Bild: Albert Hulm

Der Admin als Detektiv

Verdachtsmomente finden, Beweise sichern – und zwar datenschutzgerecht

IT-Sabotage, Missbrauch von Netzwerkressourcen oder Straftaten am Arbeitsplatz: Wer dergleichen gerichtsfest dokumentieren und beweisen will, muss die Regeln des Datenschutzes beachten. Schon kleine Fehler können dazu führen, dass die Ergebnisse vor Gericht nicht verwendbar sind.

Von Joerg Heidrich und Dr. Christoph Wegener

Zu den Aufgaben von IT-Verantwortlichen gehört es bisweilen, Ermittlungsarbeit im Netz des eigenen Unternehmens zu leisten. Wenn Mitarbeiter etwa im Verdacht stehen, sich durch ihren Umgang mit Internetinhalten strafbar gemacht zu haben, kann der beweissichernde Admin mit den Ergebnissen seiner Untersuchungen ein wichtiger Zeuge im Strafverfahren sein. Zudem stehen oft arbeitsrechtliche Konsequenzen im Raum, die das Unternehmen gegebenenfalls vor dem Arbeitsgericht hieb- und stichfest begründen muss. Auch der Ausgang eines möglichen Zivilstreits mit einem Mitarbeiter, der etwa durch seine IT-Nutzung das Unternehmen geschädigt hat, hängt am Wert der Beweise, die vorgebracht werden. Häufig dienen forensische Untersuchungen im Unternehmensnetz ganz schlicht dazu, die Ursache eines IT-Sicherheitsproblems aufzuklären.

Die Ergebnisse der Ermittlungsarbeit müssen nicht nur plausibel, sondern auch bei Bedarf vor Gericht verwendbar sein. Um das zu gewährleisten, muss der Ermittelnde bereits im Rahmen der Datenerhebung aufpassen.

Zu den klassischen Anforderungen an forensische Prozesse gehört es, beim Sammeln von Beweisen auf eine vollständige Beweismittelkette zu achten, also alle relevanten Vorgänge und die beteiligten Akteure chronologisch zu dokumentieren. In aller Regel sind personenbezogene Daten im Spiel. Häufig besteht ein wichtiges Ziel darin, einen Angreifer zu identifizieren. Zu den personenbezogenen Daten gehören dann etwa die eines Verdächtigen, aber auch Daten völlig unbeteiligter Personen, die im Rahmen der Untersuchungen mit analysiert werden.

Darf ich das?

Es gilt also nicht zuletzt die Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) zu beachten, das diese ergänzt. Wer deren Regeln verletzt, riskiert ein Verwertungsverbot für seine mühevoll gewonnenen Informationen, die dann im Rahmen von straf-, zivil- und arbeitsrechtlichen Auseinandersetzungen nicht oder nur begrenzt verwendet werden können.

§ 26 BDSG: Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses (Auszug)

(1) Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.

Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

Um datenschutzrelevante Informationen verarbeiten zu dürfen, braucht man stets eine Rechtsgrundlage. Die kann in einer Einwilligung jedes einzelnen Betroffenen bestehen. Bei forensischen Untersuchungen ist das normalerweise nicht praktikabel. Bei Untersuchungen innerhalb eines Unternehmens hilft aber § 26 BDSG: Der regelt die Nutzung von Daten der Beschäftigten für „Zwecke des Beschäftigungsverhältnisses“.