Datenschutz in der IT-Forensik: Unterschied zwischen den Versionen

Aus IT-Forensik Wiki
(Die Seite wurde neu angelegt: „Der '''Datenschutz in der IT-Forensik''' ist ein bedeutsamer Einflussfaktor, da bei einer Verletzung von datenschutzrechtlichen Vorgaben ggf. ein Verwertungsve…“)
 
Zeile 68: Zeile 68:
Gleichzeitig ist es jedoch unzulässig, den Kreis auf weitere bzw. alle Beschäftigte zu erweitern, sollte die Maßnahme keine Erkenntnisse bringen<ref>Gola, 2019, S. 390, Rn. 1755</ref>.
Gleichzeitig ist es jedoch unzulässig, den Kreis auf weitere bzw. alle Beschäftigte zu erweitern, sollte die Maßnahme keine Erkenntnisse bringen<ref>Gola, 2019, S. 390, Rn. 1755</ref>.


=== Betriebsvereinbarungen (Art. 88 DS-GVO i. V. m. § 26 Abs. 4 BDSG) ===
=== Betriebsvereinbarungen (Art. 6 Abs. 1 Uabs. 1 lit. c, Art. 88 DS-GVO i. V. m. § 26 Abs. 4 BDSG) ===


Betriebsvereinbarungen können die Vorbereitung und Durchführung IT-forensischer Maßnahmen regeln<ref>Ströbel, Böhm, Breunig, Wybitul, 2018, 19</ref>, hierbei sollten insbesondere geregelt werden:
Betriebsvereinbarungen können die Vorbereitung und Durchführung IT-forensischer Maßnahmen regeln<ref>Ströbel, Böhm, Breunig, Wybitul, 2018, 19</ref>, hierbei sollten insbesondere geregelt werden:

Version vom 15. August 2019, 12:29 Uhr

Der Datenschutz in der IT-Forensik ist ein bedeutsamer Einflussfaktor, da bei einer Verletzung von datenschutzrechtlichen Vorgaben ggf. ein Verwertungsverbot der Ergebnisse (IT-) forensischer Ermittlungen im Rahmen von straf-, zivil- und arbeitsrechtlichen Auseinandersetzungen entstehen kann[1] – sind die Voraussetzungen jedoch eingehalten, sind die erhobenen Daten jedoch stets verwertbar[2]. Da jede forensische Untersuchung im Kern auch eine Identifikation des Angreifers als Zielsetzung hat[3], sollten die Vorgaben des Datenschutzes stets beachtet werden, um eine gerichtsfeste Untersuchung gewährleisten zu können. Neben den personenbezogenen Daten von Verdächtigen sind in fast allen Fällen auch im Rahmen von IT-forensischen Tätigkeiten Unbeteiligte betroffen (z. B. im Rahmen eines E-Mail-Screenings), deren personenbezogene Daten ebenfalls zu schützen sind. Bei einem Verstoß gegen datenschutzrechtliche Vorgaben können negative Folgen eintreten:

  • Rufschädigung, negative Pressemeldungen
  • Bußgelder gegen den Verarbeiter (Art. 83 DS-GVO)
  • Schadenersatzansprüche von Betroffenen (Art. 82 DS-GVO)
  • strafrechtliche Ermittlungen (z. B. Ausspähen von Daten (§ 202a StGB), Verletzung des Post- und Fernmeldegeheimnisses (§ 206 StGB))
  • Beweisverwertungsverbote

Die nachfolgenden Ausführungen gelten nur für interne Untersuchungen durch nicht-öffentliche Stellen. Dieser Eintrag dient der allgemeinen Bildung und Information, nicht der Beratung bei individuellen rechtlichen Anliegen. Alle Inhalte sind ständigen Veränderungen unterworfen.

Da grundsätzlich in jeder IT-forensischen Untersuchung personenbezogene Daten verarbeitet werden, stellt diese eine Verarbeitungstätigkeit dar, an welche die Anforderungen der Datenschutz-Grundverordnung anzulegen sind.

IT-forensische Untersuchungen sind grundsätzlich nur auf die im Eigentum bzw. unter der Kontrolle des Unternehmens stehenden IT-Systeme beschränkt.

