Firmennetzwerk überwachen

Überwachung des Firmennetzwerks

Wie darf man schnüffeln und was nicht? Was das Netz betrifft, so kann es manchmal helfen, die übertragenen Daten zu analysieren. Abhängig davon, ob Sie nur einen einzelnen Computer oder den kompletten Netzwerktraffic überwachen oder aufzeichnen, erhalten Sie unweigerlich Zugriff auf die verschiedensten Protokoll- und/oder Benutzerdaten von Betriebsystemen, Software-Anwendungen, Online-Abrufen, Telekommunikationssystemen, Router, E-Mail-Server, Brandmauern, Proxyserver und so weiter.

Eine Menge sensibler Informationen werden generiert. Daher wird in der Regel der Netzverkehr nur im Falle eines spezifischen Problems aufgezeichnet oder aufbereitet. Das Datenschutzgesetz untersagt prinzipiell die uneingeschränkte und vollständige Kontrolle oder Aufzeichnung des Netzwerkverkehrs - ohne Unterscheidung im Einzelnen. Die teilweisen oder vorübergehenden Überwachungen können aus verschiedenen Anlässen zugelassen werden.

Sie hängt vom Verwendungszweck der Kontrolle und der gesammelten Informationen ab. Datenschutzrechtliche Bestimmungen wie das Telekommunikationsgesetz (TKG), das Telekommunikationsgesetz (TMG) und das BDSG ( "Bundesdatenschutzgesetz") dienen nur dem Schutz persönlicher Nutzer. Diese richten sich nach 3 BDSG: "Individuelle Informationen über die persönlichen oder sachlichen Gegebenheiten einer gewissen oder bestimmbaren nat. Person".

Beispiele für schützenswerte Angaben sind z. B. Bezeichnung, Geburtstag, Adress- und Kontendaten, Krankenakten, Informationen über Volkszugehörigkeit, kulturelle, politische und geschlechtliche Ausrichtung. Ausschlaggebend ist, ob eine Personen anhand der Angaben unmittelbar oder indirekt identifiziert werden kann. Vor allem bei IP-Adressen unterscheiden sich die Spirits. Kann ich diese Angaben oder die IP-Adressen der Benutzer der Website auf unbestimmte Zeit aufzeichnen?

Ausgehend von der Annahme, dass es sich bei IP-Adressen um persönliche Angaben handelt, hat das Landgericht Berlin-Mitte (AZ: 5 C 314/06) dem Bundesjustizministerium (BMJ) verboten, die IP-Adressen der Benutzer der Website des BMJ zu hinterlegen. Eine andere Auffassung vertritt das Landgericht München (Urteil vom 30.09.08; AZ: 133 C 5677/08): Durch die dynamische Zuweisung von IP-Adressen ist der persönliche Bezug nur vorübergehend, weshalb davon auszugehen ist, dass es sich bei IP-Adressen nicht um persönliche Angaben handelt.

Danach wäre der persönliche Bezug permanent und eine IP-Adresse würde unbestritten zum persönlichen Datenwert werden. Nur so wenig wie möglich persönliche Informationen wie möglich sollten erfasst werden. Darüber hinaus dürfen Informationen nur für einen speziellen Verwendungszweck gesammelt und zu einem späteren Zeitpunkt ausschließlich für diesen Verwendungszweck wiederverwendet werden. Die deutschen Datenschutzbestimmungen gestatten darüber hinaus die Erhebung, Verarbeitung oder Speicherung personenbezogener Nutzerdaten nur unter strengen Auflagen.

Vorraussetzung ist: Entweder ein Recht gestattet dies explizit, oder die Person, auf die sich die Angaben berufen, hat vorher zugestimmt. Dies kann im Anstellungsvertrag, einem Anhang dazu, einer gesonderten Zustimmung zur Speicherung der Unterlagen ( 4 a BDSG) erfolgen oder der Auftraggeber hat die zeitweise Netzüberwachung in einem Betriebsvertrag festgelegt (siehe Kasten).

Die Zustimmung muss im Voraus, in schriftlicher Form und auf freiwilliger Basis erteilt werden. Die betreffende Person muss den exakten Geltungsbereich der Zustimmung kennen. Ändert sich die Situation, muss die Zustimmung erneuert werden. Die Einholung der Zustimmung aller Beteiligten ist oft aufwändig und zeitaufwändig. Im Falle einer E-Mail beispielsweise müsste der Sender und der EmpfÃ?nger rechnerisch der Ã?berwachung zustimmen.

Abhängig von den spezifischen Gegebenheiten gibt es einige Paragraphen, die die Erfassung von Firmendaten für die IT-Sicherheit ohne langwierige Zustimmung ermöglichen.

Mehr zum Thema