Technische und rechtliche Voraussetzungen

Daten-Monitoring im Unternehmen

In Zeiten, in denen Informationen und deren effiziente Verarbeitung die Geschäftsgrundlage sind, drohen Firmen bei Datenverlust herbe Einschnitte bei Profitabilität und Reputation. Die Absicherung der Geschäftsdaten ist also gleichbedeutend mit dem Schutz des Unternehmens selbst geworden. Vor diesem Hintergrund wird das detaillierte Monitoring der Datenbewegungen im gesamten Unternehmen zunehmend zur Notwendigkeit. Um dies umzusetzen, müssen im Vorfeld jedoch einige wichtige technische und rechtliche Aspekte geklärt werden.

  • Stilisiertes Auge

    Augen auf beim Monitoring: Die Richtige Technik sowie die Einhaltung der DSGVO sind obligatorisch.

  • Petra Gummermann

    Die in diesem Text enthaltenen rechtlichen Schlussfolgerungen stammen von der Co-Autorin Petra Gummermann – Rechtsanwältin CIPP/E bei Cyberlegal – und stellen keine Rechtsberatung dar. In spezifischen Angelegenheiten rät sie Unter- nehmensverantwortlichen zur Konsultierung ihres jeweiligen Rechtsbeistands.

Auf der technischen Ebene sind für einen effizienten Schutz der Unternehmensdaten drei Aspekte zu beachten: Das Monitoring muss lückenlos sein, es sollte möglichst in Echtzeit stattfinden und detaillierte Informationen über die bewegten Daten bereitstellen können. Über die Kopplung von Monitoring und Backup-Lösung kann dies abgedeckt werden.

Auf Laptops und PCs wird das Gros an Informationen gesammelt und verarbeitet, also müssen nicht nur Server und Rechenzentrum überwacht werden, sondern unbedingt auch alle Endpunkte, denn über sie verlassen Daten in der Regel das Unternehmen. Zudem ist nicht jeder Endpunkt immer an das Unternehmensnetzwerk angeschlossen. Ein cloud-basierter Ansatz bietet hier die Möglichkeit, Sichtbarkeit unabhängig vom Gerätestandort zu gewährleisten. Dadurch kann im Ernstfall eine kritische Dateibewegung zu jeder Zeit von dem Datenschutzbeauftragten oder einer anderen berechtigten Person in der IT-Sicherheit untersucht und bewertet werden. Eine Monitoring-Lösung allein bietet also bereits eine relativ gute Übersicht. Um bei Unregelmäßigkeiten das Risiko jedoch richtig einschätzen zu können, genügt es nicht, nur zu sehen, welche Dateien bewegt wurden. Vor allem deren Inhalt ist für die Unternehmenssicherheit entscheidend. Und hier kommt das Backup ins Spiel.

Keine blinden Flecken

Um den Traffic gering zu halten, wird üblicherweise mithilfe von Deduplikation bei jedem Backup lediglich die Abweichung zum letzten Stand gesichert. Damit können zum einen nach einem Zwischenfall die aktuellsten Daten als Erstes wiederhergestellt werden, um sofort weiterarbeiten zu können. Zum anderen gewährt dies einen eindeutigen Schnappschuss, wann welche Daten von wem bearbeitet wurden. Auch können die Inhalte bei Bedarf eingesehen werden. Für den Echtzeitfaktor ist das Backup-Intervall entscheidend. Es sollte also darauf geachtet werden, dass nicht nur alle paar Stunden oder über Nacht eine Sicherung stattfindet, vielmehr sind Intervalle von 15 Minuten ein guter Richtwert. In Bereichen, in denen hochsensible Daten verarbeitet werden, kann es zudem durchaus sinnvoll sein, im Minutentakt zu sichern. Ein leistungsfähiges Endgeräte-Backup bietet also für sich genommen schon zahlreiche Vorteile, besitzt jedoch noch keine Monitoring-Funktionalität.

Kombiniert man nun umfassendes Monitoring der Bewegungen und lückenloses Backup der Dateien an den Endpunkten, kann der Datenschutzbeauftragte erkennen, wann welche Dateien mit welchem Inhalt wohin verschoben wurden. So können kritische Datenlecks in Echtzeit geschlossen werden. Da der Inhalt der verschobenen Dateien ebenfalls bekannt ist, können passende Gegenmaßnahmen ergriffen werden, um potentiellen Missbrauch zu verhindern. Dies ermöglicht den dringend notwendigen Detailgrad zum effektiven Schutz der wichtigen Unternehmensdaten. Um eine solche Lösung anwenden zu können, müssen Unternehmen jedoch im Hinblick auf den Datenschutz ihrer Mitarbeiter einiges beachten.

