Jusletter IT

Data Loss Prevention-Systeme im Spannungsfeld zwischen Risikovorsorge, Sicherheitsmassnahme und Datenschutz

  • Authors: Isabell Conrad / Dominik Hausen
  • Category: Short Articles
  • Region: Germany
  • Field of law: IT security
  • Collection: Conference proceedings IRIS 2011
  • Citation: Isabell Conrad / Dominik Hausen, Data Loss Prevention-Systeme im Spannungsfeld zwischen Risikovorsorge, Sicherheitsmassnahme und Datenschutz, in: Jusletter IT 24 February 2011
Data Loss Prevention-Systeme versprechen die für Unternehmen durch ungewollten Datenabfluss entstehenden Geschäftsrisiken zu minimieren. Spätestens seit für Steuersünder-CDs Millionen bezahlt werden, steht der Schutz vor Bedrohungen von innen, die durch kriminelle Absicht oder unwissentlich durch Irrtum und Nachlässigkeit von Mitarbeitern verursacht werden, ganz oben auf der Agenda von IT-Verantwortlichen. Die (Echtzeit-)Überwachung des unternehmensinternen Datenverkehrs ist aber arbeits- und datenschutzrechtlich nicht unproblematisch, ein Ausgleich des berechtigten Sicherheitsinteresses des Arbeitgebers mit den Persönlichkeitsrechten der Arbeitnehmer eine Herausforderung.

Inhaltsverzeichnis

  • 1. Einleitung
  • 2. Funktionsweise von Data Loss Prevention-Systemen
  • 2.1. Unterscheidung zwischen erlaubter und unerlaubter Datenverwendung
  • 2.2. Absicherung von Endgeräten und Netzwerkübergängen
  • 2.3. Kernfunktionalitäten von DLP-Systemen
  • 3. Vereinbarkeit mit Datenschutzprinzipien
  • 3.1. Vorrang restriktiver Zugangs- und Zugriffsberechtigungskonzepte
  • 3.1.1. Risiken von sog. «Open Security»-Modellen
  • 3.1.2. Erforderlichkeitsgrundsatz
  • 3.1.3. Datenvermeidung und Datensparsamkeit
  • 3.2. Keine Datenerhebung ohne Kenntnis des Beschäftigten?
  • 3.2.1. Beurteilung nach § 4 Abs. 2 BDSG
  • 3.2.2. Verschärfung durch Regierungsentwurf zur Neuregelung des Beschäftigtendatenschutzes?
  • 3.3. Verbot automatisierter Einzelentscheidungen
  • 3.4. Fernmeldegeheimnis und TKG-/TMG-Datenschutz
  • 3.4.1. Zulässigkeit von DLP bei erlaubter privater E-Mail-/Internetnutzung von Beschäftigten?
  • 3.4.2. Beurteilung nach § 32i BDSG-E
  • 3.5. Aufdeckung von Straftaten am Arbeitsplatz
  • 3.5.1. Beurteilung nach § 32 BDSG 2009
  • 3.5.2. Beurteilung nach § 32d Abs. 3 und § 32e BDSG-E
  • 3.6. Konzerninterne Datenübermittlung durch zentrales DLP
  • 3.6.1. Beurteilung gemäß § 32 und § 11 BDSG
  • 3.6.2. Parallelen zu Whistleblowing-Hotlines
  • 3.6.3. Konzerndatenübermittlung im Regierungsentwurf nicht geregelt
  • 3.7. Betroffenenrechte (Benachrichtigung, Auskunft u. ä.)
  • 3.8. Einwilligung, Betriebsvereinbarung
  • 3.8.1. Beurteilung nach BDSG de lege lata
  • 3.8.2. Änderungen durch den Regierungsentwurf
  • 4. Empfehlungen für einen datenschutzkonformen DLP-Einsatz
  • 5. Zusammenfassung
  • 6. Literatur

1.

Einleitung ^

[1]
Nach einer Studie haben 59% der Mitarbeiter, die 2008 ihren Arbeitsplatz verloren haben, vertrauliche Daten mitgenommen1 . Dieses Risiko wird in vielen Unternehmen unterschätzt. Schnell ist die Kundendatenbank auf einen USB-Stick kopiert oder per Webmail ans eigene Postfach versandt. Oder aber Mitarbeiter verursachen Schäden durch Irrtum und Nachlässigkeit, indem z.B. E-Mails mit sensiblen Informationen an den falschen Empfänger gesendet werden. Wie schön wäre es, wenn Software den Arbeitsplatzrechner sowie den Netzwerkverkehr überwachen könnte, um Alarm zu schlagen, bevor die Daten das Unternehmen verlassen?
[2]
Die IT-Security Branche hat unter verschiedenen Namen Produkte geschaffen, die den ungewollten Datenabfluss sensibler Unternehmensdaten von der technischen Seite verhindern sollen. Dass die Echtzeitüberwachung der Computernutzung von Mitarbeitern sowie ggf. des kompletten firmeninternen Netzwerkverkehrs aber arbeitsrechtliche und v. a. datenschutzrechtliche Fragen aufwirft, wird oft verkannt.
[3]
Wie ist das berechtigte Sicherheitsinteresse des Arbeitgebers mit den Persönlichkeitsrechten der Arbeitnehmer in gerechten Ausgleich zu bringen? Welche gesetzlichen Rahmenbedingungen sind beim Einsatz von Data Loss Prevention-Systemen – auch unter Berücksichtigung des Gesetzesentwurfs zum Beschäftigtendatenschutz vom 25. August 2010 – zu beachten?

2.

Funktionsweise von Data Loss Prevention-Systemen ^

2.1.

Unterscheidung zwischen erlaubter und unerlaubter Datenverwendung ^

[4]
Mit Schlagwörtern wie Data Leakage Prevention, Extrusion Prevention System, Content Monitoring and Filtering sowie vor allem Data Loss Prevention werden Softwarelösungen angepriesen, die das Problem des ungewollten Datenabflusses von technischer Seite angehen2 . Gemein ist den Lösungen verschiedener Hersteller (im Folgenden zusammen DLP genannt) eineEchtzeitüberwachung der Computernutzung und damit des Nutzers selbst, ggf. ergänzt um eine Überwachung des kompletten firmeninternen Netzwerkverkehrs. DLP soll das Unternehmen vor Bedrohungen aus zwei Richtungen schützen. Zum einen soll der gezielteDatendiebstahl durch Mitarbeiter oder Dritte verhindert werden, zum anderen soll dasunbewusste Abhandenkommen von Daten durch unbedarfte Anwender möglichst effektiv unterbunden werden (etwa wenn versehentlich vertrauliche Daten an die falsche E-Mail-Adresse versendet werden).
[5]
Die Aufgabe des DLP-Systems ist es, zwischen erlaubter und unerlaubter Verwendung von Daten zu unterscheiden. Dies geschieht anhand eines zuvor – teilweise individuell und teilweise standardisiert – definierten Regelwerkes (sog.Policy ). Die Erstellung eines solchen Regelwerks erfordert im Vorfeld die gründliche Analyse vorhandener Geschäftsprozesse und die Festlegung, welche Daten in dem Unternehmen geschützt werden sollen3 .

2.2.

Absicherung von Endgeräten und Netzwerkübergängen ^

[6]
Das DLP-System umfasst Werkzeuge, die zum einen Daten aufEndgeräten absichern, zum anderen anNetzwerkübergängen den ausgehenden SMTP- sowie HTTP-Verkehr kontrollieren und auf Policy-Verstöße im Umgang mit sensiblen Informationen filtern. Des Weiteren überwachen die Tools Inhalte in jeglichen Speichersystemen (von E-Mail-Inboxen bis hin zu Backend-Archivierungssystemen). DLP wird regelmäßig als zentrales, meist agentenbasiertes, software- und hardwaregestütztes Management-Framework realisiert, das in vordefinierten IT/TK-Umgebungen (z.B. im Unternehmen oder Konzern) als schützenswert definierte Daten über verschiedene Datenformate und Systeme hinweg identifizieren, überwachen und z.B durch die Verhinderung von Datenzugriff/-versendung schützen kann4 .
[7]
DLP-Systeme erkennen in der Regel nicht nur, wenn z.B. ein nicht autorisierter Nutzer als geschützt definierte Daten am Endgerät verarbeitet oder auf einen als unzulässig definierten Speicherort abspeichern will (z.B. Datenspeicherung auf externen Geräten wie USB-Stick/CD/DVD/externe Festplatte). Das System kann z.B. auch Übertragungen im Netzwerk (z.B. von E-Mails, Instant Messaging, Datei-Uploads auf Speicherplatzanbieter im Internet) oder Datenabrufe aus firmeninternen File Servern oder Archiven inspizieren. DLP-Lösungen verwenden dazu lokale Agenten, die den Zugriff auf USB-Geräte oder das lokale CD/DVD-Laufwerk in Echtzeit überwachen (sog. Host-basierte Überwachung, von Herstellern oft als Endpoint Protection bezeichnet). Eine Netzwerk-Überwachung wird u.a. hardwareseitig an Netzwerkgrenzen, wie etwa dem Übergang vom firmeninternen Intranet zum öffentlichen Internet, realisiert. Solche Lösungen sind in der Lage, gängige Netzwerkprotokolle zu decodieren und darin nach Mustern, Stichworten oder Ähnlichkeiten zu bekannten Dokumenten zu suchen.

