Datenschutz und Datensicherheit bei der betrieblichen Anwendung von E-Mail-Systemen
©2002
Diplomarbeit
99 Seiten
Zusammenfassung
Inhaltsangabe:Zusammenfassung:
Diese Arbeit untersucht, ob und in wie weit einzelne Personen durch die Benutzung von E-Mail-Systemen in ihren Persönlichkeitsrechten beeinträchtigt werden, und mit welchen technischen und organisatorischen Maßnahmen diese Beeinträchtigungen vermieden werden können.
Dazu werden zuerst die einschlägigen Gesetzeswerke auf entsprechende Regelungen untersucht. Anschließend werden die Anforderungen an E-Mail-Systeme aus Sicht der betrieblichen Anwendung konkretisiert. Danach werden die internationalen Normen und Empfehlungen, die die Übertragungsprotokolle für E-Mails festlegen, auf die Umsetzung der Anforderungen an Datenschutz und Datensicherheit hin untersucht.
Weiterhin werden die wesentlichen Softwareprodukte auf die Umsetzung der herausgearbeiteten Anforderungen hin überprüft, auch solche mit proprietären Protokollen. Nach einer Betrachtung der einzelnen Systeme einem operationalen Prüfschema, das die verschiedenen Anforderungsbereiche beschreibt und untersucht, wird modellhaft eine Security Policy beschrieben, für die Vorschläge zur entsprechenden Konfiguration der untersuchten E-Mail-Systeme entwickelt werden.
Inhaltsverzeichnis:Inhaltsverzeichnis:
1.ZIELSETZUNG UND VORGEHENSWEISE1
2.GESETZLICHER RAHMEN4
2.1BUNDESDATENSCHUTZGESETZ (BDSG)4
2.2EU - DATENSCHUTZRICHTLINIE5
2.3MULTIMEDIAGESETZE6
2.3.1Telekommunikationsgesetz (TKG)6
2.3.2Teledienstegesetz (TDG)7
2.3.3Teledienstedatenschutzgesetz (TDDSG)7
2.3.4Signaturgesetz (SigG)8
2.4KOLLEKTIVES ARBEITSRECHT9
3.AUS DEM RECHTLICHEN RAHMEN ABGELEITETE GRUNDSÄTZLICHE ANFORDERUNGEN11
3.1MAIL-SICHERHEIT11
3.2SICHERHEIT DER INHALTSDATEN GEGENÜBER DER ADMINISTRATION11
3.3ABSCHOTTUNG DER VERBINDUNGSDATEN11
3.4KONFIGURIERBARKEIT DER VERBINDUNGSPROTOKOLLIERUNG12
3.5AUTHENTIZITÄT VON EMAILS12
4.ANFORDERUNGEN BEI BETRIEBLICHEN ANWENDUNGEN13
4.1ORGANISATIONSMODELLE13
4.2INTERNE E-MAIL14
4.3EXTERNE E-MAIL14
4.4E-MAILS AUTOMATISCH UM- ODER WEITERLEITEN14
4.5PROTOKOLLIEREN VON EMPFANG UND VERSAND14
4.6ATTACHMENTS15
4.7VERSCHLÜSSELUNG UND SIGNATUREN15
5.E-MAIL -PROTOKOLLE17
5.1X.40017
5.2SIMPLE MAIL TRANSPORT PROTOCOL, RFC 82120
6.SCHEMA FÜR DIE DS - BEWERTUNG22
6.1GRUNDLEGENDE KONZEPTE DER BETRACHTETEN SOFTWARE22
6.2VERSAND VON MITTEILUNGEN22
6.3EMPFANG VON MITTEILUNGEN22
6.4SPEICHERUNG DER DATEN23
6.5SCHUTZ VOR UNBEFUGTEM ZUGRIFF23
6.6VERSCHLÜSSELUNG UND SIGNATUREN23
6.7PROTOKOLLIERUNG DER E-MAIL-AKTIVITÄTEN24
7.ANWENDUNG DES PRÜFSCHEMAS […]
Diese Arbeit untersucht, ob und in wie weit einzelne Personen durch die Benutzung von E-Mail-Systemen in ihren Persönlichkeitsrechten beeinträchtigt werden, und mit welchen technischen und organisatorischen Maßnahmen diese Beeinträchtigungen vermieden werden können.
Dazu werden zuerst die einschlägigen Gesetzeswerke auf entsprechende Regelungen untersucht. Anschließend werden die Anforderungen an E-Mail-Systeme aus Sicht der betrieblichen Anwendung konkretisiert. Danach werden die internationalen Normen und Empfehlungen, die die Übertragungsprotokolle für E-Mails festlegen, auf die Umsetzung der Anforderungen an Datenschutz und Datensicherheit hin untersucht.
Weiterhin werden die wesentlichen Softwareprodukte auf die Umsetzung der herausgearbeiteten Anforderungen hin überprüft, auch solche mit proprietären Protokollen. Nach einer Betrachtung der einzelnen Systeme einem operationalen Prüfschema, das die verschiedenen Anforderungsbereiche beschreibt und untersucht, wird modellhaft eine Security Policy beschrieben, für die Vorschläge zur entsprechenden Konfiguration der untersuchten E-Mail-Systeme entwickelt werden.
Inhaltsverzeichnis:Inhaltsverzeichnis:
1.ZIELSETZUNG UND VORGEHENSWEISE1
2.GESETZLICHER RAHMEN4
2.1BUNDESDATENSCHUTZGESETZ (BDSG)4
2.2EU - DATENSCHUTZRICHTLINIE5
2.3MULTIMEDIAGESETZE6
2.3.1Telekommunikationsgesetz (TKG)6
2.3.2Teledienstegesetz (TDG)7
2.3.3Teledienstedatenschutzgesetz (TDDSG)7
2.3.4Signaturgesetz (SigG)8
2.4KOLLEKTIVES ARBEITSRECHT9
3.AUS DEM RECHTLICHEN RAHMEN ABGELEITETE GRUNDSÄTZLICHE ANFORDERUNGEN11
3.1MAIL-SICHERHEIT11
3.2SICHERHEIT DER INHALTSDATEN GEGENÜBER DER ADMINISTRATION11
3.3ABSCHOTTUNG DER VERBINDUNGSDATEN11
3.4KONFIGURIERBARKEIT DER VERBINDUNGSPROTOKOLLIERUNG12
3.5AUTHENTIZITÄT VON EMAILS12
4.ANFORDERUNGEN BEI BETRIEBLICHEN ANWENDUNGEN13
4.1ORGANISATIONSMODELLE13
4.2INTERNE E-MAIL14
4.3EXTERNE E-MAIL14
4.4E-MAILS AUTOMATISCH UM- ODER WEITERLEITEN14
4.5PROTOKOLLIEREN VON EMPFANG UND VERSAND14
4.6ATTACHMENTS15
4.7VERSCHLÜSSELUNG UND SIGNATUREN15
5.E-MAIL -PROTOKOLLE17
5.1X.40017
5.2SIMPLE MAIL TRANSPORT PROTOCOL, RFC 82120
6.SCHEMA FÜR DIE DS - BEWERTUNG22
6.1GRUNDLEGENDE KONZEPTE DER BETRACHTETEN SOFTWARE22
6.2VERSAND VON MITTEILUNGEN22
6.3EMPFANG VON MITTEILUNGEN22
6.4SPEICHERUNG DER DATEN23
6.5SCHUTZ VOR UNBEFUGTEM ZUGRIFF23
6.6VERSCHLÜSSELUNG UND SIGNATUREN23
6.7PROTOKOLLIERUNG DER E-MAIL-AKTIVITÄTEN24
7.ANWENDUNG DES PRÜFSCHEMAS […]
Leseprobe
Inhaltsverzeichnis
ID 6765
Kavemann, Gunnar: Datenschutz und Datensicherheit bei der betrieblichen Anwendung
von E-Mail-Systemen
Hamburg: Diplomica GmbH, 2003
Zugl.: Bremen, Universität, Diplomarbeit, 2002
Dieses Werk ist urheberrechtlich geschützt. Die dadurch begründeten Rechte,
insbesondere die der Übersetzung, des Nachdrucks, des Vortrags, der Entnahme von
Abbildungen und Tabellen, der Funksendung, der Mikroverfilmung oder der
Vervielfältigung auf anderen Wegen und der Speicherung in Datenverarbeitungsanlagen,
bleiben, auch bei nur auszugsweiser Verwertung, vorbehalten. Eine Vervielfältigung
dieses Werkes oder von Teilen dieses Werkes ist auch im Einzelfall nur in den Grenzen
der gesetzlichen Bestimmungen des Urheberrechtsgesetzes der Bundesrepublik
Deutschland in der jeweils geltenden Fassung zulässig. Sie ist grundsätzlich
vergütungspflichtig. Zuwiderhandlungen unterliegen den Strafbestimmungen des
Urheberrechtes.
Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in
diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme,
dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei
zu betrachten wären und daher von jedermann benutzt werden dürften.
