Sie sind hier: Home » Fachartikel » Hintergrund

Wesentliche Rechtsfragen zu Spam-E-Mails


Whitepaper zum Thema Spam-E-Mails: Welche Rechtsbereiche sind maßgeblich? - Arbeitsrechtliche Aspekte und Datenschutzaspekte der E-Mail-Überwachung im Unternehmen
Rechtslage bei Verbot und Gestattung privater E-Mail-Nutzung – Aufbewahrungsfristen, Zugriff durch Systemadministrator und Vier-Augen-Prinzip


(25.06.07) - Dieser Artikel beschäftigt sich mit ausgewählten technischen und rechtlichen Möglichkeiten, Fragen und Probleme der Spam-Filterung. Die Heussen Rechtsanwaltsgesellschaft mbH hat die maßgeblichen Rechtsbereiche, die bei der Verarbeitung von E-Mails in Unternehmen eine Rolle spielen können, geprüft und den SurfControl-Service "MailControl" rechtlich unter die Lupe genommen.

Die Analyse zeigt deutlich, dass das Management hinsichtlich der Behandlung von Spam-E-Mails den Spagat zwischen der Verantwortung gegenüber Arbeitnehmern, Shareholdern und dem Unternehmen unter Berücksichtigung der einerseits und den Restriktionen der Gesetzgebung und Rechtsprechung zu Arbeits-, Datenschutz- und Telekommunikationsrecht andererseits meistern muss. MailControl hilft Unternehmen durch eine speziell für den deutschen Markt angepasste "Datenschutzversion". Damit stellt SurfControl sicher, dass E-Mails nur in Deutschland analysiert werden, kein Dritter Zugriff auf die Inhalte nehmen kann, den Mitarbeitern die E-Mails nicht vorenthalten werden und die E-Mails keinerlei Veränderung unterworfen sind. Außerdem hat der Mitarbeiter über die Quarantäne-Funktion jederzeit die Möglichkeit, auf alle seine E-Mails zuzugreifen.
Durch diese Vorgehensweisen werden Konflikte mit gültigem Recht vermieden und ein gesetzeskonformer Einsatz auch bei erlaubter privater E-Mail-Nutzung möglich.

Spam – Welche Rechtsbereiche sind maßgeblich?
Spezielle Gesetze, die Spam-E-Mails verbieten oder unter Strafe stellen, bestehen in Deutschland derzeit nicht. Anders ist dies in den USA. Dort ist zum 01.01.2004 mit dem so genannten "Can SPAM Act" ein Gesetz in Kraft getreten, das Geldstrafen bis zu 750 USD pro Spam-E-Mail bzw. eine Gefängnishöchststrafe von fünf Jahren vorsieht.
Dennoch finden sich in unterschiedlichen Rechtsbereichen verschiedene Vorschriften und Rechtsprechung, die bei der Nutzung von E-Mails für betriebliche Systeme und deren Filterung gegen Viren und Spam zu beachten sind:
>> Arbeitsrecht
>> Datenschutz- und Telekommunikationsrecht
>> Wettbewerbsrecht
>> Gesellschaftsrecht/Corporate Governance
>> Strafrecht

Technische Funktionsweise von "MailControl Spam"
MailControl Spam von SurfControl ist ein "fully managed service", der Unternehmen den höchstmöglichen Schutz vor Spam zu einem kosteneffizienten Preis bietet. Ein Managed Service von einem unabhängigen Provider bietet alle Vorteile einer Lösung mit mehreren Herstellern, überträgt aber die Probleme hinsichtlich der Integration und Verwaltung der technischen Infrastruktur auf den Service Provider. Die IT-Security Policy bleibt dabei vollständig unter Kontrolle des Unternehmens.
Um unseren Service nutzen zu können, werden sämtliche E-Mails über eines oder mehrere der sechs Datenzentren von SurfControl (Frankfurt, Düsseldorf, Paris, Genf, London, USA) umgeleitet.

Beim Filtern von Spam kommt es nicht nur auf die sichere Identifizierung von Spam an. Es ist zusätzlich extrem wichtig, dass nicht fälschlicherweise gültige und erwünschte E-Mails als Spam klassifiziert werden. Eine versehentlich als Spam klassifizierte E-Mail wird auch als "False-Positive" bezeichnet. Eine Technologie alleine kann keinen zuverlässigen Schutz vor Spam und der fälschlicherweise als Spam identifizierten E-Mail bieten. Allein die Kombination der besten Spam-Erkennungstechniken mit einer erstklassigen Infrastruktur ermöglicht einen wirklich effektiven Schutz gegen die wachsende Spam-Gefahr.

Die Stärke des MailControl-Services liegt darin, dass dieser die Funktionalitäten der lexikalischen Analyse, der Negativlisten in Echtzeit (RBL), des Bayes-Filters, der benutzerdefinierten Positiv- und Negativlisten, des Sender-Policy-Frameworks (SPF) und der kooperativen Hash-Techniken in einer anpassbaren Filtermaschine kombiniert, wodurch die höchstmögliche Spam-Erkennungsrate und der beinahe vollständige Ausschluss von False-Positive-Meldungen erreicht wird.

