Datenschutz und Datensicherheit bei der betrieblichen Anwendung von E-Mail-Systemen


Diplomarbeit, 2002
97 Seiten, Note: 1,3

Leseprobe

Inhaltsverzeichnis

1. ZIELSETZUNG UND VORGEHENSWEISE

2. GESETZLICHER RAHMEN
2.1. BUNDESDATENSCHUTZGESETZ (BDSG)
2.2. EU - DATENSCHUTZRICHTLINIE
2.3. MULTIMEDIAGESETZE
2.3.1. Telekommunikationsgesetz (TKG)
2.3.2. Teledienstegesetz (TDG)
2.3.3. Teledienstedatenschutzgesetz (TDDSG)
2.3.4. Signaturgesetz (SigG)
2.4. KOLLEKTIVES ARBEITSRECHT

3. AUS DEM RECHTLICHEN RAHMEN ABGELEITETE GRUNDSÄTZLICHE ANFORDERUNGEN
3.1. MAIL-SICHERHEIT
3.2. SICHERHEIT DER INHALTSDATEN GEGENÜBER DER ADMINISTRATION
3.3. ABSCHOTTUNG DER VERBINDUNGSDATEN
3.4. KONFIGURIERBARKEIT DER VERBINDUNGSPROTOKOLLIERUNG
3.5. AUTHENTIZITÄT VON EMAILS

4. ANFORDERUNGEN BEI BETRIEBLICHEN ANWENDUNGEN
4.1. ORGANISATIONSMODELLE
4.2. INTERNE E-MAIL
4.3. EXTERNE E-MAIL
4.4. E-MAILS AUTOMATISCH UM- ODER WEITERLEITEN
4.5. PROTOKOLLIEREN VON EMPFANG UND VERSAND
4.6. ATTACHMENTS
4.7. VERSCHLÜSSELUNG UND SIGNATUREN

5. E-MAIL -PROTOKOLLE
5.1. X.400
5.2. SIMPLE MAIL TRANSPORT PROTOCOL, RFC 821

6. SCHEMA FÜR DIE DS - BEWERTUNG
6.1. GRUNDLEGENDE KONZEPTE DER BETRACHTETEN SOFTWARE
6.2. VERSAND VON MITTEILUNGEN
6.3. EMPFANG VON MITTEILUNGEN
6.4. SPEICHERUNG DER DATEN
6.5. SCHUTZ VOR UNBEFUGTEM ZUGRIFF
6.6. VERSCHLÜSSELUNG UND SIGNATUREN
6.7. PROTOKOLLIERUNG DER E-MAIL-AKTIVITÄTEN

7. ANWENDUNG DES PRÜFSCHEMAS AUF AUSGEWÄHLTE SOFTWAREPRODUKTE
7.1. LOTUS NOTES / DOMINO SERVER
7.1.1. Grundlegende Konzepte von Notes / Domino
7.1.2. Versand von Mitteilungen
7.1.3. Empfang von Mitteilungen
7.1.4. Speicherung der Daten
7.1.5. Schutz vor unbefugtem Zugriff
7.1.6. Verschlüsselung
7.1.7. Protokollierung der E-Mail-Aktivitäten
7.2. EXCHANGE SERVER 5.5
7.2.1. Grundlegende Konzepte
7.2.2. Versand von Mitteilungen
7.2.3. Empfang von Mitteilungen
7.2.4. Speicherung der Daten
7.2.5. Schutz vor unbefugtem Zugriff
7.2.6. Verschlüsselung
7.2.7. Protokollierung der E-Mail-Aktivitäten
7.3. E-MAIL-TRANSPORT MIT INTERNET-STANDARDS
7.3.1. Grundlegende Konzepte der betrachteten Software
7.3.2. Versand von Mitteilungen
7.3.3. Empfang von Mitteilungen
7.3.4. Speicherung der Daten
7.3.5. Schutz vor unbefugtem Zugriff
7.3.6. Verschlüsselung
7.3.7. Protokollierung der E-Mail-Aktivitäten

8. SECURITY POLICIES
8.1. BEISPIEL EINER SECURITY POLICY
8.1.1. Private Nutzung ist gestattet
8.1.2. Institutionelle E-Mails: Die E-Mails werden bei Eingang geprüft und ggf. an die Abteilungen oder Sachbearbeiter weiterverteilt
8.1.3. Vertretungsregelung: Sämtliche an das persönliche Postfach adressierten E- Mails werden an die Absender mit einem entsprechenden Hinweis und der
Angabe er E-Mail-Adresse der Vertretung zurückgeschickt
8.1.4. Beim dienstlich erforderlichen Zugriff auf fremde dienstliche Postfächer werden
die Besitzer der Postfächer und der ggf. Betriebsrat informiert
8.1.5. Protokolldateien der E-Mail-Systeme, werden nicht länger als nötig, maximal
Tage, nach dem FIFO-Prinzip gespeichert
8.1.6. Der Zugriff auf die Verbindungsdaten durch die Administratoren muss protokolliert werden
8.1.7. Zugriffe auf die Postfächer zu Zwecken der Administration dürfen nur protokolliert erfolgen
8.1.8. Variante der Security Policy:
8.1.9. Private Postfächer per Webmail
8.2. UMSETZUNG DER SECURITY POLICY MIT LOTUS NOTES / DOMINO
8.2.1. Institutionelle Postfächer: Die E-Mails werden bei Eingang geprüft und ggf. an
die Abteilungen oder Sachbearbeiter weiterverteilt
8.2.2. Vertretungsregelung: Sämtliche an das persönliche Postfach adressierten E- Mails werden an die Absender mit einem entsprechenden Hinweis und der
Angabe er E-Mail-Adresse der Vertretung zurückgeschickt
8.2.3. Dienstlich erforderlicher Zugriff auf fremde dienstliche Postfächer
8.2.4. Protokolldateien der E-Mail-Systeme, werden nicht länger als nötig, maximal
Tage, nach dem FIFO-Prinzip gespeichert
8.2.5. Der Zugriff auf die Verbindungsdaten durch die Administratoren muss protokolliert werden
8.2.6. Zugriffe auf die Postfächer zu Zwecken der Administration dürfen nur protokolliert erfolgen
8.3. UMSETZUNG DER SECURITY POLICY MIT EXCHANGE
8.3.1. Institutionelle Postfächer: Die E-Mails werden bei Eingang geprüft und ggf. an die Abteilungen oder Sachbearbeiter weiterverteilt
8.3.2. Vertretungsregelung: Sämtliche an das persönliche Postfach adressierten E- Mails werden an die Absender mit einem entsprechenden Hinweis und der
Angabe er E-Mail-Adresse der Vertretung zurückgeschickt
8.3.3. Dienstlich erforderlicher Zugriff auf fremde dienstliche Postfächer
8.3.4. Protokolldateien der E-Mail-Systeme, werden nicht länger als nötig, maximal
Tage, nach dem FIFO-Prinzip gespeichert
8.3.5. Der Zugriff auf die Verbindungsdaten durch die Administratoren muss protokolliert werden
8.3.6. Zugriffe auf die Postfächer zu Zwecken der Administration dürfen nur protokolliert erfolgen
8.4. UMSETZUNG DER SECURITY POLICY MIT INTERNETPROTOKOLLEN
8.4.1. Institutionelle Postfächer: Die E-Mails werden bei Eingang geprüft und ggf. an
die Abteilungen oder Sachbearbeiter weiterverteilt
8.4.2. Vertretungsregelung: Sämtliche an das persönliche Postfach adressierten E- Mails werden an die Absender mit einem entsprechenden Hinweis und der
Angabe er E-Mail-Adresse der Vertretung zurückgeschickt
8.4.3. Dienstlich erforderlicher Zugriff auf fremde dienstliche Postfächer
8.4.4. Protokolldateien der E-Mail-Systeme, werden nicht länger als nötig, maximal
Tage, nach dem FIFO-Prinzip gespeichert
8.4.5. Der Zugriff auf die Verbindungsdaten durch die Administratoren muss protokolliert werden
8.4.6. Zugriffe auf die Postfächer zu Zwecken der Administration dürfen nur protokolliert erfolgen

GLOSSAR

ABBILDUNGSVERZEICHNIS

LITERATURVERZEICHNIS

1. Zielsetzung und Vorgehensweise

Durch die inzwischen flächendeckende Einführung von vernetzten Computern am Arbeitsplatz ist auch das Verschicken und Empfangen von elektronischen Nachrichten und Mitteilungen schon in vielen Arbeitsbereichen alltäglich geworden.