Erlaubnistatbestände

Zweckänderung

Wenn bereits zu einem anderen Zweck erhobene Daten im Rahmen der Untersuchung genutzt werden, so liegt eine Zweckänderung vor, z. B. im Rahmen von Routinekontrollen entdeckten Compliance-Verstößen[4]. Selbiges gilt auch für „Zufallsfunde“ im Rahmen einer IT-forensischen Maßnahme, die eigentlich ein anderes Ziel erfüllen soll. In der Folge ist nach Art. 5 Abs. 1 lit. b DS-GVO eine erneute Prüfung der Rechtsgrundlage notwendig[5].

In Bezug auf Beschäftigte

Als Beschäftigte gelten alle Personen nach § 26 Abs. 8 BDSG.

Einwilligung (Art. 6 Abs. 1 UAbs. 1 Nr. 1 DS-GVO i. V. M. § 26 Abs. 2 BDSG)

Eine Einwilligung von Beschäftigten in forensische Maßnahmen ist grundsätzlich möglich, jedoch aus vielerlei Hinsicht problematisch:

  • Die Einwilligung muss informiert (d. h. auf den konkreten, jeweiligen Zweck bezogen – eine abstrakte Beschreibung ist nicht ausreichend[6]) erfolgen; somit ist gegenüber dem Betroffenen auch der Ermittlungszweck zu offenbaren, was aus ermittlungstaktischer Sicht häufig nicht gewünscht ist[7].
  • Die Einwilligung muss freiwillig erfolgen; insbesondere im Beschäftigungskontext werden durch § 26 Abs.2 BDSG hohe Hürden an die Freiwilligkeit gestellt. Wenn der Betroffene zugleich Verdächtiger ist, dann laufen die Interessen des Arbeitgebers und des Arbeitnehmers in verschiedene Richtungen, so dass ein selbstbestimmtes Handeln des Betroffenen häufig nicht angenommen werden kann – zumal auch eine Verweigerung der Einwilligung oftmals zu einer „Vorverurteilung“ führen kann[8]).
  • Die grundsätzliche Widerrufbarkeit einer Einwilligung führt dazu, dass ab dem Zeitpunkt eines Widerrufs die personenbezogenen Daten des Betroffenen nicht mehr (weiter-) verarbeitet werden dürfen (vgl. Art. 7 Abs. 3 DS-GVO), was IT-forensischen Untersuchungen deutlich erschwert bzw. sogar unmöglich macht.
  • Weiterhin ist davon auszugehen, dass gerade im Anfangsstadium einer IT-forensischen Untersuchung die personenbezogenen Daten vieler Betroffener verarbeitet werden – sofern nun von jedem dieser betroffenen Personen eine Einwilligung eingeholt werden soll, dürfte dies aus Zeit- und Ressourcengründen kaum möglich sein.

Verarbeitung zum Zwecke des Beschäftigungsverhältnisses (§ 26 Abs. 1 S. 1 BDSG)

In Abhängigkeit vom unterliegenden Sachverhalt, kann eine IT-forensische Maßnahme auf § 26 Abs. 1 S. 1 BDSG gestützt werden.

Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.

§ 26 Abs. 1 S. 1 BDSG

Zur Durchführung (und ggf. Beendigung) des Beschäftigungsverhältnisses gehören forensische Maßnahmen dann, wenn der unterliegende Sachverhalt zwar keine Straftat darstellt, jedoch eine schwerwiegende Pflichtverletzung des Beschäftigten zugrunde liegt. Der Verdacht muss dabei konkret, mit objektivierbaren Anhaltspunkten belegbar sein und ein fortgesetztes Verhalten darstellen[9]. Die Untersuchung muss jedoch dazu verhältnismäßig sein[10] (s. u.).

Straftaten im Beschäftigungsverhältnis (§ 26 Abs. 1 S. 2 BDSG)

Sofern der der IT-forensischen Untersuchung zugrunde liegende Sachverhalt eine Straftat darstellt, kann § 26 Abs. 1 S. 2 BDSG als Erlaubnis für die Verarbeitung herangezogen werden:

Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

§ 26 Abs. 1 S. 2 BDSG

Um sich auf diesen Erlaubnistatbestand stützen zu können, müssen mehrere Kriterien erfüllt sein:

Aufklärung einer Straftat

Der (ausreichende) Anfangsverdacht[11] muss auf hinreichend konkreten Tatsachen beruhen, welche über „vage“ Anhaltspunkte hinausgehen, so dass eine IT-forensische Untersuchung „ins Blaue hinein“ unzulässig ist[12].

Die Stärke des Verdachtes ist auch im Rahmen der Verhältnismäßigkeitsprüfung (s. u.) von Relevanz, mit welchen Maßnahmen die Untersuchung durchgeführt werden kann[13].

Straftat im Beschäftigungsverhältnis

Hierbei ist das „Beschäftigungsverhältnis“ dahingehend auszulegen, dass ein Verdächtiger Beschäftigter i. S. d. § 26 Abs. 8 BDSG ist und die Straftat sich (zuvorderst) gegen das Unternehmen richtet. Andere Straftaten dürfen grundsätzlich nur durch den Staat ermittelt werden, wobei hier aber das Recht zur Hilfeleistung durch das Unternehmen besteht, vgl. § 21 Abs. 1 Nr. 1 BDSG; in der Folge dürfen personenbezogene Daten auch bei (Nicht-Bagatell-) Straftaten an Polizei, Staatsanwaltschaft etc. weitergegeben werden[14].

Kreis der „Verdächtigen“

Der Verdacht muss zumindest gegenüber einem so weit wie möglich abgegrenzten Kreis (räumlich und funktional) von Beschäftigten bestehen; dies bedeutet jedoch nicht, dass nur diese Gruppe Betroffene der Verarbeitung sein dürfen – in der Folge ist auch eine Verwertung von Zufallsfunden möglich[15].

Gleichzeitig ist es jedoch unzulässig, den Kreis auf weitere bzw. alle Beschäftigte zu erweitern, sollte die Maßnahme keine Erkenntnisse bringen[16].

Betriebsvereinbarungen (Art. 6 Abs. 1 Uabs. 1 lit. c, Art. 88 DS-GVO i. V. m. § 26 Abs. 4 BDSG)

Betriebsvereinbarungen können die Vorbereitung und Durchführung IT-forensischer Maßnahmen regeln[17], hierbei sollten insbesondere geregelt werden:

  • Kriterien / Tatbestände zur Durchführung IT-forensischer Maßnahmen; hierbei sollte aber stets die Möglichkeit der Abwägung durch den Arbeitgeber offenbleiben
  • Zeitpunkte bzw. Umstände, wann der Betriebsrat in die Untersuchung einzubinden ist
  • Regelungen zum Schutz der personenbezogenen Daten im Rahmen der Untersuchungen
  • Vorgaben an die Transparenz, insbesondere zur Information nicht-verdächtigter Betroffener, deren Daten im Rahmen der Untersuchung verarbeitet werden

Nach Abschluss einer solchen Betriebsvereinbarung kann diese als Erlaubnistatbestand für IT-forensische Untersuchungen dienen.

In Bezug auf Dritte

Da bei IT-forensischen Maßnahmen häufig auch Dritte betroffen sind, richtet sich hier die Verarbeitung nach den Vorgaben des berechtigten Interesses (Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO); sofern die Untersuchung nach den Maßstäben der Verhältnismäßigkeitsprüfung gerechtfertigt ist, kann hiervon ausgegangen werden[18]. Jedoch finden auch hier die Maßstäbe des Art. 5 DS-GVO, insbesondere die Datenminimierung, Anwendung. Weiterhin sollte eine umfangreichere Abwägung durchgeführt werden, wenn besondere Kategorien personenbezogener Daten (z. B. Gesundheitsdaten, vgl. Art. 9 DS-GVO) der Dritten verarbeitet werden. Dabei sind insbesondere folgende Aspekte zu berücksichtigen[19]:

  • Der Arbeitgeber kann dieselben Interessen anführen wie gegenüber den Beschäftigten.
  • Dritte sind häufig Gegenstand der Untersuchung, ohne hierfür einen Anlass gegeben zu haben.
  • Es besteht regelmäßig kein Abhängigkeitsverhältnis zwischen Dritten und dem Arbeitgeber.
  • Das erzeugte Risiko der Ermittlungen übersteigt das allgemeine Risiko, einem unberechtigten Verdacht ausgesetzt zu sein.

Straftaten Dritter dürfen nicht eigenständig forensisch untersucht werden, sondern sind an die Strafverfolgungsbehörden abzugeben[20].

