Was beim Sniffen erlaubt ist und was nicht

© imagesource, 123RF

Chef hört mit

,
Ein Unternehmer möchte Fehlern in seinem Netz auf den Grund gehen und den Netzwerkverkehr aufzeichnen, um ihn zu analysieren. Was aber sagt das Datenschutzrecht dazu?
Egal, um welchen Dienst es sich dreht, den Benutzern geht es immer zu langsam. Der Schwerpunkt des ADMIN-Magazins 05/2011 verrät, mit welchen Tools man ... (mehr)

Jedes Unternehmen ist daran interessiert, IT-Probleme möglichst zu vermeiden oder, so schnell es geht, zu beheben. Soweit dabei das Netzwerk im Spiel ist, hilft es zuweilen, wenn man analysiert, was genau übertragen wurde. Je nachdem, ob man nur einen bestimmten Rechner oder den gesamten Netzwerkverkehr überwacht oder mitschneidet, gelangt man dabei zwangsläufig an die unterschiedlichsten Protokoll- und/oder Benutzungsdaten von Betriebssystemen, Softwareanwendungen, Online-Abrufen, Telekommunikationsanlagen, Routern, E-Mail-Servern, Firewalls, Proxy-Servern und so weiter. Der Administrator hat Einblick in E-Mail-Kommunikationen, beispielsweise wer an wen wann eine E-Mail versandt hat, sieht E-Mail-Adressen von Empfängern, etwa von Freunden der Angestellten und kann auch den Inhalt von E-Mails einsehen. Auch sämtliche Websites, die besucht wurden, lassen sich mitloggen. Es fallen sehr viele sensible Daten an. Der Chef erfährt so unter Umständen Sachen, die ihn nichts angehen. Nicht nur juristisch, auch in technischer Hinsicht, ist eine uneingeschränkte Netzwerküberwachung problematisch: Die anfallende Datenmenge wäre bei einem kompletten Mitschnitt sehr groß. In der Praxis wird der Netzwerkverkehr daher oft nur anlässlich eines konkreten Fehlers protokolliert oder überwacht. Dies ist auch in datenschutzrechtlicher Hinsicht zu empfehlen.

Ist Sniffen erlaubt?

Grundsätzlich gilt: Das Datenschutzrecht verbietet es, den Netzwerkverkehr uneingeschränkt und vollständig zu überwachen oder mitzuschneiden – ohne Differenzierung für den Einzelfall. Eine teilweise oder vorübergehende Überwachung kann aus bestimmten Gründen erlaubt sein. Es kommt dafür auf den Zweck der Überwachung und auf die Art der erfassten Daten an.

Nicht jeder Datensatz ist geschützt. Datenschutzgesetze wie das Telekommunikationgesetz (TKG), das Telemediengesetz (TMG) und das Bundesdatenschutzgesetz (BDSG) schützen ausschließlich personenbezogene Daten. Das sind nach § 3 BDSG: "Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person".

Schutzwürdige Daten sind zum Beispiel Name, Geburtsdatum, Adresse sowie Kontodaten, Patientenakten, Informationen über die ethnische Herkunft, die politische oder sexuelle Orientierung. Entscheidend ist, ob eine Person anhand der Daten direkt oder mittelbar zu identifizieren ist.

Insbesondere bei IP-Adressen scheiden sich die Geister. Man kann intern leicht feststellen, wer mit welcher IP-Adresse an welchem Rechner wo im Internet war. Darf man diese Daten unbefristet speichern oder die IP-Adressen der Nutzer der Website? Das Amtsgericht Berlin-Mitte (AZ: 5 C 314/06) geht davon aus, dass IP-Adressen personenbezogene Daten seien und untersagte dem Bundesministerium der Justiz (BMJ), die IP-Adressen der Nutzer der Webseite des BMJ zu speichern. Diese Ansicht teilten das schweizerische Bundesgericht im September 2010 sowie der Düsseldorfer Kreis, eine Expertenrunde deutscher Datenschützer. Anderer Meinung ist das Amtsgericht München (Urteil v. 30.09.08; AZ: 133 C 5677/08): Aufgrund der dynamischen Vergabe von IP-Adressen sei der Personenbezug nur temporär, weshalb davon ausgegangen werden könne, dass IP-Adressen keine personenbezogenen Daten seien. Dieser Streit könnte sich lösen, wenn mithilfe von IPv6 jeder nur noch statisch vergebene Adressen nutzt. Dann bestünde der Personenbezug dauerhaft und eine IP-Adresse würde unumstritten zum personenbezogenen Datum.

Sind die Mitarbeiter einverstanden?

Oberstes Gebot im Datenschutz ist die Datenvermeidung. Es sollen nur so wenig personenbezogene Daten wie möglich gespeichert werden. Um so geringer ist die Missbrauchsgefahr. Ferner dürfen Daten nur für einen bestimmten Zweck erhoben und später dann allein dazu verwendet werden. Darüber hinaus erlauben es deutsche Datenschutzvorschriften nur unter engen Voraussetzungen, personenbezogene Daten zu erheben, zu verarbeiten oder zu speichern. Voraussetzung ist: Entweder erlaubt dies ein Gesetz ausdrücklich, oder derjenige, auf den sich die Daten beziehen, hat sich im Vorfeld damit einverstanden erklärt. Das kann etwa im Arbeitsvertrag erfolgt sein, einem Annex dazu, einer separaten Einwilligung zur Datenspeicherung (§ 4 a BDSG) oder der Arbeitgeber hat in einer Betriebsvereinbarung die gelegentliche Netzwerküberwachung geregelt (siehe Kasten).

Eine Einwilligung muss im Vorfeld, schriftlich und freiwillig erfolgen. Der Betroffene muss über den genauen Umfang der Einwilligung Bescheid wissen. Ändern sich Umstände, ist die Einwilligung zu erneuern. Sie gilt immer nur für den darin jeweils genau formulierten Zweck der Datenerhebung. Eine Einwilligung von allen Betroffenen einzuholen, ist oft kompliziert und zeitaufwendig. Bei einer E-Mail etwa müssten theoretisch Absender und Empfänger der Überwachung zustimmen. Es ist daher immer besser, wenn das Gesetz eine Speicherung erlaubt. Je nach konkretem Sachverhalt gibt es einige Paragrafen, nach denen die Protokollierung von Unternehmensdaten zur IT-Sicherheit ohne mühsame Einwilligung erlaubt ist.

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023