Ausblick: neuer Gesetzentwurf zum Beschäftigtendatenschutz sieht Ausnahme vor
Abhilfe verspricht nun der Entwurf des Bundesinnenministeriums vom 11. August 2010 zur Schaffung eines "Gesetzes zur Regelung des Beschäftigtendatenschutzes" (www.datenschutz-berater.de/pdf/Beschaeftigtendatenschutz_E_11082010.pdf), der nach verschiedenen Presseberichten noch diese Woche vom Bundeskabinett verabschiedet werden soll. Danach soll gemäß § 32i Abs. 4 BDSG-E auch bei privaten Daten im E-Mail-Postfach des Beschäftigten der Zugriff durch den Arbeitgeber zulässig sein, wenn der Beschäftigte hiervon weiß und es für den ordnungsgemäßen Geschäftsbetrieb unerlässlich ist.
- So schützen Sie Ihre Daten
Meistens sind es eigene Mitarbeiter oder Beschäftige von Partnerfirmen, die unternehmenskritische Daten mitgehen lassen. So können Sie sich davor schützen. - 1. Regeln für E-Mail-Kommunikation definieren:
Den Mitarbeitern muss klar sein, dass sie keine unternehmenskritischen Informationen über Web-Mail-Services oder andere ungesicherte Kanäle übertragen dürfen. Bei Bedarf sollten Unternehmen eine Data-Loss-Prevention-Lösung einsetzen. - 2. Datenverschlüsselung einsetzen:
Insbesondere Daten auf mobilen Rechnern und mobilen Speichermedien sollten grundsätzlich verschlüsselt werden, weil diese Geräte häufiger abhanden kommen. - 3. Starke Passwörter verwenden:
Die Zugangs-Codes zu Arbeitsplatzrechnern und Firmennetz sollten mindestens acht Zeichen sowie Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen wie $ oder % enthalten. Alle 45 bis 60 Tage sollten die Passwörter gewechselt werden. - 4. Regelmäßig Sicherheits-Audits durchführen:
Schwachstellen werden oft nur dann offenbar, wenn die internen IT-Sicherheitsmaßnahmen überprüft werden. Weil IT-Administratoren ungern selbst auf Lücken verweisen, sind externe Anbieter ratsam. - 5. IT-Sicherheits-Regelwerk erstellen und pflegen:
Wenn definiert wird, wer wann Zugang zu welchen Netzwerk-Segmenten, Anwendungen und Daten hat, lässt sich der Zugriff auf kritische Informationen, wie etwa Entwicklungsunterlagen, steuern, überwachen und nachvollziehen. - 6. Vertrauenswürdigkeit von Partnern prüfen:
Häufig benötigen Partner oder Lieferanten für ihre Dienste sensiblen Daten (Callcenter arbeitet mit Adressdaten). Im Zweifel sollten die externen Partner Sicherheitszertifizierungen etwa nach ISO 27000 nachweisen. - 7. System-Management konsequent umsetzen:
Benutzer-Accounts von Usern und Administratoren müssen sorgfältig gepflegt werden. Verlassen Mitarbeiter das Unternehmen, müssen Zugriffsrechte gelöscht werden. - 8. Auch Systemverwalter überwachen:
Geltende Compliance-Regeln und Datenschutzgesetze schreiben auch die Kontrolle des Administrators vor. - 9. Spezielle Sicherheitssysteme nutzen:
Data-Loss-Prevention-Systeme (DLP), Datenverschlüsselung sowie Lösungen, die den Zugang zu Daten und Systemen kontrollieren (Identity- und Access-Management), sind hilfreich. - 10. Die Gebäudesicherheit nicht vergessen:
Der Schutz vor Datenklau beginnt schon beim Zugang zum Firmengelände oder zu bestimmten Abteilungen. Lieferanten oder externe Mitarbeiter sollte nicht ohne Aufsicht in Abteilungen mit IT-Arbeitsplätze arbeiten.
Fazit
Die Reichweite des Fernmeldegeheimnisses ist bei der E-Mail Überwachung durch den Arbeitgeber auch wegen seiner strafrechtlichen Absicherung eine kritische Größe und in jedem Fall zu beachten. Wollen Arbeitgeber die Privatkommunikation über die betriebliche E-Mail-Adresse gestatten, haben diese sich bei der Überwachung in den Grenzen der Erlaubnisnormen des TKG zu bewegen und müssen dadurch auf weitgehende Kontrollen ihrer Beschäftigten verzichten. Abhilfe verspricht der neue Entwurf des Bundesinnenministeriums zum Beschäftigtendatenschutz: danach sollen Kontrollen insb. des E-Mail-Postfachs künftig möglich sein, wenn der Beschäftigte hiervon weiß und die Kontrolle für den ordnungsgemäßen Geschäftsbetrieb unerlässlich ist.
Der Autor Dr. Sebastian Kraska ist Rechtsanwalt und externer Datenschutzbeauftragter im IITR Institut für IT-Recht - Kraska GmbH. Der Autor Benjamin Schuetze ist Ass. iur. im IITR Institut für IT-Recht - Kraska GmbH.
Kontakt:
IITR Institut für IT-Recht - Kraska GmbH, Eschenrieder Straße 62c, 82194 Gröbenzell, Tel.: 089 5130392-0, E-Mail: skraska@iitr.de, Internet: www.iitr.de