Besondere Kategorien personenbezogener Daten

Sollten im Rahmen der IT-forensischen Maßnahmen besondere Kategorien personenbezogener Daten (z. B. zu Gesundheitszustand, Gewerkschaftszugehörigkeit etc., vgl. Art. 9 Abs. 1 DS-GVO) verarbeitet werden bzw. ist dies zu erwarten, so sind die Vorgaben des Art. 9 Abs. 2 DS-GVO in Bezug auf die Rechtmäßigkeit zu beachten.

Verhältnismäßigkeitsprüfung der Maßnahme

Für die IT-forensischen Maßnahmen ist für jeden Einzelfall eine dreistufige Verhältnismäßigkeitsprüfung durchzuführen:

Geeignetheit

Der Aufklärungszweck muss zumindest durch die Maßnahme gefördert werden[21], d. h. die benötigten Informationen bzw. Beweismittel müssen durch die Maßnahme erbracht werden können. Somit müssen Verdachtsmomente vorliegen, die darauf schließen lassen, dass die Informationen in dem zu untersuchenden System gefunden werden können.

Erforderlichkeit

Die Verarbeitung der Daten muss zur Zweckerreichung erforderlich sein, also unter „allen gleich geeigneten Mitteln dasjenige sein, das die [Rechte] des Betroffenen am wenigsten einschränkt, wobei keine weniger einschränkenden, aber gleich geeigneten Mittel zur Verfügung stehen dürfen“[22] („ultima ratio“). Sollte z. B. einem Abrechnungsbetrug nachgegangen werden, so muss eine Untersuchung der Buchungsbelege im ERP einer Volluntersuchung des Arbeitsplatz-PCs des Verdächtigen (in einem ersten Schritt) vorgezogen werden.

Dies gilt insbesondere für „heimliche“ IT-forensische Maßnahmen, wie etwa ein Einsatz von Keyloggern o. ä., welche nur dann zulässig ist, wenn „der konkrete Verdacht einer strafbaren Handlung oder einer anderen schweren Verfehlung zulasten des Arbeitgebers besteht, weniger einschneidende Mittel zur Aufklärung des Verdachts ausgeschöpft sind“[23]. Eine offene Vorgehensweise darf nicht mehr erfolgsversprechend sein; eine Gefährdung des Ermittlungserfolges sollte als Rechtfertigung die absolute Ausnahme darstellen[24]. Weiterhin sind die Gründe zu dokumentieren, da ggf. vom Direkterhebungsgrundsatz abgewichen wird[25].

Angemessenheit

Abschließend sind Informations- und Beweisinteresse des Arbeitgebers gegen das Recht des Betroffenen am Datenschutz abzuwägen. Dabei sind zu berücksichtigen[26]:

  • Verdachtsgrad
  • Schwere der vermuteten Straftat bzw. Pflichtvergehens
  • Zahl der Betroffenen[27]
  • Heimlichkeit des Vorgehens
  • Dauer der Maßnahme
  • Wahl und Intensität der verwendeten Mittel (z. B. Keylogging vs. automatisierte Screenshots)
  • Umfang und Arten (v. a. besondere Kategorien) der personenbezogenen Daten, Möglichkeit zur Anonymisierung bzw. Pseudonymisierung
  • mögliche Folgen für die Betroffenen (jedoch gilt: „Datenschutz ist kein Täterschutz“)

Das Aufklärungsinteresse muss objektiv so stark sein, dass es das Interesse des Beschäftigten am Schutz seines Persönlichkeitsrechts und an der Unverletzbarkeit seiner Privatsphäre überwiegen muss[28].

Transparenz und Betroffenenrechte

Grundsätzlich sind Betroffene vor Beginn der Verarbeitung über diese zu informieren (Artt. 13, 14 DS-GVO); jedoch dürfte dies (insbesondere bei Verdächtigen) regelmäßig den Untersuchungszweck gefährden. Dies gilt entsprechend auch in Bezug auf ein Auskunftsbegehren von Betroffenen, wodurch alle verarbeiteten personenbezogenen Daten und Verarbeitungszwecke dem Betroffenen darzulegen sind (Art. 15 DS-GVO). Um einer etwaigen Verdunklungsgefahr entgegentreten zu können, sollte geprüft werden, ob derartige Informationen entbehrlich sind[29], auf Grund