Symbolisch eine Anordnung verschiedener Filter
Symbolisch eine Anordnung verschiedener Filter einschließlich der vom Endbenutzer und vom Administrator einzustellenden White- und Blacklists. Die zugrundeliegende Blackspider-Technologie gehört heute zu SurfControl. Bild: SurfControl


In der Spam-Filter-Engine werden mehrere tausend Regeln auf jede einzelne E-Mail angewendet. Jeder Filter entscheidet dabei nicht digital, ob eine E-Mail Spam ist, sondern vergibt lediglich einen "Spam-Wahrscheinlichkeitswert". Nach der Analyse erhält jede einzelne Nachricht einen Gesamt-Spam-Wert. Dieser Wert wird dann mit dem vom Kunden definierten Schwellenwert verglichen. Als Resultat werden E-Mails, die unter dem Schwellenwert liegen, als gültige Nachrichten ausgeliefert. Ist der Wert, der einer E-Mail zugeordnet wurde höher als der eingestellte Referenzwert, so wird diese E-Mail in die individuelle Spam-Quarantäne des Adressaten der E-Mail gestellt. Der Adressat der E-Mail hat so jederzeit die Möglichkeit, auf seine E-Mails zuzugreifen.

Sämtliche Tests werden rein elektronisch durchgeführt, so dass natürliche Personen keinen Zugang zu den Inhalten der zu überprüfenden E-Mails erhalten. Die Spam-Engine arbeitet als Einheit und übergibt die E-Mail nach der Prüfung mit einem Gesamt-Spam-Wert. Zu keinem Zeitpunkt ist deshalb weder für den Endbenutzer, noch für den Systemadministrator oder für SurfControl-Mitarbeiter ersichtlich, welche Filterregeln letztendlich dazu geführt haben, dass die E-Mail mit einem bestimmten Gesamt-Spam-Wert versehen wurde.

Ob Systemadministratoren Zugriff auf die Daten der einzelnen Benutzer haben und wie dieser Zugriff ermöglicht wird, regelt die Policy des Unternehmens. So besteht beispielsweise die Möglichkeit, dass der Endbenutzer jederzeit auf seine Spam-Quarantäne zugreifen kann, das Unternehmen aber nur durch zwei besonders autorisierte Personen, z.B. durch ein Mitglied der Geschäftsleitung und durch den Betriebsrat gemeinsam (4-Augen Prinzip). Damit kann ein unbefugter Zugriff durch nicht-autorisierte Dritte auf E-Mails in Quarantäne verhindert werden.

Zusätzlich können sich die Endanwender regelmäßig (z.B. täglich) einen so genannten Enduser-Message-Report (EUMR) zusenden lassen. In diesem Report sind sämtliche, im Berichtszeitraum verarbeiteten E-Mails mit Absender, Betreff, Datum und Spam-Wert aufgeführt. Der Endanwender kann sich so jederzeit ein Bild von den an ihn adressierten E-Mails machen und sicher sein, dass keine dieser E-Mails geblockt wurde.

Der Betreff der jeweiligen E-Mails im EUMR ist ein Hyperlink. Der Enduser kann so über einen verschlüsselten Weg sicher auf seine E-Mails in Quarantäne zugreifen. Die E-Mails in Quarantäne werden nach der SurfControl-Technologie also nicht einfach unterdrückt, sondern von SurfControl für vier Wochen in Quarantäne gehalten. Greift ein Endbenutzer auf seine Quarantäne zu, werden die Daten in Realtime aus den jeweiligen Datenzentren abgefragt und zeigen sämtliche E-Mails, die sich zum Abfragezeitpunkt in Quarantäne befunden haben. So ist sichergestellt, dass alle E-Mails auch vom Empfänger jederzeit gelesen werden können.

Alternativ ist es möglich, weitere Maßnahmen für E-Mails mit einem zu hohen Spam-Wert einzuführen. Beispielsweise kann für jede in Quarantäne gestellte E-Mail eine Benachrichtigung an den Adressaten geschickt werden. Jeder Benutzer kann jederzeit E-Mails, die aufgrund der Analyse in seiner Spam-Quarantäne gelandet sind, freigeben und sie direkt ins Unternehmensnetz senden lassen. Zusätzlich können Endbenutzer E-Mails, die aufgrund ihrer Spam-Charakteristik in die Spam-Quarantäne überstellt werden müssten, auf die individuelle Whitelist setzen. Damit ist sichergestellt, dass E-Mails von diesem Sender (oder gar von dieser Domain) ohne Überprüfung von MailControl Spam direkt zugestellt werden.

Recht und E-Mail-Überwachung

1.
Arbeitsrechtliche Aspekte der E-Mail-Überwachung im Unternehmen
Die Überwachung von E-Mails im Unternehmen wirft zunächst Fragen im arbeitsrechtlichen Bereich auf.

1.1
Arbeitsrechtliche Aspekte der Gestattung oder des Verbots privater E-Mail-Nutzung
Für die rechtliche Bewertung der Behandlung von E-Mails durch das Unternehmen oder durch beauftragte Dritte, wie SurfControl Technologies, ist es von zentraler Bedeutung, ob und unter welchen Bedingungen das Unternehmen seinen Arbeitnehmern die private Nutzung des E-Mail- Systems gestattet hat. Dabei gilt im Grundsatz, dass es in der Entscheidungsfreiheit des Arbeitgebers liegt, ob er den Arbeitnehmern die private Nutzung von E-Mail-Accounts und Internet gestattet oder dieses untersagt.
Liegt eine solche Gestattung allerdings vor, so unterliegt das Unternehmen einschließlich beauftragter Dritter gegenüber dem Arbeitnehmer verschiedenen rechtlichen Restriktionen, die bei einem Verbot der privaten E-Mail-Nutzung entfallen.