Ihren papierenen Vorgängern gegenüber haben die elektronischen Mitteilungen viele Vorteile:

Der ‘mechanische’ Transport entfällt. Große Entfernungen spielen für die schnelle Übermittlung keine wesentliche Rolle mehr.

Vorausgesetzt die Netzwerkverbindung funktioniert, erreichen diese Mitteilungen den Adressaten, beziehungsweise dessen elektronischen Postkasten, quasi sofort nachdem sie abgeschickt wurden.

Eine automatisierte Behandlung der Mitteilungen ist leicht zu vollziehen:

Sortieren, Kopieren, Ergänzen, Verändern, Umleiten oder an mehrere weitere Empfänger weiterleiten ist problemlos möglich.

Aber aus Sicht der Sozialverträglichkeit und aus gesetzlicher Sicht existieren auch Probleme:

Die elektronischen Mitteilungen entsprechen in ihrer Art eher einer Postkarte als einem Brief. Auf dem Weg vom Sender zum Empfänger können die Mitteilungen viele Rechnersysteme durchlaufen. An jedem dieser Systeme können Personen alle durchlaufende Post in Augenschein nehmen, ohne dass diese Tatsache im Nachhinein erkennbar ist.

Es ist möglich, diese Mitteilungen, ohne Spuren zu hinterlassen, zu verändern.

- Absenderund Empfängeradresse können gefälscht oder verändert werden.
- Es kann von jemand anderem vorgetäuscht werden, der rechtmäßige Empfänger zu sein.
- Die E-Mail-Systeme versehen die Mitteilungen unter anderem mit Zeitstempeln für Absendeund Empfangszeitpunkt. Werden diese Daten gesammelt und ausgewertet, eignen sie sich zur Erstellung von Verhaltensund Leistungsprofilen. Wenn E-Mail-Inhalte oder die zugehörigen Verbindungsdaten kontrolliert werden, ist dies ein Eingriff in die Grundrechte der Absender und Empfänger der E-Mails.

Im Bereich der betrieblichen E-Mail prallen die Interessen der Arbeitgeber und Arbeitnehmer aufeinander:

Besteht erst einmal die Möglichkeit, von den Arbeitsplätzen E-Mails zu verschicken, haben die Arbeitgeber in der Regel ein Interesse an ihrer Kontrolle. Motivation hierfür ist zum einen die Befürchtung, dass auf diesem Wege unberechtigterweise Geschäftsgeheimnisse weitergegeben werden könnten. Zum anderen können Viren in das Firmennetzwerk gelangen. Außerdem könnte durch eine übermäßige unberechtigte Nutzung der E-Mail-Systeme die EDV-Infrastruktur der Unternehmen überlastet und zusätzlich, unter anderem durch die dadurch verbrauchte Arbeitszeit, erhebliche Kosten verursacht werden. Weiterhin soll so die angemessene Bearbeitung geschäftlich relevanter E-Mail sichergestellt werden. Dies besonders auch, weil in zunehmendem Unfang auch komplexere Geschäftsprozesse über die E-Mail-Systeme abgewickelt werden.

Die Arbeitnehmer auf der anderen Seite haben ein großes Interesse am Schutz vor einem Zugriff auf die E-Mails und anfallenden Verbindungsdaten, da diese für Zw ecke individueller Leistungsund Verhaltenskontrollen verwendet werden können, und die möglicherweise daraus erwachsenden Konsequenzen nicht einfach abschätzbar sind. Zudem ist jede Kontrolle von E-Mail ein Eingriff in die Persönlichkeitsrechte, die Arbeitnehmerseite ist daher sehr an einer Regelung interessiert, zumal hier weitgehende Mitbestimmungsrechte bestehen.

Durch entsprechende Gesetzgebung, durch Schaffung beziehungsweise Einarbeitung in die relevanten Normen und durch entsprechende Implementierungen in der Software wird versucht, die bekannten Gefährdungspotentiale und andere Risiken auszuschließen oder wenigstens zu minimieren. Wo dies nicht oder nicht vollständig gelungen ist, muss durch entsprechende weiterführende Regelungen, zum Beispiel Betriebsvereinbarungen und Arbeitsverträge, sichergestellt werden, dass weder Arbeitnehmer noch Arbeitgeber unzumutbar in ihren Belangen und Rechten beeinträchtigt werden und das Fernmeldegeheimnis gewahrt wird.

Folgende wesentliche Erwartungen werden bei der Einführung an ein E-Mail-System gestellt

- Die Mitteilungen sollen schnell und zuverlässig verschickt werden können.
- Die Mitteilung soll den rechtmäßigen Adressaten sicher erreichen.
- Der Absender und Empfänger soll zweifelsfrei feststellbar sein.
- Der Inhalt soll nicht nachträglich unbemerkt verändert werden können.
- Unbefugte, wie zum Beispiel die Systemadministratoren, sollen keine Kenntnis vom Inhalt der Mitteilungen erlangen können.
- Die Zustellung soll dokumentiert werden können (Absendeund Empfangs- Quittungen).
- Die Verbindungsprotokolle sollen auf das unbedingt erforderliche Maß beschränkt und besonders gesichert werden.
- Bei Abwesenheit der Adressaten soll die Mitteilung an Vertreter weitergeleitet werden können.
- Arbeitsabläufe sollen durch automatische Verteilung und Weiterleitung effizienter werden bei gleichzeitiger Vermeidung von systemgestützter Leistungsund Verhaltenskontrolle.

Bei allen Betrachtungen muss unterschieden werden, in welchem Kontext der Austausch der E-Mails erfolgt: ausschließlich innerbetrieblich und lokal, also im LAN, im Unternehmensnetz, das sich über verschieden Standorte erstreckt - WAN - oder auch mit Teilnehmern außerhalb des Unternehmens.

Ziel der Arbeit ist es, aufzuzeigen, ob und in wie weit einzelne Personen durch die Benutzung von E-Mail-Systemen in ihren Persönlichkeitsrechten beeinträchtigt werden, und mit welchen technischen und organisatorischen Maßnahmen diese Beeinträchtigungen vermieden werden können. Technische Maßnahmen werden dabei sowohl im Bereich der Konfigurierbarkeit marktgängiger E-Mail-Systeme und ihrer Zusatzmodule gesehen, als auch auf der Grundlage von Anforderungen an gegebenenfalls noch zu programmierende zusätzliche Funktionen.

Zunächst werden die einschlägigen Gesetzeswerke auf entsprechende Regelungen untersucht. Dabei werden sowohl die allgemeinen Datenschutzregelunge n des Bundesdatenschutzgesetzes, BDSG, als auch die speziell auf die Telekommunikation abzielenden Regelungen des Informationsund Telekommunikationsdienstegesetzes, IuKDG, berücksichtigt. Da in den Unternehmen auch die datenschutzrelevanten Regelungen des Betriebsverfassungsgesetzes, BetrVG und im öffentlichen Bereich die des Personalvertretungsgesetzes, PVG, berührt sind, werden auch die wesentlichen Regelungen dieser Normen einbezogen.

Anschließend werden die Anforderungen an E-Mail-Systeme aus Sicht der betrieblichen Anwendung konkretisiert. Hierbei werden nicht nur die Erfordernisse der betrieblichen Organisation sondern auch die den Datenschutz und die Datensicherheit betreffenden Aspekte, die sowohl für die Arbeitnehmer wie auch die Arbeitgeber relevant sind, behandelt.

Danach werden die internationalen Normen und Empfehlungen, die die Übertragungsprotokolle für E-Mails festlegen, auf die Umsetzung der Anforderungen an Datenschutz und Datensicherheit hin untersucht. Die Möglichkeiten der Umgehung des Datenschutzes, beziehungsweise der Verletzung der Persönlichkeitsrechte einzelner, zum Beispiel durch die mit einer ausführlichen Übermittlungsprotokollierung mögliche Verhaltenskontrolle, werden dabei ebenso betrachtet, wie die Schaffung einer durch Verschlüsselung und digitalen Signatur gesicherten und vertraulichen Übermittlung von E-Mails.

