Egal, um welchen Dienst es sich dreht, den Benutzern geht es immer zu langsam. Der Schwerpunkt des ADMIN-Magazins 05/2011 verrät, mit welchen Tools man ... (mehr)

Ausblick: Neues Gesetz geplant

Im August 2010 hat die Bundesregierung einen vieldiskutierten Gesetzesentwurf zum "Beschäftigtendatenschutz" auf den Weg gebracht. Danach soll das präventive Scannen von Daten ohne konkreten Tatverdacht per Gesetz erlaubt sein. Der Entwurf plant bei verbotener privater Nutzung, dem Arbeitgeber zu erlauben, Verkehrsdaten zu speichern, um Mitarbeiter zu kontrollieren, Vertragsverletzungen oder Straftaten präventiv zu verhindern oder aufzudecken. Das betrifft zum Teil Inhalte der Kommunikation, sofern keine schutzbedürftigen Interessen des Beschäftigten entgegenstehen, es sich etwa um private Inhalte handelt oder Gespräche mit dem Betriebsrat. Im Mai 2011 forderten die Justizminister der Länder und Sachverständige deutliche Verbesserungen. Unter anderem müssten Arbeitgeber die Beschäftigten verpflichtend informieren, welche Daten erhoben und gespeichert werden. Eine anlasslose Überwachung müsse dagegen ausgeschlossen werden.

Der Gesetzesentwurf wird zurzeit überarbeitet. Würde das Gesetz in dieser Form in Kraft treten, wäre dies ein Freifahrtschein für die Überwachung am Arbeitsplatz und in jedem Fall kein Gesetz zum Schutz der Arbeitnehmer. Der Entwurf würde vielmehr die Rechte von Arbeitgebern verbessern. Er hebelt nämlich einige der obersten Grundsätze des Datenschutzes aus, darunter beispielsweise die Zweckgebundenheit der gespeicherten Daten.

Als Fazit ergibt sich: Derzeit darf der Arbeitgeber den Netzwerkverkehr im Unternehmen nicht uneingeschränkt überwachen. Trotzdem muss er jedoch dafür sorgen, dass die Sicherheit seiner IT gewährleistet ist. Für die Fehlerbehebung im Netzwerk darf er kurzzeitig den Netzwerkverkehr mitschneiden. Die dabei erhobenen personenbezogenen Daten muss er jedoch nach der Fehlerbehebung sofort wieder löschen und darf sie insbesondere in keinem Fall für andere Zwecke nutzen.

Fragen an den Datenschützer

Wir fragten Marco Tessendorf, Geschäftsführer der procado Consulting, IT- & Medienservice GmbH in Berlin, der als Datenschutzbeauftragter für diverse Unternehmen tätig ist.

Darf man als Inhaber eines mittelständischen Unternehmens den Netzwerkverkehr uneingeschränkt überwachen?

Tessendorf: Auf gar keinen Fall ist eine uneingeschränkte Überwachung zulässig. Jedoch muss er den sicheren Betrieb seiner Infrastruktur gewährleisten können. § 9 BDSG schreibt dazu im Detail umzusetzende Kontrollziele vor, dazu gehört ggf. auch die Überwachung des Netzwerkverkehrs.

Muss ich die Daten anonymisieren? Muss ich vor einem Mitschnitt den Betriebsrat einbeziehen?

Tessendorf: Der interne Netzwerkmitschnitt weist in der Regel nur IP/MAC-Adressen aus, keine Benutzernamen. Ohne den zeitlichen Bezug zur Anmeldung eines Benutzers an einem Rechner sind die Rohdaten bereits quasi pseudonymisiert. Das heißt, eine erste Erhebung kann man auch ohne den Betriebsrat durchführen. Eine konkrete personenbezogene Auswertung sollte aber immer mit dem Betriebsrat und dem Datenschutzbeauftragten abgestimmt werden. Am besten sollte man die Netzwerküberwachung in einer Betriebsvereinbarung regeln, vor allem unter welchen Voraussetzungen eine Netzwerküberwachung erforderlich ist, wer Zugriff auf die erhobenen Daten hat, Speicherdauer der Aufzeichnungen, wie die sichere Aufbewahrung gewährleistet wird, welche arbeitsrechtlichen Konsequenzen bei festgestelltem Fehlverhalten eines Mitarbeiters zu ergreifen sind.