Innerhalb des Arbeitsverhältnisses kann der Arbeitgeber durch Ausübung seines Direktionsrechts den Arbeitnehmer grundsätzlich anweisen, wie dieser zur Erfüllung seiner arbeitsvertraglichen Pflichten mit den betrieblichen Mitteln, wie beispielsweise dem Computer, umzugehen hat. In diesem Zusammenhang kann der Arbeitgeber auch Weisungen erteilen, die die betriebliche Nutzung von E-Mail und Internet betreffen.
Im Rahmen des Direktionsrechtes kann der Arbeitgeber zudem private Aktivitäten der Arbeitnehmer während der Arbeitzeit unterbinden, sofern nicht ein Notfall vorliegt. Als Ergebnis des Eigentumsrechts an den Betriebsmitteln kann der Arbeitgeber bestimmen, ob und wie der Arbeitnehmer diese Betriebsmittel privat nutzen kann.

1.2
Abwägung der Arbeitgeber- und Arbeitnehmer-Interessen bei E-Mail-Überwachung
Die arbeitsrechtlichen Fragen der E-Mail-Überwachung im Unternehmen sind bestimmt durch die Interessen beider Seiten, nämlich einerseits durch das Interesse der Arbeitnehmer auf Schutz der Persönlichkeit und vor umfassenden Überwachungsmaßnahmen, und andererseits den Interessen der Arbeitgeber auf Funktionsfähigkeit der Betriebssysteme und der ordnungsgemäßen Nutzung von Arbeitszeit und Betriebsmitteln.
Diese Interessen spiegeln sich in den zur Diskussion stehenden Grundrechten wider: Auf Arbeitnehmerseite ist das Allgemeine Persönlichkeitsrecht (Art. 1, 2 GG) und auf Arbeitgeberseite sind das Recht auf Eigentumsschutz (Art. 14 GG) und Freiheit der Unternehmensführung (Art. 12 GG, Art. 2 GG) zu berücksichtigen. Die Grundrechte gelten grundsätzlich und spielen immer wieder eine streitentscheidende Rolle in arbeitsgerichtlichen Verfahren.

Das Allgemeine Persönlichkeitsrecht wird aus der Menschenwürde und der allgemeinen Handlungsfreiheit nach Art. 1, 2 Abs. 1 GG abgeleitet. Es ist jedoch darüber hinaus als eigenständiges subjektives Recht auf Achtung und Entfaltung der Persönlichkeit zu verstehen. Eine besondere Ausprägung des allgemeinen Persönlichkeitsrechtes ist das Recht auf informationelle Selbstbestimmung. Danach ist der Einzelne berechtigt, über die Erhebung und Verwendung ihn betreffender Daten zu entscheiden. Das Recht auf informationelle Selbstbestimmung wurde durch entsprechende Einzelgesetze konkretisiert, insbesondere durch das Bundesdatenschutzgesetz und das Telekommunikationsgesetz.

Für die Beurteilung der Rechtmäßigkeit von Arbeitnehmerüberwachung ist zudem die Fürsorgepflicht des Arbeitgebers als zwingender Bestandteil eines jeden Arbeitsverhältnisses zu beachten. Daraus folgt konkret, dass ein Arbeitgeber seine Rechte aus dem Arbeitsverhältnis nur in dem Umfang ausüben kann, wie dies unter Berücksichtigung der Belange des Betriebes und der Interessen der Arbeitnehmer möglich ist

Den Interessen der Arbeitnehmer am Schutz der Privatsphäre steht das wirtschaftliche Interesse der Arbeitgeber an der Verhinderung von finanziellen und organisatorischen Beeinträchtigungen entgegen, die durch die Privatnutzung der arbeitgebereigenen Computereinrichtungen entstehen. Einschränkungen des Arbeitgebers im Bereich der E-Mail-Filterung können insbesondere die unternehmerische Entscheidungsfreiheit über die Ausgestaltung der betrieblichen Organisation und den wirtschaftlichen Betätigungsrahmen insgesamt, damit also die nach Art. 12 Abs. 1 GG geschützte Freiheit der Berufsausübung auf Unternehmensseite berühren.

Die Nutzung von arbeitgebereigenen Computeranlagen für private Zwecke kann auch in die durch Art. 14 Abs. 1 GG geschützten Eigentumsrechte der Arbeitgeber eingreifen. Schließlich kann sich der Arbeitgeber auf Art. 2 Abs. 1 GG stützen, wovon die Freiheit der betrieblichen Organisation, aber auch Maßnahmen zum notwendigen Schutz anderer Arbeitnehmer oder zur wirtschaftlichen Fortentwicklung des Unternehmens erfasst werden.

1.3
Ausdrückliche/stillschweigende Gestattung privater E-Mail-Nutzung
Die Entscheidung des Arbeitgebers über die private Nutzung von Internet und E-Mail kann ausdrücklich oder stillschweigend (konkludent) erfolgen. Liegt eine ausdrückliche Gestattung der Privatnutzung durch den Arbeitgeber nicht vor, so ist zunächst davon auszugehen, dass die private Nutzung nicht gestattet ist.

In Betracht kommt dann jedoch, dass der Arbeitgeber durch sein Verhalten stillschweigend die private Nutzung zulässt. Dies ist bereits dann der Fall, wenn der unmittelbare Vorgesetzte als Vertreter des Arbeitgebers die private Nutzung bemerkt und hiergegen nicht vorgeht. Eine stillschweigende Gestattung kann auch anzunehmen sein, wenn eine ausdrückliche, schriftliche Anweisung hinsichtlich des Verbots der privaten E-Mail-Nutzung vorliegt, diese dann aber nicht "gelebt", also nicht durchgesetzt wird.

Die private E-Mail-Nutzung kann unbeschränkt oder auch beschränkt gestattet werden. Wer als Vorgesetzter eine gelegentliche private E-Mail toleriert, stimmt damit nicht zu, dass in größerem zeitlichem Umfang E-Mails privat versandt werden.

