Umsetzung einer unternehmensinternen SSL/TLS-Entschlüsselung auf Basis einer Einwilligung (Best Practice)

Zugleich eine kleine Einführung in das Fernmeldegeheimnis und dessen Geltung in Unternehmen

Lassen Sie uns der Frage mal auf den Grund gehen. Aber nur den datenschutzrechtlichen „Grund“ – im Sinne von Boden. Lassen wir arbeitsrechtliche Erwägungen mal beiseite. Nicht ganz beiseite, sondern wir lassen diese mal am Rand „liegen“.

Vorweg nehmen möchte ich, dass es durchaus gute Gründe für ein Aufbrechen der Verschlüsselung gibt. Auch wenn ich dies nicht zwingend für jedes Unternehmen empfehlen würde, kann ich doch gut nachvollziehen, dass ein Unternehmen ein Interesse an diesem Aufbrechen der Verschlüsselung hat. Dies gilt insbesondere dann, wenn der Schutzbedarf von Informationen im Unternehmen als sehr hoch zu klassifizieren ist. Insbesondere bei Unternehmen im Technologie-Bereich kann es häufig Sinn machen, ein „Data Leakage Control“- oder „Data Loss Prevention“-System einzuführen. In den Fällen, mit denen ich befasst war, wollten meine Mandanten entsprechende Systeme zum Schutz von Betriebs- und Geschäftsgeheimnissen einführen, weil es entsprechende vertragliche Verpflichtungen gegenüber Vertragspartnern gab, die erhebliche Vertragstrafen im Falle einer Verletzung von Geheimhaltungspflichten vorsahen.

In dem Zusammenhang ist auch abzuwarten, ob und inwieweit die Umsetzung der sog. „Know-How-Richtlinie“ der EU durch die BRD eine weitere Häufung der Einführung von entsprechenden Systemen zur Entschlüsselung von betriebsinternem Internetverkehr bringen wird. Ich sehe aktuell zwar nicht, dass hierdurch entsprechende Pflichten im Hinblick auf eine aktive Durchleuchtung des Internetverkehrs in Unternehmen entstehen werden; aber die wirtschaftliche Dynamik in Unternehmen funktioniert ja im Bereich der IT-Sicherheit manchmal durchaus ein wenig anders. Apropos Dynamik & IT-Sicherheit in Unternehmen: Seit den Enthüllungen von Edward Snowden ist das Thema IT-Sicherheit in vielen deutschen Unternehmen sprichwörtlich zur Chefsache gemacht worden. Gerade im Bereich der Banken, Versicherungen und auch im Bereich Automotive sind hier die Daumenschrauben gerade für Zulieferer deutlich angezogen worden. Abhängig von der jeweiligen Klassifizierung des Schutzbedarfes der Informationen müssen Dienstleister umfangreiche Maßnahmen im Bereich der Informationssicherheit vorweisen. Der Maßstab hier kann ganz allgemein als der Stand der Technik bezeichnet werden. Und im Bereich der Informationssicherheit wird der Stand der Technik aktuell maßgeblich durch das Normenwerk ISO 27001/27002 geprägt. Der Verlust der Vertraulichkeit von Informationen – besser gesagt dessen Verhinderung ist eine der wesentlichen Grundsäulen der Schutzziele der ISO 27001. Und die ISO 27002 sieht an mehreren Stellen Maßnahmen vor, die das Verhindern des Abflusses von Daten betreffen.

Auch wenn ich persönlich die Entschlüsselung von verschlüsselten Internetverkehr etwas „spooky“ finde, freue ich mich fast, wenn Mandanten von mir ein entsprechendes System im Einsatz haben. Dies gilt immer dann, wenn ich wieder einmal damit beauftragt bin, Hunderte von Zeilen in einem Fragebogen zur Informationssicherheit in einer Excel-Datei mit Antworten zu füllen. Antworten, die Aufschluss darüber geben, ob und inwieweit meine Mandanten die Anforderungen von Annex A der ISO 27001 und der jeweiligen Coporate-Policies des Auftraggebers meiner Mandanten erfüllen. Denn ein „Data Loss Prevention“-System ist hier ein Pfund, mit dem man wuchern kann. Auf diese Weise kann man mit nur wenigen Worten darstellen, dass hinreichende Maßnahmen getroffen wurden, um den Abfluss von Betriebs- und Geschäftsgeheimnissen bei meinen Mandanten zu verhindern bzw. das entsprechende Risiko in einem Umfang zu minimieren, dass für den Auftraggeber meiner Mandanten hinnehmbar ist.

Aber wie ist denn das nun datenschutzrechtlich?

Wie fast immer passt hier die Standard Antwort eines Juristen: „Es kommt darauf an.“

Aber worauf kommt es dann an? Nun, zunächst wird es darauf ankommen, ob das Aufbrechen einer Verschlüsselung des unternehmensinternen Internetverkehrs möglicherweise eine Verletzung des Fernmeldegeheimnisses darstellt. Im Falle einer Verletzung des Fernmeldegeheimnisses könnte dies erhebliche Konsequenzen für das Unternehmen und die handelnden Personen haben, deine Verletzung des Fernmeldegeheimnisses nach § 206 StGB strafbar ist.

Auch wenn „die“ Rechtsprechung zu dieser Frage mittlerweile vornehmlich in eine Richtung deutet, dass das Fernmeldegeheimnis aus § 88 TKG nicht für Unternehmen anwendbar ist, sollte dies nicht überbewertet werden. Denn im Wesentlichen sind es nur wenige Gerichtsentscheidungen, wobei zwei Entscheidungen vom LAG Berlin-Brandenburg¹ stammen. Das Urteil mit der meiner Ansicht nach besten Begründung ist das Urteil des VG Karlsruhe.² Die Rechtsprechung scheint im Hinblick auf die Anwendung des Fernmeldegeheimnisses für Unternehmen bei einer Privatnutzung von Internet tendenziell restriktiver zu sein als die rechtswissenschaftliche Literatur.

Und wie sehen es die Aufsichtsbehörden? Auch die Aufsichtsbehörden gehen immer noch davon aus, dass in den Fällen der erlaubten Privatnutzung das Fernmeldegeheimnis nach § 88 TKG von den Unternehmen zu wahren ist:

Wenn der Arbeitgeber den Beschäftigten auch die private Nutzung von Internet und/oder des betrieblichen E-Mail-Postfaches erlaubt, ist zusätzlich das Telekommunikationsgesetz (TKG) bzw. das Telemediengesetz (TMG) zu beachten. Nach Auffassung der Aufsichtsbehörden ist der Arbeitgeber in diesem Fall Telekommunikationsdienste- bzw. Telemediendienste-Anbieter. Dies hat die Konsequenz, dass er an das Fernmeldegeheimnis des § 88 Abs. 2 S. 1 TKG gebunden ist und gemäß § 11 Abs. 1 Nr. 1 TMG den Datenschutzvorschriften des TMG unterliegt. Zugleich bedeutet dies, dass sich der Arbeitgeber bei einer Verletzung des Fernmeldegeheimnisses gemäß § 206 Strafgesetzbuch (StGB) strafbar machen kann.

Quelle: Datenschutzkonferenz, Orientierungshilfe der Datenschutzaufsichtsbehörden zur datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz, S. 4 f.

Wer sich noch weitergehender und tiefer mit der Thematik auseinandersetzen möchte: Eine umfassende und meines Erachtens auch sehr gute juristische Abhandlung zu dem Thema, ob unabhängig von der neuen Tendenz in der Rechtsprechung stammt von dem von mir sehr geschätzten Kollegen Rechtsanwalt Andreas Neumann:

• Neumann, Zur Anwendbarkeit des Fernmeldegeheimnisses nach § 88 TKG bei gestatteter Privatnutzung betrieblicher Telekommunikationsmöglichkeiten (PDF)

Und Andreas Neumann kommt auch zu dem Ergebnis, dass das Fernmeldegeheimnis im Falle einer eingeräumten Privatnutzung für Arbeitnehmer wegen § 88 TKG zur Anwendung kommt. Ich habe anlässlich dieses Beitrags noch einmal eine Sichtung der juristischen Fachliteratur vorgenommen. Auch wenn die Tendenzen in der Rechtsprechung durchaus in der Literatur „wahrgenommen“ werden, scheint mir recht offensichtlich zu sein, dass derzeit immer noch herrschende Auffassung (wir Juristen sprechen von herrschender Meinung: „h.M.“), dass das Fernmeldegeheimnis bei eingeräumter Privatnutzung gilt.