Weiterhin werden im Hauptschwerpunkt der Arbeit die wesentlichen Softwareprodukte auf die Umsetzung der herausgearbeiteten Anforderungen hin überprüft, auch solche mit proprietären Protokollen. Nach einer Betrachtung der einzelnen Systeme mit Hilfe eines operationalen Prüfschemas, das die verschiedenen Anforderungsbereiche beschreibt und untersucht, wird modellhaft eine Beispiel Security Policy beschrieben, für die Vorschläge zur entsprechenden Konfiguration der hier untersuchten Systeme entwickelt werden.

Soweit bei den untersuchten Systemen als erforderlich erachtete Funktionen nicht verfügbar sind, werden diese abschließend grob spezifiziert.

2. Gesetzlicher Rahmen

Für den Umgang mit Kommunikationsund Informationstechnologie in Betrieben gibt es im Allgemeinen kaum ausdrückliche, auf die betriebliche Situation abgestellte Datenschutzund arbeitsrechtlichen Regelungen. Dies gilt auch für die Verwendung von E-Mail-Systemen. Auch die Verabschiedung der „Multimediagesetze” und deren Novellierung hat daran nichts Wesentliches geändert.

Ob und wie E-Mail-Systeme im Betrieb genutzt werden dürfen und die sich daraus ergebenden Rechte und Pflichten werden daher durch Arbeitsverträge, Betriebsvereinbarungen und betriebliche Organisationsrichtlilien festgelegt. Fehlen diese, so muss auf die allgemeinen Grundsätze des Arbeitsvertragsund Betriebsverfassungsrechts zurückgegriffen werden. Bei sehr restriktiver Auslegung ist danach, wenn der Arbeitgeber dies nicht ausdrücklich erlaubt oder durch konkludentes Handeln duldet, eine aktive private Nutzung der betrieblichen DV nicht gestattet.1

Bei der Kontrolle der E-Mail durch den Arbeitgeber entsteht in jedem Fall, unabhängig davon ob es sich um dienstliche, dienstlich veranlasste, oder erlaubte private Nutzung handelt, ein Konflikt zwischen dem begründeten Interesse des Arbeitgebers am Schutz vor Missbrauch und Nachvollziehbarkeit von Geschäftsprozessen auf der einen, und der Wahrung der Persönlichkeitsrechte der Arbeitnehmer auf der anderen Seite. Dies insbesondere deshalb, weil E-Mail-Systeme immer auch die Möglichkeit bieten, das Benutzungsverhalten aufzuzeichnen.

2.1. Bundesdatenschutzgesetz (BDSG)

Im BDSG, das zuletzt durch das Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze vom 18. Mai 2001 geändert wurde, wird zwischen öffentlichen und nichtöffentlichen Stellen unterschieden. Für beide Bereiche gelten unterschiedliche Regelungen.

Private Firmen sind dem nichtöffentlichen Bereich nach § 2, Abs. 4 „natürliche und juristische Personen des privaten Rechts“, die nicht unter die in Abs. 1 bis 3 definierten „öffentlichen Stellen“ fallen und keine hoheitlichen Aufgaben wahrnehmen, zuzuordnen.

Personenbezogene Daten sind nach § 3, Abs.1 alle Daten, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. System-Logdateien von E-Mail- Systemen sind stets den einzelnen Nutzern zuzuordnen. Deshalb handelt es sich hierbei um personenbezogene Daten im Sinne des Gesetzes.2 Das umfasst nicht nur die sogenannten Bestandsund Verbindungsdaten, sondern auch die Inhalte der E-Mails.3

Wenn Daten erhoben und verarbeitet werden, muss dies nach § 3a immer den Prinzipien von Datenvermeidung und Datensparsamkeit entsprechend erfolgen. Die Systeme sollen so konzipiert sein, dass sie nur die unbedingt erforderlichen Daten erfassen, und diese dann auch nur so lange speichern, wie es zur Erfüllung des Zweckes notwendig ist.

Die Verarbeitung personenbezogener Daten nach § 4, Abs.1 „nur zulässig, wenn dieses Gesetz oder eine andere Rechtsvorschrift sie erlaubt oder anordnet oder soweit der Betroffene eingewilligt hat“.

Für den nichtöffentlichen Bereich regelt der § 28, wann die Verarbeitung personenbezogener Daten zulässig ist. Danach ist die Speicherung, Veränderung und Übermittlung zulässig, wenn sie im Rahmen eines Vertragsverhältnisses oder eines vertrags- ähnlichen Vertrauensverhältnisses mit dem Betroffenen erfolgt, (§ 28, Abs.1,1) oder sie zur Wahrung berechtigter Interessen der speichernden Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung offensichtlich überwiegt (§ 28, Abs.1,2).

Arbeitsverträge und Betriebsvereinbarungen sind zwar Vertragsverhältnisse im Sinn des § 28, nach denen die Verarbeitung personenbezogener Daten zulässig ist, jedoch muss auch hier die Verhältnismäßigkeit und der Schutz der Persönlichkeitsrechte des Arbeitnehmers gegenüber dem Interesse des Arbeitgebers an der Verarbeitung personenbezogener Daten abgewogen werden.4

Die Schutzbestimmungen des BDSG können durch „andere Rechtsvorschriften“ überlagert werden. Nach einer Entscheidung des BAG sind Betriebsvereinbarungen als solche „andere Rechtsvorschriften“ im Sinn des § 4 BDSG, die die Verarbeitung personenbezogener Daten regeln können, anzusehen. 5 Solche Betriebsvereinbarungen unterliegen den Beschränkungen des § 75 BetrVG, Abs. 2 und müssen die Wa hrung der Persönlichkeitsrechte der Arbeitnehmer sicherstellen. Unabhängig davon wird im § 4 d, Abs. 5 BDSG festgelegt, dass wenn Daten erhoben werden, die der Leistungsund Verhaltenskontrolle dienen können, bereits vor Beginn des Betriebes eine Vorabkontrolle durch den betrieblichen Beauftragten für den Datenschutz durchzuführen ist.

Ein weiterer wichtiger Aspekt ist die Anwendung des Gesetzes auf interne E-Mail. Werden Daten zwischen unselbstständigen Teilen eines Unternehmens getauscht, oder werden betriebliche E-Mails zum oder vom Betriebsrat übertragen, so wird dies wie eine Aktenweitergabe von Büro zum Nachbarbüro gewertet.6 Der Empfänger ist kein Dritter im Sinne des § 3, Abs.9; Der Datenaustausch unterliegt nicht den Bestimmungen des BDSG. Unabhängig davon unterliegen Daten, die vom oder zum Betriebsoder Personalrat geschickt werden, dem besonderen Schutz des BetrVG.

Werden E-Mails von einer Unternehmenstochter zu einer anderen übermittelt, gelangen sie „nach außerhalb“. In diesem Fall besteht zum Schutz der Betroffenen ein Erlaubnisvorbehalt. Außerdem ist der Arbeitgeber gemäß § 9 verpflichtet, durch entsprechende organisatorische und technische Maßnahmen, Datenschutz und Datensicherheit zu gewährleisten.

2.2. EU - Datenschutzrichtlinie

Die Richtlinie 95/46/EG 7 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr wurde am 24. 10. 1995 verabschiedet und sollte innerhalb von drei Jahren in nationales Recht umgesetzt werden.

Der Artikel 1 hebt ausdrücklich den Schutz der Privatsphäre natürlicher Personen hervor. Der Begriff „personenbezogene Daten“ wird im Art. 2 identisch zum BDSG definiert, der Begriff „Verarbeitung“ jedoch wesentlich weiter, nämlich als „jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten“ definiert. Damit wird jeder Schritt von der Erhebung über die Nutzung bis zur Weitergabe abgedeckt. Die Verarbeitung personenbezogener Daten ist nach Art. 7 ohne Einwilligung der Betroffenen nur möglich, wenn sie zur Verwirklichung eines berechtigten Interesses erforderlich ist. Das heißt, dass auch die Daten über den Nutzer nur unter Vorbehalt verarbeitet werden dürfen. Dabei muss bei der Güterabwägung das Interesse dem grundrechtlichen Schutz der Person vorgehen.

Nach Art. 12 haben die Betroffenen ein Recht auf Auskunft über sie betreffende verarbeitete Daten. Art. 14 bewirkt, dass nach einem berechtigten Widerspruch, der Ve rantwortliche, das ist im Fall der betrieblichen E-Mail der Arbeitgeber, diese Daten nicht verwenden darf. Aus unberechtigt kontrollierten E-Mails können also keine arbeitsrechtlichen Konsequenzen erwachsen.