2.3.

Kernfunktionalitäten von DLP-Systemen ^

[8]
Zu den Kernfunktionalitäten von DLP-Lösungen gehören nebenDeep Packet Inspection (teilweise auch Deep Content Inspection genannt) undSession Tracking über einfachesKeyword Matching hinausgehendelinguistische Analysefunktionalitäten , die es ermöglichen, gemäß der vordefinierten Policies bestimmte Inhalte und deren autorisierte Verarbeitungs- und Nutzungsmöglichkeit (z.B. Speicherung, Ausdruck, Weitergabe) zu erkennen, zu kontrollieren und ggf. zu blockieren.
[9]
Bei DLP-Produkten kann es sich um reine Softwarelösungen handeln, aber auch um Module bestehend aus Soft- und Hardware.
[10]
DLP ermöglicht im Ergebnis anhand von Policies für bestimmte Nutzer/Nutzergruppen
  • Rechte zu definieren und zu überwachen (z.B. Zugriffs- und Versendeberechtigungen),
  • zu dokumentieren/protokollieren, was system- bzw. unternehmensübergreifend mit bestimmten Daten wann und von wem gemacht wird,
  • Nutzer durch Popup-Informationen oder E-Mail auf richtlinienwidriges Verhalten hinzuweisen und somit zu sensibilisieren,
  • Vorgesetzte oder zentrale Stellen bei Regelverstößen zu alarmieren sowie
  • den Zugriff auf die Versendung und Speicherung von sensiblen Daten zu blockieren.
[11]
Ein Vorteil von DLP kann sein, dass Unternehmen nicht nur (wie im Falle von Schulungen und Ermahnungen/Abmahnungen) das Bewusstsein für Sicherheitsrichtlinien gezielt fördern, sondern sogar automatisiert durchsetzen können. Die mit DLP-Technik einhergehende Nutzerüberwachung wirft jedoch arbeitsrechtliche und v.a. datenschutzrechtliche Fragen auf.

3.

Vereinbarkeit mit Datenschutzprinzipien ^

[12]
DLP-Systeme können viele Aktionen des Nutzers protokollieren, um einen (bewussten oder unbewussten) Missbrauch von geschützten Daten zu verhindern und damit in konkreten Verdachtsfällen nachvollziehen, wer z.B. unerlaubterweise eine geschützte Datei bearbeitet oder kopiert hat. Entsprechend konfiguriert können Protokolldaten aber auch Auskünfte über das regelkonforme Verhalten der Nutzer geben, z.B. wie lange ein Mitarbeiter welche Daten bearbeitet hat oder welche Anwendungen er wann gestartet hat. Damit kann DLP auch zur Verhaltens- und Leistungskontrolle eingesetzt werden.

3.1.

Vorrang restriktiver Zugangs- und Zugriffsberechtigungskonzepte ^

3.1.1.

Risiken von sog. «Open Security»-Modellen ^

[13]
Es gibt vielfältige Gründe, waruminnerhalb eines Unternehmens oder eines Konzerns Daten zwischen Mitarbeitern ausgetauscht werden (etwa Teamarbeit, Zusammenarbeit verschiedener Abteilungen wie Vertrieb und Marketing, Cross Selling etc.). Viele Unternehmen wünschen z.B., dass aus Gründen der Praktikabilität möglichst alle Mitarbeiter eines Unternehmens oder gar eines Konzerns auf die – womöglich konzernzentrale – Kundendatenbank zugreifen.
[14]
Solche sog.«Open Security»-Modelle können zu gravierenden Sicherheitslücken führen. Ein eher noch mittlerer (oder sogar von der Konzernleitung bewusst in Kauf genommener) Nachteil kann darin liegen, dass sich aufgrund der wertvollen Informationen aus der gemeinsamen Datenbank Konzerngesellschaften untereinander Konkurrenz machen. Je mehr Mitarbeiter auf wertvolle Unternehmensdaten zugreifen können, um so mehr potenziert sich das Risiko, dass die Daten «abwandern»5 . Soweit personenbezogene Daten betroffen sind, sind Zugriffsberechtigungskonzepten auf Need-to-know-Basis ohnehin gesetzlich vorgeschrieben.

3.1.2.

Erforderlichkeitsgrundsatz ^

[15]
Jede Einführung einer Anlage zur automatischen Verarbeitung personenbezogener Daten – so auch DLP – steht unter dem generellen Vorbehalt ihrer Erforderlichkeit. Mitarbeiter, die bestimmte personenbezogene Daten für die Arbeit nicht benötigen, dürfen diese auch nicht verarbeiten und nicht einmal darauf zugreifen6 .
[16]
Kann durch die konsequente Überprüfung der Einhaltung unternehmesinterner Sicherheitsstandards durch die Mitarbeiter sowie durch einerestriktive Vergabe von Zugangs- und Zugriffskennungen ein effektiver Schutz sensibler Unternehmensdaten verwirklicht werden, besteht grds. keine Notwendigkeit für den Einsatz von DLP. Der Schutz besonders sensibler Daten (etwa geheimer Forschungsergebnisse) kann unter restriktiven Voraussetzungen den Einsatz von DLP erforderlich machen. Das gilt aber nur für eng begrenzte Anwendungsfälle und abgegrenzte Unternehmensbereiche und auch nur dann, wenn «herkömmliche» datenschutzfreundlichere Sicherheitsvorkehrungen konsequent eingesetzt werden. Mängel eines datenschutzrechtlich unzulässigen – weil etwa nicht granualren – Berechtigungskonzepts oder sonstiger Zugangs- und Zugriffskontrollen dürfen dagegen nicht durch DLP-Lösungen ausgeglichen werden.

3.1.3.

Datenvermeidung und Datensparsamkeit ^

[17]
Manche DLP-Systeme können z.B. so eingerichtet werden, dass sie die Verwendung von Schimpfwörtern etwa in einer E-Mail, die ein Mitarbeiter gerade verfasst, erkennen können. Für solche und ähnliche Anwendungsfälle ist eine personenbezogene Protokollierung mit datenschutzrechtlichen Grundsätzen nicht vereinbar.
[18]
Das Gebot der Datenvermeidung und Datensparsamkeit (§ 3a BDSG7 ) hat die Förderung datenschutzfreundlicher Techniken zum Ziel. So ist schon bei der Gestaltung und Auswahl von IT-Systemen darauf zu achten, dass der Umfang der personenbezogenen Datenverarbeitung auf ein Minimum beschränkt wird. Von Anonymisierung und Pseudonymisierung ist Gebrauch zu machen, «soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert »8 . Im Hinblick auf den Einsatz von DLP kann das z.B. bedeuten, dass eine personenbezogene Protokollierung des Nutzerverhaltens – soweit möglich – vermieden werden muss und erst bei hinreichend konkretem Verdacht auf grobe Regelverstöße in einemabgestuften Verfahren personenbezogene Daten erhoben und ausgewertet werden9 .

3.2.

Keine Datenerhebung ohne Kenntnis des Beschäftigten? ^

3.2.1.