Eine stillschweigende Gestattung durch den Arbeitgeber kann im Wiederholungsfall einen vertraglichen Anspruch des Arbeitnehmers begründen, dass eine solche private Nutzung auch in Zukunft fortgeführt werden kann. Nach der Rechtsprechung soll es für das Vorliegen einer so genannten betrieblichen Übung ausreichen, wenn eine bestimmte Leistung, wie hier die private Nutzung des E-Mail-Systems, vorbehaltlos und wiederholt gestattet wird.

1.4
Arbeitnehmerrechte bei Gestattung privater Nutzung des E-Mail-Systems
Ist die private Nutzung des E-Mail-Systems gestattet, so stellt sich die Frage, ob sich daraus Rechte des Arbeitnehmers ableiten lassen, das E-Mail-System unbeschränkt zu nutzen, insbesondere auch Spam-E-Mails zu empfangen. Bei lebensnaher Betrachtung wird man regelmäßig davon ausgehen können, dass der Arbeitnehmer das bestehende System des Arbeitgebers lediglich mit benutzt und insoweit den systemimmanenten Beschränkungen, zu denen auch der Einsatz von Spam-Filtern gehören kann, unterliegt. Dies gilt insbesondere dann, wenn die private Nutzung dem Arbeitnehmer nicht ausdrücklich gestattet, sondern nur mehr oder weniger geduldet ist.

Damit geht einher, dass – insbesondere in Unternehmen ohne Betriebsrat – eine gesonderte Zustimmung der Arbeitnehmer zum Einsatz von Spam-Filtern dann erforderlich sein wird, wenn damit konkrete und personenbezogene Überwachungsmaßnahmen oder Überwachungsmöglichkeiten verbunden sind.

1.5
Verbot der privaten Nutzung des E-Mail-Systems und dessen Folgen
Wenn der Arbeitgeber die Nutzung des E-Mail-Systems untersagt hat, stellt sich die Frage nach den Folgen bei verbotswidriger Nutzung durch die Arbeitnehmer. Dabei wird zu berücksichtigen sein, dass Arbeitnehmer auch im Falle der verbotenen Nutzung des E-Mail-Systems eingehende – private – E-Mails, aber auch Spam-E-Mails nicht ohne weiteres verhindern können. So kann eine Verletzung der arbeitsvertraglichen Nebenpflichten bei Empfang von E-Mails oder Spam-E-Mails, die privat veranlasst wurden, dann entfallen, wenn es sich um einen Erstempfang oder um eine vom Arbeitnehmer nicht vorhersehbare und auch nicht steuerbare E-Mail-Korrespondenz handelt.

Hinsichtlich der ausgehenden E-Mails, die von Arbeitnehmern trotz eines Verbots der privaten Nutzung des betrieblichen E-Mail-Accounts versandt werden, oder hinsichtlich eines sich wiederholenden Empfangs privater E-Mails, der verhinderbar gewesen wäre, kommen als arbeitsrechtliche Folgen die Abmahnung wegen Verletzung arbeitsvertraglicher Pflichten, die ordentliche verhaltensbedingte Kündigung oder – in extremen Fällen – die außerordentliche Kündigung aus wichtigem Grund in Betracht.

1.6
Arbeitsrechtliche Folgen für die Filterung von Spam
Ist die private Nutzung des E-Mail-Systems nicht gestattet, so besteht das uneingeschränkte Verfügungsrecht des Arbeitgebers an seinen Betriebsmitteln fort und er kann damit auch die Einzelheiten der betrieblichen Nutzung, wie die Einschaltung eines externen Providers zur Spam-Filterung, festlegen.

Ist hingegen die private Nutzung gestattet, so kann der Arbeitgeber die private Nutzbarkeit des E-Mail-Accounts nicht ohne weiteres einseitig einschränken. Wenn durch die Spam-Filterung auch private E-Mails erfasst werden, kann der Einsatz von Spam-Filtern eine solche Einschränkung darstellen. Dies könnte im Extremfall bedeuten, dass der Arbeitgeber bei der Gestattung privater Nutzung Spam-Filter nicht einsetzen kann oder zumindest die Zustellung privater E-Mails sicherstellen muss.

Aus diesem Dilemma, einerseits den Arbeitnehmern die private Nutzung des betrieblichen E-Mail-Accounts gestatten zu wollen, andererseits die Funktionsfähigkeit der betrieblichen EDV-Systeme sicherstellen zu müssen, kann die von SurfControl angebotene Lösung der individuellen Spam-Quarantäne oder des regelmäßigen Enduser-Message-Reports (EUMR) helfen. Beide Systemausgestaltungen ermöglichen es, dass der Adressat der E-Mail jederzeit die Möglichkeit hat, auf seine E-Mails zuzugreifen.

Zudem erscheint unter dem Gesichtspunkt der beschränkten Gestattung der Einsatz von Spam-Filtern, einschließlich der Löschung von Spam-E-Mails, bei ausschließlich arbeitsrechtlicher Betrachtung als möglich.

1.7
E-Mail-Filterung als Verwirklichung von Arbeitgeberschutzpflichten
Die bereits vorstehend erwähnte Fürsorgepflicht des Arbeitgebers umfasst auch den Schutz der Persönlichkeitsrechte der Arbeitnehmer, beispielsweise vor sexueller Belästigung oder vor Handlungen mit rassistischen oder gesetzeswidrigen Inhalten. Hieraus kann die Verpflichtung des Arbeitgebers abgeleitet werden, von sich aus aktiv gegen entsprechende Spam-Belästigungen vorzugehen.