2.3. Multimediagesetze

2.3.1. Telekommunikationsgesetz (TKG)

Grundsätzlich fallen betriebsintern versandte E-Mails nicht in den sachlichen Anwendungsbereich des TKG. Es soll den Wettbewerb fördern, flächendeckende angemessene und ausreichende Dienstleistungen gewährleisten und schließlich eine Frequenzordnung festlegen (§ 1). Die Regelungen dienen der grundsätzlichen Ausgestaltung der Telekommunikationsnetze als Infrastruktur.

Einzelne Regelungen des TKG sind jedoch auf das in dieser Arbeit betrachtete Verhältnis Arbeitgeber – Arbeitnehmer bei der Nutzung betrieblicher E-Mail anwendbar. Im 11. Teil sind Regelungen zu Fernmeldegeheimnis, Datenschutz und technischen Schutzmaßnahmen enthalten. So stellt der § 85 einzelne Datenverbindungen unter den Schutz des Fernmeldegeheimnisses. Nach § 85 Abs. 2 ist, wer geschäftsmäßig Telekommunikationsdienste erbringt oder daran mitwirkt, verpflichtet, das Fernmeldegeheimnis zu wahren. § 85 greift die Regelungen des § 10 FAG auf, wonach alle Ve rbindungsdaten, die Auskunft über die am E-Mail-Austausch beteiligten oder deren Versuch geben können, dem Fernmeldegeheimnis unterliegen.

Das Kriterium geschäftsmäßiger Erbringung von Telekommunikationsdienstleistungen erfüllt ein Arbeitgeber schon, wenn er seinen Angestellten die Möglichkeit zum privaten Empfangen und Versenden von E-Mails gibt. Es ist nämlich nicht erforderlich, dass er mit Gewinnerzielungsabsicht handelt, das nachhaltige Angebot von Telekommunikationsmöglichkeiten für Dritte, in diesem Fall die Bereitstellung des Betriebsnetzwerkes, erfüllt schon die Voraussetzung, wenn der Arbeitgeber nicht die ausschließliche dienstliche Nutzung der betrieblichen DV-Infrastruktur durch technische und organisatorische Maßnahmen erzwingt 8.

Der mit § 85 korrespondierende § 87 stellt Forderungen für angemessene technische Vorkehrungen zum Schutz der personenbezogenen Daten auf. Da das Gesetz in erster Linie auf gewerbliche Betreiber von Telekommunikationsanlagen ausgerichtet ist, muss im Einzelfall geprüft werden, ob die Forderung auf Einhaltung des im § 87, Abs.

1 TKG Anforderungskataloges 9 seitens der Arbeitgeber für sie zumutbar und angemessen ist. Die in § 88 behandelte technische Umsetzung von Überwachungsma ß- nahmen ist für die betrieblichen E-Mail-Systeme nicht erforderlich, da sich der angebotene Dienst nicht an die Öffentlichkeit richtet10.

2.3.2. Teledienstegesetz (TDG)

Das TDG enthält keine den Datenschutz betreffenden Regelungen, obwohl Teledienste im Sinne des TDG Angebote zu Nutzung des Internet und weiterer Netze, zu denen ja auch E-Mail gehört, sind (§ 2). Die Aufgabenstellung ist mit der des TKG vergleichbar. Ziel des Gesetzes ist, einheitliche wirtschaftliche Rahmenbedingungen für die verschiedenen Nutzungsmöglichkeiten elektronische Informationsund Telekommunikationsdienste zu schaffen (§ 1).

2.3.3. Teledienstedatenschutzgesetz (TDDSG)

Die Definitionen der Personenkreise „Diensteanbieter“ und „Nutzer“ ist in dem Gesetz bewusst weit gefasst, um so zu erreichen, dass das Recht auf informationelle Selbstbestimmung auch bei der Individualkommunikation über die neuen Medien hinreichend Beachtung und Durchsetzung findet.

Arbeitgeber, die ihr Betriebsnetzwerk zum Versenden und Empfangen von E-Mails zur Verfügung stellen, sind „Diensteanbieter“, die Arbeitnehmer sind „Nutzer“ im Sinne des Gesetzes (§ 2), es sei denn, die ausschließliche dienstliche Nutzung wird sichergestellt (s.o.).

Durch das Gesetz wird einerseits der Schutz der Arbeitnehmer als Nutzer erweitert, andererseits werden die Arbeitgeber als Diensteanbieter mit zusätzlichen Forderungen zur Datensicherheit belastet: Daten dürfen nur erhoben und verarbeitet werden wenn eine Rechtsvorschrift dies erlaubt, oder der Nutzer einwilligt (§ 3, Abs.1). Ferner dürfen diese Daten nur für andere Zwecke verwendet werden, wenn eine Rechtsvorschrift dies erlaubt, oder der Nutzer einwilligt (§ 3, Abs.2).

Wenn Daten erhoben und verarbeitet werden, müssen die Betroffenen davon unterrichtet werden. Diese Unterrichtung ist so abzulegen, dass die Betroffenen jederzeit den Inhalt einsehen können (§ 4, Abs.1).

Die Erhebung und Nutzung von Bestands- Nutzungsund Abrechnungsdaten durch den Diensteanbieter ist nur soweit gestattet, wie es zur Erbringung der entsprechenden Teledienste erforderlich ist (§ 5 und § 6, Abs.3). Eine weitergehende Nutzung dieser Daten ist nur zulässig, wenn die Betroffenen eingewilligt haben (§ 6, Abs.2), die Einwilligung hierzu kann auch auf elektronischen Wege erfolgen (§4, Abs. 2), das entsprechende Verfahren muss aber anders als „zwei Mausklicks“ gestaltet sein, sodass eine bewusste Handlung erforderlich ist, um einzuwilligen. Außerdem muss die Authentizität der Erklärung sichergestellt sein. Die Abrechnungsdaten sind spätestens nach 6 Monaten zu löschen (§ 6, Abs.7).

Der § 4 Abs. 6 fordert vom Diensteanbieter, dem Nutzer zu ermöglichen, die angebotenen Teledienste anonym oder mit Pseudonym zu nutzen, soweit dies technisch mö glich und zumutbar ist. Diese Forderung ist nur im Falle der privaten Nutzung von Bedeutung. Bei der dienstlichen Nutzung ist das berechtigte Interesse des Arbeitgebers am Zugriff auf die betrieblichen E-Mails sowie der Zuordnung zu deren Absender und Empfänger im Betriebsnetzwerk überwiegend.

Wenn eine private Nutzung des Betriebsnetzwerkes erlaubt ist, muss geprüft werden, ob eine anonyme oder pseudonyme Nutzung mit angemessenem Aufwand seitens des Arbeitgebers zu realisieren ist. Allerdings erscheint die mögliche Forderung nach einer anonymen Nutzung von E-Mail als wenig sinnvoll, da es sich um einen asynchrone Kommunikation handelt, bei der die Kommunikationspartner erhebliche Schwierigkeiten haben werden, die anonymen E-Mails zu beantworten.

Der Diensteanbieter muss außerdem technische und organisatorische Vorkehrungen treffen, dass der Nutzer eine bestehende Verbindung jederzeit sofort unterbrechen kann (§ 4, Abs.4.1), die angefallenen Daten schnellstmöglich gelöscht werden (§ 4, Abs.4.2) und die Inanspruchnahme der Teledienste gegen die Kenntnisnahme Dritter geschützt ist (§ 4, Abs.4.3).

2.3.4. Signaturgesetz (SigG)

Mit Datenschutz hat das SigG vordergründig nicht viel zu tun. Der Zweck des Gesetzes ist die Schaffung der Rahmenbedingungen für die elektronische Signatur (§ 1). Dazu werden im Gesetz Begriffe bestimmt und Verfahren für die Einrichtung von Zertifizierungsstellen und die Ausgabe von Zertifikaten festgelegt. Die kryptografischen Verfahren zur Erzeugung der Zertifikate und Signaturschlüssel werden im Gesetz nicht festgelegt, es wird lediglich gefordert, dass diese nach aktuellem Stand sicher zu sein haben. Es werden verschiedene Arten der elektronischen Signatur benannt:

- Die einfache elektronische Signatur. Die zu signierenden elektronischen Daten werden logisch so mit der Signatur verknüpft, dass eine nachträgliche Änderung erkannt werden kann.
- Die fortgeschrittene elektronische Signatur kann jeweils einem Signaturschlüsselinhaber zugeordnet werden, der über diese Signatur auch identifiziert werden kann.
- Die qualifizierte elektronische Signatur beruht zusätzlich auf einem gültigen Zertifikat einer Zertifizierungsstelle, das die Identität des Signaturschlüsselinhabers bestätigt.

Durch die Schaffung einer weitverbreiteten und öffentlich zugänglichen Infrastruktur von gesetzeskonformen Zertifizierungsdiensten soll die Verwendung von qualifizierten elektronischen Signaturen, die der eigenhändigen Unterschrift gleichgestellt werden sollen, gefördert werden.

Die kryptografisch erzeugten asymmetrischen Schlüsselpaare der elektronischen Signaturen und Zertifikate eignen sich jedoch nicht nur zum Signieren, sondern auch zum Verschlüsseln von Daten. Die E-Mails mit vertraulichen Inhalten können vor dem Versenden mit dem öffentlichen Schlüssel des Empfängers verschlüsselt werden. Anschließend kann nur noch der rechtmäßige Empfänger mit seinem privaten Schlüssel diese E-Mail entschlüsseln.

2.4. Kollektives Arbeitsrecht

Bei der Einführung von E-Mail-Systemen in Betrieben, die dem Betriebsverfassungsgesetz (BetrVG) unterliegen, ist der Betriebsrat zu beteiligen. Dies gilt in öffentlichen Verwaltungen gemäß BPersVG analog für die Personalräte.

Die Einrichtung von Bildschirmarbeitsplätzen und Datenverarbeitungssystemen ist bereits 1983 durch den Beschluss des BAG 11 als mitbestimmungspflichtig eingestuft worden.

Nach § 87, Abs. 1, Nr. 6 BetrVG ist die Einführung technischer Überwachungseinrichtungen mitbestimmungspflichtig. Diese Vorschrift erfasst alle technischen Einrichtungen, durch die das Verhalten der Arbeitnehmer erfasst und kontrolliert werden kann 12. Das BAG hat ausdrücklich klargestellt, dass auch die Überwachung des geschriebenen Wortes, zum Beispiel E-Mail, insbesondere der Zugriff auf interne Datenbanken der Mitbestimmungspflicht nach § 87, Abs. 1, Nr. 6 BetrVG unterliegt, sofern ein Beschäftigtenbezug gegeben ist. Dabei ist die potentielle Möglichkeit der Kontrolle ausreichend. So soll sichergestellt werden, dass die Persönlichkeitsrechte der Arbeitnehmer vor einseitigen Zugriffen der Arbeitgeber geschützt werden.

Die inhaltliche Gestaltungsfreiheit über die Zulässigkeit und den Umfang von E-Mail- Kontrollen wird durch § 75 Abs. 2 eingeschränkt. Danach dürfen die Verarbeitung von Beschäftigtendaten und die entsprechenden Regelungen der Betriebsvereinbarungen nur soweit gehen, dass sie das allgeme ine Persönlichkeitsrecht, wie es die Art. 1 und 2 GG garantieren und nach ständiger Rechtsprechung insbesondere das Recht auf informationelle Selbstbestimmung 13, nicht beeinträchtigen. Diese Wertung bezieht sich auch auf Anwendungen und Nutzungsregelungen in Betrieben, in denen keine Betriebsräte bestehen.

Aus dieser Rechtsprechung resultiert, dass die Einführung von E-Mail-Überwachungssystemen einen Eingriff in die Persönlichkeitsrechte der Arbeitnehmer darstellt. Die vom BVerfG entwickelten allgemeinen Grundsätze zur Rechtfertigung von Eingriffen in die Grundrechte erfordern eine Prüfung, ob sich ein solcher Eingriff aus den überwiegenden Interessen des Arbeitgebers rechtfertigen lässt. Die Beweislast, ob die Maßnahme notwendig und verhältnismäßig ist, obliegt dem Arbeitgeber.

Die legitimen Interessen des Arbeitgebers, nämlich Schutz der Geschäftsgeheimnisse, Schutz vor Überlastung des DV-Systems durch übermäßiges Versenden privater E- Mails mit den dadurch verursachten übermäßigen Kosten und Schutz vor Zerstörung von Geschäftsdaten durch Viren, lassen sich durch eine E-Mail-Überwachung überwiegend wahren. Diese Maßnahme kann also als geeignet angesehen werden. Es muss aber hinsichtlich der verfolgten Ziele unter Beachtung der Verhältnismäßigkeit differenziert werden:

Virenschutz kann durch einen Virenscanner realisiert werden, der alle E-Mails für Menschen unlesbar kontrolliert. Nur bei Virenverdacht wird die entsprechende E-Mail aussortiert und gespeichert. Wie die Systemadministratoren dann mit dieser E-Mail umzugehen haben und wie der rechtmäßige Empfänger der E-Mail zu informieren beziehungsweise zu beteiligen ist, muss dann in einer Betriebsvereinbarung geregelt werden.

Die Vermeidung von übermäßigen Kosten und Netzlasten kann auch durch andere technische Vorkehrungen, zum Beispiel zeitliche Nutzungsbeschränkungen, realisiert werden 14. Eine Betriebsvereinbarung sollte so formuliert sein, dass sie E-Mail- Kontrollen nicht generell gestattet, sondern dies nur in Einzelfällen, zum Beispiel wenn der begründete Verdacht besteht, dass ein Arbeitnehmer unbefugt Daten an Dritte weitergibt und damit gegen arbeitsvertragliche Pflichten verstößt. Art und Umfang der E-Mail-Kontrollen können dann im Einzelfall festgelegt werden.

3. Aus dem rechtlichen Rahmen abgeleitete grundsätzliche Anforderungen

3.1. Mail-Sicherheit

Jeder Nutzer von E-Mail-Systemen hat ein großes Interesse daran, dass seine Mitteilungen nur von denjenigen gelesen werden, für die sie bestimmt sind. Besonders im betrieblichen Umfeld ist der unbeobachtete Nachrichtenaustausch, unabdingbar, wenn nicht sogar für den Fortbestand des Unternehmens von vitalem Interesse. Die Kenntnis von zwischen den einzelnen Teilen einer Firma ausgetauschten Daten kann für die direkte Konkurrenz aber auch für andere Firmen sehr interessante Informationen hervorbringen. So hat in diesem Fall der Arbeitgeber ein besonderes Interesse daran, dass die E-Mails nur von den rechtmäßigen Adressaten gelesen werden können.

Die Arbeitnehmer haben auch Anspruch auf die Vertraulichkeit der von ihnen gesendeten und an sie gerichteten E-Mails, sowie der damit in Zusammenhang stehenden Verbindungsund Betriebsdaten, die das E-Mail-System erzeugt. Sie sind zwar zur Abwicklung der E-Mail-Kommunikation unerlässlich, die längerfristige Speicherung und anschließende Auswertung in den meisten Fällen jedoch nicht erforderlich. Da diese Daten ein großes Potenzial zur individuellen Leistungsund Verhaltenskontrolle enthalten, müssen sie nicht nur zur Vermeidung von Missbrauch gelöscht werden, wenn der Zweck, zu dem die Speicherung erfolgt ist, erfüllt ist, sondern auch um der in § 3a BDSG geforderten Datenvermeidung und Datensparsamkeit zu entsprechen. Eine weiter andauernde Speicherung und Aus wertung darf nur in besonderen Fällen und nur bei einem konkreten Verdacht erlaubt sein, da die Daten dann nicht mehr dem ursprünglichen Zweck entsprechend verwendet werden.

3.2. Sicherheit der Inhaltsdaten gegenüber der Administration

Die Administratoren haben unter Anderem die Aufgabe, den Betrieb des E-Mail- Systems effizient, schnell und störungsfrei zu gestalten. Um die Mailserver optimal zu konfigurieren und den Ursachen von Störungen und Ausfällen auf den Grund zu gehen, haben sie in den meisten E-Mail-Systemen uneingeschränkten Zugriff auf alle Dateien. Dadurch ist es ihnen auch möglich, die Inhalte der E-Mails zu lesen, falls diese unverschlüsselt abgelegt werden. Um einen Missbrauch dieser Privilegien zu verhindern, müssen die Zugriffe auf die Verbindungsund Inhaltsdaten grundsätzlich unterbunden werden. Da nach § 85 TKG nicht nur die Inhalte, sondern auch die Ve rbindungsdaten der E-Mails vor unbefugtem Zugriff zu schützen sind, müssen sämtliche Aktivitäten der Administratoren protokolliert werden.