Beurteilung nach § 4 Abs. 2 BDSG ^

[19]
§ 4 Abs. 2 S. 1 BDSG regelt denGrundsatz der Direkterhebung . Dieser bedeutet, dass personenbezogene Daten grds. direkt beim Betroffenen, mithin mit Kenntnis oder Mitwirkung des Betroffenen, zu erheben sind10 .
[20]
DLP-Lösungen sind ihrer Konzeption nach regelmäßig auf eine Überwachung der Nutzung im Hintergrund und damit nicht auf eine Datenerhebung mit Kenntnis des Beschäftigten ausgelegt11 . Eine ggf. in dem DLP-System vorgesehene Benachrichtigung des Beschäftigten, z.B. über einen blockierten Versand einer E-Mail, ist nur das Ergebnis einer zuvor im Verborgenen erfolgten Datenerhebung. Aber auch wenn im Einzelfall eine Erhebung beim Betroffenen vorliegt, verlangt § 4 Abs. 3 BDSG insb. eine Information der Person über die Zweckbestimmung der Datenverarbeitung sowie die Kategorien von Empfängern, an die Daten übermittelt werden sollen.
[21]
Eine Erhebung ohne Kenntnis des Betroffenen ist abgesehen von dem Fall, dass eine Rechtsvorschrift dies explizit vorsieht, insb. nur dann zulässig, wenn eine«Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand erfordern würde und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden.» , vgl. § 4 Abs. 2 S. 2 BDSG. In diese Abwägung einzustellen ist die Sensibilität der vom Arbeitgeber als besonders zu schützen identifizierten Daten sowie der Grad der zu diesem Schutz eingesetzten Überwachung.

3.2.2.

Verschärfung durch Regierungsentwurf zur Neuregelung des Beschäftigtendatenschutzes? ^

[22]

Das Bundeskabinett hat am 25.8.2010 einen Regierungsentwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes12 angenommen. Der Entwurf sieht über den bisherigen § 32 BDSG die Schaffung von detaillierten Sondervorschriften für den Umgang mit Beschäftigtendaten durch den Arbeitgeber vor, wenn der Datenumgang den Zwecken eines Beschäftigungsverhältnisses dient13 .

 

[23]
Der Entwurf modifiziert den allgemeinen Direkterhebungsgrundsatzes des § 4 Abs. 2 BDSG für Beschäftigtendaten, so etwa für Bewerberdaten in § 32 Abs. 6 BDSG-E oder in § 32f BDSG-E für die Videoüberwachung nicht öffentlich zugänglicher Betriebsstätten14 .
[24]
Nicht abschließend beurteilen lässt sich die Auswirkung der Regelung in § 32e BDSG-E, die mit«Datenerhebung ohne Kenntnis des Beschäftigten zur Aufdeckung und Verhinderung von Straftaten und anderen schwerwiegenden Pflichtverletzungen im Beschäftigungsverhältnis» überschrieben ist. § 32e Abs. 1 BDSG-E enthält den Grundsatz, dass der Arbeitgeber Beschäftigtendaten nur mit Kenntnis des Beschäftigten erheben darf. Dies ist angesichts der inhaltlich gleichen Regelung in § 4 Abs. 2 S. 1 i.V.m. § 4 Abs. 3 BDSG ein lediglich klarstellender Hinweis. § 32e Abs. 2 BDSG-E enthält sodann Ausnahmen von diesem Grundsatz. Danach soll der Arbeitgeber Beschäftigtendaten ohne Kenntnis des Beschäftigten nur erheben dürfen, wenn

«1. Tatsachen den Verdacht begründen, dass der Beschäftigte im Beschäftigungsverhältnis eine Straftat oder eine andere schwerwiegende Pflichtverletzung begangen hat, die den Arbeitgeber bei einem Arbeitnehmer zu einer Kündigung aus wichtigem Grund berechtigen würde, und
2. die Erhebung erforderlich ist, um die Straftat oder die andere schwerwiegende Pflichtverletzung aufzudecken oder um damit im Zusammenhang stehende weitere Straftaten oder schwerwiegende Pflichtverletzungen des Beschäftigten zu verhindern.»

[25]
Dem Arbeitgeber müssen solche Tatsachen entweder durch nicht-heimliche Ermittlungen oder anders bekannt geworden sein15 . Der heimliche Einsatz von DLP-Systemen als Präventionsmaßnahme wäre danach wohl nicht zulässig. Ein Rückgriff auf die allgemeine Regelung des § 4 Abs. 2 S. 2 BDSG wäre aufgrund des lex specialis-Charakters der § 32 ff. BDSG-E wohl versperrt.
[26]
Unklar ist, wie konkret bzw. detailliert die Mitarbeiter über die Funktionsweisen und Richtlinien des vom Arbeitgeber eingesetzten DLP-Systems aufgeklärt werden müssen. Eine allgemeine Information über den DLP-Einsatz reicht jedenfalls nicht aus. Auch ist unklar, ob bei einer Dauerüberwachung, wie sie vom DLP-System automatisiert vorgenommen wird, eine einmalige Aufklärung ausreicht oder ob bei (oder sogar vor) jedem einzelnen Datenerhebungsvorgang aufgeklärt werden müsste. In letzterem Fall wäre wohl der Sinn des DLP-Einsatzes insgesamt in Frage zu stellen16 .

3.3.

Verbot automatisierter Einzelentscheidungen ^

[27]
DLP-Systeme sehen verschiedene Reaktionen auf Abweichungen von vordefinierten Policies vor. Besteht die Reaktion eines DLP-Systems lediglich in Warnhinweisen an den Nutzer selbst, ist § 6a BDSG regelmäßig nicht berührt.
[28]
Ein Verstoß gegen § 6a BDSG kann z.B. vorliegen, wenn E-Mails aufgrund komplexer, für den Einzelnen nicht durchschaubarer Kriterien blockiert werden und ein Mitarbeiter – ggf. ohne sein Wissen – an der Versendung von E-Mails und Ähnlichem gehindert wird, ohne dass eine inhaltliche Bewertung dieser «Systementscheidung» durch eine natürliche Person erfolgt. Werden «Verstöße» gegen DLP-Policies durch das DLP-System protokolliert und arbeitsrechtlich sanktioniert, ohne dass dem Mitarbeiter z.B. Gelegenheit zur Anhörung gegeben wird, ist dieses Vorgehen des Unternehmens regelmäßig nicht nur datenschutzrechtlich, sondern auch arbeitsrechtlich bedenklich. Ein Verstoß gegen § 6a BDSG liegt v. a. dann nahe, wenn die Grundlage für die DLP-Reaktionen nicht die Sicherheitsrichtlinien im Unternehmen sind, sondern, wenn die Policies auf komplexen mathematischen Funktionen und Analyseergebnissen von Korruptionsmustern beruhen und für den Einzelnen nicht nachvollziehbar sind17 .

3.4.

Fernmeldegeheimnis und TKG-/TMG-Datenschutz ^

3.4.1.

Zulässigkeit von DLP bei erlaubter privater E-Mail-/Internetnutzung von Beschäftigten? ^

[29]
Ist diePrivatnutzung von E-Mail und Internet am Arbeitsplatz gestattet18 , ist es sehr fraglich, ob DLP eingesetzt werden darf. Der Arbeitgeber ist im Verhältnis zu seinen Mitarbeitern Telekommunikations- bzw. Telemedienprovider und somit dem Fernmeldegeheimnis und den besonderen Datenschutzbestimmungen des TKG und TMG unterworfen19 .
[30]
Zum Schutz des Fernmeldegeheimnisses ist nach § 88 Abs. 2 TKG jeder Diensteanbieter verpflichtet, auch der Arbeitgeber, der eine private E-Mail-Nutzung erlaubt oder zumindest über mehrere Jahre hinweg duldet20 . Nach einer neueren Entscheidung des VG Frankfurt/M.21 endet das Fernmeldegeheimnis bei privaten E-Mails von Mitarbeitern erst, wenn die E-Mails vom Mitarbeiteran selbst gewählter Stelle archiviert oder gespeichert werden22 .
[31]
Sofern DLP an den Netzwerkgrenzen eines Unternehmens eingesetzt wird (siehe oben 2.), sind das Fernmeldegeheimnis und die TKG-Datenschutzvorschriften berührt, wenn bei privaten E-Mails der Inhalt, die Sender- und Empfangsadresse oder Datum/Uhrzeit des Sende- bzw. Empfangsvorgangs23 mittels DLP protokolliert und gefiltert werden. Eine solche Datenerhebung und -verwendung ist von den Erlaubnisvorschriften der §§ 91 ff. TKG nicht gedeckt.
[32]
Zwar erlaubt § 100 Abs. 3 TKG, dass der Diensteanbieter – soweit erforderlich – «bei Vorliegen zu dokumentierender tatsächlicher Anhaltspunkte die Bestands- und Verkehrsdaten erheb[t] und verwende[t], die zum Aufdecken sowie Unterbinden von Leistungserschleichungen und sonstigen rechtswidrigen Inanspruchnahmen der Telekommunikationsnetze und -dienste erforderlich sind ». DLP dient aberpräventiven Zwecken und schafft bzw. dokumentiert die tatsächlichen Anhaltspunkte für eine rechtswidrige Datennutzung. § 100 Abs. 3 TKG ist somit nicht erfüllt.
[33]
Protokolliert der Arbeitgeber im Rahmen von DLP (auch) die private Nutzung von Websites und ist den Mitarbeitern eine private Nutzung des Internet-Zugangs erlaubt, so ist der Arbeitgeber als Vermittler des Zugangs zu einem Telemediendienst24 den Datenschutzvorschriften der §§ 11 ff. TMG unterworfen. Die Erlaubnisvorschriften der §§ 14 und 15 TMG gestatten einen DLP-Einsatz nicht. Zu § 15 Abs. 8 TMG gilt im Ergebnis das zu § 100 Abs. 3 TKG Gesagte.
[34]
Ob und inwieweit das Unternehmen DLP verwenden darf, wenn den Mitarbeitern eine private Nutzung von E-Mail und Internet am Arbeitsplatz gestattet ist, hängt davon ab, ob die Mitarbeiter bzw. – soweit vorhanden – der Betriebsrat in die technischen Kontrollmaßnahmen durch das DLP-System vorab wirksam, insbesondere hinreichend informiert eingewilligt haben25 .

3.4.2.

Beurteilung nach § 32i BDSG-E ^

[35]
§ 32i BDSG-E26 sieht eine Regelung zur Nutzung von TK-Diensten im Beschäftigtenverhältnis durch Beschäftigte zu ausschließlich beruflichen oder dienstlichen Zwecken vor. Die Rechtslage der (auch) privaten Nutzung, die gerade insoweit sehr unsicher ist27 , regelt der Entwurf ausdrücklich nicht28 . Nach § 32i Abs. 1 BDSG-E darf der Arbeitgeber – insbesondere zur Gewährleistung des ordnungsgemäßen technischen Betriebs, zu Abrechnungszwecken sowie zu Zwecken einerstichprobenartigen oder anlassbezogenen Leistungs- und Verhaltenskontrolle29 die Nutzung von Telekommunikationsdiensten am Arbeitsplatz im erforderlichen Maß kontrollieren30 . Als Beispiel für eine solche Leistungs- und Verhaltenskontrolle wird in der Literatur die Kontrolle des Verbots der Privatnutzung sowie die Kontrolle von Vertragsverletzungen zu Lasten des Arbeitgebers genannt31 . Wie sich § 32i Abs. 1 S. 1 Nr. 1 BDSG-E zu § 32d Abs. 3 und § 32e BDSG-E32 verhält ist dabei unklar. Ebenso bleibt offen, unter welchen Voraussetzungen eine stichprobenartige oder anlassbezogene Leistungs- und Verhaltenskontrolle erfolgen darf33 .
[36]
Eine Erfassung und Kontrolle von Inhaltsdaten soll als besonders schwerer Eingriff in das Persönlichkeitsrecht des Beschäftigten nur unter sehr eingeschränkten Voraussetzungen zulässig sein. Während eine inhaltliche Kontrolle bei Telefondiensten nach § 32i Abs. 2 S. 1 BDSG-E eine vorherige Information und Einwilligung des Beschäftigten und seines Kommunikationspartners erfordert, sollen Daten aus Nicht-Telefondiensten wie z.B. E-Mail auch zwecks einer stichprobenartigen oder anlassbezogenen Leistungs- oder Verhaltenskontrolle erhoben, verarbeitet und genutzt werden können, vgl. § 32i Abs. 3 S. 1 BDSG-E. Die Erhebung von Daten darf regelmäßig nur mit Kenntnis des Beschäftigten erfolgen, vgl. § 32i Abs. 3 S. 3 BDSG-E.
[37]
Da der Gesetzesentwurf die erlaubte Privatnutzung nicht erfasst und bei Nutzung zu ausschließlich beruflichen oder dienstlichen Zwecken keine Erlaubnis zu präventiven, nicht auf Stichproben bezogenen Kontrollen enthält, dürfte § 32i BDSG-E als gesetzliche Erlaubnis zum Einsatz von DLP-Systemen (auch) zu Leistungs- und Verhaltenskontrollzwecken im Ergebnis ausscheiden.

3.5.

Aufdeckung von Straftaten am Arbeitsplatz ^

3.5.1.

Beurteilung nach § 32 BDSG 2009 ^

[38]
Das unerlaubte Übermitteln sensibler Unternehmensdaten kann nicht nur einen Verstoß gegen arbeitsvertragliche Pflichten darstellen, sondern auch strafrechtlich relevant werden. § 32 Abs. 1 Satz 2 BDSG34 bestimmt die Grenzen für eine zulässige Datenerhebung, -verarbeitung und -nutzung zur Aufdeckung von Straftaten, wobei – wie bei §§ 100 Abs. 3 TKG und 15 Abs. 8 TMG – tatsächliche Anhaltspunkte für einen Verdacht bereits dokumentiert vorliegen müssen. Laut Gesetzesbegründung sollen durch diese Formulierung nur repressive Maßnahmen erfasst werden35 .
[39]
DLP stellt dagegen eine präventive Maßnahme dar, durch die erst tatsächliche Anhaltspunkte für einen Verdacht geschaffen werden sollen. Inwieweit für eine präventive Erhebung, Verarbeitung und Nutzung von Beschäftigtendaten auf § 32 Abs. 1 S. 1 BDSG und/oder § 28 Abs. 1 S. 1 Nr. 2 BDSG zurückgegriffen werden darf, ist fraglich36 . Ist der präventive Einsatz von DLP-Systemen an § 32 Abs. 1 Satz 1 BDSG zu messen, dann wird die Grenze des Einsatzes durch die Erforderlichkeit zur Durchführung des Beschäftigungsverhältnisses bestimmt. Unter Berücksichtigung einiger Urteile des BAG zur Mitarbeiterüberwachung, die ausweislich der Gesetzesbegründung mit dem neuen § 32 BDSG normiert werden sollten, sindpräventive Stichprobenkontrollen wohl auf Basis von § 32 Abs. 1 S. 1 BDSG erlaubt. Zu beachten ist jedoch, dass DLP nicht auf Stichprobenbasis protokolliert und filtert, sondern zumindest bei einem Einsatz zur Netzwerküberwachung auf die fortlaufende Echtzeitüberwachung des gesamten Netzwerkverkehrs («Screening») ausgelegt ist.
[40]
Ob DLP bei hochsensiblen und/oder anderweitig adäquat gesicherten Daten auf Basis von § 32 Abs. 1 S. 1 oder § 28 Abs. 1 S. 1 Nr. 2 BDSG erlaubt ist, ist derzeit nicht absehbar. EineRundumüberwachung von Mitarbeitern ist datenschutz- und auch arbeitsrechtlich unzulässig37 . Eine Rundumüberwachung ist mit dem verfassungsrechtlich garantierten Persönlichkeitsschutz nicht vereinbar38 .

3.5.2.

Beurteilung nach § 32d Abs. 3 und § 32e BDSG-E ^

[41]
Auch der Regierungsentwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes vom 25.8.2010 bringt nicht die erhoffte Klarheit. Nach § 32d Abs. 3 BDSG-E soll der Arbeitgeber zur Aufdeckung von Straftaten oder anderen schwerwiegenden Pflichtverletzungen durch Beschäftigte im Beschäftigungsverhältnis, insbesondere zur Aufdeckung sog. Korruptionsstraftaten und zur Durchsetzung von Compliance-Anforderungen39 ,präventiv einen Abgleich von Beschäftigtendaten inanonymisierter oder pseudonymisierter Form (vgl. auch § 3a BDSG) mit von ihm geführten Dateien durchführen dürfen. Eine Beschränkung auf Stichprobenkontrollen findet sich im Wortlaut von § 32d Abs. 3 BDSG nicht wieder. Anscheinend soll der Schutz der Betroffenen anstatt durch eine Begrenzung der Streubreite der Screening-Maßnahme durch die Pflicht zu anonymisierten bzw. pseudonymisierten Abgleichen realisiert werden40 .
[42]
Eine Datenerhebung zu Zwecken der Korruptionsbekämpfung bzw. zur Durchsetzung von Compliance-Anforderungen soll nach § 32e Abs. 1 BDSG-E grds.nur mit Kenntnis des Beschäftigten erfolgen dürfen41 . Eineverdeckte Erhebung soll nur unter erschwerten Bedingungen, insb. nur bei auf Tatsachen beruhendem Verdacht, zulässig sein, vgl. § 32e Abs. 2-7 BDSG-E. § 32d Abs. 3 BDSG-E stellt keine Erlaubnisnormen für den Einsatz von DLP-Systemen dar, sondern erlaubt unter den genannten Voraussetzungen die Auswertung bereits zuvor auch mit Hilfe von DLP-Systemen (rechtmäßig) erhobener Beschäftigtendaten. Der Einsatz von DLP-Systemen zur «Ermittlung» gegen einzelne verdächtige Beschäftigte kann bei Erfüllung der Voraussetzungen des § 32e BDSG-E dagegen zulässig sein42 .

3.6.

Konzerninterne Datenübermittlung durch zentrales DLP ^

3.6.1.

Beurteilung gemäß § 32 und § 11 BDSG ^

[43]
Unter Berücksichtigung des § 32 BDSG ist bereits fraglich, auf welcher Rechtsgrundlage DLP vom Arbeitgeber überhaupt eingesetzt werden darf. Dies gilt um so mehr, wenn das DLP-System im Konzern so eingerichtet wird, dass beispielsweise die Konzernmutter dass DLP-System zentral für alle konzernangehörigen Unternehmen betreibt und auswertet. Dies wird insbesondere in Betracht kommen, wenn die Mitarbeiter von konzernangehörigen Unternehmen z.B. unternehmensübergreifenden Zugriff auf konzerneinheitliche Kunden- oder Mitarbeiterdatenbanken haben.
[44]
Zwar ist denkbar, dass die Konzernmutter oder eine zentrale IT-Gesellschaft als Auftragnehmerin im Sinne von § 11 BDSG (Auftragsdatenverarbeitung) für alle anderen Konzernunternehmen agiert und von diesen («sternförmig») gemäß den durchaus hohen Anforderungen des § 11 BDSG beauftragt wird43 . Allerdings dürfte § 11 BDSG scheitern, wenn z.B. die Konzernmutter – was regelmäßig der Fall sein dürfte – ein großes eigenes Interesse an der Auswertung der DLP-Daten ihrer Konzerntöchter hat und weitreichende eigene Beurteilungsspielräume im Hinblick auf Art und Umfang des konzernweiten DLP-Einsatzes und der Datenauswertungen wahrnimmt. Zwar ist ein ausgelagerter DLP-Betrieb evtl. als § 11 BDSG gestaltbar. Das wäre etwa dann der Fall, wenn nur die technische Einrichtung des Systems und die Speicherung der Protokolldaten zentral erfolgen und wenn für die Zugriffsberechtigungen auf Protokolldaten, für das Ob und Wie der Einrichtung von DLP-Benachrichtigungen, für Datenauswertungen und für disziplinarische Maßnahmen dezentral ausschließlich die einzelnen Konzernunternehmen (also die jeweiligen Arbeitgeber der betroffenen Beschäftigten) zuständig sind. Im Rahmen eines solchen Auftragsdatenverarbeitungskonzepts kann § 11 BDSG nur gewahrt werden, wenn grds. nur statistische Meldungen über DLP-«Vorfälle» an die Konzernobergesellschaft erfolgen.

3.6.2.

Parallelen zu Whistleblowing-Hotlines ^

[45]
Dann stellt sich die Frage, ob die Konzernmutter, soweit sie nicht Arbeitgeberfunktionen für Mitarbeiter einer deutschen Konzerntochter hat44 , die Beschäftigtendatendaten der deutschen Konzerntochter auf Basis von § 28 Abs. 1 S. 1 Nr. 2 BDSG mittels DLP erheben, verarbeiten und nutzen darf. Gewisse Parallelen lassen sich insoweit zu sog.Whistleblowing-Hotlines ziehen, denn auch Whistleblowing wird regelmäßig konzernzentral eingesetzt, um Unregelmäßigkeiten am Arbeitsplatz aufzudecken und zu unterbinden und auch im Rahmen von Whistleblowing finden regelmäßig Datenübermittlungen im Konzern statt45 . Nach Ansicht der französischen Datenschutzbehörde CNIL und des Düsseldorfer Kreises ist jedoch eine möglichst weitgehend dezentrale/lokale Einrichtung des Whistleblowingsystems vorzugswürdig46 .
[46]
Zu beachten ist auch, dass Whistleblowing im Hinblick auf die Unternehmen, die dem US-Börsenaufsichtsrecht unterliegen47 , in einem beschränkten Umfang (nämlich soweit die Richtigkeit von Geschäftsberichten betroffen ist), u.a. durch den Sarbanes-Oxley-Act gesetzlich vorgeschrieben ist. Zwar ist eine solche ausländische Vorschrift keine datenschutzrechtliche Erlaubnis im Sinne des § 4 Abs. 1 BDSG. Im Hinblick auf das nach Sarbanes-Oxley-Act drohende Sanktionsrisiko für Unternehmen haben europäische Datenschutzbehörden48 Maßgaben erarbeitet, nach denen ein Whistleblowing-System datenschutzgerecht ausgestaltet werden kann, sodass im Ergebnis sogar einzelne Datenübermittlungen zum Zwecke des Whistleblowings nach § 28 Abs. 1 S.1 Nr. 2 BGSG erfüllt sein können. Der Unterschied zu DLP ist jedoch, dass (zumindest bislang) keine Rechtsvorschrift – auch nicht in den USA – den Einsatz eines DLP-Systems zwingend vorschreibt49 .

3.6.3.

Konzerndatenübermittlung im Regierungsentwurf nicht geregelt ^

[47]
Die fehlende Regelung des Konzerndatenschutzes im Regierungsentwurf zur Neuregelung des Beschäftigtendatenschutzes vom 25.8.2010 ist in der Literatur und auch vom Bundesrat deutlich kritisiert worden50 . Aufgrund des Sondercharakters der Regelungen zum Beschäftigtendatenschutz wäre ein Rückgriff auf die §§ 28 ff. BDSG (insb. § 28 Abs. 1 S. 1 Nr. 2 BDSG) wohl nicht zulässig und damit eine Verschärfung ggü. der bestehenden Rechtslage gegeben.
[48]
Ist das DLP-System konzernzentral eingerichtet und sind mit dem DLP-System auch Datenübermittlungen z.B. an die Konzernmutter oder an eine konzernzentrale IT-Gesellschaft verbunden, so ist fraglich, ob – zumindest in gewissen Grenzen – einehinreichend konkrete Betriebsvereinbarung eine Rechtsgrundlage für Datenübermittlungen bieten kann51 . Aufgrund der Regelung in § 32l Abs. 5 BDSG-E, nach der von den Vorschriften zum Beschäftigtendatenschutznicht zu Ungunsten der Beschäftigten abgewichen werden kann, könnte eine konzernweite Regelung im Rahmen einer Betriebsvereinbarung weitgehend versperrt sein52 .

3.7.

Betroffenenrechte (Benachrichtigung, Auskunft u. ä.) ^

[49]
Die Gewährleistung der durch das BDSG vorgeschriebenen Betroffenenrechte kann – je nach Reaktion des DLP-Systems auf einen Policy-Verstoß – relativ unproblematisch oder kritisch sein. Wird der Beschäftigte durch DLP etwa perPop-up auf Regelverstöße hingewiesen, so erfolgt konkludent eine Information des Betroffenen, die zwar regelmäßig nicht den Umfang einer datenschutzrechtlichen Benachrichtigung nach § 33 BDSG hat53 , die aber dem Betroffenen ermöglicht, seine Auskunftsrechte wahrzunehmen.
[50]
Der Betroffene kann jedoch seine durch das BDSG garantierten Selbstkontrollrechte dann nicht ausüben, wenn Regelverstöße zu einer für den Beschäftigten unbemerkten Blockade von Funktionen (z.B. Blockade einer E-Mail-Absendung) führen oder nur der Vorgesetzte über DLP-richtlinienwidriges Verhalten informiert wird.
[51]
Die Art. 29-Gruppe und der Düsseldorfer Kreis haben im Zusammenhang mit Whistleblowing54 dazu Stellung genommen, dass Compliance-Maßnahmen selbst bei berechtigtem Interesse der verantwortlichen Stelle als datenschutzrechtlich unzulässig anzusehen sind, wenn die Betroffenenrechte unterlaufen bzw. abgeschnitten werden. Lediglich wenn die Gefahr einer Vernichtung von Beweisen u. ä. besteht, dürfen die Betroffenenrechte zeitweise «suspendiert» werden.

