Archive for Juli 2011

Zugriff des Arbeitgebers auf das Postfach eines Arbeitnehmers, das auch private, als solche gekennzeichnete, E-Mails enthält.

Donnerstag, 28. Juli 2011

Auch wenn der Titel dieses Artikels unübersichtlich lang ist, eine Verkürzung beschriebe den konkreten Fall nur ungenügend: Das Landesarbeitsgericht Berlin-Brandenburg hat am schon am 16.02.2011 unter dem Az 4 Sa 2132/10 einen Fall zum Zugriff des Arbeitgebers auf das E-Mail-Konto einer Mitarbeiterin entschieden, in dem sich bekannterweise auch private Mails der Mitarbeiterin befanden.

Generell gilt:

  • Ein Arbeitgeber kann ohne ausdrückliche Erlaubnis der Mitarbeiter auf dienstliche Mailkonten seiner Mitarbeiter zugreifen, wenn die private Mailnutzung untersagt ist und dies auch kontrolliert wird. Greift der Arbeitgeber z. B. anlässlich einer Kontrolle auf eine widerrechtliche private Mail zu, so ist das kein Verstoß gegen den Datenschutz.
  • Ist hingegen die private Mailnutzung gestattet, ist ein Zugriff auf das Mailkonto des Arbeitnehmers durch den Arbeitgeber ohne Zustimmung des Arbeitnehmers nicht zulässig.

Im betreffenden Fall:

  • war die private Mailnutzung in gewissem Umfang gestattet,
  • mussten private Mails im Betreff als solche gekennzeichnet werden,
  • musste vor einem Urlaubsantritt eine Vertreterregelung für neue dienstliche Mails eingerichtet werden,
  • war die Mitarbeiterin ohne Einrichtung der Vertreterregelung in Urlaub gegangen,
  • war die Mitarbeiterin im Anschluss an den Urlaub für einen längeren Zeitraum krankgeschrieben worden und
  • war die Mitarbeiterin in dieser Zeit weder für den Arbeitgeber noch für Kollegen erreichbar gewesen.

In diesem Fall war es rechtens, dass der Arbeitgeber das Postfach der Mitarbeiterin durch die IT-Abteilung öffnen lies und die dienstlichen, also nicht als privat gekennzeichneten Mails, zur Kenntnis nahm.

Die amtlichen Leitsätze des Urteils lauten:

  1. Ein Arbeitgeber wird nicht allein dadurch zum Dienstanbieter i. S. d. Telekommunikationsgesetzes, dass er seinen Beschäftigten gestattet, einen dienstlichen E-Mail- Account auch privat zu nutzen.
  2. Belassen die Beschäftigten bei Nutzung des Arbeitsplatzrechners die eingehenden E-Mails im Posteingang bzw. die versendeten im Postausgang, so unterliegt der Zugriff des Arbeitgebers auf diese Daten nicht den rechtlichen Beschränkungen des Fernmeldegeheimnisses.

Auch wenn dieses Urteil ein Baustein der Rechtssicherheit im Umfeld der privaten E-Mail-Nutzung am Arbeitsplatz ist, so besitzt der konkrete Fall doch viele spezielle Aspekte. Nachwievor rate ich jedem Arbeitgeber aus datenschutzrechtlicher Sicht, die private Nutzung dienstlicher Postfächer und E-Mail-Adressen zu untersagen und die Untersagung auch zu kontrollieren.

Sie haben Fragen zum Umgang mit E-Mails im Betrieb? Sie benötigen eine Musterformulierung für die private Internet- und E-Mail-Nutzung im Betrieb? Nehmen Sie mir mir Kontakt auf!

Wem vertrauen Sie? S/MIME-Zertifikate in der Praxis

Dienstag, 26. Juli 2011

Erfreulicherweise nimmt der Einsatz von E-Mail-Verschlüsselung und E-Mail-Signierung zu. Es gibt keinen anderen Weg, die Vertraulichkeit von E-Mails zu gewährleisten. An dieser Stelle möchte ich nicht auf die prinzipiellen Möglichkeiten oder die unterschiedlichen Verfahren eingehen, sondern ausschließlich auf Risiken beim S/MIME-Verfahren hinweisen. S/MIME ist nicht prinzipiell schlecht; man darf diese Technik jedoch, wie jede Technik, nicht blind einsetzten, sondern muss sich auch als Benutzer und somit evtl. Laie der Schwächen des Prinzips bewußt sein.

Das Prinzip von S/MIME

Das S/MIME-Verfahren zur Verschlüsselung und Signierung von E-Mails ist in allen aktuellen Mailprogrammen vorhanden. Das Verfahren beruht auf einer Vertrauenshierarchie: Einige zentrale Instanzen, normale Firmen, gelten „per Definition“ als vertrauenswürdig. Dies sind die sogenannten CAs (Certificate Authorities). Diese vertrauen nun anderen Firmen, den Unter-CAs und diese ggf. wiederum Unter-Unter-CAs. Und irgendeine dieser Unter-Unter-CAs bestätigt in einem Zertifikat, dass Sie „Sie“ sind oder Ihr E-Mail-Partner derjenige ist, der er vorgibt, zu sein. Sie vertrauen nun der CA und damit automatisch allen Unter-CAs, Unter-Unter-CAs, etc. sowie allen Zertifikaten, die diese ausgestellt haben. Sie wissen genau, wie die Unter-Unter-CAs Ihre E-Mail-Partner geprüft haben? Sie kennen die internen Maßnahmen aller  (Unter-)CAs genau und sind sich sicher, dass keine „falschen“ Zertifikate ausgestellt werden? OK, damit haben Sie schon die große Schwäche dieses Verfahrens entdeckt. Sie können einem solchen Zertifikat nicht blind vertrauen. Hinzu kommt noch, dass es in den letzten Monate mehrfach „elektronische“ Einbrüche bei CAs und Unter-CAs gegeben hat und es so einen unbefugten Zugriff auf die Zertifizierungsinfrastrukturen gab.

In dem meisten E-Mail-Programmen sind die Zertifikate der CAs jedoch als „vertrauenswürdig“ eingetragen, es wird also eine trügerische Vertrauenswürdigkeit vorgetäuscht: Von E-Mails mit von diesen CAs „unterschriebenen“ Zertifikaten werden mit  einem „Siegel“-Symbol versehen. Sie wissen nun, dass Sie diesem Symbol nicht unüberprüft trauen können.

Es gibt noch einen weiteren Grund für das Misstrauen. Nahezu jede (Unter-)CA bietet verschiedene Qualitäten an: Das eine Zertifikat bestätigt nur, dass die angebliche  Absender-E-Mail-Adresse richtig ist, das andere Zertifikat, dass die E-Mail von der Person verschickt wurde, die im Namen des Zertifikates steht. An den Symbolen im E-Mailprogramm können Sie das nicht unterscheiden. Vielmehr müssen Sie sich die Details der Zertifikate ansehen und überprüfen, wass die CA dort reingeschrieben hat. Ein Text wie „Persona Not Validated“ sagt relativ eindeutig aus, dass die Person eben nicht überprüft wurde. Ein Text wie „Digital ID Class 1“ hat die selbe Bedeutung, ist aber erheblich weniger eindeutig. Und der Aufwand, an ein solches, faktisch nicht viel aussagendes Zertifikat zu kommen, entspricht 5 Minuten: Man braucht nur temporären Zugang zum E-Mail-Server und bekommt das Zertifikat zugeschickt.

Ihre Folgerungen

Die Folgerungen sind einfach:

  1. Vertrauen Sie keinen CAs und von diesen unterschriebenen Zertifikaten, die Sie nicht kennen. Am besten entfernen Sie die CAs aus der Liste vertrauenswürdiger CAs in Ihrem E-Mailprogramm. Dann können Sie gezielt die CAs aufnehmen, denen Sie vertrauen (z. B. Ihrem Arbeitgeber, wenn  dieser eine eigene PKI (Public-Key-Infrastruktur) betreibt und die Personen korrekt überprüft).
  2. Überprüfen Sie die Zertifikate, die an den E-Mails dranhängen. Bei jedem Zertifikat gibt es einen „elektronischen Fingerabdruck“, eine große Zahl. Gleichen Sie diese (einmalig) telefonisch mit Ihrem Partner ab, dann wissen Sie, dass E-Mails, die mit diesem Zertifikat signiert sind, „echt“ sind.
  3. Haben Sie die nicht-vertrauenswürdigen Zertifikate aus Ihrem E-Mailprogramm entfernt (siehe 1.), dann können Sie die telefonisch überprüften Zertifikate aus 2. Ihrem E-Mail-Programm hinzufügen: In Zukunft wird Ihr E-Mailprogramm nur bei genau diesen Absendern das „Siegel“ anzeigen – und Sie müssen den Fingerabruck in Zukunft nicht mehr manuell prüfen.
  4. Das gleiche gillt für die Verschlüssellung in umgekehrter Richtung: Schließlich sollen Ihre Mails ja für den Empfänger passend verschlüsselt sein und nicht für einen dubiosen E-Mail-Partner.

Wenn Sie Fragen haben oder Verschlüsselung bei sich oder Ihrem Unternehmen einführen wollen: Sprechen Sie mich an.

 

Demnächst Pflicht für den Datenschutz? Sturmhaube oder Niqab

Freitag, 8. Juli 2011

Es klingt absurd, aber müssen wir demnächst, wenn wir uns in der Öffentlichkeit oder in Geschäften bewegen mit einer Sturmhaube oder dem Niqab, dem islamischen Gesichtsschleier, schützen, wenn wir verhindern wollen, dass selbst unser kleinteiliges Bewegungsverhalten komplett überwacht wird? Was wie ein Schreckensszenario klingt, ist technisch näher, als wir annehmen.

Gesichtserkennung und -auswertung als Technologie

Die Technologie der Gesichtserkennung in Videosequenzen oder auf Fotos ist inzwischen soweit, dass Personen schnell und weitgehend eindeutig erkannt werden. Die Technologie, einem Menschen auf einem Videos zu folgen, ist seit Jahren einsatzbereit. Kombinieren wir in Gedanken beide Techniken und malen uns das zwangsläufig entstehende Gesamtbild aus: Sie betreten das Kaufhaus Ihrer Wahl und werden von den dort schon seit Jahren vorhandenen Kameras aufgenommen. Nun jedoch wird Ihr Gesicht analysiert und Ihnen eindeutig zugeordnet. Ihre Bewegungen werden verfolgt, es wird festgehalten, vor welchen Regalen Sie stehenbleiben, welche Produkte Sie sich ansehen etc. Wenn Sie das Geschäft das nächste Mal besuchen, werden Sie erneut erkannt und Ihr Profil wird entsprechend ergänzt. Der clevere Kaufmann lässt seine Software im Internet recherchieren und findet zu dem Gesicht auch gleich Ihren Namen – oder er wartet, bis Sie mit Ihrer Kredit- oder Bankkarte bezahlen und hat auf diese Weise Ihren Namen. Doch auch ohne Sie mit Namen ansprechen zu können: Sie sind eindeutig identifiziert und verfolgt. Unser gedachter Kaufmann hat sich mit seinen Kollegen zusammengetan und tauscht die Gesichtsdaten und Ihr Verhaltensprofil in seinem Geschäft mit seinen Kollegen aus – und schon gibt es das umfassende Profil: Gegebenenfalls ohne Namen – doch lange nicht mehr anonym.

Rechtliche Zulässigkeit

Ein solches Szenario ist nicht nur in Geschäften denkbar. Auch im öffentlichen Raum gibt es ja inzwischen unzählige Überwachungskameras. Alles in allem ein realistischens Horrorszenario für unsere informationelle Selbstbestimmung. Schützen uns die bestehenden Gesetze hiervor? Eine klare und eindeutige Antwort ist hier nicht gegeben. Sicherlich nicht greift hier das „Recht am eigenen Bild“. Dieser Begriff zielt nur auf die Verbreitung oder öffentliche Zur-Schaustellung eines Bildes ab, die ja hier gerade nicht stattfindet. Schließlich werden nur die charakteristischen Kenndaten des Bildes gespeichert und verarbeitet. Das Bundesdatenschutzgesetz (BDSG) definiert in §3 Abs 1 „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“ als personenbezogene Daten, die es entsprechend schützt. Ein Gesichtsfoto fällt sicherlich hierunter – aber wie sieht es mit charakteristischen gesichtsbeschreibenden Daten aus? Auch diese sind meiner Ansicht nach als personenbezogene Daten zu verstehen, denn diese Daten lassen sich eben einer „bestimmbaren natürlichen Person“ zuordnen, bestimmbar ist die Person eben durch ein Foto. Und wie sieht es mit den Bewegungsprofilen aus? Auch diese müssen als personenbezogene Daten betrachtet werden, denn auch diese sind ja, über die charakteristischen Bilddaten und ein Foto, einer bestimmten Person zuzuordnen. Im Rahmen des Grundrechtes eines jeden Menschen auf seine informationelle Selbstbestimmung darf und kann es nicht sein, dass die beschriebenen Informationen ohne Zustimmung des Betroffenen erfasst und verarbeitet werden.