Da mit Spam-E-Mails, soweit sie nicht der Verbreitung von Viren dienen, ganz überwiegend kommerzielle Kaufangebote unterbreitet werden, wird man zwar nicht ohne weiteres davon ausgehen müssen, dass eine Spam-Filterung zum Schutz der Persönlichkeitsrechte der Arbeitnehmer notwendig ist. Sicherlich steht bei der Spam-Filterung die Sicherung der Betriebsabläufe im Vordergrund. Dennoch sind Spam-Attacken denkbar, die nicht nur aufgrund der Anzahl der übersandten Spam-E-Mails, sondern auch aufgrund der Inhalte die Persönlichkeitsrechte der Arbeitnehmer verletzen und daher im Rahmen der Fürsorgepflicht vom Arbeitgeber zu verhindern sind.

1.8
Arbeitsrechtliche Empfehlungen zum Einsatz von MailControl
Bei erlaubter Privatnutzung ist sowohl im Sinne des Arbeitgebers als auch zur Absicherung von Drittanbietern, wie SurfControl, die Zustimmung der einzelnen Mitarbeiter zur Prüfung des E-Mail-Verkehrs, insbesondere aber zur Löschung bzw. zum Zurückhalten von Spam-E-Mails sinnvoll und geboten. Ohne eine solche Einwilligung ist insbesondere jedem Mitarbeiter ein unverzüglicher Zugriff auf "seinen" Quarantäne-Ordner zu ermöglichen.

Alternativ kann eine bereits erlaubte Privatnutzung durch den Arbeitgeber durch folgende Maßnahmen unterbunden werden: Zustimmung des Mitarbeiters, Befolgen einer entgegen gesetzten betrieblichen Übung oder durch Änderungskündigung. Möglicherweise kann dies auch durch eine Betriebsvereinbarung erreicht werden.

2. Datenschutz und MailControl
Ein weiterer, für die E-Mail-Filterung maßgeblicher Rechtsbereich, findet sich in den Datenschutz- und Telekommunikationsgesetzen.

2.1
Rechtslage bei Gestattung privater E-Mail-Nutzung
Aus Unternehmenssicht stellt sich die Rechtslage bei Gestattung der privaten E-Mail-Nutzung tendenziell nachteilig dar. Hauptgrund hierfür ist, dass das Telekommunikationsgesetz (TKG) in diesem Falle Anwendung findet.

2.2
Anwendungsbereich des Telekommunikationsgesetzes
Das Telekommunikationsgesetz (TKG) findet bei der Gestattung der privaten E-Mail-Nutzung in einem Unternehmen Anwendung. Jede Art der individuellen Nachrichtenübermittlung, einschließlich E-Mail und Telefax, stellt Telekommunikation im Sinne des Gesetzes dar. Das Unternehmen gilt deshalb im Verhältnis zu dem, das E-Mail-System privat nutzenden Mitarbeiter als Diensteanbieter im Sinne des TKG.

Das in § 88 TKG geschützte Fernmeldegeheimnis verbietet jegliche inhaltliche Überwachung oder Überprüfung durch den Diensteanbieter. Dies ergibt sich aus dem eindeutigen Wortlaut der Vorschrift: Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt war.

Eine Verwendung von Kenntnissen für andere Zwecke, insbesondere die Weitergabe an andere, ist nach dem Wortlaut des § 88 TKG nur dann zulässig, soweit das TKG selbst oder eine andere gesetzliche Vorschrift (z.B. strafgesetzliche Regelungen) dies vorsehen und sich dabei ausdrücklich auf die Telekommunikations-vorgänge beziehen.

2.3
Ausnahmen vom Fernmeldegeheimnis
Nach der Ausnahmevorschrift des § 88 Abs. 3 TKG sind Einschränkungen des Fernmeldegeheimnisses in geringem Umfang zugelassen. Demnach ist es dem Dienstanbieter nicht gestattet, sich oder anderen über das für die geschäftsmäßige Erbringung der Telekommunikationsdienste erforderliche Maß hinaus Kenntnis von Inhalt oder von näheren Umständen der Telekommunikation zu verschaffen. Kenntnisse über Tatsachen, die dem Fernmeldegeheimnis unterliegen, sind nur für diese Zwecke zu verwenden.

Angesichts des Wortlauts von § 88 Abs. 3 TKG zeigt sich jedoch, dass der tatsächliche Spielraum im Rahmen von Kontroll- und Überwachungsregelungen bei Anwendbarkeit des § 88 TKG beschränkt ist. Zulässig ist danach die Überprüfung von Telekommunikationseinrichtungen aus betrieblichen Gründen, insbesondere zur Entgeltabrechnung (§ 97 TKG), zur Behebung von Störungen oder Unterbindung einer rechtswidrigen Inanspruchnahme des Telekommunikationsnetzes

(§ 100 TKG). Das Nutzen eines Telekommunikationsdienstes durch Spam wird jedoch nicht ohne weiteres als eine solche Störung zu qualifizieren sein, denn auch unerwünschte Mitteilungen unterliegen grundsätzlich dem Fernmeldegeheimnis.

Etwas Anderes kann dann gelten, wenn künftig Spam und Viren weiter zusammenwachsen und damit auch durch Spam-E-Mails Störungen regelmäßig hervorgerufen werden können. Denn dem Diensteanbieter steht das Recht zu, sein eigenes Netz vor Störungen zu schützen. Auch muss nach § 109 TKG derjenige, welcher Telekommunikationsanlagen betreibt, angemessene technische Vorkehrungen oder sonstige Maßnahmen zum Schutz des Fernmeldegeheimnisses und personenbezogener Daten sowie der Telekommunikations- und Datenverarbeitungssysteme gegen unerlaubte Zugriffe treffen.