3.8.

Einwilligung, Betriebsvereinbarung ^

3.8.1.

Beurteilung nach BDSG de lege lata ^

[52]
WährendEinwilligungen in Überwachungsmaßnahmen im Beschäftigtenverhältnis von den Arbeitsgerichten mangels Freiwilligkeit stets kritisch beurteilt werden55 , sind wirksame Betriebsvereinbarungen auf Basis von § 4 Abs. 1 BDSG zumindest nach derzeit geltender Rechtslage denkbar56 . Grundsätzlich darf DLP nicht ohneMitbestimmung des Betriebsrats eingesetzt werden. Denn DLP ist eine technische Überwachungseinrichtung im Sinne des § 87 Abs. 1 Nr. 6 BetrVG.
[53]
Unklar und streitig sind jedoch die Anforderungen bzw. Grenzen solcher Betriebsvereinbarungen. Solche Regelungen sind nur zulässig, wenn und soweit sie mit höherrangigem Recht vereinbar sind57 . Eine nicht hinreichend konkrete Betriebsvereinbarung oder eine pauschale Einwilligung dürfte jedenfalls keine hinreichende Rechtsgrundlage für eine Überwachung von Mitarbeitern durch DLP bieten58 . Unter Sicherheitsaspekten sind in der Regel Sicherheitsmaßnahmen weniger wirksam bzw. potenziell manipulationsanfälliger, wenn vom Arbeitgeber sehr detailliert darüber aufgeklärt wird. Dieser typische Konflikt zwischen Sicherheit und Datenschutz ist nur schwer lösbar.
[54]
Bei der Ausarbeitung einer Betriebsvereinbarung wie auch dem Einsatz von DLP auf Einwilligungsbasis59 ist der Zweck, zu dem ein Einsatz erfolgen soll, genau festzulegen. Der Arbeitgeber ist bei der Verwendung der über DLP anfallenden Daten an die Zweckbestimmung gebunden (Grundsatz der Zweckbindung) . Eine Nutzung von DLP-Daten zu anderen Zwecken bedarf einer eigenständigen Erlaubnis.

3.8.2.

Änderungen durch den Regierungsentwurf ^

[55]
Art. 7 lit. a der EG-Datenschutzrichtlinie 95/46/EG erlaubt es dem nationalen Gesetzgeber Einschränkungen für Einwilligungen in eine Datenverarbeitung vorzusehen. § 32l BDSG-E macht davon Gebrauch und sieht eine Einschränkung der Erlaubnis zur Datenverarbeitung durch Einwilligung im Beschäftigtenverhältnis vor. Allerdings geht die Regelung zu weit, indem sie eine Einwilligung nur noch zulassen will, soweit eine solche in den Vorschriften zum Beschäftigtendatenschutz explizit vorgesehen ist. Für Maßnahmen der Leistungs- und Verhaltenskontrolle sieht § 32c Abs. 1 S. 3 BDSG-E (nicht aber § 32i BDSG-E) dies vor. Ob dies auch für Compliance-Maßnahmen gilt, ist – wie auch die Abgrenzung der einzelnen Vorschriften (§ 32c zu § 32d und § 32e BDSG-E) zueinander – fraglich. Problematisch erscheint in diesem Zusammenhang § 32l Abs. 5 BDSG-E. Danach darf von den Vorschriften des Beschäftigtendatenschutzes nicht zu Ungunsten des Beschäftigten abgewichen werden. Inwieweit hier noch Raum für Betriebsvereinbarungen bleibt, die einen interessengerechten Gesamtausgleich widerstreitender Interessen zum Inhalt haben, bleibt abzuwarten60 .

4.

Empfehlungen für einen datenschutzkonformen DLP-Einsatz ^

[56]
Unter Berücksichtigung der herrschenden Meinung der Datenschutzbehörden zum Whistleblowing61 sind folgende technische und organisatorische Maßgaben empfehlenswert, um DLP in einem begrenzten Anwendungsbereich datenschutzkonform einzusetzen:
  • Je weiter der Einsatzbereich des DLP-Systems gewählt wird, um so eher dürfte Voraussetzung für den DLP-Einsatz sein, dass die Privatnutzung von E-Mail, Internet und sonstigen IT-Systemen (Laptop, Blackberry, USB-Sticks etc.) im Unternehmen verboten ist.

  • Soweit ein Betriebsrat vorhanden ist, muss er vor Einführung von DLP (wohl schon in der Planungsphase62 ) einbezogen werden.

  • Die Einführung von DLP unterliegt der Vorabkontrolle durch den betrieblichen Datenschutzbeauftragten, vgl. § 4d Abs. 5 BDSG.

  • Es sollten nur sicherheitsrelevante DLP-Richtlinien eingesetzt werden (also z.B. nicht Richtlinien zur Verhinderung von Umgangssprache/Schimpfwörtern in Kundenkorrespondenz).

  • Der Einsatz von DLP sollte auf den Missbrauchs-/Verlustschutz besonders schützenswerter Daten in einzelnen sicherheitsrelevanten Systemen (z.B. Know-how-Schutz von geheimen Forschungsdaten) begrenzt werden.

  • Schützenswerte Daten müssen vorrangig durch eingeschränkte Zugriffsberechtigungen nach dem Need-to-know-Prinzip abgesichert sein.

  • DLP ist so einzurichten, dass möglichst wenig personenbezogene Daten erhoben und ausgewertet werden und nur «Trefferfälle», die den Verdacht einer strafbaren Handlung nahelegen (z.B. richtlinienwidriger Zugriff auf Forschungsdaten durch den Pförtner) protokolliert und der weiteren Verarbeitung zugänglich gemacht werden.

  • Der DLP-Einsatz im Unternehmen darf nicht heimlich erfolgen. Die Beschäftigten müssen über Funktionsweise und Umfang des Einsatzes von DLP vorab aufgeklärt werden. Eine hinreichend umfassende Aufklärung kann in der Praxis schwierig sein, wenn DLP mithilfe künstlicher Intelligenz und damit unter Heranziehung vielfältiger für Menschen nicht nachvollziehbarer Beurteilungskriterien arbeitet. Dann sind die Voraussetzungen für einen Richtlinienverstoß evtl. nicht a priori erkennbar und regelgerechtes Verhalten nicht steuerbar.

  • DLP muss so eingerichtet werden, dass ein abgestuftes Reaktionsregime möglich ist. Dieses könnte so aussehen, dass bei geringfügigen Regelverstößen (z.B. Empfänger-E-Mail-Adresse passt nicht zur Anrede in der E-Mail) kein «Alarm» und keine «Blockade» erfolgt, sondern nur der Mitarbeiter selbst einen Hinweis auf sein regelwidriges Verhalten erhält. Bei anderen Regelverstößen wäre grds. eine Blockade der vorgenommenen Handlung mit gleichzeitiger automatisierter Benachrichtigung über dem Regelverstoß inklusive Begründung an den betroffenen Mitarbeiter selbst denkbar. Ein «Alarm» an Vorgesetzte käme nur als ultima ratio infrage.

  • Eine Auswertung von DLP-Protokolldaten sollte allenfalls bei sehr gravierenden oder wiederholten, schweren Verstößen bzw. tatsächlichen Anhaltspunkten für den Verdacht einer Straftat erfolgen.

  • DLP darf nicht Sicherheitstrainings von Mitarbeitern ersetzen.

  • Die Mitarbeiter/Administratoren, die das DLP-System administrieren, müssen besonders im Datenschutz unterwiesen und geschult werden.


5.

Zusammenfassung ^

[57]
Der Einsatz von DLP-Technik ist nicht per se datenschutzwidrig. Es kommt vielmehr auf die konkrete Ausgestaltung an. Voraussetzung für den datenschutzkonformen Einsatz von DLP ist insbesondere, dass die private E-Mail- und Internet-Nutzung am Arbeitsplatz (sofern sie ausdrücklich erlaubt oder zumindest geduldet wird) nicht überwacht wird und dass insgesamt das DLP-System, soweit personenbezogene Daten erhoben, verarbeitet oder genutzt werden, auf den Schutz weniger äußerst sensibler Unternehmensdaten und Unternehmensbereiche beschränkt wird. Im Übrigen ist das DLP-System – soweit möglich – anonym oder pseudonym auszugestalten und, in Abhängigkeit von der Schwere eines Sicherheitsverstoßes, mit einem abgestuften Reaktionsregime zu versehen.