Die Informationen in diesem Werk wurden mit Sorgfalt erarbeitet. Dennoch können
Fehler nicht vollständig ausgeschlossen werden, und die Diplomarbeiten Agentur, die
Autoren oder Übersetzer übernehmen keine juristische Verantwortung oder irgendeine
Haftung für evtl. verbliebene fehlerhafte Angaben und deren Folgen.
Diplomica GmbH
http://www.diplom.de, Hamburg 2003
Printed in Germany
I
1. ZIELSETZUNG UND VORGEHENSWEISE ... 1
2. GESETZLICHER RAHMEN ... 4
2.1. B
UNDESDATENSCHUTZGESETZ
(BDSG) ... 4
2.2. EU - D
ATENSCHUTZRICHTLINIE
... 5
2.3. M
ULTIMEDIAGESETZE
... 6
2.3.1. Telekommunikationsgesetz (TKG) ... 6
2.3.2. Teledienstegesetz (TDG)... 7
2.3.3. Teledienstedatenschutzgesetz (TDDSG) ... 7
2.3.4. Signaturgesetz (SigG)... 8
2.4. K
OLLEKTIVES
A
RBEITSRECHT
... 9
3. AUS DEM RECHTLICHEN RAHMEN ABGELEITETE GRUNDSÄTZLICHE
ANFORDERUNGEN... 11
3.1. M
AIL
-S
ICHERHEIT
... 11
3.2. S
ICHERHEIT DER
I
NHALTSDATEN GEGENÜBER DER
A
DMINISTRATION
... 11
3.3. A
BSCHOTTUNG DER
V
ERBINDUNGSDATEN
... 11
3.4. K
ONFIGURIERBARKEIT DER
V
ERBINDUNGSPROTOKOLLIERUNG
... 12
3.5. A
UTHENTIZITÄT VON
E
MAILS
... 12
4. ANFORDERUNGEN BEI BETRIEBLICHEN ANWENDUNGEN ... 13
4.1. O
RGANISATIONSMODELLE
... 13
4.2. I
NTERNE
E-M
AIL
... 14
4.3. E
XTERNE
E-M
AIL
... 14
4.4. E-M
AILS AUTOMATISCH UM
-
ODER WEITERLEITEN
... 14
4.5. P
ROTOKOLLIEREN VON
E
MPFANG UND
V
ERSAND
... 14
4.6. A
TTACHMENTS
... 15
4.7. V
ERSCHLÜSSELUNG UND
S
IGNATUREN
... 15
5. E-MAIL -PROTOKOLLE ... 17
5.1. X.400 ... 17
5.2. S
IMPLE
M
AIL
T
RANSPORT
P
ROTOCOL
, RFC 821... 20
6. SCHEMA FÜR DIE DS - BEWERTUNG ... 22
6.1. G
RUNDLEGENDE
K
ONZEPTE DER BETRACHTETEN
S
OFTWARE
... 22
6.2. V
ERSAND VON
M
ITTEILUNGEN
... 22
6.3. E
MPFANG VON
M
ITTEILUNGEN
... 22
6.4. S
PEICHERUNG DER
D
ATEN
... 23
6.5. S
CHUTZ VOR UNBEFUGTEM
Z
UGRIFF
... 23
6.6. V
ERSCHLÜSSELUNG UND
S
IGNATUREN
... 23
II
6.7. P
ROTOKOLLIERUNG DER
E-M
AIL
-A
KTIVITÄTEN
... 24
7. ANWENDUNG DES PRÜFSCHEMAS AUF AUSGEWÄHLTE
SOFTWAREPRODUKTE... 25
7.1. L
OTUS
N
OTES
/ D
OMINO
S
ERVER
... 25
7.1.1. Grundlegende Konzepte von Notes / Domino ... 25
7.1.2. Versand von Mitteilungen... 26
7.1.3. Empfang von Mitteilungen... 28
7.1.4. Speicherung der Daten ... 29
7.1.5. Schutz vor unbefugtem Zugriff ... 29
7.1.6. Verschlüsselung ... 30
7.1.7. Protokollierung der E-Mail-Aktivitäten... 33
7.2. E
XCHANGE
S
ERVER
5.5... 35
7.2.1. Grundlegende Konzepte ... 35
7.2.2. Versand von Mitteilungen... 36
7.2.3. Empfang von Mitteilungen... 38
7.2.4. Speicherung der Daten ... 41
7.2.5. Schutz vor unbefugtem Zugriff ... 42
7.2.6. Verschlüsselung ... 46
7.2.7. Protokollierung der E-Mail-Aktivitäten... 48
7.3. E-M
AIL
-T
RANSPORT MIT
I
NTERNET
-S
TANDARDS
... 52
7.3.1. Grundlegende Konzepte der betrachteten Software... 52
7.3.2. Versand von Mitteilungen... 56
7.3.3. Empfang von Mitteilungen... 56
7.3.4. Speicherung der Daten ... 60
7.3.5. Schutz vor unbefugtem Zugriff ... 60
7.3.6. Verschlüsselung ... 60
7.3.7. Protokollierung der E-Mail-Aktivitäten... 63
8. SECURITY POLICIES... 66
8.1. B
EISPIEL EINER
S
ECURITY
P
OLICY
: ... 66
8.1.1. Private Nutzung ist gestattet. ... 66
8.1.2. Institutionelle E-Mails: Die E-Mails werden bei Eingang geprüft und ggf. an die
Abteilungen oder Sachbearbeiter weiterverteilt. ... 67
8.1.3. Vertretungsregelung: Sämtliche an das persönliche Postfach adressierten E-
Mails werden an die Absender mit einem entsprechenden Hinweis und der
Angabe er E-Mail-Adresse der Vertretung zurückgeschickt. ... 67
8.1.4. Beim dienstlich erforderlichen Zugriff auf fremde dienstliche Postfächer werden
die Besitzer der Postfächer und der ggf. Betriebsrat informiert... 68
8.1.5. Protokolldateien der E-Mail-Systeme, werden nicht länger als nötig, maximal 14
Tage, nach dem FIFO-Prinzip gespeichert... 68
8.1.6. Der Zugriff auf die Verbindungsdaten durch die Administratoren muss
protokolliert werden... 68
8.1.7. Zugriffe auf die Postfächer zu Zwecken der Administration dürfen nur
protokolliert erfolgen. ... 68
8.1.8. Variante der Security Policy:... 69
8.1.9. Private Postfächer per Webmail... 69
8.2. U
MSETZUNG DER
S
ECURITY
P
OLICY MIT
L
OTUS
N
OTES
/ D
OMINO
... 71
III
8.2.1. Institutionelle Postfächer: Die E-Mails werden bei Eingang geprüft und ggf. an
die Abteilungen oder Sachbearbeiter weiterverteilt. ... 71
8.2.2. Vertretungsregelung: Sämtliche an das persönliche Postfach adressierten E-
Mails werden an die Absender mit einem entsprechenden Hinweis und der
Angabe er E-Mail-Adresse der Vertretung zurückgeschickt. ... 71
8.2.3. Dienstlich erforderlicher Zugriff auf fremde dienstliche Postfächer... 73
8.2.4. Protokolldateien der E-Mail-Systeme, werden nicht länger als nötig, maximal 14
Tage, nach dem FIFO-Prinzip gespeichert... 74
8.2.5. Der Zugriff auf die Verbindungsdaten durch die Administratoren muss
protokolliert werden... 74
8.2.6. Zugriffe auf die Postfächer zu Zwecken der Administration dürfen nur
protokolliert erfolgen. ... 74
8.3. U
MSETZUNG DER
S
ECURITY
P
OLICY MIT
E
XCHANGE
... 75
8.3.1. Institutionelle Postfächer: Die E-Mails werden bei Eingang geprüft und ggf. an
die Abteilungen oder Sachbearbeiter weiterverteilt. ... 75
8.3.2. Vertretungsregelung: Sämtliche an das persönliche Postfach adressierten E-
Mails werden an die Absender mit einem entsprechenden Hinweis und der
Angabe er E-Mail-Adresse der Vertretung zurückgeschickt. ... 75
8.3.3. Dienstlich erforderlicher Zugriff auf fremde dienstliche Postfächer... 76
8.3.4. Protokolldateien der E-Mail-Systeme, werden nicht länger als nötig, maximal 14
Tage, nach dem FIFO-Prinzip gespeichert... 77
8.3.5. Der Zugriff auf die Verbindungsdaten durch die Administratoren muss
protokolliert werden... 78
8.3.6. Zugriffe auf die Postfächer zu Zwecken der Administration dürfen nur
protokolliert erfolgen. ... 78
8.4. U
MSETZUNG DER
S
ECURITY
P
OLICY MIT
I
NTERNETPROTOKOLLEN
... 79
8.4.1. Institutionelle Postfächer: Die E-Mails werden bei Eingang geprüft und ggf. an
die Abteilungen oder Sachbearbeiter weiterverteilt. ... 79
8.4.2. Vertretungsregelung: Sämtliche an das persönliche Postfach adressierten E-
Mails werden an die Absender mit einem entsprechenden Hinweis und der
Angabe er E-Mail-Adresse der Vertretung zurückgeschickt. ... 80
8.4.3. Dienstlich erforderlicher Zugriff auf fremde dienstliche Postfächer... 80
8.4.4. Protokolldateien der E-Mail-Systeme, werden nicht länger als nötig, maximal 14
Tage, nach dem FIFO-Prinzip gespeichert... 80
8.4.5. Der Zugriff auf die Verbindungsdaten durch die Administratoren muss
protokolliert werden... 80
8.4.6. Zugriffe auf die Postfächer zu Zwecken der Administration dürfen nur
protokolliert erfolgen. ... 81
GLOSSAR ... 82
ABBILDUNGSVERZEICHNIS ... 90
LITERATURVERZEICHNIS ... 92
Zielsetzung und Vorgehensweise
1
1. Zielsetzung und Vorgehensweise
Durch die inzwischen flächendeckende Einführung von vernetzten Computern am
Arbeitsplatz ist auch das Verschicken und Empfangen von elektronischen Nachrichten
und Mitteilungen schon in vielen Arbeitsbereichen alltäglich geworden.
