. Er favorisiere insoweit eine kombinierte Lösung aus zentraler Vorfilterung und Überprüfung der Nachrichten durch den Empfänger. Dabei sei darauf zu achten, dass der Spamfilter im Grundzustand zu­nächst deaktiviert sei, der Arbeitnehmer also selbst über die Zuschaltung des Filters entscheide. Ein Schutz des Kommunikationspartners könne über entsprechende Disclaimer erreicht werden.

Zum Abschluss der Veranstaltung gab Andreas Jaspers, Geschäftsführer der GDD, einen Überblick über die ersten Ergebnisse der neu aufgelegten GDD-Umfrage zur Datenschutzpraxis und Stellung des Datenschutzbeauftragten. Bemerkens­wert, so Jaspers, sei insbesondere der erheblich angestiegene Zeitaufwand für die Organisation des betrieblichen Datenschutzes. Gegenüber 1996 seien die auf den Datenschutz verwandten Manntage im Schnitt um 23 % gestiegen. Augenscheinlich sei der Anstieg insbesondere im Bereich der kleinen Unternehmen, d.h. der Unternehmen mit weniger als 51 Mitarbeitern. Während hier 1996 noch lediglich 12,7 Manntage pro Jahr auf den Datenschutz verwandt worden seien, würden heute über 40 Manntage pro Jahr investiert. Der gestiegene Zeitaufwand entspreche zum einen dem Umstand, dass die BDSG-Novelle 2001 die Anforderungen an den Datenschutz deutlich erweitert habe. Zum anderen sei seit 1996 ein erheblicher Zuwachs an bereichsspezifischen Regelungen festzustellen. Schließlich entspreche das Ergebnis auch der rasanten Entwicklung der Informationstechnologie seit der letzten Umfrage.