Persönlichkeitsrecht der Mitarbeiter einhalten

Die vorstehende, dem System immanente Protokollierung personenbezogener Daten beim gemeinsamen Einsatz von Monitoring-Lösung und Endgeräte-Backup-Systemen gewährt dem Arbeitgeber umfassende technische Kontroll- und Auswertungsmöglichkeiten bis hin zur Erstellung von umfassenden Nutzungsprofilen der betroffenen Mitarbeiter. Diese können, wenn der Mechanismus falsch oder fahrlässig eingesetzt wird, den Rahmen des im Beschäftigungsverhältnis Erforderlichen übersteigen. In diesem Fall kann unabhängig von der tatsächlichen Nutzung der Profile das Persönlichkeitsrecht der Betroffenen beeinträchtigt sein. Insbesondere deshalb, weil die betroffenen Mitarbeiter Art und Ausmaß der möglichen Erhebungen und die bestehenden Kontrollmöglichkeiten häufig nicht erkennen können. Der gemeinsame Einsatz von Monitoring und Backup-Systemen kann daher nur unter Beachtung der Anforderungen bestehender Gesetze, insbesondere seit 25. Mai geltenden Datenschutzgrundverordnung (DSGVO), dem neuen Bundesdatenschutzgesetz (BDSG-neu) sowie dem Betriebsverfassungsgesetz (BetrVG) erfolgen.

Ziel aus datenschutzrechtlicher Sicht ist es nicht, den Einsatz dieser Technologien und Systeme zu verhindern. Vielmehr sollten sie so gestaltet werden, dass einerseits der verfolgte Sicherheitszweck erreicht wird und andererseits die Nutzung der protokollierten Daten die Rechte der betroffenen Mitarbeiter gemäß DSGVO und BDSG-neu sowie deren berechtigte Interessen nicht unzumutbar eingeschränkt werden. Das berechtigte Arbeitgeberinteresse ist gegen das Persönlichkeitsrecht des betroffenen Mitarbeiters abzuwägen und die für das Monitoring zwingend notwendigen Rechtsgrundlagen sind sicherzustellen.

Umfassende Informationspflicht

Auch die DSGVO und das BDSG-neu erlauben die Verarbeitung von personenbezogenen Daten der Mitarbeiter, wenn diese für die Verwirklichung der in § 26 Abs. 1 BDSG-neu enthaltenen Zwecke erforderlich ist. Bei der Protokollierung von Mitarbeiterdaten wird jedoch nicht ohne Weiteres von einer Erforderlichkeit auszugehen sein. Es muss vom Arbeitgeber dargelegt werden, dass ein zwingender Sicherheitsaspekt das Zurückverfolgen bis hin zu einem individualisierbaren Nutzer notwendig macht. Werden z.B. sensible Gesundheitsdaten oder biometrische Daten eines Kunden verarbeitet, so kann das Zurückverfolgen auf den jeweiligen Mitarbeiter, der diese Daten verarbeitet, zwingend notwendig werden, um den Datenschutz dieser sensiblen Daten sicherzustellen. Ist das der Fall, sind für das Monitoring neben Berechtigungskonzepten auch Arbeitsanweisungen, interne Richtlinien und Regeln zur Auswertung aufzustellen, über die die Mitarbeiter vorab umfassend zu informieren sind.

Unternehmen, die den Einsatz von Monitoring und Backup-Systemen erwägen, könnten auf der Grundlage von Einwilligungserklärungen ihrer Mitarbeiter eine Rechtsgrundlage gemäß § 26 Abs. 2 BDSG-neu schaffen. Einwilligungen können für die Datenverarbeitung auch im Beschäftigungsverhältnis eine Rechtsgrundlage darstellen, sofern diese Einwilligungen freiwillig erteilt wurden. Dabei sind aufgrund des bestehenden Abhängigkeitsverhältnisses zwischen Arbeitgeber und Mitarbeiter insbesondere die Umstände, unter denen die Einwilligung erteilt wurde, zu berücksichtigen. Freiwilligkeit soll bereits dann vorliegen, wenn die beschäftigte Person einen rechtlichen oder wirtschaftlichen Vorteil erlangt oder Arbeitgeber und Beschäftigter gleiche Interessen verfolgen. Der Arbeitgeber wird das Bestehen einer wirksamen Rechtsgrundlage nachweisen müssen.