Aber: Was bedeutet das jetzt für Sie im Unternehmen oder was müssen Sie jetzt tun?

Halten Sie sich jetzt an die „liberalere“ Auffassung der o.g. Rechtsprechung oder halten Sie es lieber mit der wohl h.M. unter Aufsichtsbehörden und rechtswissenschaftlicher Literatur?

Was es dazu zu sagen gibt, hat die ebenfalls sehr geschätzte Anwaltskollegin Nina Diercks schon einmal wunderbar in Worte gefasst:

Die pragmatische, aber keinesfalls undogmatische Rechtsprechung der Gerichte erleichtert den Unternehmensalltag. Aufgrund der ergangenen Entscheidungen ist es den Unternehmen nun gerade unter Verweis auf diese Rechtsprechung möglich, die gegebenen Realitäten des heutigen Nutzungsverhaltens von Arbeitnehmern hinsichtlich der betriebseigenen IT-Infrastruktur und den digitalen Kommunikationswegen mittels Richtlinien abzubilden und dabei zugleich den Anforderungen an die ordentliche Handelsgeschäftsführung nachzukommen.

Quelle: Diercks, Social Media im Unternehmen – Zur Zweckmäßigkeit des Verbots der (privaten) Nutzung unter besonderer Berücksichtigung von § 88 TKG, K&R 2014, 1 (6)

Und in der Tat kann ich aus der anwaltlichen Beratungspraxis bestätigen, dass die Rechtsprechung zu einem Wandel in der betrieblichen Praxis geführt hat. Betriebsräte sind bei gerade bei Sichtung einer spezifisch arbeitsgerichtlichen Rechtsprechung geneigt, diese für „okay“ zu halten und suchen in dem Zusammenhang dann auch die in der Rechtsprechung aufgeführten Wege einer Absicherung der Rechte von Arbeitnehmerinnen und Arbeitnehmern durch begleitende Maßnahmen, z.B. in Form von Betriebsvereinbarungen.

Das Positive an dieser Entwicklung ist, dass es mittlerweile mehrere Wege für praktikable Lösungen gibt. Das Beste ist aber, dass es noch eine weitere wichtige Entwicklung für tragbare Lösungen durch die Rechtsprechung gibt. Während früher ein beachtlicher Teil der rechtswissenschaftlichen Literatur Zweifel daran hatte, dass ein Arbeitnehmer überhaupt eine wirksame Einwilligung in eine Verarbeitung seiner personenbezogenen Daten erklären kann, hat das Bundesarbeitsgericht (BAG) diesen Auffassungen ganz deutlich eine Abfuhr erklärt. Denn nach einem Urteil des BAG ³ kann ein Arbeitnehmer auch in einem Beschäftigungsverhältnis, das von einem Über- und Unterordnungsverhältnis geprägt sein kann, durchaus eine freiwillige Einwilligung erteilen. Zwischen den Zeilen liest sich das Urteil des BAG für mich so, dass es eine schallende Ohrfeige für die zweifelnde Literatur ist. Sinngemäß meint das BAG, dass ein Arbeitnehmer sein Gehirn nicht vor dem Werkstor „abgeben“ würde. Den Gedanken mag ich.⁴ Er deckt sich auch mit meinen Erfahrungen in Unternehmen. Es ist nämlich durchaus möglich, eine „einwilligungsfreundliche“ Atmosphäre zu schaffen, in der den Mitarbeitern klar und bewusst wird, dass sie eine freie Entscheidung treffen können. Dazu gehört vor allem eine gute Information über Art und Umfang der Verarbeitung. Das funktioniert vor allem in den Unternehmen gut, die eine gute und harmonische Unternehmenskultur haben. In den Unternehmen, in denen Mitarbeiter nicht als „Humankapital“ betrachtet werden.

Wie setzen Sie eine SSL/TLS-Entschlüsselung datenschutzrechtlich um?

Bei der Umsetzung hängt es tatsächlich von den konkreten Gegebenheiten ab. Vor allem ergeben sich Besonderheiten, wenn es einen Betriebsrat (oder auch Personalrat/MAV) gibt. Hier gilt es genau zu schauen, ob und inwieweit für diesen Bereich schon Betriebsvereinbarungen geschlossen wurden, die dann bei der weiteren Umsetzung zu berücksichtigen sind.

Die nachfolgenden Ausführungen beziehen sich also primär (aber eben nicht nur) auf Unternehmen, die keinen Betriebsrat haben.

Variante 1: Privatnutzung des Internets ist untersagt

Sofern eine Privatnutzung von Internet und E-Mail im Unternehmen strikt untersagt ist und die Einhaltung dieses Verbots auch kontrolliert wird, wird es in aller Regel ausreichen, wenn Sie alle Beschäftigtem, die im Unternehmen die Möglichkeit haben, das Internet zu.nutzen, über die Einrichtung der Entschlüsselung und der Funktionsweise zu informieren und vor allem auch darzulegen, für welche Zwecke diese Funktion eingerichtet wird. So können sie die Beschäftigtem bei dem Thema „abholen“ und Verständnis für die Regelung erzeugen.

Bei der Umsetzung sollten Sie in technischer Hinsicht darauf achten, dass der Eingriff in Form der Überwachung des Internetverkehrs möglichst gering ausfällt. Eine längerfristige, anlasslose Speicherung von Datenverkehr über das Internet ist sicher rechtswidrig. Sollte aber eine bestimmte Kommunikation, bei der z.B. ein „Abfluss“ von vertraulichen Informationen als Verdacht im Raum steht, gespeichert werden, um den Sachverhalt aufzuklären, sollte es idealerweise einen internen „Prozess“, also eine definierte Vorgehensweise geben, die sicherstellt, dass eine zügige Aufklärung erfolgt und eine Speicherung nur so lange wie erfolgt, wie es für die Aufklärung des Sachverhalts erforderlich ist.

Und keine könnte nun so eine Information für die Beschäftigen aussehen? Wenn die SSL/TLS-Entschlüsselung nur zum Schutz vor Schadinhalten (Viren, Trojaner, Ransomware etc.) durchgeführt wird, könnte eine Information wie folgt aussehen:

Variante 2: Die Privatnutzung von Internet ist ganz oder teilweise erlaubt oder nicht geregelt

Hier kann grundsätzlich auf die vorherige Variante 1 zurückgegriffen werden. Allerdings müssen wir den Text dann noch etwas „aufbohren“, um den Besonderheiten des Fernmeldegeheimnisses Rechnung zu tragen. Außerdem gibt es natürlich bei der Privatnutzung des Internets noch das Sonderproblem, dass auch der verschlüsselte Datenverkehr des Mitarbeiters zu z.B. seinem privaten Webmail-Account oder seinem Online-Banking Gegenstand der Entschlüsselung sind und auf diesem Wege Nachrichteninhalte und vor allem aber auch Passwörter Gegenstand der Entschlüsselung sein können.

Die Beschäftigten im Unternehmen sollten daher unbedingt auf diese Umstände aufmerksam gemacht werden, damit sie ihr Verhalten darauf einstellen können. Zum Schutz dieser schutzbedürftigen Informationen (Passwörter, Nachrichteninhalte) sollte der Arbeitgeber zudem unbedingt Sorge dafür tragen, dass diese entschlüsselten Informationen wirklich nur flüchtig verarbeitet werden. Die zur Entschlüsselung eingesetzte Hard- und Software sollte aber die Löschung des entschlüsselten Datenverkehrs technisch auch wirklich gewährleisten. Der Datenschutzbeauftragte und die für die IT-Sicherheit verantwortlichen Personen sollten im Zusammenhang mit der vor der Einführung eines solchen Systems erforderlichen Vorabkontrolle nach § 4d Abs. 5 BDSG bzw. einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO insbesondere untersuchen, dass der entschlüsselte Datenverkehr – mit Ausnahme der unter Quarantäne gestellten Inhalte – nicht noch im Filesystem, in Protokolldateien oder anderen Stellen des Systems verbleibt. Sollten seitens des Unternehmens hier nicht die nach dem Stand der Technik erforderlichen Schutzmaßnahmen getroffen werden und einem Mitarbeiter dadurch ein Schaden entstehen (z.B. durch Identitätsdiebstahl, der auf Kenntnis von Zugangsdaten zu einem Webmail-Account basiert), dürfte häufig ein Mitverschulden des Unternehmens anzunehmen sein, das Grundlage für Schadensersatzansprüche gegenüber dem Unternehmen sein kann.

Kommen wir nach diesen Ausführungen zum „Doing“ jetzt aber zurück zu der Umsetzung der Mitarbeiterinformation & Einwilligung. Das nachfolgende Muster ist – mit Ausnahme der Überschrift – bis zu dem Punkt „Was bedeutet das für Sie?“ identisch mit dem Muster zu Variante 1. Ich könnte mir ein entsprechendes Dokument so vorstellen:

Abschließende Hinweise

Beachten Sie bitte, dass diese Muster nur Vorschläge sind. Sie sollen eine Anregung für Sie sein, individuelle Umsetzungen in Ihrem Unternehmen zu machen. Wichtig: Wenn Sie auch den Abfluss von Betriebs- und Geschäftsgeheimnisse (und nicht nur Schadinhalte) verhindern wollen, muss dies gesondert in den Dokumenten erwähnt und berücksichtigt werden. Hier steckt der Teufel dann häufig noch einmal im Detail.

Denken Sie bei der Einwilligungslösung (Variante 2) auf jeden Fall daran, dass Sie zwischen der Information der Mitarbeiter nebst der Möglichkeit der Abgabe der Einwilligung und dem tatsächlichen Inkraftsetzen der Entschlüsselungslösung ausreichend Zeit einplanen, damit alle Beschäftigten (auch die im Urlaub & Krankgeschriebene) die Möglichkeit haben, sich die Informationen in Ruhe anzusehen und eine Entscheidung zur Einwilligung zu treffen. Da das Thema auch durchaus sensibel ist, bietet es sich zudem an, eine gesonderte Vorstellung des Themas im Rahmen einer Betriebsversammlung durchzuführen. Hier bestünde dann insbesondere die Gelegenheit für die Beschäftigten, weitere Fragen zu stellen.

Und denken Sie insbesondere auch daran, bei Neuanstellungen eine entsprechende Information zu erteilen und ggf. eine Einwilligung einzuholen (im Falle von Variante 2).

Fußnoten

1. LAG Berlin-Brandenburg, Urteil vom 16.02.2011, Az.: 4 Sa 2132/10 und LAG Berlin-Brandenburg, Urteil vom 14.01.2016, 5 Sa 657/15 ↩︎
2. VG Karlsruhe, Urteil vom 27.5.2013, Az.: 2 K 3249/12 ↩︎
3. BAG, Urteil vom 11.12.2014, 8 AZR 1010/13 ↩︎
4. Im Kern glaube ich persönlich, dass Menschen zumindest im Hinblick auf die Verarbeitung ihrer personenbezogenen Daten frei darüber entscheiden dürfen, ob sie die Verarbeitung wollen, sofern der Verantwortliche der Datenverarbeitung transparent über die Datenverarbeitung informiert und davon ausgehen kann, dass der Betroffene das auch verstehen kann und frei entscheiden kann. Andere meinen aber unter Rückgriff auf die sog. Wesengehaltsgarantie der Grundrechte, dass in bestimmten Bereichen eine Einwilligung nicht möglich ist. Das geht soweit, dass z.T. vertreten wird, dass eine Übermittlung von Daten in die USA nicht auf Basis einer Einwilligung möglich sein soll. Eine für mich skurrile Rechtsauffassung aus einem Elfenbeinturm der Theorie. Denn: Das grundrechtliche Problem dahinter lässt sich anders lösen. Und: Die Vertreter dieser Auffassung haben noch nie ernsthaft die IT-Sicherheitsvorkehrungen von einigen US-Rechenzentren mit z.B. deutschen Rechenzentren verglichen oder kontrolliert. Da würden sich Welten an Erkenntnis auftun. ↩︎