Betriebsrat einbeziehen

Sofern ein Betriebsrat vorhanden ist, ist dieser bei technischen Maßnahmen wie dem Mitschneiden des Netzwerkverkehrs darüber zu informieren und einzubeziehen. Nach § 75 Absatz 2 Betriebsverfassungsgesetz (BetrVG) sind Betriebsrat und Arbeitgeber verpflichtet, für die freie Entfaltung der Persönlichkeit der Arbeitnehmer zu sorgen. Dazu gehört, dass der Arbeitnehmer selbst bestimmen kann, was mit seinen Daten passiert – die sogenannte informationelle Selbstbestimmung. Der Betriebsrat ist nach § 80 Abs. 1 Nr. 1 BetrVG verpflichtet, den Arbeitnehmerdatenschutz durchzusetzen. Er ist mitbestimmungspflichtig bei der Protokollierung und Auswertung von Arbeitnehmerdaten, § 87 Abs. 1 Nr. 6 BetrVG, also bei jeglicher Einführung von technischen Einrichtungen zur Überwachung oder Kontrolle der Arbeitnehmer. Diese dürfen nicht die allgemeinen Persönlichkeitsrechte des Arbeitnehmers verletzen. Eine Betriebsvereinbarung sollte die Speicherung, deren Zweck und auch die Art und Weise sowie den Umfang der Auswertung von Protokolldateien eindeutig regeln, etwa Fragen wie: Zu welchem Zweck wird die Netzwerküberwachung durchgeführt (etwa zur Fehlerbehebung), wer hat Zugriff auf die Daten, wie lange werden diese gespeichert, was sind die Konsequenzen für Mitarbeiter, die dagegen verstoßen? Ferner kann darin die private Internetnutzung am Arbeitsplatz gestattet, verboten und/oder unter besondere Voraussetzungen gestellt werden.

Der Autor

Die Autorin ist Rechtsanwältin & Fachjournalistin für IT-Recht in Berlin. Sie veröffentlicht seit 1997 in zahlreichen anderen Medien zu Fragen des IT-Rechtes. Darüber hinaus referiert sie regelmäßig zu aktuellen Fragen des Internetrechtes, gibt Workshops zum Softwarelizenzrecht oder zur IT-Sicherheit und unterrichtet als Lehrbeauftragte für IT-Recht an der Beuth Hochschule für Technik, Berlin. Ihre Beratungsschwerpunkte sind das Softwarelizenz- und das Internetrecht, der Check von Webshops und Webseiten, das Urheber-, Vertrags- und Markenrecht sowie das Online-Marketing und Datenschutzfragen als auch internationales Privat- und Europarecht. Sie ist Mitglied in der Deutschen Vereinigung für Gewerblichen Rechtsschutz und Urheberrecht e.V. (GRUR), der Deutschen Gesellschaft für Recht und Informatik e.V. (DRGI) sowie im Deutschen Fachjournalistenverband.

comments powered by Disqus
Mehr zum Thema

Datenträger weitergeben: Was sagt das Gesetz dazu?

Wer unbedacht einen alten Rechner oder eine Festplatte weiterverkauft, kann durchaus mit dem Gesetz in Konflikt geraten. Zum Beispiel, weil er einen Datenschutzskandal verursacht. Aber wie stellt man sicher, dass weitergegebene Datenträger nicht mehr lesbar sind? Wie entsorgt man Datenträger datenschutzkonform? Seit Oktober 2012 gibt es eine neue DIN-Norm zum Thema.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019