  • § 32 Abs. 1 Nr. 4 BDSG: „wenn die Erteilung der Information über die beabsichtigte Weiterverarbeitung die Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche beeinträchtigen würde und die Interessen des Verantwortlichen an der Nichterteilung der Information die Interessen der betroffenen Person überwiegen“
  • § 29 Abs. 1 BDSG: „soweit durch ihre Erfüllung Informationen offenbart würden, die ihrem Wesen nach […] geheim gehalten werden müssen“
  • Art. 12 Abs. 4 S. 1 lit. b DS-GVO: exzessive Auskunftsbegehren

Weiterhin besteht nach § 32 Abs. 1 Nr. 3 BDSG ebenfalls keine Informationspflicht, wenn die Daten deutschen (nicht jedoch z. B. US-amerikanischen) Strafverfolgungsbehörden übermittelt wurden[30].

Der Grund des Unterlassens der Information bzw. Auskunft ist zu dokumentieren. Die Informationspflicht ist in jeder Untersuchungsphase erneut zu prüfen[31].

Vorgaben im Rahmen einer konkreten IT-forensischen Untersuchung

Dokumentation der Verdachtsmomente

Die Verdachtsmomente sind konkret[32] zu beschreiben, mit tatsächlichen Anhaltspunkten als Verdachtsgrundlage zu belegen sowie entstandene Schäden und der Kreis der Verdächtigen zu dokumentieren[33].

Einbindung des Datenschutzbeauftragten, Datenschutz-Folgenabschätzung

Ein ggf. vorhandener Datenschutzbeauftragte ist nach Art. 38 Abs. 1 DS-GVO vor Durchführung der IT-forensischen Untersuchung einzubinden; dabei ist er nach Art. 38 Abs. 5 DS-GVO i. V. m. § 4 Abs. 2, § 23 GeschGehG zur Verschwiegenheit verpflichtet.

Weiterhin kann auf Grund der Vielzahl der verarbeiteten personenbezogenen Daten oder besonderer Kategorien von personenbezogenen Daten eine Datenschutz-Folgenabschätzung notwendig sein, vgl. Art. 35 DS-GVO

Informations- und Mitbestimmungsrechte des Betriebsrates

Der Betriebsrat überwacht ebenfalls die Einhaltung des Datenschutzes zugunsten der Mitarbeiter; daher besteht nach § 80 Abs. 2 BetrVG eine Informationspflicht des Arbeitgebers sowie nach § 87 Abs. 1 Nrn. 1, 6 BetrVG auch ein Mitbestimmungsrecht des Betriebsrates. Somit ist der Betriebsrat ebenfalls in die IT-forensische Untersuchung möglichst frühzeitig einzubinden, um Verzögerungen zu vermeiden[34]. Die Verpflichtung der Mitglieder des Betriebsrates zur Verschwiegenheit besteht nach § 79 BetrVG.

Falls sich der Verdacht gegen ein Mitglied des Betriebsrates richtet, ist auf Grund der Vorgaben der Mitbestimmung von der Erfolglosigkeit der Maßnahme auszugehen, da dem Verdächtigen dieser Vorgang nicht verborgen bleibt; somit kann das Unternehmen nur noch die Strafverfolgungsbehörden einschalten[35].

Verpflichtung auf Verschwiegenheit der IT-Forensiker

Die an der Untersuchung beteiligten sollten gesondert auf das Datengeheimnis verpflichtet und darauf hingewiesen werden, dass Dateien, E-Mails etc. mit erkennbar privatem Inhalt nicht (weiter-) gelesen werden dürfen[36].

Stufenweises Vorgehen

Sowohl die in Betracht kommenden Daten wie auch der Kreis der Betroffenen sollte im Rahmen der Untersuchung planmäßig und sukzessive eingeschränkt werden, d. h. nur diejenigen Daten derjenigen Personen verarbeitet werden, bei denen tatsächlich ein Weiterkommen der Untersuchung zu erwarten ist[37]. Dies soll in zeitlicher, sachlicher und räumlicher Hinsicht erfolgen.

Zum Beispiel kann im Rahmen einer Live-Sicherung schon bereits während der Sicherung eine Vorauswahl der Daten erfolgen, was wiederrum bei einer Post-Mortem-Sicherung erst im Rahmen der Analyse durchgeführt werden kann[38]. Somit spielt auch die Wahl der IT-forensischen Maßnahme eine große Rolle (s. o.).

Dokumentation

Alle Schritte der datenschutzrechtlichen Bewertung wie auch der forensischen Maßnahme selbst sind aus Gründen der Transparenz und der Rechenschaftspflicht des Verantwortlichen zu dokumentieren (vgl. Art. 5 Abs. 1 lit. a und Abs. 2 DS-GVO).

Löschen

Bei Wegfall der Erforderlichkeit sind alle personenbezogenen Daten zu löschen, d. h. sofern ein Ermittlungsschritt durchgeführt wurde, sind die nicht für die Gerichtsfestigkeit der IT-forensischen Untersuchung notwendigen Daten (z. B. eine Vervielfältigung eines Datenbank-Auszugs) zu löschen. Dabei kann auch eine Anonymisierung anstelle der Löschung treten; dies sollte auch in Bezug auf die Erstellung des forensischen Berichts (z. B. Verpixelung irrelevanter Daten auf einem Screenshot) berücksichtigt werden.

Technische und organisatorische Maßnahmen (TOM)

Durch die umsetzende Stelle sind im Rahmen der IT-forensischen Untersuchung Maßnahmen vorzusehen, um

  • Integrität
  • Vertraulichkeit
  • Verfügbarkeit
  • Resilienz

der personenbezogenen Daten sicherstellen zu können; hierzu können u. a.

  • Auswertung von Sicherheitskopien
  • Einschränkung des zugriffsberechtigten Personenkreises
  • Einrichtung von gesonderten Netzwerksegmenten für Auswertung etc.
  • Einhaltung der „Chain of Custody“
  • Verschluss der Daten in feuer- und wasserfesten Behältnissen
  • klare Prozesse zur Löschung der Daten

dienen[39]. Die TOMen sind stets am Risiko der Maßnahme und der Daten selbst für die Betroffenen auszurichten.

Umgang mit „privaten“ Daten

Beschäftigte müssen dienstliche Unterlagen herausgeben, somit besteht für den Arbeitgeber ein uneingeschränktes Einsichtsrecht in Bezug auf dienstliche E-Mails und Daten[40]. Sollte jedoch die Nutzung der IT-Systeme für private Zwecke geduldet bzw. gar erlaubt haben, ist eine Einsicht in private Daten grundsätzlich untersagt[41]. Bei einer (sofern nicht technisch umgesetzten) Separierung muss der Beschäftigte mitwirken[42].

Werden versehentlich solche privaten Daten verarbeitet (was jedoch die Ausnahme bleiben muss), müssen diese unmittelbar gelöscht werden[43].

Beschäftigte dürfen hingegen dienstliche Daten nicht dem Zugriff entziehen, indem diese als „privat“ deklariert werden – gleichzeitig ist es aber auch dem Arbeitgeber verwehrt, auf Daten zuzugreifen, die (1.) wahrscheinlich nicht für die Ermittlung relevant sind und (2.) Anhaltspunkte bestehen, dass diese private Daten sind. Somit ist eine Abwägung[44], Daten im „Grenzbereich“ einzusehen, stets eine vom Kontext und Anhaltspunkten abhängige Entscheidung[45]. Dies gilt insbesondere für E-Mails und Browserverläufe, sofern die Privatnutzung zugelassen wurde und in der Folge der Arbeitgeber ggf. neben den datenschutzrechtlichen Vorgaben auch dem Fernmeldegeheimnis (§ 88 TKG) unterliegen kann[46].

Durchführung durch Dienstleister

Ein beauftragter „Forensic Services“-Dienstleister hat zwar die Entscheidungsmöglichkeit über die Mittel der IT-forensischen Untersuchung, jedoch nicht über Zweck, Ziele und ggf. weitere, darüberhinausgehende Leistungen – diese werden durch den Auftraggeber bestimmt. In der Folge handelt es sich dann um eine Auftragsverarbeitung[47], wodurch die Vorgaben des Art. 28 DS-GVO, insbesondere den Abschluss einer Auftragsverarbeitungsvereinbarung, berücksichtigt werden müssen.

Checkliste zum Datenschutz in IT-forensischen Untersuchungen

Im Rahmen einer Prüfung auf Datenschutz-Compliance sind folgende Kriterien anzulegen und zu dokumentieren[48]:

  • Bestimmung des ursprünglichen Zwecks der Daten, welche untersucht werden sollten
  • Festlegung des konkreten Zwecks der Maßnahme (Untersuchungsauftrag)
  • Prüfung, ob eine gesetzliche Verpflichtung zur Untersuchung vorliegt
  • Prüfung der Schwere des unterliegenden Vorwurfs (Straftat vs. schwerwiegende Pflichtverletzung)
  • Erlaubnistatbestand[49]
    • Nicht im Beschäftigungskontext: Art. 6 Abs. 1 UAbs. 1 lit. c bzw. f DS-GVO
    • Im Beschäftigungskontext:
      • Straftaten: § 26 Abs. 1 S. 2 BDSG
      • keine Straftaten: § 26 Abs. 1 S. 1 BDSG
      • Betriebsvereinbarung
    • Besondere Kategorien personenbezogener Daten: Art. 9 Abs. 2 DS-GVO
    • Einwilligung nur in Ausnahmefällen denkbar
  • Verhältnismäßigkeitsprüfung (Geeignetheit, Erforderlichkeit, Angemessenheit)
    • Schwere des unterliegenden Vorwurfs
    • Verdachtsdichte
    • Zeitliche, sachliche und räumliche Eingrenzung
    • Bewertung des (drohenden) Schadens
    • Schwere des datenschutzrechtlichen Eingriffs
    • Grad der Gefährdung betroffener Personen
    • Kreis der Betroffenen
    • Art und Umfang der Daten
    • zeitliche Intensität der Maßnahmen
    • Möglichkeit, die Methode einzuschränken bzw. anzupassen
    • offene (weniger eingriffsintensiv) vs. verdeckte Maßnahmen
  • Einhaltung der datenschutzrechtlichen Vorgaben
    • Transparenz
    • Betroffenenrechte
    • Schutz der personenbezogenen Daten durch TOMen
    • Stufenweises Vorgehen
    • Umgang mit „privaten“ Daten
    • bei Durchführung durch Dienstleister: Auftragsverarbeitung
    • bei Übertragung ins nicht-EU-Ausland: Artt. 44 ff. DS-GVO
    • ggf. Durchführung einer Datenschutz-Folgenabschätzung
  • Einbindung des Datenschutzbeauftragten
  • Wahrung der Informations- und Mitbestimmungsrechte des Betriebsrates
  • Dokumentation aller Bewertungen und Entscheidungen

Quellen

  1. Fuhlrott, Michael; Thomas Schröder: Beschäftigtendatenschutz und arbeitsgerichtliche Beweisverwertung. In: NZA 2017, 278 [279]
  2. Fuhlrott, Schröder, 2017, 283
  3. Geschonnek, Alexander: Computer Forensik: Computerstraftaten erkennen, ermitteln, aufklären. 6., aktualisierte und erweiterte Aufl. Heidelberg: dpunkt.verlag, 2014. S. 65
  4. Heinson, Denis: IT-Forensik. In: Stürner, Rolf (Hrsg.): Veröffentlichungen zum Verfahrensrecht, Bd. 19. Tübingen: Mohr Siebeck, 2015, S. 303
  5. Rudkowski, Lena; Schreiber, Alexander: Aufklärung von Compliance-Verstößen: Whistleblowing, Arbeitnehmerüberwachung, Auskunftspflichten. 2., aktualisierte Aufl. Wiesbaden: Springer Gabler, 2018, S. 27
  6. Heinson, 2015, S. 302
  7. Wybitul, Tim: Datenschutzrechtliche und strafrechtliche Rahmenbedingungen der Ermittlungen. In: Knierim, Thomas C.; Rübenstahl, Markus; Tsambikakis, Michael (Hrsg.): Internal Investigations: Ermittlungen im Unternehmen. 2., neu bearbeite Aufl. Heidelberg: C.F. Müller, 2016, S. 329–354, Rn. 63
  8. Ströbel, Lukas; Böhm, Wolf-Tassilo; Breunig, Christina; Wybitul, Tim: Beschäftigtendatenschutz und Compliance: Compliance-Kontrollen und interne Ermittlungen nach der EU-Datenschutz-Grundverordnung und dem neuen Bundesdatenschutzgesetz. In: CCZ 2018, 14 [16]
  9. Thüsing, Gregor; Rombey, Sebastian: Der verdeckte Einsatz von Privatdetektiven zur Kontrolle von Beschäftigten nach dem neuen Datenschutzrecht In: NZA 2018, 1105 [1107]
  10. Gola, Peter: Handbuch Beschäftigtendatenschutz: aktuelle Rechtsfragen und Umsetzungshilfen. 8., komplett neu bearbeitete Aufl. Frechen: DATAKONTEXT, 2019. S. 309, Rn. 1361
  11. Ströbel, Böhm, Breunig, Wybitul, 2018, 17
  12. Gola, 2019, S. 389, Rn. 1746
  13. Gola, 2019, S. 389, Rn. 1747
  14. Gola, 2019, S. 390, Rn. 1752
  15. Fuhlrott, Schröder, 2017, 282
  16. Gola, 2019, S. 390, Rn. 1755
  17. Ströbel, Böhm, Breunig, Wybitul, 2018, 19
  18. vgl. BAG, Urteil v. 23.08.2018, Az. 2 AZR 133/13; Duldung einer Videoüberwachung durch Dritte
  19. Heinson, 2015, S. 353f.
  20. Heinson, 2015, S. 354
  21. Heinson, 2015, S. 340
  22. Thüsing, Rombey, 2018, 1109
  23. Fuhlrott, Schröder, 2017, 279
  24. Heinson, 2015, S. 309
  25. Wybitul, 2016, S. 335, Rn. 32
  26. Thüsing, Rombey, 2018, 1109
  27. Heinson, 2015, S. 342ff.
  28. Gola, 2019, S. 395, Rn. 1776
  29. Ströbel, Böhm, Breunig, Wybitul, 2018, 16
  30. Klaas, Arne: Mehr Beteiligungsrechte des Verdächtigen – Der Einfluss des Transparenzgrundsatzes der DS-GVO auf die Durchführung interner Ermittlungen. In: CCZ 2018, 242 [248]
  31. Wybitul, Tim; Böhm, Wolf-Tassilo: E-Mail-Kontrollen für Compliance-Zwecke und bei internen Ermittlungen. In: CCZ, 2015, 133 [137f.]
  32. Heinson, 2015, S. 338
  33. Thüsing, Rombey, 2018, 1107
  34. Ströbel, Böhm, Breunig, Wybitul, 2018, 16
  35. Gola, 2019, S. 396, Rn. 1777
  36. Wybitul, Böhm, 2015, 137f.
  37. Wybitul, Böhm, 2015, 137f.
  38. Heinson, 2015, S. 351
  39. vgl. Galley, Birgit; Minoggio, Ingo: Sachverhaltsermittlung. In: Galley, Birgit; Minoggio, Ingo; Schuba, Marko: Unternehmenseigene Ermittlungen: Recht – Kriminalistik – IT. Berlin: Erich Schmidt Verlag, 2016, S. 143–226.
  40. Schrader, Peter; Mahler, Maike: Interne Ermittlungen des Arbeitgebers und Auskunftsgrenzen des Arbeitnehmers. In: NZA-RR, 2016, 57 [64]
  41. Die entsprechenden Ordner sollten als „privat“ (und nicht z. B. als „persönlich“) gekennzeichnet sein, vgl. Kort, Michael: Neuere Rechtsprechung zum Beschäftigtendatenschutz. In: NZA-RR, 2018, 449 [450]
  42. Schrader, Mahler, 2016, 64
  43. Heinson, 2015, S. 352
  44. Küster, Melanie: Der rechtliche Rahmen für unternehmensinterne Ermittlungen: Eine Auseinandersetzung mit den Problemkreisen bei Ermittlungen im Unternehmen. Wiesbaden: Springer Fachmedien, 2019, S. 59ff.
  45. Heinson, 2015, S. 352
  46. ggf. unterliegt nur der Transfer von E-Mails, jedoch nicht die erhaltenen und gespeicherten E-Mails dem Fernmeldegeheimnis, vgl. Schrader, Mahler, 2016, 62
  47. Heinson, 2015, S. 325
  48. von Walter, Axel: Beschäftigtendatenschutz. In: von Walter, Axel (Hrsg.): Datenschutz im Betrieb: Die DS-GVO in der Personalarbeit. Freiburg i. Br.: Haufe, 2018, S. 97–120 [115]
  49. Ströbel, Böhm, Breunig, Wybitul, 2018, 20f.