Eine Löschung der Spam-E-Mails kommt nach § 109 TKG in Betracht. Zur Erhöhung der Rechtssicherheit sollte auch hierfür jedoch die Zustimmung des Mitarbeiters eingeholt werden. Eine Verpflichtung, potentiell schädigende E-Mails zuzustellen, besteht beim Unternehmen nicht.

2.4
Einwilligung des Mitarbeiters
Im Rahmen des § 88 TKG ist zu beachten, dass diese Vorschrift dispositiv ist. Eine Einwilligung des Mitarbeiters, z. B. in eine Kenntnisnahme und Verarbeitung der E-Mails, ist daher möglich und stellt eine rechtssichere Gestaltungsmöglichkeit dar.

2.5
Anwendungsbereich des Bundesdatenschutzgesetzes
Unabhängig davon, ob die private E-Mail-Nutzung gestattet oder nicht gestattet ist, unterliegt das Unternehmen den Bestimmungen des Bundesdatenschutzgesetzes (BDSG), diese sind also stets anwendbar. Für den Fall einer Gestattung gelten diese Vorschriften zusätzlich zu denjenigen des TKG.

Das BDSG in seiner derzeitigen Fassung beruht auf der Richtlinie der Europäischen Gemeinschaft 95/94 EG vom 24.10.1995 (Datenschutzrichtlinie). Das BDSG kodifiziert den bereits in der Verfassung bestehenden Grundsatz des Arbeitnehmerdatenschutzes und stellt die Umsetzung des Rechts auf informationelle Selbstbestimmung dar.

In seiner Grundsystematik enthält das BDSG hinsichtlich der Erhebung, Verarbeitung und Nutzung personenbezogener Daten ein so genanntes Verbot mit Erlaubnisvorbehalt. Dies bedeutet, dass die Erhebung, Verarbeitung und Nutzung personenbezogener Daten solange verboten ist, bis eine Erlaubnis vorliegt. Eine derartige Erlaubnis kann entweder durch Einwilligung gemäß § 4 BDSG oder durch eine gesetzliche Regelung erfolgen.

Personenbezogene Daten sind nach § 3 BDSG alle Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. E-Mails, die an eine Adresse versandt werden und eindeutig einer natürlichen Person zuordenbar sind (z. B. max.mustermann@musterfirma.de) stellen personenbezogene Daten dar. Ihre Verarbeitung unterfällt deshalb dem BDSG. Für pseudonymisierte E-Mail-Adressen (donald.duck@gmx.de) mag dies nicht gelten; ein solcher Fall wird jedoch bei firmeninternen E-Mail-Adressen regelmäßig nicht vorliegen.

2.6
Erlaubnis zur Datenverarbeitung
Die Regelungen des Datenschutzgesetzes können einvernehmlich abgeändert werden. Der Gesetzgeber sieht in § 4 Abs. 1 BDSG ausdrücklich die Möglichkeit einer Einwilligung zur Datenerhebung, -verarbeitung und -nutzung vor. Diese muss jedoch ausdrücklich und unmissverständlich erklärt werden. Das Unternehmen kann sich also nicht auf ein vermutetes Einverständnis der Betroffenen mit der Ausfilterung stützen.

Ist der Anwendungsbereich des BDSG eröffnet und liegt eine wirksame Einwilligung nicht vor, so ergibt sich für den Bereich der E-Mail-Nutzung eine wesentliche Einschränkung aus § 28 Abs. 1 Nr. 1 BDSG. Demnach dürfen personenbezogene Daten nur dann gespeichert, geändert oder übermittelt werden, wenn dies im Rahmen der Zweckbestimmung des Vertragsverhältnisses oder vertragsähnlicher Vertrauensverhältnisse mit den Betroffenen erfolgt oder soweit es zur Wahrung berechtigter Interessen der Speicherstelle erforderlich ist und kein Grund zu der Annahme besteht, dass schutzwürdige Interessen des Betroffenen an dem Ausschluss der Verbreitung oder Nutzung offensichtlich überwiegen, § 28 Abs. 1 Nr. 2 BDSG.

Dient die Prüfung von eingehenden E-Mails ausschließlich dem Erkennen von Spam und dessen Aussortieren in einen Quarantäne-Ordner, so kann argumentiert werden, dass eine solche bloße und zudem vollautomatische Sortierung ohne Zugriffsmöglichkeit des Unternehmens sich im Rahmen der Zweckbestimmung des Vertragsverhältnisses bewegt und damit zulässig ist. Die Kontrollmöglichkeiten des Unternehmens bei E-Mails sind jedoch im Einzelnen nicht abschließend geklärt. Eine rechtssichere Möglichkeit besteht deshalb weiterhin in dem Einholen der Einwilligung der Mitarbeiter und ansonsten Betroffenen.

Weitere Themen des Whitepapers sind u.a.

>> Teledienstegesetz / Teledienstedatenschutzgesetz
Die Anwendbarkeit des Teledienstegesetzes (TDG) und des Teledienstedatenschutzgesetzes (TDDSG) auf Prüfung von eingehenden E-Mails ist umstritten.

>> Rechtslage bei Verbot privater E-Mail-Nutzung
Ist die private Nutzung von E-Mails nicht gestattet, stellt sich die Rechtslage aus der Sicht des Unternehmens wesentlich günstiger dar

>> Datenschutzrechtliche Empfehlungen zum Einsatz von MailControl
Das BDSG findet bezüglich der Verwendung von E-Mails in Betrieben stets Anwendung, das TKG nur, wenn dem Mitarbeiter die private Nutzung erlaubt ist. Die Schutzbestimmungen beider Gesetze können durch eine wirksame Einwilligung abgeändert werden.