6.

Literatur ^

Bedner , «Deep Packet Inspection» – Technologie und rechtliche Initiativen, CR 2010, 339

Conrad , Transfer von Mitarbeiterdaten zwischen verbundenen Unternehmen, ITRB 2005, 164

Conrad/Antoine , Betriebsvereinbarungen zwischen IT- und TK-Einrichtungen, ITRB 2006, 90

Fischer/Steidle , Brauchen wir neue EG-Standardvertragsklauseln für das «global Outsourcing»?, CR 2009, 632

Gola/Jaspers , § 32 Abs. 1 BDSG – eine abschließende Regelung, RDV 2009, 212

Gola/Wronka , Handbuch zum Arbeitnehmerdatenschutz, 5. Auflage 2010

Heinson/Sörup/Wybitul , Der Regierungsentwurf zur Neuregelung des Beschäftigtendatenschutzes, CR 2010, 751

Schneider , Handbuch des EDV-Rechts, 4. Aufl. 2009

Tinnefeld/Petri/Brink , Aktuelle Fragen um ein Beschäftigtendatenschutzgesetz, MMR 2010, 727

Wisskirchen , Grenzüberschreitender Transfer von Arbeitnehmerdaten, CR 2004, 862

Zimmermann , Whistleblowing und Datenschutz, RDV 2006, 242


Isabell Conrad, Dominik Hausen, Rechtsanwälte, SSW Schneider Schiffer Weihermüller, Beethovenstraße 6, 80336 München, DE,isabell.conrad@ssw-muc.de ,dominik.hausen@ssw-muc.de ,www.ssw-muc.de

