Umsetzung einer unternehmensinternen SSL/TLS-Entschlüsselung auf Basis einer Einwilligung (Best Practice)

Zugleich eine kleine Einführung in das Fernmeldegeheimnis und dessen Geltung in Unternehmen

Es kommt immer häufiger vor, dass Mandanten sich an mich wenden, weil sie planen, den unternehmensinternen Internettraffic im Hinblick auf Schadinhalte besser zu „untersuchen“. Da Schadinhalte sich immer öfter auch in Verbindungen mit einer Transportverschlüsselung (SSL/TLS) finden, liegt es nahe, zum Schutz von Unternehmenswerten auch insoweit eine bessere Kontrolle der Inhalte vorzunehmen, um Schadinhalte wie Viren, Trojaner und vor allem jetzt auch Ransomware wirksamer abzuwehren. Der Wunsch der Unternehmen: Wir möchten die SSL/TLS-Verschlüsselung „aufbrechen“, um auf Schadinhalte zu prüfen. Technisch gibt es dafür Lösungen, die häufig im Zusammenhang mit sog. Data Loss Prevention Software angeboten wird. Aber: Ist das datenschutzrechtlich möglich und zulässig? Und: Was ist, wenn es nicht nur um Schadinhalte geht, sondern auch verhindert werden soll, dass Beschäftigte Betriebs- und Geschäftsgeheimnisse an Unbefugte senden?

Lassen Sie uns der Frage mal auf den Grund gehen. Aber nur den datenschutzrechtlichen „Grund“ – im Sinne von Boden. Lassen wir arbeitsrechtliche Erwägungen mal beiseite. Nicht ganz beiseite, sondern wir lassen diese mal am Rand „liegen“.

Vorweg nehmen möchte ich, dass es durchaus gute Gründe für ein Aufbrechen der Verschlüsselung gibt. Auch wenn ich dies nicht zwingend für jedes Unternehmen empfehlen würde, kann ich doch gut nachvollziehen, dass ein Unternehmen ein Interesse an diesem Aufbrechen der Verschlüsselung hat. Dies gilt insbesondere dann, wenn der Schutzbedarf von Informationen im Unternehmen als sehr hoch zu klassifizieren ist. Insbesondere bei Unternehmen im Technologie-Bereich kann es häufig Sinn machen, ein „Data Leakage Control“- oder „Data Loss Prevention“-System einzuführen. In den Fällen, mit denen ich befasst war, wollten meine Mandanten entsprechende Systeme zum Schutz von Betriebs- und Geschäftsgeheimnissen einführen, weil es entsprechende vertragliche Verpflichtungen gegenüber Vertragspartnern gab, die erhebliche Vertragstrafen im Falle einer Verletzung von Geheimhaltungspflichten vorsahen.

In dem Zusammenhang ist auch abzuwarten, ob und inwieweit die Umsetzung der sog. „Know-How-Richtlinie“ der EU durch die BRD eine weitere Häufung der Einführung von entsprechenden Systemen zur Entschlüsselung von betriebsinternem Internetverkehr bringen wird. Ich sehe aktuell zwar nicht, dass hierdurch entsprechende Pflichten im Hinblick auf eine aktive Durchleuchtung des Internetverkehrs in Unternehmen entstehen werden; aber die wirtschaftliche Dynamik in Unternehmen funktioniert ja im Bereich der IT-Sicherheit manchmal durchaus ein wenig anders. Apropos Dynamik & IT-Sicherheit in Unternehmen: Seit den Enthüllungen von Edward Snowden ist das Thema IT-Sicherheit in vielen deutschen Unternehmen sprichwörtlich zur Chefsache gemacht worden. Gerade im Bereich der Banken, Versicherungen und auch im Bereich Automotive sind hier die Daumenschrauben gerade für Zulieferer deutlich angezogen worden. Abhängig von der jeweiligen Klassifizierung des Schutzbedarfes der Informationen müssen Dienstleister umfangreiche Maßnahmen im Bereich der Informationssicherheit vorweisen. Der Maßstab hier kann ganz allgemein als der Stand der Technik bezeichnet werden. Und im Bereich der Informationssicherheit wird der Stand der Technik aktuell maßgeblich durch das Normenwerk ISO 27001/27002 geprägt. Der Verlust der Vertraulichkeit von Informationen – besser gesagt dessen Verhinderung ist eine der wesentlichen Grundsäulen der Schutzziele der ISO 27001. Und die ISO 27002 sieht an mehreren Stellen Maßnahmen vor, die das Verhindern des Abflusses von Daten betreffen.