In der Vergangenheit haben es sich die IT-Abteilungen der Unternehmen häufig einfach gemacht: Als "unerwünscht" erkannte Mails wie Spams und Viren wurden entweder sofort gelöscht oder auf einen zentralen Mailaccount umgeleitet. Dort konnte der Mail-Administrator die Mails dann begutachten und, wenn mal eine legitime Mail dabei war, dem Empfänger weiterleiten.

Spätestens seit der Verpflichtung zur Berufung eines Datenschutzbeauftragten laut §4 BDSG schauen viele Unternehmen jedoch genauer hin und achten auf die Einhaltung der einschlägigen Gesetze und Verordnungen. Dadurch beugen sie Bußgeldern und Klagen von Mitarbeitern, die zumeist erfolgreich sind, von vornherein vor.

Doch welche Bestimmungen sind bei der Filterung von Emails auf Spam und Viren zu beachten? Und wie kann man eine gesetzeskonforme Lösung dennoch effizient gestalten?

Diese Frage ist von entscheidender Wichtigkeit, da für einen Diensteanbieter strengere gesetzliche Regelungen gelten als für einen Arbeitgeber, der seinen Mitarbeitern lediglich Arbeitsmittel zur Verfügung stellt.

Ein Arbeitgeber ist dann ein TK-Diensteanbieter, wenn er seinen Mitarbeitern die private Nutzung gestattet oder diese duldet. Eine Duldung liegt nach Auffassung der Gerichte auch dann vor, wenn ein bestehendes Verbot nicht auch konsequent überwacht und Verstöße nicht, z.B. durch Abmahnungen, geahndet werden.

Viele Arbeitgeber verbieten zwar die private Email-Nutzung, um sich Kontroll- und Eingriffsmöglichkeiten offen zu halten. Doch bei der Kontrolle sowie bei Strafmaßnahmen nach Zuwiderhandlungen wird im Hinblick auf das Betriebsklima gern ein Auge zugedrückt.

In der Mehrzahl der Unternehmen kommt dem Arbeitgeber daher die Rolle eines TK-Diensteanbieters zu, womit er an die entsprechenden gesetzlichen Regelungen strikt gebunden ist.

TKG §88 Fernmeldegeheimnis
(1) Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Das Fernmeldegeheimnis erstreckt sich auch auf die näheren Umstände erfolgloser Verbindungsversuche.
(2) Zur Wahrung des Fernmeldegeheimnisses ist jeder Diensteanbieter verpflichtet. Die Pflicht zur Geheimhaltung besteht auch nach dem Ende der Tätigkeit fort, durch die sie begründet worden ist.
(3) Den nach Absatz 2 Verpflichteten ist es untersagt, sich oder anderen über das für die geschäftsmäßige Erbringung der Telekommunikationsdienste einschließlich des Schutzes ihrer technischen Systeme erforderliche Maß hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen.
...

Das Fernmeldegeheimnis, verankert im Grundgesetz und geregelt in §88 Telekommunikationsgesetz (TKG) sowie §206 StGB, verbietet es einem Diensteanbieter, sich oder anderen Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen, soweit dies nicht zur Erbringung der Dienste oder zum Schutz der Systeme notwendig ist.

Ein Diensteanbieter im Sinne es Gesetzes ist der Arbeitgeber gegenüber seinen Mitarbeitern und weblucid gegenüber seinen Kunden.

In der Praxis bedeutet dies:

• Als Spam erkannte Mails dürfen nicht in ein zentrales vom Administrator oder anderen einsehbares Postfach umgeleitet werden.

Sonderfall Viren:

• Eine Kontrolle zur Abwehr von Viren ist zwar "zum Schutz der Systeme" notwendig und daher vom Gesetz ausdrücklich zugelassen,
• jedoch können auch virenverseuchte Mails zusätzlich private Inhalte transportieren, die zunächst dem Fernmeldegeheimnis unterliegen.

Es geht also aus dem Gesetzestext nicht klar hervor, ob virenversuchte Mails einem anderen als dem Empfänger zugänglich gemacht werden dürfen. Sollte also ein Mitarbeiter klagen, wenn eine an ihn adressierte Mail vom Administrator gelesen wurde, weil der Virenscanner diese an ihn umgeleitet hat, so besteht hier ein gewisses Risiko. Da das Fernmeldegehimnis in der Verfassung verankert ist, entscheiden viele Richter hier für den Kläger, der das höhere Rechtsgut anführen kann.

Bundesdatenschutzgesetz
§4 Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung
(1) Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.