>> Corporate Governance – Schutzpflichten der Gesellschaftsorgane
Geschäftsführer oder Vorstände von Kapitalgesellschaften oder geschäftsführende Gesellschafter von Personengesellschaften unterliegen regelmäßig einer Leitungs- und Führungsverantwortung für das Unternehmen (§ 76 Abs. 1 AktG, §§ 37, 43

>> Rechtliche Analyse von MailControl
Auf der Grundlage der bisherigen Ausführungen zur Rechtslage bei Spam-E-Mails lässt sich nun die "rechtliche Einsetzbarkeit" des MailControl-Systems von SurfControl beurteilen.

>> Vollständige Kontrolle durch Kunden
Rechtlich wichtig, und von MailControl vorgesehen sind die Zugriffsmöglichkeiten des Unternehmens auf alle E-Mails, insbesondere auf solche in Quarantäne. Dabei ist seitens des Unternehmens zu berücksichtigen, dass ausnahmsweise auch geschäftswichtige E-Mails als Spam bewertet werden können, abhängig von der gewählten Skalierung.

>> Umleitung der Mails auf SurfControl-MailServer
SurfControl nimmt die eingehende E-Mail als Proxy (Vertreter) für das Unternehmen an. SurfControl fungiert somit gegenüber Außenstehenden als "Briefkasten" für das Unternehmen. Die E-Mail gilt damit als zugestellt. Dies hat die folgenden Konsequenzen:

>> Elektronische Sortierung
Die rein elektronische Sortierung ohne Zugriffsmöglichkeiten der SurfControl-Mitarbeiter auf einzelne E-Mails des Unternehmens stellt sicher, dass das Fernmeldegeheimnis nicht verletzt werden kann.

>> Zugriff durch Mitarbeiter erlaubt
Auf den Quarantäneordner hat der einzelne Mitarbeiter des Unternehmens jedoch Zugriff. Er kann damit von diesen Sendungen Kenntnis nehmen. De facto handelt es sich dabei um ein zweites E-Mail-Account. Dass die E-Mails dabei technisch nicht auf dem Server des Unternehmens, sondern auf dem Server von SurfControl lagern, ist hierbei unerheblich.

>> Zugriff durch Mitarbeiter untersagt
Fehlt eine Zugriffsmöglichkeit des einzelnen Mitarbeiters, anders als bei dem System von SurfControl Technologies, so stellt dies bei gestatteter privater Nutzung einen Verstoß gegen das TKG dar. Auch kann diese Konstellation eine Strafbarkeit nach § 206 StGB begründen.

>> Zugriffsrechte durch Mitarbeiter SurfControl
Der Zugriff von externen Personen auf einzelne E-Mails ist grundsätzlich datenschutzrechtlich und strafrechtlich problematisch. Insbesondere zum Schutz dieser Personen ist eine klare rechtliche Lage anzustreben, insbesondere durch eine wirksame Einwilligung der Betroffenen.

>> Aufbewahrungsfristen
Beträgt die Aufbewahrungsfrist im Quarantäneordner – anders als bei MailControl von SurfControl – weniger als vier Wochen, so ist dies möglicherweise, gemessen an dem normalen Geschäftsablauf, für Mitarbeiter, die zum Beispiel aufgrund betrieblich bedingter Reisen oder wegen Urlaubsabwesenheit eingehende E-Mails nur unregelmäßig prüfen können, zu kurz. Bei solchen Maßnahmen kann es zu Verstößen gegen das Telekommunikationsgesetz oder das Strafgesetzbuch kommen.

>> Zugriff durch Systemadministrator / Vier-Augen-Prinzip
Die Datenschutzversion von SurfControl MailControl verfügt über das zusätzliche Feature "4-Augen Prinzip". Durch diese Maßnahme kann MailControl so eingestellt werden, dass der Zugriff Dritter auf die Mitarbeiter-Quarantäne nur durch das Einloggen von zwei Personen gleichzeitig möglich ist (z.B. Betriebsrat und Geschäftsführer).

>> Bewertung der Analyse-Methode
In der Spam-Filterengine werden mehrere Filtermethoden angewandt, die nicht digital entscheiden, ob eine E-Mail Spam ist, sondern lediglich einen "Spam-Wahrscheinlichkeitswert" vergeben. Nach der Analyse erhält jede einzelne Nachricht einen Gesamt-Spam-Wert. Dieser Wert wird mit dem vom Unternehmen definierten Schwellenwert verglichen. Informationen über das Ergebnis einzelner Filtermethoden werden hingegen nicht weitergegeben.

HEUSSEN Rechtsanwaltsgesellschaft mbH gehört zu den großen wirtschaftsrechtlich ausgerichteten Rechtsanwaltskanzleien in Deutschland mit Büros in München, Berlin, Frankfurt und Stuttgart sowie einer Kooperation mit Heussen B.V. in Amsterdam. Die Tätigkeitsschwerpunkte liegen in den Bereichen Gesellschaftsrecht, Wettbewerbsrecht, Informationstechnologie, Bank- und Kapitalmarktrecht, Urheberrecht und gewerblicher Rechtsschutz, Bau- und Immobilienrecht, Arbeitsrecht, Öffentliches Recht, Insolvenzrecht und Energiewirtschaftsrecht. Die rechtlichen Ausführungen dieses Whitepapers wurden von Rechtsanwälten erarbeitet, die sich auf die Bereiche IT-Recht, Datenschutzrecht, Arbeitsrecht und Gesellschaftsrecht spezialisiert haben.