Ihren papierenen Vorgängern gegenüber haben die elektronischen Mitteilungen viele
Vorteile:
Der `mechanische' Transport entfällt. Große Entfernungen spielen für die schnelle
Übermittlung keine wesentliche Rolle mehr.
Vorausgesetzt die Netzwerkverbindung funktioniert, erreichen diese Mitteilungen den
Adressaten, beziehungsweise dessen elektronischen Postkasten, quasi sofort nachdem
sie abgeschickt wurden.
Eine automatisierte Behandlung der Mitteilungen ist leicht zu vollziehen:
Sortieren, Kopieren, Ergänzen, Verändern, Umleiten oder an mehrere weitere Emp-
fänger weiterleiten ist problemlos möglich.
Aber aus Sicht der Sozialverträglichkeit und aus gesetzlicher Sicht existieren auch
Probleme:
Die elektronischen Mitteilungen entsprechen in ihrer Art eher einer Postkarte als ei-
nem Brief. Auf dem Weg vom Sender zum Empfänger können die Mitteilungen viele
Rechnersysteme durchlaufen. An jedem dieser Systeme können Personen alle durch-
laufende Post in Augenschein nehmen, ohne dass diese Tatsache im Nachhinein er-
kennbar ist.
Es ist möglich, diese Mitteilungen, ohne Spuren zu hinterlassen, zu verändern.
·
Absender- und Empfängeradresse können gefälscht oder verändert werden.
·
Es kann von jemand anderem vorgetäuscht werden, der rechtmäßige Empfänger
zu sein.
·
Die E-Mail-Systeme versehen die Mitteilungen unter anderem mit Zeitstempeln
für Absende- und Empfangszeitpunkt. Werden diese Daten gesammelt und aus-
gewertet, eignen sie sich zur Erstellung von Verhaltens- und Leistungsprofilen.
Wenn E-Mail-Inhalte oder die zugehörigen Verbindungsdaten kontrolliert werden,
ist dies ein Eingriff in die Grundrechte der Absender und Empfänger der E-Mails.
Im Bereich der betrieblichen E-Mail prallen die Interessen der Arbeitgeber und Ar-
beitnehmer aufeinander:
Besteht erst einmal die Möglichkeit, von den Arbeitsplätzen E-Mails zu verschicken,
haben die Arbeitgeber in der Regel ein Interesse an ihrer Kontrolle. Motivation hierfür
ist zum einen die Befürchtung, dass auf diesem Wege unberechtigterweise Geschäfts-
geheimnisse weitergegeben werden könnten. Zum anderen können Viren in das Fir-
mennetzwerk gelangen. Außerdem könnte durch eine übermäßige unberechtigte Nut-
zung der E-Mail-Systeme die EDV-Infrastruktur der Unternehmen überlastet und zu-
sätzlich, unter anderem durch die dadurch verbrauchte Arbeitszeit, erhebliche Kosten
verursacht werden. Weiterhin soll so die angemessene Bearbeitung geschäftlich rele-
vanter E-Mail sichergestellt werden. Dies besonders auch, weil in zunehmendem Un-
fang auch komplexere Geschäftsprozesse über die E-Mail-Systeme abgewickelt wer-
den.
Zielsetzung und Vorgehensweise
2
Die Arbeitnehmer auf der anderen Seite haben ein großes Interesse am Schutz vor
einem Zugriff auf die E-Mails und anfallenden Verbindungsdaten, da diese für Zwe-
cke individueller Leistungs- und Verhaltenskontrollen verwendet werden können, und
die möglicherweise daraus erwachsenden Konsequenzen nicht einfach abschätzbar
sind. Zudem ist jede Kontrolle von E-Mail ein Eingriff in die Persönlichkeitsrechte,
die Arbeitnehmerseite ist daher sehr an einer Regelung interessiert, zumal hier weit-
gehende Mitbestimmungsrechte bestehen.
Durch entsprechende Gesetzgebung, durch Schaffung beziehungsweise Einarbeitung
in die relevanten Normen und durch entsprechende Implementierungen in der Soft-
ware wird versucht, die bekannten Gefährdungspotentiale und andere Risiken auszu-
schließen oder wenigstens zu minimieren. Wo dies nicht oder nicht vollständig gelun-
gen ist, muss durch entsprechende weiterführende Regelungen, zum Beispiel Be-
triebsvereinbarungen und Arbeitsverträge, sichergestellt werden, dass weder Arbeit-
nehmer noch Arbeitgeber unzumutbar in ihren Belangen und Rechten beeinträchtigt
werden und das Fernmeldegeheimnis gewahrt wird.
Folgende wesentliche Erwartungen werden bei der Einführung an ein E-Mail-System
gestellt
·
Die Mitteilungen sollen schnell und zuverlässig verschickt werden können.
·
Die Mitteilung soll den rechtmäßigen Adressaten sicher erreichen.
·
Der Absender und Empfänger soll zweifelsfrei feststellbar sein.
·
Der Inhalt soll nicht nachträglich unbemerkt verändert werden können.
·
Unbefugte, wie zum Beispiel die Systemadministratoren, sollen keine Kenntnis
vom Inhalt der Mitteilungen erlangen können.
·
Die Zustellung soll dokumentiert werden können (Absende- und Empfangs- Quit-
tungen).
·
Die Verbindungsprotokolle sollen auf das unbedingt erforderliche Maß beschränkt
und besonders gesichert werden.
·
Bei Abwesenheit der Adressaten soll die Mitteilung an Vertreter weitergeleitet
werden können.
·
Arbeitsabläufe sollen durch automatische Verteilung und Weiterleitung effizienter
werden bei gleichzeitiger Vermeidung von systemgestützter Leistungs- und Ver-
haltenskontrolle.
Bei allen Betrachtungen muss unterschieden werden, in welchem Kontext der Aus-
tausch der E-Mails erfolgt: ausschließlich innerbetrieblich und lokal, also im LAN, im
Unternehmensnetz, das sich über verschieden Standorte erstreckt - WAN - oder auch
mit Teilnehmern außerhalb des Unternehmens.
Ziel der Arbeit ist es, aufzuzeigen, ob und in wie weit einzelne Personen durch die
Benutzung von E-Mail-Systemen in ihren Persönlichkeitsrechten beeinträchtigt wer-
den, und mit welchen technischen und organisatorischen Maßnahmen diese Beein-
trächtigungen vermieden werden können. Technische Maßnahmen werden dabei so-
wohl im Bereich der Konfigurierbarkeit marktgängiger E-Mail-Systeme und ihrer
Zusatzmodule gesehen, als auch auf der Grundlage von Anforderungen an gegebenen-
falls noch zu programmierende zusätzliche Funktionen.
Zielsetzung und Vorgehensweise
3
Zunächst werden die einschlägigen Gesetzeswerke auf entsprechende Regelungen
untersucht. Dabei werden sowohl die allgemeinen Datenschutzregelungen des Bun-
desdatenschutzgesetzes, BDSG, als auch die speziell auf die Telekommunikation ab-
zielenden Regelungen des Informations- und Telekommunikationsdienstegesetzes,
IuKDG, berücksichtigt. Da in den Unternehmen auch die datenschutzrelevanten Rege-
lungen des Betriebsverfassungsgesetzes, BetrVG und im öffentlichen Bereich die des
Personalvertretungsgesetzes, PVG, berührt sind, werden auch die wesentlichen Rege-
lungen dieser Normen einbezogen.
Anschließend werden die Anforderungen an E-Mail-Systeme aus Sicht der betriebli-
chen Anwendung konkretisiert. Hierbei werden nicht nur die Erfordernisse der be-
trieblichen Organisation sondern auch die den Datenschutz und die Datensicherheit
betreffenden Aspekte, die sowohl für die Arbeitnehmer wie auch die Arbeitgeber rele-
vant sind, behandelt.
Danach werden die internationalen Normen und Empfehlungen, die die Übertra-
gungsprotokolle für E-Mails festlegen, auf die Umsetzung der Anforderungen an Da-
tenschutz und Datensicherheit hin untersucht. Die Möglichkeiten der Umgehung des
Datenschutzes, beziehungsweise der Verletzung der Persönlichkeitsrechte einzelner,
zum Beispiel durch die mit einer ausführlichen Übermittlungsprotokollierung mögli-
che Verhaltenskontrolle, werden dabei ebenso betrachtet, wie die Schaffung einer
durch Verschlüsselung und digitalen Signatur gesicherten und vertraulichen Übermitt-
lung von E-Mails.