  1. 1 Vgl. Ponemon Institute, Data Loss During Downsizing – As Employees Exit, so does Corporate Data, Februar 2009.
  2. 2 Zur Übersicht über verschiedene Hersteller sieheFriedmann in Computerwoche vom 13. März 2008, abrufbar unterwww.computerwoche.de/1858466 : Trend Micro (DLP-Produkt «Leakproof»), Symantec («Vontu»), EMC/RSA («RSA DLP»), weitere Angebote u. a. von McAfee, Clearswift, Cisco und Ironport. Siehe auchVeith , Data-Loss-Prevention: Gefangen zwischen Notwendigkeit und Komplexität, abrufbar unterwww.crn.de/datacenter/artikel-7589.html .
  3. 3 Daten, die von Unternehmen als schützenswert betrachtet werden («sensible» Daten), können z.B. Mitarbeiterdaten sein (wie etwa Gehaltsinformationen und Sozialversicherungsnummern), aber auch Kundendaten (z.B. Kreditkartennummer, Kundenlisten) oder Forschungsdaten, Source Codes und Finanzdaten.
  4. 4 Siehe etwa Kompendium zu Data Loss Prevention, 2008, S. 6 ff., abrufbar unterwww.searchsecurity.de
  5. 5 Die Presse berichtete Ende 2010 von einer unter dem Namen «Cabelgate» bekannt gewordenen Veröffentlichung von mehr als 250.000 diplomatischen Depeschen und über 8.000 Direktiven aus dem US-amerikanischen Außenministerium auf der Website der Whistleblower-Plattform Wikileaks (siehe etwa Spiegel Ausgabe 48/2010 vom 29. November 2010). Die zum großen Teil von der US-Regierung als vertraulich bzw. geheim eingestuften Informationen wurden Wikileaks zugespielt. Die großen Datenmengen sollen von einem Whistleblower aus dem geheimen US-Nachrichtennetz Secret Internet Protocol Router Network (SIPRNet) verschickt worden sein, auf welches ca. 2,5 Millionen Mitarbeiter von US-Behörden Zugriff haben sollen.
  6. 6 Für personenbezogene Daten ergibt sich das aus den gesetzlichen Datenschutzprinzipien. Für sonstige sensible Daten (z.B. Betriebs- und Geschäftsgeheimnisse) gilt dies aufgrund von Compliance- und Haftungserwägungen.
  7. 7 Die Vorschrift wurde zum 1. September 2009 durch die BDSG-Novelle II geändert, bestand aber sinngemäß schon vorher.
  8. 8 § 3a Satz 2, 2. Halbsatz BDSG.
  9. 9 Siehe auch Vorschlag des ULD (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein) vom 5. Februar 2010 für ein eskalierendes Stufenmodell im Rahmen der Kontrolle der privaten oder dienstlichen Internet- und E-Mail-Nutzung, abrufbar unter:https://www.datenschutzzentrum.de/internet/private-und-dienstliche-internetnutzung.pdf .
  10. 10 Umkehrschluss aus § 4 Abs. 2 und 3 BDSG, vgl. auchGola/Schomerus , BDSG, 10. Auflage 2010, § 4 Rn. 21.
  11. 11 Siehe zur Funktionsweise von DLP oben unter 2.
  12. 12 Abrufbar unterwww.bmi.bund.de . Die Stellungnahme des Bundesrats vom 5. November 2010 ist abrufbar unterwww.bundesrat.de , dort BR-Drs. 535/10.
  13. 13 Vgl. § 27 Abs. 3 BDSG-E.
  14. 14 Letztere soll in Abweichung von der aktuellen Rechtslage nur zulässig sein, wenn der Arbeitgeber den Umstand der Videoüberwachung durch geeignete Maßnahmen wie z.B. Hinweisschilder, erkennbar macht. Damit wäre eine heimlich erfolgende Videoüberwachung ohne Ausnahme unzulässig. Dies scheint eine Verschärfung gegenüber § 4 Abs. 2 S.2 BDSG zu sein.
  15. 15 Siehe dazu auchHeinson/Sörup/Wybitul , CR 2010, 751, 756.
  16. 16 Zum Einsatz von DLP, um Anhaltspunkte für einen Verdacht einer Straftat oder schwerwiegenden Pflichtverletzung im Arbeitsverhältnis zu dokumentieren, siehe unten 3.5.
  17. 17 Siehe zum Einsatz von DLP zur Korruptionsbekämpfung und als Compliance-Instrument auch weiter unten unter 3.5.
  18. 18 Eine Gestattung kann sich auch aus der Unwirksamkeit des Verbots der Privatnutzung ergeben, LAG Rheinland-Pfalz, NZA-RR 2010, 297, 299 mit Ausführungen durchHolzner , Neues zur Regelung der Nutzung von E-Mail und Internet am Arbeitsplatz, ZRP 2011, 12, 13.
  19. 19 Vgl. umfangreiche Rspr. und Lit. speziell zu E-Mail- und Internetnutzung am Arbeitsplatz: LAG Mainz v. 12. Juli 2004 – 7 Sa 1243/03, MMR 2005, 176 ff. (Surfen am Arbeitsplatz).
  20. 20 Statt vielerGola/Wronka , Handbuch zum Arbeitnehmerdatenschutz, Rn. 733 f.
  21. 21 VG Frankfurt/M., WM 2009, 948.
  22. 22 Siehe BVerfG v. 16. Juni 2009 – 2 BvR 902/06, BVerfG v. 2. März 2006, CR 2006, 383 aufbauend auf BVerfG v. 12. April 2005, CR 2005, 777 und Anm.Störing , CR 2006, 393;Gietl/Mantz , CR 2008, 810, 813;Härting , CR 2007, 311 zur Differenzierung nach TK, Datensatz und «Brief»; LG Hamburg v. 8.1.2008, CR 2008, 322.
  23. 23 Die Inhaltsdaten einer E-Mail (sog. Content) werden dagegen nicht durch die §§ 91 ff. TKG, sondern durch die allgemeinen Datenschutzvorschriften des BDSG geschützt.
  24. 24 Vgl. § 2 Nr.1 TMG.
  25. 25 Siehe dazu unten 3.8.
  26. 26 Regierungsentwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes vom 25. August 2010, siehe auch Fn. 10.
  27. 27 Siehe oben 3.4.1. sowieHeinson/Sörup/Wybitul , CR 2010, 751, 757.
  28. 28 Damit bleibt es bei erlaubter Privatnutzung bei der geltenden Rechtslage nach dem TKG, siehe auch Hintergrundpapier des Bundesministerium des Inneren zum Kabinettsbeschluss vom 25. August 2010, abrufbar unterwww.bmi.bund.de , Kritik vom Bundesrat, BR-Drs. 525-2/10, 42.
  29. 29 Zum Begriff der Leistungs- und Verhaltenskontrolle sieheGola/Wronka , a.a.O., Rz. 1794 ff.
  30. 30 Der Gesetzesentwurf spricht von «anfallenden Daten». Aus der Gesetzesbegründung ergibt sich, dass wohl Verkehrsdaten im Sinne des TKG gemeint sind, nicht dagegen Inhaltsdaten, siehe auch BR-Drs. 535-10, S. 27.
  31. 31 Heinson/Sörup/Wybitul , CR 2010, 751, 757.
  32. 32 Dazu unter 3.5.2.
  33. 33 Siehe auch Kritik des Bundesrats, BR-Drs. 535-10, Nr. 29 d).
  34. 34 Mit der BDSG-Novelle II hat der Beschäftigtendatenschutz zum 1. September 2009 erstmals in § 32 eine eigenständige Regelung im BDSG erfahren.
  35. 35 Dies ist zwar in der Literatur heftig kritisiert und teils anders kommentiert worden, siehe statt vieler:Gola/Klug , NJW 2009, 2577 (2580). Im Ergebnis wird man jedoch davon ausgehen müssen, dass § 32 Abs. 1 S. 2 BDSG keine Rechtsgrundlage für präventive Maßnahmen bietet, so auchSchneider , Auslegung des § 32 BDSG im Rahmen des Verbotsprinzips, in FS Heussen, S. 1189 ff.
  36. 36 Siehe dazuGola/Jaspers , RDV 2009, 212.
  37. 37 Siehe z.B. BAG v. 29. Juni 2004 – 1 ABR 21/03,Gola/Wronka , Handbuch zum Arbeitnehmerdatenschutz, Rn. 819 ff.
  38. 38 Siehe z.B. zu Bewegungsprofilen mittels GPS: BGH v. 24. Januar 2002, NJW 2001, 1658; BVerfG v. 12. April 2005, CR 2005, 569.
  39. 39 Die Begründung zum Gesetzesentwurf vom 25. August 2010 nennt explizit auch die Durchsetzung von Compliance-Anforderungen als Ziel der Regelungen in § 32d Abs. 3 und § 32e BDSG-E.
  40. 40 Darauf, dass ein anonymisierter bzw. pseudonymisierter Abgleich keinen starken Schutz für Betroffene darstellt, weisenTinnefeld/Petri/Brink , MMR 2010, 727, 731 zurecht hin.
  41. 41 Siehe dazu auch oben 3.2.
  42. 42 Heimliche Massenerhebungen sind von § 32e BDSG-E nicht abgedeckt, vgl.Tinnefeld/Petri/Brink , MMR 2010, 727, 731. Der gezielte Einsatz von DLP-Systemen nur gegen einzelne Beschäftigte wird wohl nur bei einer Beschränkung auf den dem verdächtigen Beschäftigten zugewiesenen Arbeitsplatzrechner (Endpoint Protection, siehe oben unter 2.), möglich sein. Im Einzelnen lässt der Regierungsentwurf viele Fragen unbeantwortet, allen voran die Frage, warum der Arbeitgeber überhaupt so weitreichend zur Strafverfolgung befugt sein soll, siehe auch die Kritik vonTinnefeld/Petri/Brink , MMR 2010, 727, 732.
  43. 43 Conrad , ITRB 2005, 164.
  44. 44 Dies kann etwa dann der Fall sein, wenn Mitarbeiter unternehmensübergreifende Aufgaben im Konzern wahrnehmen. Auch sog. Doppelarbeitsverhältnisse sind denkbar. Siehe speziell zur arbeitsrechtlichen Problematik von Matrix-Strukturen:Wisskirchen , CR 2004, 862.
  45. 45 Zu Whistleblowing s.a. BAG v. 18. Mai 2004 – 9 AZN 653/03, Rz. 3; siehe zum MeinungsstandConrad , in Schneider (Hrsg.), Handbuch des EDV-Rechts, Kap. B., IV., Rn. 537.
  46. 46 CNIL, Guideline document for the implementation of whistle blowing systems; Art. 29-Gruppe, WP 117; Düsseldorfer Kreis, Whistleblowing-Hotlines Firmeninterne Warnsysteme und Beschäftigtendatenschutz;Zimmermann , RDV 2006, 242.
  47. 47 Aus Sicht des US-Rechts betreffen z.B. sec. 301 (4) i.V.m. sec. 806 des US-Sarbanes-Oxley auch die Töchter von Unternehmen, die an der US-Börse gelistet sind.
  48. 48 Siehe WP117 der Artikel-29-Datenschutzgruppe und Düsseldorfer Kreis zu Whistleblowing – Hotlines.
  49. 49 Zu beachten ist auch, dass die Behördenentscheidungen zu Whistleblowing vor der Einführung von § 32 BDSG und der Änderung des § 3a BDSG im Jahre 2009 ergangen sind. Zumindest solange DLP als mögliches Complianceinstrument nicht Eingang in (ausländische) gesetzliche Anforderungen gefunden hat, unterliegen Übermittlungen von Beschäftigtendaten aufgrund von DLP sehr strengen Anforderungen, sodass § 28 Abs. 1 S.1 Nr. 2 BDSG – sofern man überhaupt im Rahmen des § 32 BDSG auf § 28 Abs. 1 S.1 Nr. 2 BDSG zurückgreifen darf (vgl. Gola/Jasper, RDV 2009, 212) – nur in eng begrenzten Ausnahmefällen erfüllt sein dürfte.
  50. 50 BR-Drs. 535-10, Nr. 1 c) sowie DAV-Stellungnahme Nr. 2/2010 S. 19 und Nr. 62/2010 S. 5.
  51. 51 Siehe zu den Anforderungen an eine solche Betriebsvereinbarungen, allerdings noch vor Inkrafttreten des § 32 BDSG:Conrad/Antoine , ITRB 2006, 90 ff.;
  52. 52 Siehe auch Einschätzung vonHeinson/Sörup/Wybitul , CR 2010, 751, 752.
  53. 53 Zum vorgeschriebenen Inhalt des § 33 Abs. 1 BDSG gehören die Benachrichtigung über die Speicherung, Art der Daten, Zweckbestimmung der Erhebung, Verarbeitung und Nutzung sowie die Identität der verantwortlichen Stelle.
  54. 54 Siehe oben 3.6.
  55. 55 Siehe m.w.N.Conrad , in: Schneider, Handbuch des EDV-Rechts, 4.Aufl. 2009, Kap. B.,IV.9., Rn. 607.
  56. 56 Siehe zur h.M.:Walz in: Simitis u.a., BDSG, 6. Aufl. 2006, § 1 Rn. 165;Gola/Wronka , a.a.O., S. 69; m.w.N.Conrad , in: Schneider, Handbuch des EDV-Rechts, 4.Aufl. 2009, Kap. B.,IV.8., Rn. 577; evtl. weniger restriktivBüllesbach in: Roßnagel, Handbuch Datenschutzrecht, 2003, S. 965.
  57. 57 Insb. müssen sie nur im Rahmen des Erforderlichen in das Recht auf informationelle Selbstbestimmung eingreifen und vorrangiges EU-Recht (z.B. Normen der Datenschutzrichtlinie 95/46/EG) wahren.
  58. 58 Zu den inhaltlichen Anforderungen an eine Betriebsvereinbarung in Bezug auf DLP-Systeme siehe auch «Gutachterliche Stellungnahme zur datenschutzrechtlichen Zulässigkeit des Einsatzes von Fujitsu LossPrevention Management System» des ULD, abrufbar unter:https://www.datenschutzzentrum.de/wirtschaft/lossprev.htm .
  59. 59 Zu denken wäre etwa an den Einsatz von DLP auf Einwilligungsbasis bei Führungskräften in besonders sensiblen Positionen.
  60. 60 Dieses Problem hat auch der Bundesrat gesehen und schlägt daher in seiner Stellungnahme vor, z.B. § 32i BDSG-E um eine klarstellende Regelung zu ergänzen, dass die Privatnutzung von TK-Diensten wie bisher auch durch entsprechende Betriebsvereinbarung geregelt werden kann, BR-Drs. 535-10, S. 25.
  61. 61 Siehe oben 3.6, 3.7.
  62. 62 Siehe § 90 BetrVG.