§ 28 Datenerhebung, -verarbeitung und -nutzung für eigene Zwecke
(1) Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist zulässig
...
2. soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt ...

Unabhängig davon, ob ein Unternehmen die private Email-Nutzung gestattet, gilt in jedem Falle das Bundesdatenschutzgesetz (BDSG).

Im Falle einer Erlaubnis oder Duldung der privaten Nutzung gilt das BDSG zusätzlich zu TKG und StGB.

Grundsätzlich stellt das Bundesdatenschutzgesetz die Erhebung, Verarbeitung und Nutzung personenbezogener Daten - und damit auch Emails - unter Verbot mit Erlaubnisvorbehalt.

Konkret heißt dies:

§4 verbietet zunächst die Analyse von Emails (z.B. zum Zwecke der Spam- und Virenerkennung).

§28 erlaubt dieses jedoch, wenn es zur Wahrung berechtigter Interessen des Unternehmens erforderlich ist und dem schutzwürdigen Interesse des Mailempfängers überwiegt.

Die Kontrollmöglichkeiten des Unternehmens sind durch den Gesetzestext zwar nicht abschließend geklärt.
Unbestritten ist jedoch die Abwehr von Viren ein berechtigtes Interesse des Unternehmens. Nach unserer Auffassung verhält es sich mit der Spamfilterung eben so, wenn ein Unternehmen sich gegen Systemüberlastung durch Spamwellen sowie Beeinträchtigung seiner Mitarbeiter bei ihrer Tätigkeit schützen will. Da der Empfänger nach wie vor vollen Zugriff auch auf Spam-Mails hat und die Ergebnisse der Prüfung in personenbezogener Form ausschließlich ihm selbst bekannt werden, ist er ohnehin nicht in seinen schutzwürdigen Interessen beeinträchtigt.

StGB §206 Verletzung des Post- oder Fernmeldegeheimnisses
...
(2) Ebenso wird bestraft, wer
...
2.  eine einem solchen Unternehmen zur Übermittlung anvertraute Sendung unterdrückt oder
3.  eine der in Absatz 1 oder in Nummer 1 oder 2 bezeichneten Handlungen gestattet oder fördert.

Nach §206 Strafgesetzbuch (StGB) wird bestraft, wer eine zur Übermittlung anvertraute Sendung unterdrückt, dies gestattet oder fördert.
Ist die private Email-Nutzung gestattet oder geduldet, so hat jeder Mitarbeiter ein einklagbares Recht auf den Empfang jeder einzelnen Spam-Mail.

In der Praxis bedeutet dies:

• Der Arbeitgeber bzw. sein Beauftragter darf keine an einen Mitarbeiter adressierte Mail löschen oder so abfangen, dass der Mitarbeiter keinen Zugriff auf die Mail hat.
• Einzig zur Abwehr von Gefahren für seine Werte darf ein Unternehmer nach aktueller Rechtsprechung potenziell schädliche Mails aufhalten.

Zulässig ist die Unterdrückung einer Email nur dann, wenn der betroffene Empfänger sein ausdrückliches und explizites Einverständnis damit erklärt hat. Eine entsprechende Formulierung in einer Betriebsvereinbarung wird von den Gerichten hierbei nicht anerkannt. In der Praxis müsste jeder Mitarbeiter einzeln eine entsprechende schriftliche Erklärung freiwillig abgeben. Alternativ dazu kann der Mitarbeiter die Unterdrückung bestimmter Emails auch selbst veranlassen, z.B. über ein entsprechendes Plugin für seinen Email-Client.
Angesichts des Aufwands und des Verlusts der Einfachheit wären dies also eher Notlösungen, die den Anforderungen der meisten Unternehmen nicht gerecht werden.

Anforderungen

Eine gute Lösung müsste

• selbstverständlich die gesetzlichen Regelungen einhalten,
• dem Unternehmen einen wirkungsvollen Schutz seiner Werte gegen Risiken garantieren,
• die Mitarbeiter vor Belästigungen durch Spam- und Phishing-Mail schützen.

Möglich wäre es beispielsweise, Emails am Gateway lediglich als "Spam" zu markieren und es dann den Mitarbeitern zu überlassen, die Mails zu lesen oder zu löschen. Alternativ kann auch jeder einzelne Mitarbeiter eine schriftliche Einverständniserklärung über die zentrale Löschung von Spams unterschreiben. (Wobei ihm jedoch, da er hier auf ein Grundrecht verzichtet, bei Nichtunterschreiben keine Nachteile entstehen dürften.)
Jeder dieser Lösungsansätze hat jedoch einen erheblichen Aufwand zur Folge, was ja durch den Einsatz eines Anti-Spam-Systems gerade vermieden werden sollte.

Bei der Entwicklung des weblucid Secure Mail Services wurden daher zusätzlich folgende Kriterien zu Grunde gelegt:

• Die Lösung muss für die Unternehmens-IT Pflege- und Wartungsfrei sein.
• Das System soll ordnungsgemäß funktionieren, ohne dass Endbenutzer Einstellungen vornehmen müssen.
• Jeder Endbenutzer muss jederzeit auf einfachste Weise Einblick in den Zustellstatus jeder an ihn gesendeten Email erhalten.
• Die IT-Administratoren müssen jederzeit Einblick erhalten in
• den operativen Systemstatus
• den Zustellstatus aller bisher eingegangenen Mails
  (so weit gesetzlich zulässig)
• Statistiken über Klassifizierung eingegangener Mails

Der weblucid Secure Mail Service ist gesetzeskonform, einfach und effektiv.

Der Quarantänebereich

Screenshots

Quarantänebereich

Jede als "unerwünscht" klassifizierte Mail wird in dem persönlichen Quarantänebereich (Webinterface) des Empfängers abgelegt. Das Benutzerkonto wird automatisch angelegt. Der Empfänger erhält nach der Einrichtung eine Email mit einem Zugriffs-Link, den er lediglich anklicken muss, um die an ihn adressierten gestoppten Mails zu sehen.

Ausschließlich der Empfänger hat Zugriff auf diesen Bereich.

Die Nutzung des Quarantänebereichs ist für den Benutzer optional und dient primär zur Einhaltung der Gesetze. Er kann sich ein dauerhaftes Kennwort einrichten und hat die Möglichkeit, Speicher- und Benachrichtigungsoptionen einzustellen. Genau so gut kann er den Quarantänebereich auch komplett ignorieren. Per Gesetz muss er jedoch die Möglichkeit haben, an alle an ihn adressierten Mails zu gelangen.

Umgang mit Spam-Mails

Als "Spam" klassifizierte Mails liegen im Quarantänebereich des Benutzers. Dieser kann via Webinterface darauf zugreifen, sich den Inhalt der Mails ansehen und - wenn gewünscht - zustellen lassen.

Umgang mit Viren, Phishing, Trojanern etc.

Diese potenziell gefährlichen Mails liegen zwar ebenfalls in Quarantäne, der Empfänger kann sich jedoch nur den Text der Mails ansehen. Auf die möglicherweise schädlichen Teile hat er keinen Zugriff. Auf Knopfdruck kann er diese Mails jedoch zwecks Analyse an den Administrator überstellen lassen. Dadurch veranlasst der Benutzer selbst die Möglichkeit zur Einsichtnahme Dritter, wodurch das Fernmeldegeheimnis hier nicht zur Anwendung kommen kann. Gleichzeitig bleibt das Interesse des Unternehmers gewahrt, seine Werte vor Risiken zu schützen.

Derartige Mails werden zweimal (bei Eintreffen und bei der späteren Überstellung zum Administrator) jeweils mit mehreren Scannern auf Viren geprüft, um einen optimalen Schutzeffekt zu erzielen.

Umgang mit ausführbaren Dateien (optional)

Bei diesem optional aktivierbarem Schutz werden Emails mit ausführbaren Anhängen ebenfalls in Quarantäne gesetzt. Der Empfänger erhält darüber eine Benachrichtigung und hat via Webinterface die Möglichkeit, bei seinem Administrator die Zustellung zu beantragen. Möchte er nicht, dass ein Dritter Kenntnis vom Inhalt erlangt, so kann er sich auch nur den Text der Mail durchlesen.

Erlaubt oder duldet also ein Unternehmen private Mails, möchte jedoch das Eindringen von Programmen und möglichen Zero-Day-Viren unterbinden, so ist das mit diesem Feature effektiv umsetzbar, ohne dass gegen gesetzliche Regelungen verstoßen wird.

Logfile

Screenshots

Admin-Interface

Das Webinterface für den Administrator beinhaltet eine detaillierte Logfile-Ansicht inkl. Volltext-Suchfunktion, in der alle eingegangenen Mails enthalten sind. Da durch das Fernmeldegesetz nicht nur die Inhalte der Mails sondern auch die Begleitumstände geschützt sind, sind hier keine persönlichen Informationen wie z.B. Namen und Betreff-Zeilen enthalten.

Hintergrund

Fernmelde­geheimnis

Datenschutz

Nachrichten­unterdrückung

Lösung

Anforderungen

Secure Mail Service