3.3. Abschottung der Verbindungsdaten

Die bei der Nutzung des E-Mail-Systems anfallenden und in den System-Logdateien aufgezeichneten Verbindungsdaten können zur Erstellung von Leistungsund Verhaltensprofielen missbraucht werden. Deshalb müssen sie so gespeichert werden, dass ein Zugriff auf sie nur durch die dafür autorisierten Personen möglich ist. Des weiteren müssen alle Zugriffe auf die Logdateien ihrerseits ebenfalls protokolliert werden.

3.4. Konfigurierbarkeit der Verbindungsprotokollierung

Um dem Prinzip der Datensparsamkeit gerecht zu werden, muss die E-Mail- Protokollierung konfigurierbar sein. Wenn das E-Mail-System problemlos läuft, ist es nicht mehr erforderlich, alle Verkehrsdaten genauestens zu erfassen. Die Protokollierungseinstellungen dürfen nur die notwendigen Daten umfassen. Im Falle einer Stö- rung oder einer Fehlfunktion des Systems kann dann temporär wieder eine entsprechend ausführliche Protokollierung eingestellt werden.

3.5. Authentizität von Emails

Eine E-Mail enthält im Header außer dem Adressaten und dem Betreff auch immer einen Absender. Für den Empfänger ist es wichtig, dass diese Informationen auch den Tatsachen entsprechen. Außerdem muss ebenfalls sichergestellt sein, dass nicht auf einer der Zwischenstationen der Inhalt der E-Mail verändert wurde. Wenn die verwendete Software selbst keine Signaturund Verschlüsselungsfunktionen bereitstellt, mit denen dies am besten gewährleistet werden kann, sollte eine entsprechende Zusatzsoftware wie zum Beispiel PGP bereitgestellt werden. Dabei wird es unter Umständen erforderlich, eine eigene Public Key Infrastruktur, PKI, bereitzustellen, damit die Authentizität der verwendeten Schlüssel gewährleistet werden kann. Die durch das SigG geförderte Verbreitung gesetzeskonformer Zertifizierungsstellen, die auch entsprechende Verzeichnisdienste für Signaturschlüssel anbieten, kann noch nicht problemlos ausgenutzt werden. Die bei den verschiedenen inzwischen vorhandenen Zertifizierungsdiensteanbietern genutzten Verfahren und deren Signaturschlüssel sind zudem zueinander teilweise noch inkompatibel.

4. Anforderungen bei betrieblichen Anwendungen

Neben den sich schon aus rechtlicher Sicht ergebenden Forderungen nach Schutz vor unberechtigten Zugriffen auf die Inhaltsund Verbindungsdaten und der Sicherstellung der Authentizität der E-Mails ergeben sich aus der betrieblichen Sicht weitere, teilweise konkurrierende: Die Einführung eines E-Mail-Systems soll die Betriebsabläufe effektiver und schneller machen. Die Zugriffsmöglichkeiten der Mitarbeiter auf die E-Mails soll mit größtmöglicher Flexibilität ausgestattet sein, damit die Aufgaben schnellstmöglich erledigt werden können. Darin eingeschlossen ist auch der Wunsch nach einer Möglichkeit zur Überwachung der Arbeitsabläufe durch Vorgesetzte.

4.1. Organisationsmodelle

Bei der Einführung von E-Mail für den gesamten Betrieb muss zuerst überdacht werden, wie die Organisationsstruktur des Betriebes auf die Adressstruktur des E-Mail- Systems abgebildet werden soll, und welche Adressen „von Außen sichtbar“ sein sollen.

- Organisations-Postfächer: Jede Organisationseinheit bekommt eine entsprechend bezeichnete E-Mail-Adresse zum Beispiel versand@testfirma.de. Alle eingehenden E-Mails gelangen in dieses Postfach. Die verschiedenen Mitarbeiter haben gemeinsam Zugriff darauf und können alle eingegangenen E-Mails lesen und bearbeiten.
- Persönliche Postfächer: Jeder Mitarbeiter erhält eine eigene E-Mail-Adresse zum Beispiel meyerdierks@testfirma.de. Auf das persönliche Postfach hat üblicherweise nur der Besitzer Zugriff. Für alle, die mit der Firma per E-Mail Kontakt aufnehmen möchten, jedoch niemanden im Unternehmen kennen, sollte als erste Ansprechadresse ein allgemeines Postfach, wie zum Beispiel info@testfirma.de, eingerichtet werden.
- Private Postfächer: Das private Postfach einer einzelnen Person mit einer entsprechend aussagefähigen Bezeichnung der privaten E-Mail-Adresse, zum Beispiel meyerdierks-privat@testfirma.de. Auf dieses Postfach hat nur die jeweilige Person Zugriff, E-Mails, die an diese E-Mail-Adresse geschickt werden sind als ausschließlich privat anzusehen.

Zusätzlich muss zwischen zwei verschiedenen Arten von Absendern und Empfängern unterschieden werden.

- Interne: Alle die das E-Mail-System der Firma nutzen. Die Weisungen des Arbeitgebers und Betriebsvereinbarungen sind für sie bindend. Es kann davon ausgegangen werden, dass sie private E-Mails entsprechend kennzeichnen, wenn das erforderlich ist.
- Externe: Alle anderen. Von diesen Absendern kann nicht erwarten werden, dass sie mit den Regelungen der Firma / Institution, die die Behandlung von privaten E-Mails betreffen, vertraut sind. Es ist davon auszugehen, dass auch E-Mails mit privaten Inhalten an die persönlichen E-Mail-Adressen geschickt werden.

Kombination Organisationsund persönliche Postfächer: Alle Organisationseinheiten erhalten entsprechende Postfächer. Von dort werden die eingegangenen E-Mails an die entsprechenden Mitarbeiter weiterverteilt. Die Verteilung kann entweder von einem damit beauftragten Mitarbeiter oder auch automatisch erfolgen. Wenn der Kontakt hergestellt ist, kann der weiter E-Mail-Verkehr direkt über die persönliche E- Mail-Adresse des Sachbearbeiters abgewickelt werden.

Eine weitere grundlegende Unterscheidung ist, ob eine private Nutzung des betrieblichen E-Mail-Systems gestattet ist, oder nicht. Im Folgenden wird von einer ausschließlichen dienstlichen Nutzung des E-Mail-Systems ausgegangen.

4.2. Interne E-Mail

Die mit dem betrieblichen E-Mail-System intern versendeten E-Mails werden in der Regel dienstlicher Art sein. Der Arbeitgeber hat hier das Recht, über den Inhalt informiert zu sein. Er kann also verlangen, das außer dem einzelnen Arbeitnehmer auch von ihm bestimmte andere Personen, meist die Vertreter und Vorausgesetzten, Zugriffberechtigung auf das persönliche Postfach erhalten. Damit kann sichergestellt werden, dass der Betrieb auch bei Abwesenheit eines Arbeitnehmers ungestört weiterläuft.

4.3. Externe E-Mail

Wenn über das betrieblichen E-Mail-System ausschließlich dienstliche Kontakte mit Kunden, Geschäftspartnern usw. unterhalten werden, hat der Arbeitgeber das gleiche Recht auf Information über den Inhalt dieser E-Mails, wie bei der internen dienstlichen Nutzung 15.

4.4. E-Mails automatisch umoder weiterleiten

Um die Betriebsabläufe möglichst flüssig zu gestalten kann das E-Mail-System so konfiguriert werden, dass E-Mails, die nach einer bestimmten Zeit nicht geöffnet wurden, auf eine andere Adresse, zum Beispiel die des Vertreters, umgeleitet werden. Die E-Mails können auch, nachdem der Empfänger sie gelesen hat, ohne sein Zutun automatisch sofort oder nach einem bestimmten Zeitraum weitergeleitet werden. Diese Funktionen sind auch zur Leistungsund Verhaltenskontrolle geeignet.

4.5. Protokollieren von Empfang und Versand

Um zu erfahren, ob und wann der Adressant einer E-Mail diese erhalten und geöffnet hat, kann der Absender eine Empfangsquittung anfordern. Je nach verwendetem E- Mail-System können diese Quittungen automatisch verschiedene Ereignisse signalisieren.