Weitere Rechtsgrundlage für das Monitoring könnte die Vereinbarung einer Betriebsvereinbarung sein, sofern ein Betriebsrat im Unternehmen besteht: Art. 88 Abs. 2 DSGVO eröffnet den Unternehmen die Möglichkeit, hierdurch eine Rechtsgrundlage durch den Abschluss von Betriebsvereinbarungen zu schaffen. Bei dem Einsatz von Monitoring und Protokollierungstechniken kann der Arbeitgeber eine Verhaltens- und Leistungskontrolle vornehmen. Hierzu ist in § 87 Abs. 1 Nr. 6 BetrVG ein erzwingbares Mitbestimmungsrecht zugunsten des Betriebsrats geregelt. Mit Betriebsvereinbarungen können Arbeitgeber und Betriebsräte einerseits die Anforderungen der DSGVO erfüllen, indem sie Transparenz schaffen und ausführen, für welche Zwecke und auf welchen technischen und organisatorischen Maßnahmen die Verarbeitung basiert. Andererseits können im Rahmen von Betriebsvereinbarungen auch die gemäß DSGVO zugunsten der betroffenen Mitarbeiter bestehenden, umfassenden Informationsrechte über das durchgeführte Monitoring erfüllt werden.

Nicht ohne Sinn und Zweck

Grundloses Monitoring ist rechtlich nicht möglich. Mit der zunehmenden Bedeutung von Daten und deren Verarbeitung für den Unternehmenserfolg wird Datenschutz und Datensicherheit jedoch gleichbedeutend mit Unternehmenssicherheit. Damit rückt die Beobachtung dessen, was mit den Daten geschieht, immer mehr in den Fokus der Verantwortlichen und macht sie zur Notwendigkeit. Dabei ist neben der technischen Leistungsfähigkeit und dem Detailgrad des Monitorings vor allem auch die Einhaltung geltender und kommender rechtlicher Vorgaben enorm wichtig. Es muss transparent und zweckgebunden sein und konkret durch Betriebsvereinbarungen oder auf Grundlage der genannten, rechtlichen Voraussetzungen festgehalten werden, wer wann was aus welchem Grund beobachtet. Daher ist es wichtig, dass das Monitoring auch nur zeitweise eingeschaltet werden kann, also z. B. nur dann, wenn es ein konkretes Verdachtsmoment gibt.

Wenn das Monitoring jedoch nicht nötig oder möglich ist, sollte zumindest eine leistungsfähige Lösung für Endgeräte-Backup und Recovery im Einsatz sein, die gegen kritische Ausfälle schützt und die Betroffenen schnell wieder produktiv arbeiten lässt.

Checkliste für das Daten-Monitoring

Für die technische Implementierung eines umfassenden und detaillierten Monitorings von Datenbewegungen empfiehlt sich die Beachtung folgender Aspekte:

  • Das Gros an Informationen verlässt das Unternehmen über die Endpunkte (Laptops und Desktop-PCs). Deshalb sollten diese Endpunkte abgesichert werden können.
  • Die gemeinsame Nutzung von Monitoring- und Backup-Lösung gewährt nicht nur Informationen darüber, wann wo welche Datei das Unternehmen verlassen hat, sondern ermöglicht es auch, den Inhalt der Datei genau zu bestimmen.
  • Nicht alle Mitarbeiter sind bei der Arbeit immer in das Firmennetzwerk eingebunden. Eine cloud-basierte Lösung, die dem Agenten den Löwenanteil des Workloads auf dem Endpunkt überlässt, stellt sicher, dass keine blinden Flecken entstehen.
  • Das Backup-Intervall bestimmt den Echtzeitcharakter des Monitorings mit Dateieinsicht. Stellen Sie sicher, dass mindestens alle 15 Minuten vom Endpunkt gesichert wird.
  • Wenn ein Monitoring nicht nötig oder möglich ist, sollte zumindest eine leistungsfähige Lösung für Endgeräte-Backup und Recovery im Einsatz sein, die gegen kritische Ausfälle schützt und die Betroffenen schnell wieder produktiv
    arbeiten lässt.

Quelle: Code42

Bildquelle: Thinkstock/iStoc

©2018Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok