Data Loss Prevention Systems

Das Problem des Datenverlusts wird in Unternehmen immer häufiger wahrgenommen. Vor allem durch die „Consumerization“ der IT werden Angriffe auf mobile (meist unzureichend geschützte) Geräte lukrativ.  Aber nicht nur dort, und nicht nur von außen, werden Datenverluste festgestellt. Vor allem auch von innen, sprich durch die Mitarbeiter selbst, werden Daten ungewollt und fahrlässig oder bewusst und vorsätzlich aus dem Unternehmen geleitet. Folglich müssen Lösungen für diese Probleme gefunden werden.

Ein Ansatz sind dabei die Data Loss Prevention Systeme (DLP). Diese - und ähnliche - Systeme sollen digitale Information vor fahrlässiger oder vorsätzlicher unbefugter Kenntnisnahme und Weiterleitung an unberechtigte Dritte schützen.

Grundsätzlich basiert das System auf der Unterscheidung zwischen erlaubter und unerlaubter Verwendung von Daten. Dies kann nur funktionieren, wenn vorab ein Regelwerk auf Basis der zuvor herausgearbeiteten Unternehmensprozesse festgelegt wurde. Der Anwender einer solchen Software muss sich folglich bewusst sein, welche Daten er vor wem schützen möchte.
Das DLP stellt meist ein soft- und hardwaregestütztes Management-Framework dar, das auf Grundlage von vordefinierten Regeln schützenswerte Daten identifizieren, überwachen und letztendlich den unautorisierten Zugriff verhindern kann. Dabei können sowohl Daten auf den Endgeräten gesichert werden, als auch der Verkehr dieser. Zu den Kernfunktionalitäten gehören unter anderem die Deep Packet Inspection, das Session Tracking, Keyword Matching oder auch linguistische Analysefunktionen. All diese Funktionen erlauben dem System ein umfassendes Profil zu erstellen und Verhaltensprozesse zu überwachen und zu dokumentieren. Als Folge eines Fehlverhaltens kann zum einen der Nutzer selbst auf sein falsches Verhalten hingewiesen, oder aber der Vorgesetzte informiert werden. Auch das Blockieren eines Vorgangs kann Teil des Schutzes sein.
An seine Grenzen stößt ein DLP-System sobald die Daten das Unternehmen verlassen. Ein derartiges vom Unternehmen implementiertes Programm kann nur innerhalb der autorisierten Unternehmensgrenzen arbeiten. Weiterer Schutz der Daten ist dann nur durch Information Rights Management möglich, das unabhängig vom Speicherort Dokumente verschlüsseln und vor unerlaubtem Verarbeiten schützen kann.
Vorteil eines DLP Systems ist nicht nur das veränderte Bewusstsein für Datensicherheit im Unternehmen, sondern auch deren automatisierte Durchsetzung. Dies ist vor allem unter dem Gesichtspunkt der äußerst schweren gerichtlichen Durchsetzung derartiger Geheimhaltungsansprüchen in der Praxis ein wichtiger Aspekt.

Grundlage des Wissensschutzes

Grundsätzlich trifft den Arbeitnehmer während eines bestehenden Arbeitsverhältnisses eine allgemeine und eventuell datenschutzrechtliche Verhaltenspflicht. Zum einen ergibt sich aus dem Arbeitsvertrag eine immanente Pflicht zur Rücksichtnahme auf die wirtschaftlichen und geschäftlichen Interessen des Arbeitgebers. Diese beinhalten insbesondere die Geheimhaltung der Betriebs- und Geschäftsgeheimnisse. Nicht umfasst wird davon das vom Arbeitnehmer angesammelte Berufs- und Erfahrungswissen. Ist ein Arbeitnehmer mit der Verarbeitung von Daten beauftragt, unterliegt er besonderen Geheimhaltungspflichten gemäß § 5 S. 2 BDSG.
Diese Pflichten bilden die Grundlage eines Rechts des Arbeitgebers auf Wissensschutz und damit auch auf ein etwaiges Recht auf Schutz durch entsprechende Systeme, wie den DLP-Systemen.

Datenschutzrechtlich ist das Überwachen durch DLP-Systeme problematisch. Da sie durch ihre Protokolle auch zur Leistungs- und Verhaltenskontrolle geeignet sind, ist dabei das arbeitsrechtlich relevante Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme betroffen. Inwieweit dieser Schutz bei einem unbemerkten Einsatz von DLP-Systemen greift, ist noch nicht völlig geklärt.
Grundsätzlich gilt für die Implementierung eines automatisierten Datenverarbeitungsprogramms (so auch DLP) die Voraussetzung der Erforderlichkeit. Diese ist nicht gegeben, wenn die Einhaltung der unternehmensinternen Sicherheitsstandards und die Datensicherung durch Vorgabe der Zugriffs- und Zugangsbeschränkungen auch ohne ein solches System funktioniert.
Zusätzlich gilt gemäß § 3a BDSG das Gebot der Datenvermeidung und Datensparsamkeit, was datenschutzfreundliche Techniken fördern soll. Als Folge muss bei der Auswahl eines DLP-Systems darauf geachtet werden, dass möglichst wenig personenbezogene Daten generiert und verarbeitet werden. Anonymisierung und Pseudonymisierung können dabei angewendet werden. Personenbezogene Daten dürfen erst bei hinreichend konkretem Verdacht auf grobe Regelverstöße in abgestuften Verfahren erhoben werden. Des Weiteren müssen arbeitsrechtliche Konsequenzen für den Arbeitnehmer von einer natürlichen Person inhaltlich kontrolliert werden, für diesen nachvollziehbar sein und ihm die Möglichkeit der Anhörung gegeben werden, § 6a BDSG.
Besonders, wenn im Unternehmen auch die private Nutzung von Hardware gestattet ist, spielt der Datenschutz eine Rolle. Die DLP Systeme müssen dann so eingerichtet sein, dass die privaten Inhalte auf den Geräten von der Kontrolle ausgeschlossen sind. Dasselbe gilt, wenn die private Nutzung der Unternehmenshardware gestattet ist. Der Arbeitgeber kann in dieser Situation zudem dem Fernmeldegeheimnis unterworfen sein, wenn er als Telekommunikationsanbieter fungiert. Die Rechtmäßigkeit des Einsatzes von DLP-Systemen hängt dabei meist von einer wirksamen Einwilligung der Mitarbeiter und der Zustimmung des Betriebsrats ab.
Des Weiteren zu beachten sind die Vorschriften des Beschäftigtendatenschutzes, der sein Grundgerüst in § 32 BDSG findet und dessen Ausweitung in § 32 a – l BDSG geplant ist. Dabei ist vorgesehen, dass Telefondienste nur mit der Einwilligung des Mitarbeiters, während andere Dienste auch ohne diese stichprobenartig oder anlassbezogen kontrolliert werden dürfen. Der Arbeitnehmer muss jedoch Kenntnis über diese Maßnahmen haben.

Der Arbeitgeber ist vor die Wahl gestellt, die Überwachung seinen Mitarbeitern öffentlich zu kommunizieren, oder die Kontrolle ohne Kenntnis der Mitarbeiter durchzuführen. Demnach stellt sich die Frage wie über die Überwachung durch DLP Systeme informiert werden muss. Relevant ist das vor dem Hintergrund der Verhältnismäßigkeitsvoraussetzung vor allem der Grundsatz der Direkterhebung, der Benachrichtigungs- und Auskunftspflicht gemäß §§ 33, 34 BDSG und die Aufklärung bezüglich einer etwaigen eingeholten Einwilligung.
Nach herrschender Meinung gilt das Verbot der heimlichen präventiven Überwachung, was auch durch das Bundesverfassungsgericht bestätigt wird. Heimliche Maßnahmen stellen einen besonders intensiven Eingriff in die Rechte des Arbeitnehmers dar. Nur beim Vorliegen eines triftigen Grunds, eines konkreten Verdachts, kann der Arbeitgeber eine heimliche Überwachung rechtfertigen. Grundsätzlich ist eine heimliche Überwachung nur bei einer Beschränkung in zeitlicher und räumlicher Hinsicht auf die betroffene Person und den betroffenen Umstand möglich, solange ein konkreter Verdacht auf einen schweren Verstoß besteht.
Einfacher datenschutzrechtlich zu handhaben ist die offene Überwachung. Sie bringt zusätzlich den gewünschten präventiven Abschreckungseffekt. Wird der Arbeitnehmer über die Kontrolle durch DLP-Systeme informiert, geht dies häufig auch Hand in Hand mit der Einholung einer Einwilligung, § 4 BDSG. Die Benachrichtigung über die Überwachungsmaßnahmen muss sich dabei an alle betroffenen Arbeitnehmer richten, umfassend und richtig sein und sollte wiederholt stattfinden um die Kenntnis der andauernden Kontrolle sicher zu stellen.

Weitere rechtliche Bestimmungen

Bei der Implementierung eines DLP-Systems ist des Weiteren auch die Mitbestimmung zu beachten. DLP-Systeme stellen technische Einrichtungen dar, die dazu bestimmt sind das Verhalten der Mitarbeiter zu überwachen, die gemäß § 87 Abs. 1 Nr. 6 BetrVG der Zustimmung des Betriebsrats – falls einer im Unternehmen existiert – bedürfen.
Arbeitsrechtlich kann eine Individualabsprache zwischen Arbeitnehmer und Arbeitgeber notwendig sein. Darin wird geregelt, welche Maßnahmen der Arbeitgeber zur Kontrolle ergreifen darf und welche persönlichen Rechte der informationellen Selbstbestimmung der Arbeitnehmer aufgibt. Will der Arbeitgeber ein DLP-System integrieren, kann er sich oftmals nur so rechtlich absichern.

Ein DLP-System ins Unternehmen zu integrieren ist nicht nur technisch kompliziert, sondern auch rechtlich eine Herausforderung. Grundsätzlich ist davon abzuraten, dies ohne Aufklärung der Mitarbeiter zu tun, auch wenn das Risiko der Verschlechterung des Betriebsklimas oder der Angriffsmöglichkeit des Systems bestehen. Der Fokus eines solchen Systems sollte auf den Zutritts-, Zugangs- und Zugriffsbeschränkungen liegen.