Das E-Mail-System hat die Nachricht im Postfach des Empfängers abgelegt Der Empfänger hat die E-Mail in seinen E-Mail-Client übertragen.

Der Empfänger hat die E-Mail in seinem E-Mail-Client geöffnet.

Alle diese Quittungen besagen nicht, dass der Empfänger die Nachricht auch tatsächlich gelesen hat. Sie sind aber zur Leistungsund Verhaltenskontrolle geeignet.

4.6. Attachments

Die Anhänge der E-Mails bergen, besonders wenn sie von externen Absendern kommen, ein besonders hohes Virenrisiko. Der Inhalt kann, da er nicht aus Klartext bestehen muss, Viren enthalten, die von Virenscannern nicht erkannt werden kö nnen. Der Umgang mit solchen Attachments muss deshalb genauestens geregelt sein; zum Beispiel nochmalige Kontrolle mit einem weiteren Virenscanner, oder Start der Anwendung in einer besonders gesicherten Umgebung (Sandbox).

4.7. Verschlüsselung und Signaturen

Zum Signieren und Verschlüsseln von E-Mail kommen heute meist Public-Key- Verfahren zum Einsatz. Die Verwendung im Betrieb muss genau geregelt werden.

Mit Hilfe von Signaturen kann die Authentizität der versendeten E-Mails sichergestellt werden. Der Absender signiert die fertige E-Mail mit seinem geheimen Schlüssel bevor er sie verschickt. Mit dem dazugehörigen öffentlichen Schlüssel kann der Empfänger nun prüfen, ob die Signatur korrekt ist, das heißt, ob der Absender stimmt, und ob das signierte Dokument, in diesen Fall die E-Mail, noch im Originalzustand ist. Wenn beides der Fall ist, könne n so übermittelte Informationen und Abmachungen verbindlich sein.

Die Verschlüsselung der E-Mails verhindert, dass jemand anderes als die ausgewählten Empfänger diese lesen kann. Das entspricht erst mal genau dem gewollten Ziel, einem vertraulichen Austausch von Informationen. Bei dienstlichen E-Mails hat der Arbeitgeber jedoch ein Recht darauf, diese mitzulesen. Das heißt, dass er entweder die E-Mails entschlüsseln können müsste, dazu wären die geheimen Schlüssel der Beteiligten nötig, oder auf eine andere Art über den Inhalt der E-Mails informiert wird.

Auch hier ist es sinnvoll festzulegen was zu verschlüsseln ist, und wie zu verfahren ist, damit sich Vertreter und Vorgesetzte gegebenenfalls über die Inhalte informieren können. Eine Möglichkeit ist beispielsweise die Regelung, dass nur der eigentliche Versand der E-Mails verschlüsselt erfolgt, die Speicherung in den Postfächern jedoch unverschlüsselt. Damit können über die Gruppenund Vertretungsregelungen der meisten E-Mail-Systeme die gewünschten Zugriffsmöglichkeiten geschaffen werden.

Wenn Verschlüsselung, digitale Signaturen und Zertifikate im Unternehmen genutzt werden sollen, ist es erforderlich, eine Public Key Infrastruktur, PKI, einzurichten. Sie ermöglicht über ein abrufbares Verzeichnis das Auffinden der öffentlichen Schlüssel und Zertifikate der entsprechenden Personen oder Organisationseinheiten. Für den unternehmensinternen E-Mail-Verkehr sind die im SigG als „einfach“ bezeichneten Schlüssel ausreichend. Die Vergabe der Schlüssel und Zertifikate kann betriebsintern beliebig geregelt werden. In jedem Fall muss festgelegt werden, wer eine entsprechende Signatur benutzen darf.

Wenn rechtsverbindliche Abmachungen mit Dritten getätigt werden sollen, müssen die Signaturen und die zugehörigen Zertifikate heute dem Signaturgesetz entsprechen. Da der Aufwand für eine gesetzeskonforme unternehmenseigene PKI mit entsprechenden CA-Zertifikaten sehr hoch ist, ist zu erwägen, die Dienste eines dem SigG entsprechend zertifizierten externen Anbieters, eines sogenannten Trustcenters, zu nutzen. Weiterhin muss überlegt werden, ob es vielleicht ausreichend ist, nur spezielle Mitarbeiter oder Organisationseinheiten mit SigG-konformen Signaturschlüsseln auszustatten.

Wenn verschlüsselte E-Mails die Firewallsysteme des Unternehmens passieren sollen, gleichzeitig aber sichergestellt bleiben soll, dass es sich nur um autorisiert verschlüsselte E-Mail handelt, muss ein entsprechendes Plugin für das Firewallsystem mindestens die CA-Zertifikate der „eigenen“ CAs kennen. Aufgrund von zur Zeit noch bestehender Normierungsprobleme kann es selbst bei beim Austausch SigG-konform verschlüsselter E-Mails kann es passieren, dass das Firewallsystem die E-Mail nicht passieren lässt, da die Formate der Zertifikate und Signaturschlüssel unterschiedlicher Trustcenter teilweise inkompatibel zueinander sind.

5. E-Mail -Protokolle

Außer den proprietären Protokollen der einzelnen „Komplettlösungsanbieter“ wie zum Beispiel Microsoft mit Exchange oder Lotus mit Notes gibt es zwei international gebräuchliche Standards für E-Mail-Anwendungen. Das sind die Empfehlungen der ITU, vormals CCITT, X.400- Familie und das Simple Message Transport Protokoll, SMTP, nach RFC 821 und RFC 1869 für das erweiterte SMTP, ESMTP.

5.1. X.400

Das X.400 Message Handling System, MHS, beziehungsweise die damit korrespondierende ISO 10021, Message Oriented Text Interchange System, MOTIS, steht für eine Familie von Protokollen zur Erledigung der unterschiedlichen Aufgaben innerhalb des MHS. Die Definition der Norm ist unabhängig vom verwendeten System und beinhaltet Unterstützung für das Versenden von Nachrichten mit multimedialem Inhalt wie Bilder oder Sprache.

Abbildung 1: Vereinfachte schematische Darstellung eines MHS

Abbildung in dieser Leseprobe nicht enthalten

Ein Nachrichtenaustausch zwischen verschiedenen Benutzern läuft vereinfacht dargestellt so ab:

- Ein Benutzer möchte eine Nachricht verschicken. Dazu bedient er sich des MHS
- Der Benutzer (User) verfasst eine Nachricht mit seinem E-Mail-Programm (UA).
- Wenn die E-Mail fertig verfasst ist und verschickt werden soll, wird sie dem Message Transport System, (MTS) übergeben.
- Dazu nimmt das E-Mail-Programm (UA) Verbindung mit einem Mailserver (MTA) auf. Das Protokoll hierfür heißt P3. Es beschreibt die Operationen
- Versand von Mitteilungen, Probemitteilungen und Versandkontrollmeldungen
- Zustellen von Mitteilungen, Reports und Zustellungskontrollmeldungen
- Verwalten von Anschlusseigenschaften und Sicherheitsrelevanten Daten
- Der MTA nimmt die E-Mail entgegen und leitet sie an den UA des Empfänger weiter.
- Wenn der UA des Empfängers nicht direkt erreicht werden kann, wird die E-Mail an einen weiteren MTA, der dichter am Ziel liegt, weitergereicht. Dieser stellt die E- Mail dann zu, oder reicht sie nötigenfalls wieder an einen weiteren MTA weiter. Die Kommunikation der MTAs untereinander erfolgt über das P1-Protokoll, das die Operationen zum Austausch von Mitteilungen, Probemitteilungen und Reports definiert, festgelegt.
- Wenn der Ziel- MTA erreicht ist, die E-Mail aber nicht zugestellt werden kann, weil der UA des Empfängers nicht aktiv ist, wird die E-Mail im Message Store (MS) gespeichert, bis sie vom Empfänger über seinen UA abgerufen wird. In der ursprünglichen Norm war ein MS nicht vorgesehen. Da im Laufe der Zeit jedoch zunehmend Personal Computer als Teile des MHS betrieben wurden und die UAs nicht mehr permanent in Betrieb waren, war die reine Transportfunktion des MTS nicht mehr ausreichend. So wurde 1988 in der erweiterten Norm eine Speicherungsmöglichkeit für nicht sofort zustellbare Mitteilungen eingeführt, der Message Store, MS. Die MTAs kommunizieren mit dem MS über das P3-Protokloll. Für die Kommunikation UA – MS definiert das Prototoll P7 die erforderlichen Operationen zum Abrufen, Zustellen und Verwalten von Nachrichten.
- Der Empfänger empfängt die neue E-Mail zum Lesen mit seinem UA vom MTA direkt, oder wenn sein UA vorübergehend nicht aktiv war, vom MS.

X.400 bietet außer dem einfachen Transport von Mitteilungen zusätzliche Funktionen:

- Probemitteilungen; Der Zweck dieser Funktion ist festzustellen, ob das Ziel der E-Mail überhaupt existiert, ohne versuchsweise eine E-Mail dorthin schicken zu müssen.
- Verteilerlisten; Eine Gruppe von Benutzern kann zu einer Verteilerliste zusammengefasst werden. Wenn Mitteilungen an die Verteilerlisten geschickt werden, werden sie an alle Mitglieder der Listen weitergeleitet. Die Verteilerlisten werden im MHS in einem Verzeichnis verwaltet.
- Verschiedene Zustellprioritäten. Durch verändern der Priorität der Mitteilung von
„normal“ auf „urgent“ oder „non-urgent“ kann das MHS veranlasst werden, die Mitteilungen unterschiedlich schnell zu transportieren. Die mit „urgent“ gekennzeichneten werden vorrangig vor allen anderen Mittelungen transportiert.
- Einflussnahme auf den Zeitpunkt der Zustellung; Die Zustellung kann verzögert werden, indem festgelegt wird, die E-Mail erst zu einem bestimmten Zeitpunkt zuzustellen.
- Einflussnahme auf den Zeitpunkt der Entgegennahme von Mitteilungen. Damit kann das MTS veranlasst werden, die Zustellung „anzuhalten“. Solange die Mitteilungen in diesem Status sind, werden keine Zustellungsreports erzeugt.
- Zuverlässige Übertragung; Wenn der Absender es wünscht, erhält er vom MTS eine Rückmeldung über die Zustellung seiner Mitteilungen. Im Zustellungsreport werden Angaben zum Zeitpunkt der Zustellung und zum Empfänger gemacht, zum Beispiel wenn der UA eine Verteilerliste war. Wenn die Mitteilung nicht zugestellt werden kann, wird im Report der genaue Grund genannt.
- Umleitungen; Der Empfänger kann das MTS veranlassen, die an ihn gerichteten Mitteilungen an einen anderen Empfänger umzuleiten. Der Absender kann das MTS anweisen, seine Mitteilungen, wenn sie nicht den gewünschten Empfänger erreichen können, an einen Ersatzempfänger zu senden.
Die Funktionen zum sicheren Austausch von Mittelungen sind ebenfalls Bestandteil der Norm:
- Authentifizierung; Wenn ein Benutzer das MHS benutzen will, muss er sich dem System gegenüber authentifizieren. Die Systemkomponenten UA, MTA authentifizieren sich gegeneinander ebenfalls. So wird sichergestellt, dass die im System übermittelten Mitteilungen authentisch sind, und nur an berechtigte Teilnehmer versendet werden.
- Sichere Übermittlung; Über die Funktion „Message Origin Authentication“ kann mi ttels Verschlüsselung oder digitaler Signatur der Mitteilung durch den Absender die Integrität der übertragenen Mitteilung und die Authentizität des Absenders sichergestellt werden. Mit der Funktion „Message Sequence Integrity“ kann das Fehlen von Mitteilungen oder die Veränderung ihrer Reihenfolge entdeckt werden. Bei der Verwendung dieser Funktionen wird gleichzeitig die Übermittlung der Mitteilungen dokumentiert. Der Absender kann den Versand und der Empfänger den Empfang der Mitteilung nicht abstreiten. Der Absender hat außerdem die Möglichkeit, sich vom MHS Zustellungsund Gelesenquittungen schicken zu lassen.
- Vertraulichkeit der Mitteilungen; Mit der im MHS integrierten asymmetrischen Verschlüsselung kann der Absender die Mittelung mit dem öffentlichen Schlüssel des Empfängers verschlüsseln. Nur der rechtmäßige Empfänger kann dann diese Mittelung wieder mit seinem privaten Schlüssel entschlüsseln.

Die Adressierung von Absender und Empfänger (Originator/Recipent Name) folgt einem Schema, dass nicht in X.400 sondern in X.500 festgelegt ist. Die wichtigsten Namensattribute einer X.400-O/R-Adresse sind:

Abbildung in dieser Leseprobe nicht enthalten

Einige der Namensattribute dürfen auch mehrmals vorkommen, zum Beispiel „ou“ maximal viermal. Ein gültiger X.400-O/R Name ist zum Beispiel

c=de, a=d400, p=uni-bremen, o=informatik, ou=bifa, ou=dsslab s=kavemann

Obwohl das X.400 MHS eine umfassende Norm ist, die fast alle Anforderungen an E-Mail- Systeme ohne weitere Zusätze erfüllt, hat sie sich nicht durchsetzen können. Die Zahl der verwendeten X.400-Systeme wird immer geringer. Selbst das DFN hat sich entschlossen, den Betrieb seines X.400-Mailverbunddes zum Ende 2001 einzustellen.16

5.2. Simple Mail Transport Protocol, RFC 821

Im Gegensatz zu der X.400-Fmilie, die ein komplettes MHS beschreibt, ist das Simple Mail Transfer Protocol, SMTP lediglich die Definition eines einfachen Dialoges, mit dem sich Mitteilungen zwischen zwei Rechnern auf dem TCP-Port 25 übermitteln lassen.

Abbildung in dieser Leseprobe nicht enthalten

[...]


1 Schaub, Arbeitsrechthandbuch, 8. Aufl. 1997, § 57 II. 4.

2 Raffler/Hellich, NZA 1997, S. 862

3 Vgl. Raffler/Hellich, NZA 1997, S. 864

4 Vgl. Däubler/Klebe/Wedde, BDSG Kommentar, § 28 Rn.. 29 ff

5 BAG Beschluss vom 27.5.1986, SAE 1989, S. 283

6 Vgl. Däubler/Klebe/Wedde, BDSG Kommentar, § 15 Rn. 20

7 Amtsblatt der EG vom 23.11.1995, L 281/31

8 Vgl. Kiper, CF 6/2000 ab S. 12

9 Der "Katalog von Sicherheitsanforderungen" ist als Beilage Nr. 208a aus 1997 im Bundesanzeiger veröffentlicht.

10 Vgl. § 2 Abs. 1 TKÜV (vom 22. 01. 2002)

11 BAG Beschluss vom 6. 12. 1983, DB 1984, S. 850

12 Löwisch, BetrVG Kommentar, 3. Aufl. 1993, § 87, Rz. 67

13 BVerfG Urteil vom 15.12. 1983, NJW 1984, S. 419

14 Balke/Müller, DB 1997, S. 326 ff

15 Vgl. Däubler, Internet und Arbeitsrecht, 2001, Rz. 249, 250

16 Vgl. http://www.dfn.de/service/x400/, Stand 05.05.2002

Ende der Leseprobe aus 97 Seiten

Details

Titel
Datenschutz und Datensicherheit bei der betrieblichen Anwendung von E-Mail-Systemen
Hochschule
Universität Bremen  (Mathematik / Informatik)
Note
1,3
Autor
Jahr
2002
Seiten
97
Katalognummer
V13238
ISBN (eBook)
9783638189361
Dateigröße
7751 KB
Sprache
Deutsch
Schlagworte
Datenschutz, Datensicherheit, Anwendung, E-Mail-Systemen
Arbeit zitieren
Gunnar Kavemann (Autor), 2002, Datenschutz und Datensicherheit bei der betrieblichen Anwendung von E-Mail-Systemen, München, GRIN Verlag, https://www.grin.com/document/13238

Kommentare

  • Noch keine Kommentare.
Im eBook lesen
Titel: Datenschutz und Datensicherheit bei der betrieblichen Anwendung von E-Mail-Systemen


Ihre Arbeit hochladen

Ihre Hausarbeit / Abschlussarbeit:

- Publikation als eBook und Buch
- Hohes Honorar auf die Verkäufe
- Für Sie komplett kostenlos – mit ISBN
- Es dauert nur 5 Minuten
- Jede Arbeit findet Leser

Kostenlos Autor werden