Open Source im professionellen Einsatz
Linux-Magazin 05/2014
© Maksim Kabakou, 123RF

© Maksim Kabakou, 123RF

Beweissicherung für Admins in Unternehmen

Daten vor Gericht

Um tatsächliche oder nur angenommene Straftaten im digitalen Bereich eines Unternehmens aufzuklären, muss auch der Admin kräftig mithelfen. Doch was muss er speichern und rausgeben?

728

In Unternehmen finden mittlerweile die meisten Straftaten oder Pflichtverletzungen einen Niederschlag in digitaler Form. Da stellt sich sogleich die Frage, welche Daten ein Unternehmen speichern darf und muss, um diese später eventuell als Beweis in ein Verfahren einzubringen. Die Administratoren des Unternehmens dürfte zudem interessieren, inwieweit sie dazu verpflichtet sind, am konkreten Übermitteln der Beweise mitzuwirken.

Geschäftsunterlagen sichern

Das Gesetz verpflichtet Unternehmer dazu, bestimmte Geschäftsunterlagen aufzubewahren. Das Handels- und Steuerrecht hält dazu an, manche Geschäftsdaten bis zu zehn Jahre zu speichern. In anderen Bereichen finden sich ähnliche Vorschriften, die aber in der Praxis weniger ins Gewicht fallen.

Die steuerrechtliche Aufbewahrungspflicht regelt überwiegend der Paragraf 147 der Abgabenordnung. Diese Pflicht erstreckt sich unter anderem auf Inventare, Jahresabschlüsse, Bilanzen und den Austausch von Handels- und Geschäftsbriefen – im Grunde auf alle Unterlagen, die beim Besteuern eine Bedeutung besitzen. Für bestimmte Berufe oder Tätigkeiten schließt das noch weitere Unterlagen ein. Beispielsweise regelt das Handelsgesetzbuch, dass Bewachungsbetriebe Auftragsbücher führen müssen.

In vielen Unternehmen besteht die Schwierigkeit nun darin, ihre Unterlagen in die richtige Kategorie einzuordnen. Ein Geschäftsbrief liegt zum Beispiel nicht vor, wenn der Austausch mit einem Geschäftspartner letztlich nicht in einem Geschäftsabschluss mündet. Werbeprospekte haben ebenfalls keinen Geschäftsbriefcharakter.

Unter Geschäftsbriefen sind selbstverständlich auch Mails zu verstehen. Die Anhänge der E-Mails müssen Unternehmen aber nur dann ebenfalls speichern, wenn die einzelne Nachricht für sich genommen unverständlich bleibt oder nur unzureichende Informationen enthält.

Zu Sicherheitszwecken und auch, um das Surfverhalten der Arbeitnehmer zu überwachen, speichern viele Unternehmen die besuchten URLs ihrer Arbeitnehmer und die dabei verwendeten IP-Adressen. Sie nutzen dazu so genannte Webtracking-Tools. Das Speichern dieser Daten kann helfen, denn nicht selten lassen sich Softwareprobleme oder ein Datenmissbrauch beziehungsweise -verlust auf ein rechtswidriges Verhalten der Arbeitnehmer zurückführen. Der Arbeitgeber haftet schließlich nach §130 des Ordnungswidrigkeitengesetzes, wenn er seine Mitarbeiter nicht hinreichend überwacht und so Rechtsverstöße ermöglicht.

Speichern von URLs und IP-Adressen

Eine Antwort auf die Frage, ob ein Unternehmen URLs und IP-Adressen speichern darf, geben die datenschutzrechtlichen Vorschriften im Telekommunikationsgesetz (TKG), im Telemediengesetz (TMG) und im Bundesdatenschutzgesetz (BDSG). Erlaubt es der Arbeitgeber seinen Arbeitnehmern, den Firmencomputer privat zu nutzen, qualifiziert das Gesetz in der Regel den Arbeitgeber als Telekommunikationsanbieter. Er darf somit grundsätzlich Daten speichern, die ihm dabei helfen, Störungen oder Fehler im System zu erkennen, einzugrenzen oder zu beseitigen.

