E-Mail-Scanning nur im Rahmen des Datenschutzes

Ohne rechtliche Grundlage oder Einwilligung der Betroffenen dürfen Inhalte von E-Mails nicht ausgewertet werden. Es gibt Vorgaben aus dem Datenschutz.

Dieser Artikel behandelt

Datenschutz

Als in den USA ein Fall von Kinderpornografie mit Hilfe des Google-Konzerns aufgedeckt werden konnte, waren die Reaktionen in der Öffentlichkeit geteilt. Der Grund für die teilweise vorherrschende Kritik war, dass Google die kinderpornografischen Bilder durch das Scannen von E-Mails entdeckt hatte, die über ein Gmail-Konto ausgetauscht worden waren. Schon zuvor wurde von der Durchsuchung von E-Mails durch verschiedene Anbieter berichtet, was ebenfalls auf Kritik stieß.

Die Bundesdatenschutzbeauftragte stellte kürzlich klar, dass eine inhaltliche Auswertung von E-Mails mit den Grundrechten in Deutschland nicht vereinbar ist, wenn es keine entsprechende rechtliche Grundlage oder Einwilligung seitens der Betroffenen gibt. Unternehmen sollten dies nochmals zum Anlass nehmen, ihre eigene Praxis bei der Kontrolle von E-Mails zu überprüfen. 

Dabei gilt es auch, an eine mögliche erlaubte oder geduldete Privatnutzung des E-Mail-Kontos zu denken. Neben den Datenschutz-Vorgaben greift dann auch das Fernmeldegeheimnis, da das Unternehmen zum Dienstanbieter wird.

E-Mail-Provider suchen nach Spam oder Viren

Insbesondere kleine und mittlere Unternehmen lassen ihren E-Mail-Dienst durch Dritte betreiben, etwa einen E-Mail-Provider. Da gerade Webmail-Dienste und E-Mail-Hosting seit vielen Jahren angeboten und genutzt werden, machen sich die Anwenderunternehmen oftmals nicht klar, dass es sich dabei vielfach um Cloud Computing handelt.

Wenn nun der E-Mail-Provider im Auftrag die E-Mails prüft, um Spam oder Malware zu finden, bleibt die Verantwortung für die Einhaltung des Datenschutzes beim Anwenderunternehmen. Firmen, die einen E-Mail- oder Security-Provider zur E-Mail-Kontrolle nutzen, sollten also genau prüfen, wie die E-Mail-Untersuchung wirklich aussieht.

E-Mail-Analysen nur zu Sicherheitszwecken

Wichtig ist, dass ohne rechtliche Grundlage bzw. Einwilligung der Betroffenen keine inhaltlichen Analysen der E-Mails vorgenommen werden, die zum Beispiel einer Leistungs- oder Verhaltenskontrolle dienen. Für solche Maßnahmen sind grundsätzlich eine Vorabkontrolle und eine Einbeziehung der Mitarbeitervertretung notwendig.

Firmen, die einen E-Mail- oder Security-Provider zur E-Mail-Kontrolle nutzen, sollten genau prüfen, wie die E-Mail-Untersuchung wirklich aussieht.

Die Protokolle zu den E-Mail-Kontrollen unterliegen der besonderen Zweckbindung, dürfen also ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert und verwendet werden.

Die Aufsichtsbehörden haben eine Reihe von Hinweisen veröffentlicht, was bei der Kontrolle von E-Mails zu beachten ist, so die BfDI-Info 5 Datenschutz und Telekommunikation, den Leitfaden „Internet am Arbeitsplatz“ und die Orientierungshilfe zur datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz. Selbst zu den Grenzen, die Ermittlungsbehörden durch das Fernmeldegeheimnis bei der Kontrolle von E-Mail und anderen Kommunikationsformen auferlegt sind, haben die Datenschützer bereits Aussagen getroffen.

Scanning-Einschränkungen nicht nur bei E-Mail

Auch wenn sich die öffentliche Diskussion auf die Durchsuchung von E-Mails durch Anbieter wie Google konzentriert hat, sollte nicht vergessen werden, dass auch andere Formen des Scanning von Inhalten zu Datenschutzproblemen führen können. Als Beispiel seien Sicherheitsmaßnahmen wie SSL-Scanning genannt, bei dem verschlüsselte Datenströme temporär entschlüsselt werden, um darin befindliche Schadprogramme zu entdecken. 

Auch für das Überwachen der Nutzung sozialer Medien im Unternehmen gibt es ähnliche Schranken durch den Datenschutz wie bei der Nutzung von E-Mail. Das sollte nicht verwundern, werden doch soziale Netzwerke ebenfalls zur Kommunikation genutzt, wobei auch hier eine gemischte private und betriebliche Nutzung zu bedenken ist.

Unternehmen müssen beim Einsatz von Lösungen zum Social-Media-Monitoring genauso wie bei Verfahren zum Monitoring von E-Mail an mögliche private Inhalte denken und ihre Kontrollen auf die betriebliche Kommunikation beschränken. Auch hier sind nur inhaltliche Stichproben und kein anlassloses Massen-Scanning erlaubt. Sollen E-Mails oder Nachrichten in sozialen Netzwerken gezielt untersucht werden, braucht es einen begründeten Verdacht und die Mitwirkung von Mitarbeitervertretung und Datenschutzbeauftragten.

Auch wenn der Vorwurf oftmals zu hören ist: Datenschutz wird hier nicht zum Täterschutz, sondern dient dem Schutz der Unbeteiligten und Unschuldigen.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im September 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Datenschutz und Datensicherheit

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close