Weiterhin werden im Hauptschwerpunkt der Arbeit die wesentlichen Softwareproduk-
te auf die Umsetzung der herausgearbeiteten Anforderungen hin überprüft, auch sol-
che mit proprietären Protokollen. Nach einer Betrachtung der einzelnen Systeme mit
Hilfe eines operationalen Prüfschemas, das die verschiedenen Anforderungsbereiche
beschreibt und untersucht, wird modellhaft eine Beispiel Security Policy beschrieben,
für die Vorschläge zur entsprechenden Konfiguration der hier untersuchten Systeme
entwickelt werden.
Soweit bei den untersuchten Systemen als erforderlich erachtete Funktionen nicht
verfügbar sind, werden diese abschließend grob spezifiziert.
Gesetzlicher Rahmen
4
2. Gesetzlicher Rahmen
Für den Umgang mit Kommunikations- und Informationstechnologie in Betrieben
gibt es im Allgemeinen kaum ausdrückliche, auf die betriebliche Situation abgestellte
Datenschutz- und arbeitsrechtlichen Regelungen. Dies gilt auch für die Verwendung
von E-Mail-Systemen. Auch die Verabschiedung der ,,Multimediagesetze" und deren
Novellierung hat daran nichts Wesentliches geändert.
Ob und wie E-Mail-Systeme im Betrieb genutzt werden dürfen und die sich daraus
ergebenden Rechte und Pflichten werden daher durch Arbeitsverträge, Betriebsver-
einbarungen und betriebliche Organisationsrichtlilien festgelegt. Fehlen diese, so muss
auf die allgemeinen Grundsätze des Arbeitsvertrags- und Betriebsverfassungsrechts
zurückgegriffen werden. Bei sehr restriktiver Auslegung ist danach, wenn der Arbeit-
geber dies nicht ausdrücklich erlaubt oder durch konkludentes Handeln duldet, eine
aktive private Nutzung der betrieblichen DV nicht gestattet.
1
Bei der Kontrolle der E-Mail durch den Arbeitgeber entsteht in jedem Fall, unabhän-
gig davon ob es sich um dienstliche, dienstlich veranlasste, oder erlaubte private Nut-
zung handelt, ein Konflikt zwischen dem begründeten Interesse des Arbeitgebers am
Schutz vor Missbrauch und Nachvollziehbarkeit von Geschäftsprozessen auf der ei-
nen, und der Wahrung der Persönlichkeitsrechte der Arbeitnehmer auf der anderen
Seite. Dies insbesondere deshalb, weil E-Mail-Systeme immer auch die Möglichkeit
bieten, das Benutzungsverhalten aufzuzeichnen.
2.1. Bundesdatenschutzgesetz (BDSG)
Im BDSG, das zuletzt durch das Gesetz zur Änderung des Bundesdatenschutzgesetzes
und anderer Gesetze vom 18. Mai 2001 geändert wurde, wird zwischen öffentlichen
und nichtöffentlichen Stellen unterschieden. Für beide Bereiche gelten unterschiedli-
che Regelungen.
Private Firmen sind dem nichtöffentlichen Bereich nach § 2, Abs. 4 ,,natürliche und
juristische Personen des privaten Rechts", die nicht unter die in Abs. 1 bis 3 definier-
ten ,,öffentlichen Stellen" fallen und keine hoheitlichen Aufgaben wahrnehmen, zuzu-
ordnen.
Personenbezogene Daten sind nach § 3, Abs.1 alle Daten, die sich auf eine bestimmte
oder bestimmbare natürliche Person beziehen. System-Logdateien von E-Mail-
Systemen sind stets den einzelnen Nutzern zuzuordnen. Deshalb handelt es sich hier-
bei um personenbezogene Daten im Sinne des Gesetzes.
2
Das umfasst nicht nur die
sogenannten Bestands- und Verbindungsdaten, sondern auch die Inhalte der E-Mails.
3
Wenn Daten erhoben und verarbeitet werden, muss dies nach § 3a immer den Prinzi-
pien von Datenvermeidung und Datensparsamkeit entsprechend erfolgen. Die Syste-
me sollen so konzipiert sein, dass sie nur die unbedingt erforderlichen Daten erfassen,
und diese dann auch nur so lange speichern, wie es zur Erfüllung des Zweckes not-
wendig ist.
1
Schaub, Arbeitsrechthandbuch, 8. Aufl. 1997, § 57 II. 4.
2
Raffler/Hellich, NZA 1997, S. 862
3
Vgl. Raffler/Hellich, NZA 1997, S. 864
Gesetzlicher Rahmen
5
Die Verarbeitung personenbezogener Daten nach § 4, Abs.1 ,,nur zulässig, wenn die-
ses Gesetz oder eine andere Rechtsvorschrift sie erlaubt oder anordnet oder soweit der
Betroffene eingewilligt hat".
Für den nichtöffentlichen Bereich regelt der § 28, wann die Verarbeitung personenbe-
zogener Daten zulässig ist. Danach ist die Speicherung, Veränderung und Übermitt-
lung zulässig, wenn sie im Rahmen eines Vertragsverhältnisses oder eines vertrags-
ähnlichen Vertrauensverhältnisses mit dem Betroffenen erfolgt, (§ 28, Abs.1,1) oder
sie zur Wahrung berechtigter Interessen der speichernden Stelle erforderlich ist und
kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der Betroffe-
nen an dem Ausschluss der Verarbeitung oder Nutzung offensichtlich überwiegt
(§ 28, Abs.1,2).
Arbeitsverträge und Betriebsvereinbarungen sind zwar Vertragsverhältnisse im Sinn
des § 28, nach denen die Verarbeitung personenbezogener Daten zulässig ist, jedoch
muss auch hier die Verhältnismäßigkeit und der Schutz der Persönlichkeitsrechte des
Arbeitnehmers gegenüber dem Interesse des Arbeitgebers an der Verarbeitung perso-
nenbezogener Daten abgewogen werden.
4
Die Schutzbestimmungen des BDSG können durch ,,andere Rechtsvorschriften" über-
lagert werden. Nach einer Entscheidung des BAG sind Betriebsvereinbarungen als
solche ,,andere Rechtsvorschriften" im Sinn des § 4 BDSG, die die Verarbeitung per-
sonenbezogener Daten regeln können, anzusehen.
5
Solche Betriebsvereinbarungen
unterliegen den Beschränkungen des § 75 BetrVG, Abs. 2 und müssen die Wahrung
der Persönlichkeitsrechte der Arbeitnehmer sicherstellen. Unabhängig davon wird im
§ 4 d, Abs. 5 BDSG festgelegt, dass wenn Daten erhoben werden, die der Leistungs-
und Verhaltenskontrolle dienen können, bereits vor Beginn des Betriebes eine Vorab-
kontrolle durch den betrieblichen Beauftragten für den Datenschutz durchzuführen ist.
Ein weiterer wichtiger Aspekt ist die Anwendung des Gesetzes auf interne E-Mail.
Werden Daten zwischen unselbstständigen Teilen eines Unternehmens getauscht, oder
werden betriebliche E-Mails zum oder vom Betriebsrat übertragen, so wird dies wie
eine Aktenweitergabe von Büro zum Nachbarbüro gewertet.
6
Der Empfänger ist kein
Dritter im Sinne des § 3, Abs.9; Der Datenaustausch unterliegt nicht den Bestimmun-
gen des BDSG. Unabhängig davon unterliegen Daten, die vom oder zum Betriebs-
oder Personalrat geschickt werden, dem besonderen Schutz des BetrVG.
Werden E-Mails von einer Unternehmenstochter zu einer anderen übermittelt, gelan-
gen sie ,,nach außerhalb". In diesem Fall besteht zum Schutz der Betroffenen ein Er-
laubnisvorbehalt. Außerdem ist der Arbeitgeber gemäß § 9 verpflichtet, durch ent-
sprechende organisatorische und technische Maßnahmen, Datenschutz und Datensi-
cherheit zu gewährleisten.
2.2. EU - Datenschutzrichtlinie
Die Richtlinie 95/46/EG
7
zum Schutz natürlicher Personen bei der Verarbeitung per-
sonenbezogener Daten und zum freien Datenverkehr wurde am 24. 10. 1995 verab-
schiedet und sollte innerhalb von drei Jahren in nationales Recht umgesetzt werden.
4
Vgl. Däubler/Klebe/Wedde, BDSG Kommentar, § 28 Rn.. 29 ff
5
BAG Beschluss vom 27.5.1986, SAE 1989, S. 283
6
Vgl. Däubler/Klebe/Wedde, BDSG Kommentar, § 15 Rn. 20
7
Amtsblatt der EG vom 23.11.1995, L 281/31
Gesetzlicher Rahmen
6
Der Artikel 1 hebt ausdrücklich den Schutz der Privatsphäre natürlicher Personen her-
vor. Der Begriff ,,personenbezogene Daten" wird im Art. 2 identisch zum BDSG de-
finiert, der Begriff ,,Verarbeitung" jedoch wesentlich weiter, nämlich als ,,jede Vor-
gangsreihe im Zusammenhang mit personenbezogenen Daten" definiert. Damit wird
jeder Schritt von der Erhebung über die Nutzung bis zur Weitergabe abgedeckt. Die
Verarbeitung personenbezogener Daten ist nach Art. 7 ohne Einwilligung der Betrof-
fenen nur möglich, wenn sie zur Verwirklichung eines berechtigten Interesses erfor-
derlich ist. Das heißt, dass auch die Daten über den Nutzer nur unter Vorbehalt verar-
beitet werden dürfen. Dabei muss bei der Güterabwägung das Interesse dem grund-
rechtlichen Schutz der Person vorgehen.
Nach Art. 12 haben die Betroffenen ein Recht auf Auskunft über sie betreffende ver-
arbeitete Daten. Art. 14 bewirkt, dass nach einem berechtigten Widerspruch, der Ver-
antwortliche, das ist im Fall der betrieblichen E-Mail der Arbeitgeber, diese Daten
nicht verwenden darf. Aus unberechtigt kontrollierten E-Mails können also keine ar-
beitsrechtlichen Konsequenzen erwachsen.
2.3. Multimediagesetze
2.3.1. Telekommunikationsgesetz (TKG)
Grundsätzlich fallen betriebsintern versandte E-Mails nicht in den sachlichen Anwen-
dungsbereich des TKG. Es soll den Wettbewerb fördern, flächendeckende angemes-
sene und ausreichende Dienstleistungen gewährleisten und schließlich eine Frequenz-
ordnung festlegen (§ 1). Die Regelungen dienen der grundsätzlichen Ausgestaltung
der Telekommunikationsnetze als Infrastruktur.
Einzelne Regelungen des TKG sind jedoch auf das in dieser Arbeit betrachtete Ver-
hältnis Arbeitgeber Arbeitnehmer bei der Nutzung betrieblicher E-Mail anwendbar.
Im 11. Teil sind Regelungen zu Fernmeldegeheimnis, Datenschutz und technischen
Schutzmaßnahmen enthalten. So stellt der § 85 einzelne Datenverbindungen unter den
Schutz des Fernmeldegeheimnisses. Nach § 85 Abs. 2 ist, wer geschäftsmäßig Tele-
kommunikationsdienste erbringt oder daran mitwirkt, verpflichtet, das Fernmeldege-
heimnis zu wahren. § 85 greift die Regelungen des § 10 FAG auf, wonach alle Ver-
bindungsdaten, die Auskunft über die am E-Mail-Austausch beteiligten oder deren
Versuch geben können, dem Fernmeldegeheimnis unterliegen.
Das Kriterium geschäftsmäßiger Erbringung von Telekommunikationsdienstleistun-
gen erfüllt ein Arbeitgeber schon, wenn er seinen Angestellten die Möglichkeit zum
privaten Empfangen und Versenden von E-Mails gibt. Es ist nämlich nicht erforder-
lich, dass er mit Gewinnerzielungsabsicht handelt, das nachhaltige Angebot von Tele-
kommunikationsmöglichkeiten für Dritte, in diesem Fall die Bereitstellung des Be-
triebsnetzwerkes, erfüllt schon die Voraussetzung, wenn der Arbeitgeber nicht die
ausschließliche dienstliche Nutzung der betrieblichen DV-Infrastruktur durch techni-
sche und organisatorische Maßnahmen erzwingt
8
.
Der mit § 85 korrespondierende § 87 stellt Forderungen für angemessene technische
Vorkehrungen zum Schutz der personenbezogenen Daten auf. Da das Gesetz in erster
Linie auf gewerbliche Betreiber von Telekommunikationsanlagen ausgerichtet ist,
muss im Einzelfall geprüft werden, ob die Forderung auf Einhaltung des im § 87, Abs.
8
Vgl. Kiper, CF 6/2000 ab S. 12
Gesetzlicher Rahmen
7
1 TKG Anforderungskataloges
9
seitens der Arbeitgeber für sie zumutbar und ange-
messen ist. Die in § 88 behandelte technische Umsetzung von Überwachungsmaß-
nahmen ist für die betrieblichen E-Mail-Systeme nicht erforderlich, da sich der ange-
botene Dienst nicht an die Öffentlichkeit richtet
10
.
2.3.2. Teledienstegesetz (TDG)
Das TDG enthält keine den Datenschutz betreffenden Regelungen, obwohl Telediens-
te im Sinne des TDG Angebote zu Nutzung des Internet und weiterer Netze, zu denen
ja auch E-Mail gehört, sind (§ 2). Die Aufgabenstellung ist mit der des TKG ver-
gleichbar. Ziel des Gesetzes ist, einheitliche wirtschaftliche Rahmenbedingungen für
die verschiedenen Nutzungsmöglichkeiten elektronische Informations- und Telekom-
munikationsdienste zu schaffen (§ 1).
2.3.3. Teledienstedatenschutzgesetz (TDDSG)
Die Definitionen der Personenkreise ,,Diensteanbieter" und ,,Nutzer" ist in dem Ge-
setz bewusst weit gefasst, um so zu erreichen, dass das Recht auf informationelle
Selbstbestimmung auch bei der Individualkommunikation über die neuen Medien
hinreichend Beachtung und Durchsetzung findet.
Arbeitgeber, die ihr Betriebsnetzwerk zum Versenden und Empfangen von E-Mails
zur Verfügung stellen, sind ,,Diensteanbieter", die Arbeitnehmer sind ,,Nutzer" im
Sinne des Gesetzes (§ 2), es sei denn, die ausschließliche dienstliche Nutzung wird
sichergestellt (s.o.).
Durch das Gesetz wird einerseits der Schutz der Arbeitnehmer als Nutzer erweitert,
andererseits werden die Arbeitgeber als Diensteanbieter mit zusätzlichen Forderungen
zur Datensicherheit belastet: Daten dürfen nur erhoben und verarbeitet werden wenn
eine Rechtsvorschrift dies erlaubt, oder der Nutzer einwilligt (§ 3, Abs.1). Ferner dür-
fen diese Daten nur für andere Zwecke verwendet werden, wenn eine Rechtsvor-
schrift dies erlaubt, oder der Nutzer einwilligt (§ 3, Abs.2).
Wenn Daten erhoben und verarbeitet werden, müssen die Betroffenen davon unter-
richtet werden. Diese Unterrichtung ist so abzulegen, dass die Betroffenen jederzeit
den Inhalt einsehen können (§ 4, Abs.1).
Die Erhebung und Nutzung von Bestands- Nutzungs- und Abrechnungsdaten durch
den Diensteanbieter ist nur soweit gestattet, wie es zur Erbringung der entsprechenden
Teledienste erforderlich ist (§ 5 und § 6, Abs.3). Eine weitergehende Nutzung dieser
Daten ist nur zulässig, wenn die Betroffenen eingewilligt haben (§ 6, Abs.2), die Ein-
willigung hierzu kann auch auf elektronischen Wege erfolgen (§4, Abs. 2), das ent-
sprechende Verfahren muss aber anders als ,,zwei Mausklicks" gestaltet sein, sodass
eine bewusste Handlung erforderlich ist, um einzuwilligen. Außerdem muss die Au-
thentizität der Erklärung sichergestellt sein. Die Abrechnungsdaten sind spätestens
nach 6 Monaten zu löschen (§ 6, Abs.7).
Der § 4 Abs. 6 fordert vom Diensteanbieter, dem Nutzer zu ermöglichen, die angebo-
tenen Teledienste anonym oder mit Pseudonym zu nutzen, soweit dies technisch mög-
lich und zumutbar ist. Diese Forderung ist nur im Falle der privaten Nutzung von Be-
deutung. Bei der dienstlichen Nutzung ist das berechtigte Interesse des Arbeitgebers
9
Der "Katalog von Sicherheitsanforderungen" ist als Beilage Nr. 208a aus 1997 im Bundesanzeiger veröffentlicht.
10
Vgl. § 2 Abs. 1 TKÜV (vom 22. 01. 2002)
Gesetzlicher Rahmen
8
am Zugriff auf die betrieblichen E-Mails sowie der Zuordnung zu deren Absender und
Empfänger im Betriebsnetzwerk überwiegend.
Wenn eine private Nutzung des Betriebsnetzwerkes erlaubt ist, muss geprüft werden,
ob eine anonyme oder pseudonyme Nutzung mit angemessenem Aufwand seitens des
Arbeitgebers zu realisieren ist. Allerdings erscheint die mögliche Forderung nach ei-
ner anonymen Nutzung von E-Mail als wenig sinnvoll, da es sich um einen asynchro-
ne Kommunikation handelt, bei der die Kommunikationspartner erhebliche Schwie-
rigkeiten haben werden, die anonymen E-Mails zu beantworten.
Der Diensteanbieter muss außerdem technische und organisatorische Vorkehrungen
treffen, dass der Nutzer eine bestehende Verbindung jederzeit sofort unterbrechen
kann (§ 4, Abs.4.1), die angefallenen Daten schnellstmöglich gelöscht werden (§ 4,
Abs.4.2) und die Inanspruchnahme der Teledienste gegen die Kenntnisnahme Dritter
geschützt ist (§ 4, Abs.4.3).
2.3.4. Signaturgesetz (SigG)
Mit Datenschutz hat das SigG vordergründig nicht viel zu tun. Der Zweck des Geset-
zes ist die Schaffung der Rahmenbedingungen für die elektronische Signatur (§ 1).
Dazu werden im Gesetz Begriffe bestimmt und Verfahren für die Einrichtung von
Zertifizierungsstellen und die Ausgabe von Zertifikaten festgelegt. Die kryptografi-
schen Verfahren zur Erzeugung der Zertifikate und Signaturschlüssel werden im Ge-
setz nicht festgelegt, es wird lediglich gefordert, dass diese nach aktuellem Stand si-
cher zu sein haben. Es werden verschiedene Arten der elektronischen Signatur be-
nannt:
·
Die einfache elektronische Signatur. Die zu signierenden elektronischen Daten
werden logisch so mit der Signatur verknüpft, dass eine nachträgliche Ände-
rung erkannt werden kann.
·
Die fortgeschrittene elektronische Signatur kann jeweils einem Signatur-
schlüsselinhaber zugeordnet werden, der über diese Signatur auch identifiziert
werden kann.
·
Die qualifizierte elektronische Signatur beruht zusätzlich auf einem gültigen
Zertifikat einer Zertifizierungsstelle, das die Identität des Signaturschlüsselin-
habers bestätigt.
Durch die Schaffung einer weitverbreiteten und öffentlich zugänglichen Infrastruktur
von gesetzeskonformen Zertifizierungsdiensten soll die Verwendung von qualifizier-
ten elektronischen Signaturen, die der eigenhändigen Unterschrift gleichgestellt wer-
den sollen, gefördert werden.
Die kryptografisch erzeugten asymmetrischen Schlüsselpaare der elektronischen Sig-
naturen und Zertifikate eignen sich jedoch nicht nur zum Signieren, sondern auch zum
Verschlüsseln von Daten. Die E-Mails mit vertraulichen Inhalten können vor dem
Versenden mit dem öffentlichen Schlüssel des Empfängers verschlüsselt werden. An-
schließend kann nur noch der rechtmäßige Empfänger mit seinem privaten Schlüssel
diese E-Mail entschlüsseln.
Gesetzlicher Rahmen
9
2.4. Kollektives Arbeitsrecht
Bei der Einführung von E-Mail-Systemen in Betrieben, die dem Betriebsverfassungs-
gesetz (BetrVG) unterliegen, ist der Betriebsrat zu beteiligen. Dies gilt in öffentlichen
Verwaltungen gemäß BPersVG analog für die Personalräte.
Die Einrichtung von Bildschirmarbeitsplätzen und Datenverarbeitungssystemen ist
bereits 1983 durch den Beschluss des BAG
11
als mitbestimmungspflichtig eingestuft
worden.
Nach § 87, Abs. 1, Nr. 6 BetrVG ist die Einführung technischer Überwachungsein-
richtungen mitbestimmungspflichtig. Diese Vorschrift erfasst alle technischen Ein-
richtungen, durch die das Verhalten der Arbeitnehmer erfasst und kontrolliert werden
kann
12
. Das BAG hat ausdrücklich klargestellt, dass auch die Überwachung des ge-
schriebenen Wortes, zum Beispiel E-Mail, insbesondere der Zugriff auf interne Da-
tenbanken der Mitbestimmungspflicht nach § 87, Abs. 1, Nr. 6 BetrVG unterliegt,
sofern ein Beschäftigtenbezug gegeben ist. Dabei ist die potentielle Möglichkeit der
Kontrolle ausreichend. So soll sichergestellt werden, dass die Persönlichkeitsrechte
der Arbeitnehmer vor einseitigen Zugriffen der Arbeitgeber geschützt werden.
Die inhaltliche Gestaltungsfreiheit über die Zulässigkeit und den Umfang von E-Mail-
Kontrollen wird durch § 75 Abs. 2 eingeschränkt. Danach dürfen die Verarbeitung
von Beschäftigtendaten und die entsprechenden Regelungen der Betriebsvereinbarun-
gen nur soweit gehen, dass sie das allgemeine Persönlichkeitsrecht, wie es die Art. 1
und 2 GG garantieren und nach ständiger Rechtsprechung insbesondere das Recht auf
informationelle Selbstbestimmung
13
, nicht beeinträchtigen. Diese Wertung bezieht
sich auch auf Anwendungen und Nutzungsregelungen in Betrieben, in denen keine
Betriebsräte bestehen.
Aus dieser Rechtsprechung resultiert, dass die Einführung von E-Mail-Über-
wachungssystemen einen Eingriff in die Persönlichkeitsrechte der Arbeitnehmer dar-
stellt. Die vom BVerfG entwickelten allgemeinen Grundsätze zur Rechtfertigung von
Eingriffen in die Grundrechte erfordern eine Prüfung, ob sich ein solcher Eingriff aus
den überwiegenden Interessen des Arbeitgebers rechtfertigen lässt. Die Beweislast, ob
die Maßnahme notwendig und verhältnismäßig ist, obliegt dem Arbeitgeber.
Die legitimen Interessen des Arbeitgebers, nämlich Schutz der Geschäftsgeheimnisse,
Schutz vor Überlastung des DV-Systems durch übermäßiges Versenden privater E-
Mails mit den dadurch verursachten übermäßigen Kosten und Schutz vor Zerstörung
von Geschäftsdaten durch Viren, lassen sich durch eine E-Mail-Überwachung über-
wiegend wahren. Diese Maßnahme kann also als geeignet angesehen werden. Es muss
aber hinsichtlich der verfolgten Ziele unter Beachtung der Verhältnismäßigkeit diffe-
renziert werden:
Virenschutz kann durch einen Virenscanner realisiert werden, der alle E-Mails für
Menschen unlesbar kontrolliert. Nur bei Virenverdacht wird die entsprechende E-Mail
aussortiert und gespeichert. Wie die Systemadministratoren dann mit dieser E-Mail
umzugehen haben und wie der rechtmäßige Empfänger der E-Mail zu informieren
beziehungsweise zu beteiligen ist, muss dann in einer Betriebsvereinbarung geregelt
werden.
11
BAG Beschluss vom 6. 12. 1983, DB 1984, S. 850
12
Löwisch, BetrVG Kommentar, 3. Aufl. 1993, § 87, Rz. 67
13
BVerfG Urteil vom 15.12. 1983, NJW 1984, S. 419
Gesetzlicher Rahmen
10
Die Vermeidung von übermäßigen Kosten und Netzlasten kann auch durch andere
technische Vorkehrungen, zum Beispiel zeitliche Nutzungsbeschränkungen, realisiert
werden
14
. Eine Betriebsvereinbarung sollte so formuliert sein, dass sie E-Mail-
Kontrollen nicht generell gestattet, sondern dies nur in Einzelfällen, zum Beispiel
wenn der begründete Verdacht besteht, dass ein Arbeitnehmer unbefugt Daten an
Dritte weitergibt und damit gegen arbeitsvertragliche Pflichten verstößt. Art und Um-
fang der E-Mail-Kontrollen können dann im Einzelfall festgelegt werden.
14
Balke/Müller, DB 1997, S. 326 ff
Aus dem rechtlichen Rahmen abgeleitete grundsätzliche Anforderungen
11
3. Aus dem rechtlichen Rahmen abgeleitete grundsätzliche Anforderungen
3.1. Mail-Sicherheit
Jeder Nutzer von E-Mail-Systemen hat ein großes Interesse daran, dass seine Mittei-
lungen nur von denjenigen gelesen werden, für die sie bestimmt sind. Besonders im
betrieblichen Umfeld ist der unbeobachtete Nachrichtenaustausch, unabdingbar, wenn
nicht sogar für den Fortbestand des Unternehmens von vitalem Interesse. Die Kennt-
nis von zwischen den einzelnen Teilen einer Firma ausgetauschten Daten kann für die
direkte Konkurrenz aber auch für andere Firmen sehr interessante Informationen her-
vorbringen. So hat in diesem Fall der Arbeitgeber ein besonderes Interesse daran, dass
die E-Mails nur von den rechtmäßigen Adressaten gelesen werden können.
Die Arbeitnehmer haben auch Anspruch auf die Vertraulichkeit der von ihnen gesen-
deten und an sie gerichteten E-Mails, sowie der damit in Zusammenhang stehenden
Verbindungs- und Betriebsdaten, die das E-Mail-System erzeugt. Sie sind zwar zur
Abwicklung der E-Mail-Kommunikation unerlässlich, die längerfristige Speicherung
und anschließende Auswertung in den meisten Fällen jedoch nicht erforderlich. Da
diese Daten ein großes Potenzial zur individuellen Leistungs- und Verhaltenskontrolle
enthalten, müssen sie nicht nur zur Vermeidung von Missbrauch gelöscht werden,
wenn der Zweck, zu dem die Speicherung erfolgt ist, erfüllt ist, sondern auch um der
in § 3a BDSG geforderten Datenvermeidung und Datensparsamkeit zu entsprechen.
Eine weiter andauernde Speicherung und Auswertung darf nur in besonderen Fällen
und nur bei einem konkreten Verdacht erlaubt sein, da die Daten dann nicht mehr dem
ursprünglichen Zweck entsprechend verwendet werden.
3.2. Sicherheit der Inhaltsdaten gegenüber der Administration
Die Administratoren haben unter Anderem die Aufgabe, den Betrieb des E-Mail-
Systems effizient, schnell und störungsfrei zu gestalten. Um die Mailserver optimal zu
konfigurieren und den Ursachen von Störungen und Ausfällen auf den Grund zu ge-
hen, haben sie in den meisten E-Mail-Systemen uneingeschränkten Zugriff auf alle
Dateien. Dadurch ist es ihnen auch möglich, die Inhalte der E-Mails zu lesen, falls
diese unverschlüsselt abgelegt werden. Um einen Missbrauch dieser Privilegien zu
verhindern, müssen die Zugriffe auf die Verbindungs- und Inhaltsdaten grundsätzlich
unterbunden werden. Da nach § 85 TKG nicht nur die Inhalte, sondern auch die Ver-
bindungsdaten der E-Mails vor unbefugtem Zugriff zu schützen sind, müssen sämtli-
che Aktivitäten der Administratoren protokolliert werden.
3.3. Abschottung der Verbindungsdaten
Die bei der Nutzung des E-Mail-Systems anfallenden und in den System-Logdateien
aufgezeichneten Verbindungsdaten können zur Erstellung von Leistungs- und Verhal-
tensprofielen missbraucht werden. Deshalb müssen sie so gespeichert werden, dass
ein Zugriff auf sie nur durch die dafür autorisierten Personen möglich ist. Des weite-
ren müssen alle Zugriffe auf die Logdateien ihrerseits ebenfalls protokolliert werden.
Aus dem rechtlichen Rahmen abgeleitete grundsätzliche Anforderungen
12
3.4. Konfigurierbarkeit der Verbindungsprotokollierung
Um dem Prinzip der Datensparsamkeit gerecht zu werden, muss die E-Mail-
Protokollierung konfigurierbar sein. Wenn das E-Mail-System problemlos läuft, ist es
nicht mehr erforderlich, alle Verkehrsdaten genauestens zu erfassen. Die Protokollie-
rungseinstellungen dürfen nur die notwendigen Daten umfassen. Im Falle einer Stö-
rung oder einer Fehlfunktion des Systems kann dann temporär wieder eine entspre-
chend ausführliche Protokollierung eingestellt werden.
3.5. Authentizität von Emails
Eine E-Mail enthält im Header außer dem Adressaten und dem Betreff auch immer
einen Absender. Für den Empfänger ist es wichtig, dass diese Informationen auch den
Tatsachen entsprechen. Außerdem muss ebenfalls sichergestellt sein, dass nicht auf
einer der Zwischenstationen der Inhalt der E-Mail verändert wurde. Wenn die ver-
wendete Software selbst keine Signatur- und Verschlüsselungsfunktionen bereitstellt,
mit denen dies am besten gewährleistet werden kann, sollte eine entsprechende Zu-
satzsoftware wie zum Beispiel PGP bereitgestellt werden. Dabei wird es unter Um-
ständen erforderlich, eine eigene Public Key Infrastruktur, PKI, bereitzustellen, damit
die Authentizität der verwendeten Schlüssel gewährleistet werden kann. Die durch das
SigG geförderte Verbreitung gesetzeskonformer Zertifizierungsstellen, die auch ent-
sprechende Verzeichnisdienste für Signaturschlüssel anbieten, kann noch nicht prob-
lemlos ausgenutzt werden. Die bei den verschiedenen inzwischen vorhandenen Zerti-
fizierungsdiensteanbietern genutzten Verfahren und deren Signaturschlüssel sind zu-
dem zueinander teilweise noch inkompatibel.
Anforderungen bei betrieblichen Anwendungen
13
4. Anforderungen bei betrieblichen Anwendungen
Neben den sich schon aus rechtlicher Sicht ergebenden Forderungen nach Schutz vor
unberechtigten Zugriffen auf die Inhalts- und Verbindungsdaten und der Sicherstel-
lung der Authentizität der E-Mails ergeben sich aus der betrieblichen Sicht weitere,
teilweise konkurrierende: Die Einführung eines E-Mail-Systems soll die Betriebsab-
läufe effektiver und schneller machen. Die Zugriffsmöglichkeiten der Mitarbeiter auf
die E-Mails soll mit größtmöglicher Flexibilität ausgestattet sein, damit die Aufgaben
schnellstmöglich erledigt werden können. Darin eingeschlossen ist auch der Wunsch
nach einer Möglichkeit zur Überwachung der Arbeitsabläufe durch Vorgesetzte.
4.1. Organisationsmodelle
Bei der Einführung von E-Mail für den gesamten Betrieb muss zuerst überdacht wer-
den, wie die Organisationsstruktur des Betriebes auf die Adressstruktur des E-Mail-
Systems abgebildet werden soll, und welche Adressen ,,von Außen sichtbar" sein sol-
len.
§ Organisations-Postfächer: Jede Organisationseinheit bekommt eine entsprechend
bezeichnete E-Mail-Adresse zum Beispiel
versand@testfirma.de
. Alle eingehen-
den E-Mails gelangen in dieses Postfach. Die verschiedenen Mitarbeiter haben
gemeinsam Zugriff darauf und können alle eingegangenen E-Mails lesen und be-
arbeiten.
§ Persönliche Postfächer: Jeder Mitarbeiter erhält eine eigene E-Mail-Adresse zum
Beispiel
meyerdierks@testfirma.de
. Auf das persönliche Postfach hat üblicherwei-
se nur der Besitzer Zugriff. Für alle, die mit der Firma per E-Mail Kontakt auf-
nehmen möchten, jedoch niemanden im Unternehmen kennen, sollte als erste An-
sprechadresse ein allgemeines Postfach, wie zum Beispiel
info@testfirma.de
, ein-
gerichtet werden.
§ Private Postfächer: Das private Postfach einer einzelnen Person mit einer entspre-
chend aussagefähigen Bezeichnung der privaten E-Mail-Adresse, zum Beispiel
meyerdierks-privat@testfirma.de
. Auf dieses Postfach hat nur die jeweilige Person
Zugriff, E-Mails, die an diese E-Mail-Adresse geschickt werden sind als aus-
schließlich privat anzusehen.
Zusätzlich muss zwischen zwei verschiedenen Arten von Absendern und Empfängern
unterschieden werden.
§ Interne: Alle die das E-Mail-System der Firma nutzen. Die Weisungen des Arbeit-
gebers und Betriebsvereinbarungen sind für sie bindend. Es kann davon ausge-
gangen werden, dass sie private E-Mails entsprechend kennzeichnen, wenn das er-
forderlich ist.
§ Externe: Alle anderen. Von diesen Absendern kann nicht erwarten werden, dass
sie mit den Regelungen der Firma / Institution, die die Behandlung von privaten
E-Mails betreffen, vertraut sind. Es ist davon auszugehen, dass auch E-Mails mit
privaten Inhalten an die persönlichen E-Mail-Adressen geschickt werden.
Kombination Organisations- und persönliche Postfächer: Alle Organisationseinheiten
erhalten entsprechende Postfächer. Von dort werden die eingegangenen E-Mails an
die entsprechenden Mitarbeiter weiterverteilt. Die Verteilung kann entweder von ei-
nem damit beauftragten Mitarbeiter oder auch automatisch erfolgen. Wenn der Kon-
Anforderungen bei betrieblichen Anwendungen
14
takt hergestellt ist, kann der weiter E-Mail-Verkehr direkt über die persönliche E-
Mail-Adresse des Sachbearbeiters abgewickelt werden.
Eine weitere grundlegende Unterscheidung ist, ob eine private Nutzung des betriebli-
chen E-Mail-Systems gestattet ist, oder nicht. Im Folgenden wird von einer aus-
schließlichen dienstlichen Nutzung des E-Mail-Systems ausgegangen.
4.2. Interne E-Mail
Die mit dem betrieblichen E-Mail-System intern versendeten E-Mails werden in der
Regel dienstlicher Art sein. Der Arbeitgeber hat hier das Recht, über den Inhalt infor-
miert zu sein. Er kann also verlangen, das außer dem einzelnen Arbeitnehmer auch
von ihm bestimmte andere Personen, meist die Vertreter und Vorausgesetzten,
Zugriffberechtigung auf das persönliche Postfach erhalten. Damit kann sichergestellt
werden, dass der Betrieb auch bei Abwesenheit eines Arbeitnehmers ungestört weiter-
läuft.
4.3. Externe E-Mail
Wenn über das betrieblichen E-Mail-System ausschließlich dienstliche Kontakte mit
Kunden, Geschäftspartnern usw. unterhalten werden, hat der Arbeitgeber das gleiche
Recht auf Information über den Inhalt dieser E-Mails, wie bei der internen dienstli-
chen Nutzung
15
.
4.4. E-Mails automatisch um- oder weiterleiten
Um die Betriebsabläufe möglichst flüssig zu gestalten kann das E-Mail-System so
konfiguriert werden, dass E-Mails, die nach einer bestimmten Zeit nicht geöffnet wur-
den, auf eine andere Adresse, zum Beispiel die des Vertreters, umgeleitet werden. Die
E-Mails können auch, nachdem der Empfänger sie gelesen hat, ohne sein Zutun auto-
matisch sofort oder nach einem bestimmten Zeitraum weitergeleitet werden. Diese
Funktionen sind auch zur Leistungs- und Verhaltenskontrolle geeignet.
4.5. Protokollieren von Empfang und Versand
Um zu erfahren, ob und wann der Adressant einer E-Mail diese erhalten und geöffnet
hat, kann der Absender eine Empfangsquittung anfordern. Je nach verwendetem E-
Mail-System können diese Quittungen automatisch verschiedene Ereignisse signali-
sieren.
Das E-Mail-System hat die Nachricht im Postfach des Empfängers abgelegt
Der Empfänger hat die E-Mail in seinen E-Mail-Client übertragen.
Der Empfänger hat die E-Mail in seinem E-Mail-Client geöffnet.
Alle diese Quittungen besagen nicht, dass der Empfänger die Nachricht auch tatsäch-
lich gelesen hat. Sie sind aber zur Leistungs- und Verhaltenskontrolle geeignet.
15
Vgl. Däubler, Internet und Arbeitsrecht, 2001, Rz. 249, 250
Anforderungen bei betrieblichen Anwendungen
15
4.6. Attachments
Die Anhänge der E-Mails bergen, besonders wenn sie von externen Absendern kom-
men, ein besonders hohes Virenrisiko. Der Inhalt kann, da er nicht aus Klartext beste-
hen muss, Viren enthalten, die von Virenscannern nicht erkannt werden können. Der
Umgang mit solchen Attachments muss deshalb genauestens geregelt sein; zum Bei-
spiel nochmalige Kontrolle mit einem weiteren Virenscanner, oder Start der Anwen-
dung in einer besonders gesicherten Umgebung (Sandbox).
4.7. Verschlüsselung und Signaturen
Zum Signieren und Verschlüsseln von E-Mail kommen heute meist Public-Key-
Verfahren zum Einsatz. Die Verwendung im Betrieb muss genau geregelt werden.
Mit Hilfe von Signaturen kann die Authentizität der versendeten E-Mails sicherge-
stellt werden. Der Absender signiert die fertige E-Mail mit seinem geheimen Schlüssel
bevor er sie verschickt. Mit dem dazugehörigen öffentlichen Schlüssel kann der Emp-
fänger nun prüfen, ob die Signatur korrekt ist, das heißt, ob der Absender stimmt, und
ob das signierte Dokument, in diesen Fall die E-Mail, noch im Originalzustand ist.
Wenn beides der Fall ist, können so übermittelte Informationen und Abmachungen
verbindlich sein.
Die Verschlüsselung der E-Mails verhindert, dass jemand anderes als die ausgewähl-
ten Empfänger diese lesen kann. Das entspricht erst mal genau dem gewollten Ziel,
einem vertraulichen Austausch von Informationen. Bei dienstlichen E-Mails hat der
Arbeitgeber jedoch ein Recht darauf, diese mitzulesen. Das heißt, dass er entweder die
E-Mails entschlüsseln können müsste, dazu wären die geheimen Schlüssel der Betei-
ligten nötig, oder auf eine andere Art über den Inhalt der E-Mails informiert wird.
Auch hier ist es sinnvoll festzulegen was zu verschlüsseln ist, und wie zu verfahren
ist, damit sich Vertreter und Vorgesetzte gegebenenfalls über die Inhalte informieren
können. Eine Möglichkeit ist beispielsweise die Regelung, dass nur der eigentliche
Versand der E-Mails verschlüsselt erfolgt, die Speicherung in den Postfächern jedoch
unverschlüsselt. Damit können über die Gruppen- und Vertretungsregelungen der
meisten E-Mail-Systeme die gewünschten Zugriffsmöglichkeiten geschaffen werden.
Wenn Verschlüsselung, digitale Signaturen und Zertifikate im Unternehmen genutzt
werden sollen, ist es erforderlich, eine Public Key Infrastruktur, PKI, einzurichten. Sie
ermöglicht über ein abrufbares Verzeichnis das Auffinden der öffentlichen Schlüssel
und Zertifikate der entsprechenden Personen oder Organisationseinheiten. Für den
unternehmensinternen E-Mail-Verkehr sind die im SigG als ,,einfach" bezeichneten
Schlüssel ausreichend. Die Vergabe der Schlüssel und Zertifikate kann betriebsintern
beliebig geregelt werden. In jedem Fall muss festgelegt werden, wer eine entspre-
chende Signatur benutzen darf.
Wenn rechtsverbindliche Abmachungen mit Dritten getätigt werden sollen, müssen
die Signaturen und die zugehörigen Zertifikate heute dem Signaturgesetz entsprechen.
Da der Aufwand für eine gesetzeskonforme unternehmenseigene PKI mit entspre-
chenden CA-Zertifikaten sehr hoch ist, ist zu erwägen, die Dienste eines dem SigG
entsprechend zertifizierten externen Anbieters, eines sogenannten Trustcenters, zu
nutzen. Weiterhin muss überlegt werden, ob es vielleicht ausreichend ist, nur spezielle
Mitarbeiter oder Organisationseinheiten mit SigG-konformen Signaturschlüsseln aus-
zustatten.
Anforderungen bei betrieblichen Anwendungen
16
Wenn verschlüsselte E-Mails die Firewallsysteme des Unternehmens passieren sollen,
gleichzeitig aber sichergestellt bleiben soll, dass es sich nur um autorisiert verschlüs-
selte E-Mail handelt, muss ein entsprechendes Plugin für das Firewallsystem mindes-
tens die CA-Zertifikate der ,,eigenen" CAs kennen. Aufgrund von zur Zeit noch be-
stehender Normierungsprobleme kann es selbst bei beim Austausch SigG-konform
verschlüsselter E-Mails kann es passieren, dass das Firewallsystem die E-Mail nicht
passieren lässt, da die Formate der Zertifikate und Signaturschlüssel unterschiedlicher
Trustcenter teilweise inkompatibel zueinander sind.
E-Mail -Protokolle
17
5. E-Mail -Protokolle
Außer den proprietären Protokollen der einzelnen ,,Komplettlösungsanbieter" wie zum
Beispiel Microsoft mit Exchange oder Lotus mit Notes gibt es zwei international ge-
bräuchliche Standards für E-Mail-Anwendungen. Das sind die Empfehlungen der ITU,
vormals CCITT, X.400-Familie und das Simple Message Transport Protokoll, SMTP,
nach RFC 821 und RFC 1869 für das erweiterte SMTP, ESMTP.
5.1. X.400
Das X.400 Message Handling System,
MHS
, beziehungsweise die damit korrespondie-
rende ISO 10021, Message Oriented Text Interchange System,
MOTIS
, steht für eine
Familie von Protokollen zur Erledigung der unterschiedlichen Aufgaben innerhalb des
MHS
. Die Definition der Norm ist unabhängig vom verwendeten System und beinhal-
tet Unterstützung für das Versenden von Nachrichten mit multimedialem Inhalt wie
Bilder oder Sprache.
Abbildung 1: Vereinfachte schematische Darstellung eines
MHS
Ein Nachrichtenaustausch zwischen verschiedenen Benutzern läuft vereinfacht darge-
stellt so ab:
·
Ein Benutzer möchte eine Nachricht verschicken. Dazu bedient er sich des
MHS
·
Der Benutzer (
User
) verfasst eine Nachricht mit seinem E-Mail-Programm
(
UA
).
·
Wenn die E-Mail fertig verfasst ist und verschickt werden soll, wird sie dem
Message Transport System, (
MTS
) übergeben.
·
Dazu nimmt das E-Mail-Programm (
UA
) Verbindung mit einem Mailserver
(
MTA
) auf. Das Protokoll hierfür heißt
P3
. Es beschreibt die Operationen
§ Versand von Mitteilungen, Probemitteilungen und Versandkontrollmeldun-
gen
Details
- Seiten
- Erscheinungsform
- Originalausgabe
- Jahr
- 2002
- ISBN (eBook)
- 9783832467654
- ISBN (Paperback)
- 9783838667652
- DOI
- 10.3239/9783832467654
- Dateigröße
- 7.4 MB
- Sprache
- Deutsch
- Institution / Hochschule
- Universität Bremen – Mathematik / Informatik (FB 3)
- Erscheinungsdatum
- 2003 (Mai)
- Note
- 1,3
- Schlagworte
- security policy persöhnlichkeitsschutz privatsphäre maßnamen maßnahmen
