Technisch-Organisatorische Maßnahmen

Startseite

Wir über uns und Impressum
Berlin
Deutschland
Europa
International
Recht
Technisch-Organisatorische Maßnahmen
Aktuelles
Adressen von Datenschutzbehörden
Materialien
Service und Verweise
Datenschutz nach Themen

Orientierungshilfe zu
Datenschutzfragen des Anschlusses von Netzen der öffentlichen Verwaltung an das Internet

Zu den Firewall-Systemen 3. Firewall-Systeme

Zur Inhaltsübersicht ZULÄSSIGKEIT VON PROTOKOLLIERUNG UND INHALTSKONTROLLE MITTELS EINER FIREWALL

 
4.1 Allgemeines

Firewalls sind selbst keine eigenständigen Telekommunikations-, Tele- oder Mediendienste, sondern als unselbstständiger Bestandteil eines solchen Dienstes zu betrachten. Daher kommt für den Betrieb einer Firewall das Datenschutzrecht zur Anwendung, das auch für den zu Grunde liegenden Dienst gilt.

Soweit öffentliche Stellen sich eines Providers bedienen, kommen aufgrund der Regelungen zur Datenverarbeitung im Auftrag ebenfalls die folgenden Grundsätze zur Anwendung.

Betroffen von einer Protokollierung durch Firewalls sind in erster Linie die Bediensteten oder Arbeitnehmer der Stelle, deren Datenverarbeitungsanlage von der Firewall geschützt werden soll, im Fall der E-mail-Kommunikation aber auch die Kommunikationspartner. Im Übrigen könnten personenbezogene Daten von externen Nutzern wie auch von Angreifern auf diese Weise verarbeitet werden.
Hinsichtlich des Umfangs und der Zulässigkeit der Protokollierung von Zugriffen, die über eine Firewall erfolgen, und der Kontrolle von Inhaltsdaten lassen sich folgende Fallkonstellationen unterscheiden:

 
4.2 Kontrolle von Inhaltsdaten bei E-mail-Kommunikation

Die Frage nach der Zulässigkeit der Kontrolle von Inhaltsdaten wird insbesondere relevant bei eingehenden E-Mails, die nicht an die Mail-Adresse einer zentralen Poststelle, sondern an die Mail-Accounts einzelner Arbeitnehmer der betreffenden Dienststelle gerichtet sind. Hierbei können folgende Fallkonstellationen unterschieden werden:

 
4.2.1 Kontrolle auf Virenbefall mittels automatischem Virencheck

Sowohl bei dienstlicher als auch bei privater Nutzung bestehen grundsätzlich gegen eine Kontrolle auf Virenbefall mittels automatischem Virencheck keine Bedenken, soweit die Kontrolle ausschließlich automatisch erfolgt und die Kenntnisnahme von den Inhalten privater E-Mails durch Vertreter der Dienststelle (z. B. den Systemadministrator) nicht ohne Einwilligung des Benutzers erfolgt.

Dadurch kann allerdings eine dezentrale Überprüfung der Dateien auf Viren nicht bzw. nicht vollständig ersetzt werden, da Virencheckprogramme Viren, die in verschlüsselten E-Mails enthalten sind, nicht erkennen können. Mindestens für diese E-Mails muss daher nach der Entschlüsselung eine Virenüberprüfung beim Benutzer selbst erfolgen.

 
4.2.2 Kontrolle eingehender dienstlicher E-Mails

Wie bei herkömmlicher Post können Vorgesetzte sich auch eingegangene dienstliche E-Mails von den betreffenden Mitarbeitern vorlegen lassen. Der Arbeitnehmer hat auf Verlangen dem Arbeitgeber Ausdrucke der E-Mails auszuhändigen bzw. diesen den Zugang zu den E-Mails zu ermöglichen.

 
4.2.3 Kontrolle eingehender privater E-Mails

Soweit die private Nutzung des E-Mail-Dienstes gestattet ist, ist der Arbeitgeber insoweit als Anbieter von Telediensten einzuordnen und unterliegt damit in Bezug auf die Protokollierung den Vorschriften des Teledienstedatenschutzgesetzes (TDDSG) über die Verarbeitung personenbezogener Daten. Im Hinblick auf den Inhalt der privaten E-Mails der Beschäftigten hat er auch das Fernmeldegeheimnis nach § 85 Telekommunikationsgesetz (TKG) zu wahren. Daraus folgt insbesondere, dass es ihm untersagt ist, sich oder anderen über das für die Erbringung des Dienstes erforderliche Maß hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen. Die Weitergabe von Informationen, die dem Fernmeldegeheimnis unterliegen, ist strafbewehrt.

Wenn die private Nutzung von E-Mail zugelassen wird, ergibt sich die Notwendigkeit, dienstliche und private E-Mails zu trennen. Hat der Mitarbeiter eine personalisierte E-Mail-Adresse nach dem Muster „Vorname.Name@Behörde.de“, so kann nicht ausgeschlossen werden, dass eingehende Mails nicht an die Behörde, sondern an den Mitarbeiter privat gerichtet sind. Dieses Problem kann dadurch gelöst werden, dass den Beschäftigten für die dienstliche und die private Benutzung von E-Mail verschiedene E-Mail-Adressen zugewiesen werden.
Unabhängig vom Aufbau und der Differenzierung der E-Mail-Adressen einer Behörde gilt, dass private E-Mails, die beim Posteingang fälschlich zunächst als dienstliche E-Mails angesehen wurden, so zu behandeln sind, wie bei der Behörde eingegangene, für einen Mitarbeiter bestimmte private Schreiben, deren privater Charakter nicht besonders, etwa durch den Zusatz „persönlich“ gekennzeichnet ist. Sobald der private Charakter dieser E-Mails erkannt wurde, sind sie unverzüglich dem betreffenden Mitarbeiter zur alleinigen Kenntnis zu geben.

 
4.2.4 Kontrolle ausgehender E-Mails

Auch bei ausgehenden E-Mails kann die automatische Kontrolle auf Virenbefall sinnvoll sein. Zwar träfe der Schaden hier den Empfänger, dies kann allerdings eine Rufschädigung der absendenden Stelle zur Folge haben. Ausgehende private E-Mails sind genauso vom Fernmeldegeheimnis geschützt wie die eingehenden, so dass die inhaltliche Überprüfung ausscheidet.

Hinsichtlich ausgehender dienstlicher E-Mails gilt grundsätzlich das oben zu den eingehenden dienstlichen E-Mails Gesagte entsprechend. Die Vertreter der Dienststelle müssen feststellen können, welche Inhalte in dienstlichen E-Mails nach außen gelangt sind. Die Kontrolle der Inhalte durch die Vorgesetzten ist daher ohne weiteres zulässig. Darüber hinausgehend wäre es technisch durch den Einsatz entsprechender Auswertungsprogramme auch möglich, z. B. anhand der Absendezeiten und Länge der E-Mails oder mit der gezielten automatischen Suche nach darin verwendeten Begriffen eine umfassende Leistungs- und Verhaltenskontrolle zu bewirken. Der Einsatz derartiger Programme stellt allerdings einen weitgehenden Eingriff in das Persönlichkeitsrecht der Beschäftigten dar und ist daher lediglich in Ausnahmefällen und auch dann nur aufgrund einer Dienstvereinbarung zulässig.

 
4.3 Protokollierung von Internet-Zugriffen mittels einer Firewall

Für Art und Umfang der Protokollierung lassen sich vor allem zwei Szenarien unterscheiden:
  • Die Firewall dient lediglich der Abschottung des internen Netzes gegen das Internet, Zugriffe von außen sind grundsätzlich nicht zugelassen. In diesem Szenario kommt die Protokollierung der zulässigerweise von innen erfolgenden Zugriffe der Mitarbeiter auf das Internet in Betracht. Dabei ist zwischen den Zugriffen bei dienstlicher und bei privater Nutzung zu unterscheiden. Außerdem kann die Protokollierung dazu dienen, den Versuch eines unzulässigen Zugriffs von außen rechtzeitig zu erkennen.
  • In einem anderen Szenario geht es um Zugriffe von außen auf Komponenten des internen Netzes, die dafür grundsätzlich vorgesehen sind (z. B. Web-Server). Die selbstverständlich möglichen Mischformen bleiben der Einfachheit halber außer Betracht.
Ordnet man die Maßnahmen nach ihrer Zielrichtung, ergibt sich daraus folgendes Schema:



Abbildung 4.1: Protokollierung von Internetzugriffen

Soweit zur Aufrechterhaltung der Datensicherheit die Protokollierung erforderlich ist, stellt sich die Frage, wie lange die dabei erzeugten Logfiles aufbewahrt werden dürfen. Dies muss für den Einzelfall entschieden werden. Die Daten sind zu löschen, sobald sie für Zwecke der Datensicherheit nicht mehr erforderlich sind.