Das schließt aber nicht das Verfolgen von URLs und IP-Adressen ein. Der Grund: Das Speichern dieser Daten hilft nicht Fehler und Störungen zu unterbinden oder vorzeitig zu erkennen, da es den Zugriff zu keinem Zeitpunkt verhindert. Arbeitgeber müssen hier vorsichtig sein: Das nur präventive Speichern von IP-Adressen und URLs ist nicht erlaubt, das TKG deckt es auch nicht. Das gleiche Prinzip gilt im TMG. Auch hier muss zum Zeitpunkt des Speicherns ein konkreter Tatverdacht bestehen, der es zulässig macht, Daten aufzubewahren.

Lediglich das BDSG erlaubt präventives Speichern. Paragraf 32 sieht vor, dass ein Unternehmen personenbezogene Daten, zu denen auch die IP-Adressen zählen, unter Umständen vorhalten darf. Die sind gegeben, wenn die Daten für eine Entscheidung notwendig sind, die ein Beschäftigungsverhältnis begründet, umsetzt oder beendet. Wer zum Beispiel während der Arbeit das Internet vertragswidrig nutzt, verletzt seine arbeitsvertraglichen Pflichten. Das präventive Speichern der Daten ist hier also für das Beschäftigungsverhältnis relevant.

Der Speichernde muss jedoch den Grundsatz der Datensparsamkeit und Datenvermeidung beachten. Er darf immer nur die erforderlichen Daten speichern. Ein Unternehmen muss generell zwischen dem objektiven Interesse des Arbeitgebers, das sich auf sein Recht am eingerichteten und ausgeübten Gewerbebetrieb erstreckt, und dem Persönlichkeitsrecht des Arbeitnehmers abwägen.

Das Grundrecht auf informationelle Selbstbestimmung spielt dabei eine große Rolle als eine Ausprägung des allgemeinen Persönlichkeitsrechts. Personenbezogene Daten darf ein Unternehmen nach §32 BDSG auch erheben, verarbeiten oder nutzen, wenn ein konkreter Straftatverdacht vorliegt.

Das Speichern personenbezogener Daten ist nach §4 BDSG immer nur dann zulässig, wenn der Betroffene eingewilligt hat. Dafür muss er sich im Klaren darüber sein, welche konkreten Daten das Unternehmen zu welchem Zweck erhebt. Das Problem besteht häufig darin, dass Gerichte diese Einwilligung im Nachhinein für unzulässig erklären. In so einem Fall darf das Unternehmen die Daten nicht auswerten und sie im Verfahren als Beweis heranziehen.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 2 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Recht

    Beim "Bring your own device", also beim Einsatz privater mobiler Geräte am Arbeitsplatz, lauern rechtliche Fallstricke – für das Unternehmen ebenso wie für Angestellte.

  • Akte Mitarbeiter

    Beim Einsatz von Identity-Managementsystemen fallen zwangsläufig personenbezogenen Daten über die Mitarbeiter an. Den Umgang mit diesen Informationen regelt das Datenschutzrecht.

  • Unauffällig bespitzelt?

    Mit TCPA und Palladium wird der eigene Rechner zur Datenbank für Fremde. Was soll da eigentlich auf unseren Festplatten gespeichert werden? Und was sagt der Datenschutz dazu?

  • Google darf urheberrechtlich geschützte Bilder verlinken

    Der Bundesgerichtshof erlaubt es Google, auf urheberrechtlich geschütztes Bildmaterial zu verlinken. Auch Unternehmen, die auf Googles Suchergebnis verweisen, haften nicht.

  • Recht einfach

    Urheberrecht, Verträge, Lizenzen und so weiter: In der Serie "Rechts-Rat" erhalten Linux-Magazin-Leser verständliche Auskünfte zu Rechtsproblemen des Linux-Alltags.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.