Freiwillige Zustimmung

Viele Bürger haben in den letzten Jahren vor der allgemeinen Datensammelwut resigniert. Payback- und sonstige „Kundenkarten“ sind hierfür ein trauriges Beispiel. Umso mehr ist hier der Staat gefordert, seine Bürger zu schützen. An eine freiwillige Zustimmung zu einer solchen Datenerfassung müssen daher hohe Ansprüche gestellt werden. Keinesfalls darf es ausreichen, durch einen kleinen Hinweis an einer Geschäftstür darauf hinzuweisen, dass man sich durch das Betreten des Geschäftes mit der Beobachtung einverstanden erklärt. Und dementsprechend darf es keinen implizieten Zwang geben, eine Zustimmung zu erteilen, nach dem Motto: „Wenn Sie mit der Beobachtung nicht einverstanden sind, lassen wir Sie nicht ins Geschäft und verkaufen Ihnen nichts.“ Aber vielleicht kommt dem Bürger dann ja die Religionsfreiheit und das Diskriminierunsverbot zu Hilfe: Tragen wir den Gesichtsschleier als Vollschleier, als Niqab, und behaupten, wir täten dies aus religösen Gründen.

Nun ist es eindeutig: Cloud-Verarbeitung von personenbezogenen Daten bei US-Unternehmen unzulässig!

Freitag, 1. Juli 2011

US-Behörden, besonders die Strafverfolgungsbehörden, haben Zugriff auf Daten von Kunden, die bei US-Unternehmen gespeichert sind. Dies gilt auch, wenn die Daten in europäischen Rechenzentren gespeichert werden. Nach dem „Patriot Act“ müssen US-Firmen den US-Strafverfolgungsbehörden Zugriff auf die bei Ihnen gespeicherten Daten geben, unter Umständen sogar ohne die Kunden zu informieren. Microsoft, als ein Cloud-Anbieter, gibt dies z. B. offen zu: http://www.microsoft.com/online/legal/v2/?docid=23

Doch welche Auswirkungen hat dies für Nutzer von Cloud-Diensten? Die Auswirkungen sind einfach und eindeutig:

  1. Kein Nutzer von Cloud-Diensten kann sich auf die Vertraulichkeit seines Anbieters verlassen, wenn dieser unter US-Einfluss steht.
  2. Nach bundesdeutschem Datenschutzrecht dürfen keine personenbezogenen Daten ohne Zustimmung des Betroffenen in außereuropäische Länder übertragen werden. In §4b steht: „Die Übermittlung unterbleibt, soweit der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat, insbesondere wenn bei den in Satz 1 genannten Stellen ein angemessenes Datenschutzniveau nicht gewährleistet ist.“ Die USA gelten als Land ohne angemessenes Datenschutzniveau. Hier widersprechen sich also US- und bundesdeutsches Recht. Da die Gefahr besteht, dass sich die US-Firmen als Cloud-Betreiber an US-Recht halten werden, scheiden US-Firmen als Datenverarbeitungsdienstleister für personenbezogene Daten für deutsche Firmen aus. Firmen, die also personenbezogene Daten in der Cloud bei US-Firmen speichern oder verarbeiten, verstoßen gehen das Bundesdatenschutzgesetz.

Fazit:

  1. Überprüfen Sie, ob Sie die Cloud-Dienste von Firmen nutzen, die unter US-Kontrolle stehen.
  2. Falls ja, übertragen Sie die Daten unverzüglich zu datenschutzrechtlich konformen Dienstleistern.
  3. Überprüfen Sie, ob Sie ggf. ein Sonderkündigungsrecht Ihres Vertrages mit dem US-Dienstleister haben, denn die öffentliche Aussage zu den Zugriffsmöglichkeiten ist relativ neu (28.6.2011).