 
4.3.1 Protokollierung der von innen erfolgenden Zugriffe (Protokollierung von Mitarbeiterdaten)

Sämtliche Maßnahmen der Inhaltskontrolle und Protokollierung sind geeignet, die Beschäftigten einer Organisation zu überwachen und ihre Leistung und ihr Verhalten zu kontrollieren. In jedem Fall muss für die Betroffenen transparent sein, welche potenziell zur Überwachung ihres Verhaltens geeigneten Maßnahmen aktiviert sind. Derartige Maßnahmen unterliegen außerdem ohne Ausnahme der Mitbestimmung der gewählten Mitarbeitervertretungen (Personalrat bzw. Betriebsrat). Da – wie im Folgenden dargelegt wird – eine Reihe von Einzelfragen zu klären sind, bietet es sich an, zu diesen Themen eine Dienst- bzw. Betriebsvereinbarung abzuschließen.

Vorab ist festzuhalten, dass die Protokolldaten in allen Fällen den besonderen Zweckbindungsvorschriften des § 14 Abs. 4 BDSG bzw. der entsprechenden Vorschriften der Landesdatenschutzgesetze (z. B. § 11 Abs. 5 BlnDSG) unterliegen, soweit die Protokollierung der Aufrechterhaltung der Datensicherheit dient.

Grundsätzlich ist eine pauschale, flächendeckende und „vorbeugende“ Protokollierung aller Internet-Zugriffe der Mitarbeiter zur Verhaltens- und Leistungskontrolle nicht erforderlich und damit unzulässig. Gleiches gilt auch bei der Nutzung eines Intranet. Hier sollte regelmäßig der Sperrung unerwünschter Angebote bzw. der Beschränkung des Zugriffs auf dienstlich erforderliche Angebote der Vorzug gegeben werden.

Für alle Kontrollmaßnahmen ergibt sich eine grundsätzliche Weichenstellung bei der Frage, ob den Nutzern die private Verwendung des dienstlichen Internetanschlusses erlaubt ist. Für den Dienstherrn bzw. Arbeitgeber besteht keine Pflicht, die private Nutzung zuzulassen. Ist die private Nutzung gestattet, so greift das Fernmeldegeheimnis nach § 85 TKG. Dieses umfasst den Inhalt der Telekommunikation und deren nähere Umstände (wer hat wann mit wem kommuniziert oder dies versucht?). Sämtliche Kontrollmaßnahmen sind dann nur noch unter sehr engen Voraussetzungen zulässig.

 
4.3.1.1 Dienstliche Nutzung

Beim Bereitstellen eines Internet-Zugangs für die ausschließlich dienstliche Nutzung handelt es sich nicht um einen Teledienst im Sinne des Teledienstegesetzes (TDG). Der Arbeitgeber bietet dem Arbeitnehmer keinen Dienst an, sondern stellt ihm lediglich ein Arbeitsmittel zur Verfügung; bei diesem „In-Sich-Verhältnis“ fehlt das vom Teledienstegesetz vorausgesetzte Merkmal, dass es sich bei Diensteanbieter und Nutzer um zwei unterschiedliche Rechtssubjekte handelt (vgl. § 3 TDG). Damit finden die Vorschriften des Teledienstedatenschutzgesetzes auf die Protokollierung der ausschließlich dienstlichen Nutzung von Telediensten keine Anwendung.

Zulässigkeit und Umfang der Protokollierung richtet sich in diesen Fällen vielmehr nach den Vorschriften, die auf die Verarbeitung von Daten im jeweiligen Beschäftigungsverhältnis Anwendung finden, also z. B. nach dem jeweiligen Landesdatenschutz- bzw. Landesbeamtengesetz. Art und Umfang einer Protokollierung sollte durch eine Dienstvereinbarung geregelt werden.

Dagegen sollte die Protokollierung der dienstlichen Nutzung nicht auf die Einwilligung der Arbeitnehmer gestützt werden, da es auf Grund der Abhängigkeit im Beschäftigungsverhältnis häufig an der erforderlichen Freiwilligkeit der Einwilligung fehlt.

Bei der dienstlichen Nutzung hat der Arbeitgeber grundsätzlich auch das Recht zu prüfen, ob das Surfen der Mitarbeiter im WWW tatsächlich vollständig dienstlich motiviert war. Allerdings gilt hier, wie bei der Kontrolle der ausgehenden dienstlichen E-Mails, dass eine automatisierte Vollkontrolle im Hinblick auf das Persönlichkeitsrecht der Beschäftigten auf erhebliche Bedenken stößt. In jedem Fall müssen die Beschäftigten auf die geplanten Überwachungsmaßnahmen und die drohenden Sanktionen ausdrücklich hingewiesen werden.

In der Regel geht es darum zu vermeiden, dass Mitarbeiter in der Arbeitszeit und unter Nutzung dienstlicher Ressourcen aus rein privatem Interesse auf Informationen zugreifen. Daher sollten nach Möglichkeit die bekanntesten Angebote (z. B. erotische Angebote, Spiele oder Börsenkurse) bereits gesperrt sein. Umgekehrt wäre es auch denkbar, die Zugriffe auf dienstlich erforderliche Angebote zu beschränken (Positivliste). Um weiteren Missbrauch zu verhindern, bietet es sich an, in einer Dienstvereinbarung datenschutzfreundliche Verfahren (z. B. stufenweise, zunächst nicht personenbezogene, Protokollierung der Zugriffe) festzulegen.

 
4.3.1.2 Private Nutzung

Bei der privaten Nutzung eines vom Dienstherren zur Verfügung gestellten Internet-Zuganges handelt es sich um die Nutzung eines Teledienstes im Sinne des Teledienstegesetzes. Wenn der Arbeitgeber die private Nutzung gestattet, wird er damit zum Dienstanbieter im Sinne des § 3 des TDG. Art und Umfang der Protokollierung von Nutzungs- und Abrechnungsdaten richten sich nach § 6 des TDDSG. Außerdem gilt das Fernmeldegeheimnis aus § 85 TKG. Sind bestimmte Protokollierungen aus technischer Sicht für die Aufrechterhaltung eines regelgerechten Firewall-Betriebs unabdingbar, können sie ergänzend auf § 9 BDSG nebst Anlage bzw. die entsprechenden Vorschriften der Landesdatenschutzgesetze gestützt werden.

 
4.3.2 Protokollierung der von außen (aus dem Internet) erfolgenden Zugriffe

 
4.3.2.1 Nur Anschluss des internen Netzes an das Internet; keine Angebote der öffentlichen Stelle nach außen

In diesen Fällen ist die Firewall nicht Bestandteil eines Tele- bzw. Mediendienstes. Die Vorschriften des Teledienstegesetzes bzw. des Teledienstedatenschutzgesetzes finden daher keine Anwendung.

Zulässigkeit und Umfang der Protokollierung richten sich nach § 9 BDSG und Anlage. Für öffentliche Stellen des Bundes kommt als Rechtsgrundlage § 14 BDSG in Betracht; in den Ländern ggf. entsprechende Vorschriften der Landesdatenschutzgesetze.

 
4.3.2.2 Angebot nach außen (Web-Server)

Soll über eine Firewall der Zugriff auf einen Web-Server einer öffentlichen Stelle aus dem Internet reguliert werden, so bemisst sich die rechtliche Einordnung der Firewall nach der Einordnung des Angebots, das die öffentliche Stelle auf dem betreffenden Web-Server macht.

Dabei kann es sich – je nach Art des Angebotes – entweder um einen Teledienst im Sinne des Teledienstegesetzes handeln, aber auch um einen Mediendienst nach dem Mediendienste-Staatsvertrag (MDStV). Zulässigkeit und Umfang der Protokollierung von Nutzungs- und Abrechnungsdaten richten sich nach § 6 TDDSG bzw. § 15 MDStV.

Für Zwecke der Datensicherung kann die Protokollierung auf § 9 BDSG und Anlage bzw. für öffentliche Stellen des Bundes ergänzend auf § 14 BDSG, in den Ländern auf entsprechende Vorschriften der Landesdatenschutzgesetze gestützt werden.

Die Protokollierung ist dabei auf das unabdingbar Notwendige zu begrenzen; der Anbieter unterliegt hier den Verpflichtungen zur datenarmen Gestaltung des Tele- bzw. Mediendienstes gemäß § 3 Abs. 4 TDDSG bzw. § 13 Abs. 5 MDStV.

Soweit die Protokollierung personenbezogen erfolgt, unterliegt der Anbieter darüber hinaus den Informationspflichten nach § 3 Abs. 5 TDDSG bzw. § 12 Abs. 6 MDStV auch hinsichtlich der Protokollierung personenbezogener Daten auf der Firewall.

Soweit die Daten zur Gewährleistung der Datensicherheit oder des Datenschutzes gespeichert werden, unterliegen sie der besonderen Zweckbindung nach § 14 Abs. 4 BDSG bzw. den entsprechenden Vorschriften der Landesdatenschutzgesetze (z. B. § 11 Abs. 5 BlnDSG).

In dieser Konstellation kann die Protokollierung an der Firewall nicht auf die Einwilligung des bzw. der Betroffenen gestützt werden, da eine rechtswirksame Einholung der Einwilligung von Betroffenen auf Grund der technischen Gegebenheiten im Internet nicht möglich ist.
5. Auswahl und Umsetzung der Sicherheitsmaßnahmen;
Betriebsphase		 Zur Betriebsphase
 
Seitenanfang  
 Letzte Änderung:
 am 26.07.2000		  
E-Mail an den Webmaster