SurfControl Technologies ist ein führender Anbieter von Managed Internet Security Services. Die MailControl Services schützen zuverlässig gegen Spam, durch E-Mail verbreitete Viren und anstößige oder jugendgefährdende Inhalte. Viren, Spam und Content werden bereits auf Internet-Ebene ausgefiltert und in Quarantäne gestellt, so dass unerwünschte E-Mails das Unternehmensnetzwerk nicht erreichen. Die Intelligent Threat Prevention Technologie Huntsman gewährt einen proaktiven und umfassenden Schutz gegen erstmalig auftretende Gefahren aus dem Internet.

Haftungsausschluss
Dieses Whitepaper stellt einen rechtlichen Überblick dar und ersetzt nicht die rechtliche Beratung im Einzelfall. Wir bitten um Verständnis dafür, dass wir für die Richtigkeit und Vollständigkeit der in diesem Whitepaper enthaltenen Angaben und Ausführungen trotz sorgfältiger Recherche keine Haftung übernehmen.
(SurfControl: ra)



Meldungen: Hintergrund

  • Wer ist von der CSRD betroffen?

    Für Unternehmen ist der eigene ökologische Fußabdruck mittlerweile eine entscheidende erfolgsrelevante Steuerungsgröße geworden. Welche Investitionen und wirtschaftlichen Tätigkeiten sind ökologisch nachhaltig und ermöglichen es, sich am Markt positiv zu differenzieren? Die Erstellung einer Nachhaltigkeitsberichtserstattung nimmt darüber hinaus auch seitens der Aufsichtsbehörden und Regulatoren einen immer größeren Raum ein. Das Jahr 2023 startete bereits mit einem wichtigen Meilenstein für das ESG-Reporting – der Berichterstattung für die Bereiche Umwelt (Environmental), Soziales (Social) und verantwortungsvolle Unternehmensführung (Governance). Am 5. Januar 2023 ist die EU-Richtlinie über die Nachhaltigkeitsberichterstattung der Corporate-Sustainability-Reporting-Direktive (CSRD) in Kraft getreten. Diese führt zu einer umfangreichen und verbindlichen Nachhaltigkeitsberichterstattung.

  • Data Act könnte schon 2024 in Kraft treten

    Wir erleben es jeden Tag: Datenmengen steigen ins Unermessliche. Die Prognose der EU-Kommission erwartet allein in der EU zwischen 2020 und 2030 einen Anstieg des Datenflusses in Cloud- und Edge-Rechenzentren um 1500 Prozent - kein Tippfehler. Entsprechend riesig ist das wirtschaftliche Potential, denn Daten sind der zentrale Rohstoff etwa für das Internet of Things. Das wiederum wird von der EU im Jahr 2030 (1) auf eine wirtschaftliche Gesamtleistung auf bis zu elf Billionen Euro geschätzt. Somit ist der EU Data Act, der in einem ersten Entwurf im Frühjahr 2022 von der EU-Kommission vorgestellt wurde, in seiner Bedeutung für die Datenökonomie nicht zu unterschätzen. Es geht nämlich um die Rahmenbedingungen für den Austausch von Daten: Das heißt, alle Geschäftsmodelle, die auf vernetzten Produkten und Dienstleistungen beruhen, sind betroffen. Und die Zeit steht nicht still. Der Data Act könnte schon 2024 in Kraft treten.

  • Aufsichtsbehörden machen Ernst

    Der Datenschutz wurde durch die im Mai 2018 in Kraft getretene EU-Datenschutz-Grundverordnung (DSGVO) europaweit geschärft und die Rechte der Betroffenen gestärkt. Die Aufsichtsbehörden sind mittlerweile aktiv geworden und verhängen teils empfindliche Strafen, wenn Unternehmen und Konzerne mit dem Schutz der User- und Kundendaten zu lax umgehen. Unternehmen, die online Leads und Kunden generieren, sollten deswegen ein Auge auf die Details haben und nur mit seriösen Partnern zusammenarbeiten, die eine DSGVO-konforme Verarbeitung von Daten nachweisen können. Das Inkrafttreten der DSGVO im Mai 2018 rollte wie eine Schockwelle durch die Welt des Online-Business und der Leadgenerierung. Denn die europäische Datenschutzgrundverordnung hat den Schutz personenbezogener Daten ausgeweitet und verschärft. Ziel war es, ein europaweit gleich hohes Schutzniveau zu erreichen, die Verfahren gegen Verstöße zu vereinfachen und den Datenschutz dem technischen Fortschritt der Digitalisierung anzupassen.

  • Audit-Druck ebnet Weg hin zu Abo-Modellen

    Beim Thema Software-Audit kommen zwei historisch signifikante Zustände zusammen: Einerseits hat sich Europa insbesondere von US-Softwareanbietern stark abhängig gemacht und ist andererseits durch den omnipräsenten Digitalisierungsdruck bereit, die Situation trotz gelegentlicher gegenteiliger Verlautbarungen offenbar noch zu verschlimmern. Lesen Sie hier, was die Erfindung des Software-Audits damit zu tun hat.

  • Digitale Verwaltungsdienste ohne Datengrundlage?

    Deutsche Behörden tun sich schwer, ihre Angebote für Bürger und Bürgerinnen digital anzubieten. Das aktuelle Onlinezugangsgesetz (OZG) macht aber Bund, Ländern und Kommunen jetzt kräftig Druck. Geht es nach dem Gesetzgeber, sollen bis Jahresende rund 600 Verwaltungsdienstleistungen in digitaler Form bereitstehen - und zwar bundesweit.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen