Wenn der Chef Einsicht in das Surfverhalten von Mitarbeitern haben will
Administratoren sehen sich immer wieder in schwierige Situationen gedrängt. Rechtsanwalt Reto C. Zbinden gab am Digicomp Hacking Day Antworten auf drängende Fragen.
Stellen Sie sich folgende Situation vor: Sie sind IT-Administrator eines Unternehmens und sitzen bei der Arbeit. Da stürmt Ihr Chef in Ihr Büro und verlangt "sofort" Einsicht in die Protokolle, die ihm Einsicht zum Surfverhalten des Mitarbeiters Hans Müller* gewähren.
Der Grund: Müller ist – nicht zum ersten Mal – ein grober Fehler bei der Arbeit unterlaufen und ihr Chef vermutet, dass Müller während seiner Arbeitszeit immer wieder privat in sozialen Netzwerken herumsurft. Sind Sie als Administrator nun verpflichtet, den Wunsch Ihres Chefs zu erfüllen?
Die Mailbox ist Privatsphäre
Nein, sagte Reto C. Zbinden, Rechtsanwalt und CEO der Swiss Infosec in seinem Referat am Digicomp Hacking Day 2012 von gestern Donnerstag. Denn damit würde der Administrator unerlaubt in die Privatsphäre von Hans Müller eindringen. Solch ein Eindringen ist nur unter bestimmten Umständen ohne das Einverständnis des betroffenen Mitarbeiters erlaubt. Beispielsweise dann, wenn ein Strafbestand und ein Beschluss einer Richters vorliegen, die den Zugriff erlauben.
Ein Administrator müsste in der beschriebenen Situation also richtigerweise auf die zuständige Stelle hinweisen, im Sinne eines Strafbestandes wäre das die Polizei, und sich weigern, etwas zu tun, bevor ein Beschluss der zuständigen Stelle vorliegt. Dies sei auch dann notwendig, wenn der Arbeitgeber beispielsweise das private Surfen am Arbeitsplatz verboten habe.
Ähnlich wie in Offline-Welt
Zbinden erklärt die Situation anhand eines Beispiels aus der Offline-Welt: "Stellen Sie sich vor, Sie verdächtigen einen Mitarbeiter, etwas gestohlen zu haben. An dem Tag, an dem Sie ihn zur Rede stellen wollen, kommt er aber nicht zur Arbeit. Würden Sie nun zu ihm nach Hause fahren und seine Wohnung aufbrechen, um zu sehen, ob er das Diebesgut dort versteckt?"
Auch in einem solchen Fall müsse ein Durchsuchungsbefehl der Polizei vorliegen. Denn die eigene Wohnung gehört, wie das eigene Mail-Postfach auch, zur Privatsphäre eines Menschen.
Gutgläubiges Handeln - oder nicht?
Wie sieht denn die Situation aus, wenn ein Administrator im Zusammenhang mit seiner Arbeit unabsichtlich auf private Daten von Mitarbeitern trifft? Laut Zbinden ist dies für Administratoren kein Grund, sich graue Haare wachsen zu lassen. Schliesslich sei der Datenschutz nicht dazu da, die Arbeitsprozesse von Unternehmen zu beeinträchtigen.
Der Unterschied bestehe darin, ob jemand gutgläubig handle oder aber sich damit abfinde, dass er Privates finden wird oder finden dürfte - also vorsätzlich oder eventualvorsätzlich handle. "Strafbar ist, wenn jemand hinsichtlich eines Strafbestandes mit Wissen und Wollen handelt", präzisiert Zbinden.
Letztlich heisst das also auch, dass sich ein Administrator, der auf der Suche nach privaten Daten eines Mitarbeiters in dessen Privatsphäre eindringt, auch wenn er dies auf Befehl eines Vorgesetzten tut, strafbar macht. Theoretisch könnte er somit vom betroffenen Mitarbeiter eingeklagt werden.
Und was wäre legal?
Was aber kann ein Unternehmen tun, wenn es seine Mitarbeiter vom privaten Surfen abhalten und dies auch punktuell kontrollieren will? Ganz einfach: Die Mitarbeiter müssen vorgängig informiert werden. Und zwar bevor ein Unternehmen den Surfverkehr zu untersuchen beginnt. Die Mitarbeiter erhalten so die Chance, ihr Verhalten den gegebenen Umständen anzupassen, sprich, ihren Besuch auf Facebook doch lieber auf die Freizeit zu verschieben.
Zudem gibt Zbinden zu bedenken, dass sich manche IT-Abteilungen gar nicht genau bewusst seien, welche System eigentlich Protokolle erstellen. Daten sollten nur zu einem bestimmten Zweck gespeichert werden, nicht nur der Protokolle willen.
"Wir haben in der Praxis noch nie ein wirklich zuverlässiges Protokoll angetroffen", so Zbinden. Entweder seien sie nicht vernünftig durchnummeriert oder nicht durch Hashing oder Signierung vor Veränderung geschützt. Solche unzuverlässigen Protokolle hätten demnach vor einem Gericht nur eine sehr geringe Beweiskraft, da sie relativ einfach hätten verändert werden können.
*Der Name ist frei erfunden.
Tiun und Taurus sind die besten Schweizer Fintech-Start-ups
Möge der Saft wieder mit dir sein
Die Spring Party bringt die Westschweizer IT-Branche zusammen
KI treibt globale Cloud-Ausgaben in die Höhe
ICT-Berufsbildung reicht revidierten Bildungsplan für ICT-Fachmann/-frau EFZ ein
HPE präsentiert sich mit neuem Markenauftritt
Kantonsschule Zürcher Unterland sucht ICT-Leitung
Update: Berner Grosser Rat befürwortet Zentralisierung der Datenschutzbehörden
PPDS präsentiert faltbares LED-Display
