Zulässigkeitsvoraussetzungen:
- Anlass für das Scannen muss ein konkretes Gefährdungspotential sein, also in erster Linie der Virenschutz sowie die Abwehr vergleichbarer Schadsoftware.
- Die Notwendigkeit sonstige Filtermaßnahmen (z. B. das URL-Filterung) rechtfertigen das Scannen nicht.
- Die Maßnahme muss erforderlich sein zur Gefahrenabwehr, z. B. um das Eindringen von Viren oder Schadsoftware zu verhindern.
- Möglichkeiten zu optionalen Ausnahmen, besonders sensible https-Verbindungen, etwa das Online-Banking, vom Scanvorgang auszunehmen, sind zu nutzen.
- Die Entschlüsselung, der Scanvorgang, die Virenfilterung und das erneute Verschlüsseln müssen in einem geschlossenen System ablaufen.
- Scanvorgang und Anti-Viren-Software arbeiten in einer Blackbox, führen also nicht zur Kenntnisnahme von Inhalten durch Administratoren oder sonstige Dritte.
Zusätzliche optionale Maßnahmen, welche die juristische Sicherheit erhöhen:
- deutliche Hinweise gegenüber dem Nutzer vor dem Scanvorgang,
- Einwilligung des Nutzers
-- schriftlich nach § 4a BDSG in Nutzungs- oder Betriebsvereinbarung
-- in elektronischer Form nach §§ 13 TMG, 94 TKG.