ver.di Vereinte Dienstleistungsgewerkschaft    
ver.di Vereinte Dienstleistungsgewerkschaft impressum | kontakt
 
ver.di Vereinte Dienstleistungsgewerkschaft
  ver.di Vereinte Dienstleistungsgewerkschaft   willkommen bei ver.di Fachbereich 09 -
Fachgruppe IT /DV
       
         
 
  aktuell
  fachinformationen
    Betriebsübergang
    Fusionen
    Infos für Mütter und Väter
    Spaltung von Betrieben
  Datenschutz und Internet
    Fachliteratur
    Fachseminare
  it-gehälter
  gesundheit / ergonomie
  umweltschutz im betrieb
  multimedia
  regional
international
  jugend
  ver.di-t.i.m.
kontakt
fachbereich 09

  infos von ver.di-T.I.M.  

Datenschutz und Datensicherheit bei der Nutzung von Internet und E-Mail

 

 
von Ulrich Pordesch
(Kommentare erwünscht)



In den Betrieben und Verwaltungen werden Internet-Techniken immer mehr eingesetzt, um Arbeitsplatzcomputer und zentrale EDV-Systeme miteinander zu vernetzen. Auch Betriebs- und Personalräte setzen das Internet verstärkt ein. Grund genug, sich mit Datenschutz und Datensicherheit im Internet zu beschäftigen, denn das Internet ist

Ein in jeder Hinsicht offenes Netz


Im Internet werden die Inhalte - also z.B. E-Mails oder WWW-Sites - in Datenpakte zerteilt und über gerade verfügbare Wege übertragen. Die einzelnen Datenpakete werden meist im Klartext übertragen und sie enthalten auch Absender- oder Empfängerkennungen. Der Datenverkehr lässt sich deshalb recht gut überwachen und man kann die Daten auch verfälschen. Andererseits überprüft das Internet selbst nicht den Datenverkehr und vermittelt alles und jeden, also auch Viren und elektronische Einbrecher.
Um Sicherheitsrisiken einzudämmen, müssen Unternehmen und Verwaltungen Sicherheitsmaßnahmen ergreifen. Notwendig ist zum einen die Abschottung unternehmensinterner Intranets gegen das öffentliche Internet mittels Firewalls und zum anderen der Schutz der Daten durch Verschlüsselung und digitale Signaturen. Doch auch diese Techniken sind nicht ohne Nebenwirkungen für die Arbeitnehmerinnen und Arbeitnehmer.

Bild 1: Netzstruktur

Überwachungsmöglichkeiten allerorten


Die im Normalfall offene Datenübertragung im Klartext und mit Angabe von Adressen ermöglicht gerade im unternehmensinternen Intranet Kontrolle und Überwachung von Beschäftigten:
  • Server: E-Mail-Server speichern die elektronische Post zwischen. Systemadministratoren können auf diese Post zugreifen. WWW-Server können registrieren, wer wann welche Sites abgerufen hat. Proxy-Server speichern abgerufene Sites zwischen und können deshalb auch genau Protokoll führen, wer wann welche Site aus dem öffentlichen Netz abgerufen hat.
  • Endsysteme: Auch in den PCs fallen sensible personenbezogene Daten über die Internet-Nutzung an. Ein Beispiel hierfür sind die Angaben zu den zuletzt besuchten WWW-Sites. Anders als zu Hause stehen die Endsysteme im Betrieb unter Arbeitgeberkontrolle!
  • Firewallsysteme sind ein notwendiges Mittel, um den Zugang aus dem öffentlichen Internet ins firmeneigene Intranet zu regeln. Sie überwachen und filtern den Datenverkehr zwischen internem und externem Netz oder internen Netzteilen. Sie sollen z.B. Hackerattacken und das Einschleusen von Computerviren abwehren. Leider sind sie aber auch sehr gut geeignet, das Mitarbeiterverhalten zu kontrollieren. Sie können registrieren, welche Sites durch welche Benutzer aufgerufen und können auch einige Inhaltsanalysen durchführen, z.B. nach Stichworten oder gar „fleischfarbigen Inhalten“ in Grafiken suchen.
Wenn also ein Chef einem unangenehmen Mitarbeiter ein Beinchen stellen will, dann kontrolliert er aus der Log-Datei die besuchten Internet-Seiten. Vielleicht findet er dort z.B. die Start-Seite zum Download von Moorhuhn...
Und wenn die Firmenleitung in schwierigen Verhandlungen über den Abschluß einer Betriebsvereinbarung die Nase vorne haben möchte, böte es sich doch an, vorher einmal über den E-Mail-Server auf den Schriftverkehr des Betriebsrates zuzugreifen.
Und das geht zum Beispiel so...

Datenschutzgesetze gut – Regelungen besser


Sicherheitsmaßnahmen sind im Interesse der Beschäftigten, wenn es um den Schutz personenbezogener Daten im Unternehmen gegen Zugriff von außen denkt. Aber die Überwachung des Arbeitnehmerverhaltens ist es sicher meist nicht. Gesetze helfen gegen einen möglichen Missbrauch aus Beschäftigtensicht nicht immer weiter. So würde die Bildung umfassender Kommunikationsprofile aus gesammelten Daten von Firewalls zwar dem Datenschutz widersprechen, die Erfassung einiger Daten zum Erkennen von Angriffen ist jedoch manchmal geradezu Datenschutz-notwendig. Statt auf die Wirksamkeit von Datenschutzgesetzen zu vertrauen ist es deshalb besser, Dienst- oder Betriebsvereinbarungen zu diesen Fragen abzuschliessen. Da die genannten Internet-Technologien geeignet sind, das Verhalten von Beschäftigten zu kontrollieren, sind sie nach § 87 BetrVerg. mitbestimmungpflichtig.

Verschlüsselung und digitale Signaturen


Techniken wie Firewalls schützen nicht gegen Lauschangriffe und Datenverfälschung bei der Datenübertragung. Um solche Risiken zu mindern benötigt man zusätzliche Maßnahmen, insbesondere Verschlüsselung und Signaturen.
Durch Verschlüsselung werden abgehörte Nachrichten unleserlich. Um E-Mail zu verschlüsseln benötigt man nur den Verschlüsselungsschlüssel  vom Empfänger und das Mailprogramm verschlüsselt die Nachricht selbsttätig. Nur der Empfänger hat den passenden Entschlüsselungsschlüssel, um die Mail dann entschlüsseln zu lassen und zu lesen.

Wenn also die Geschäftsleitung auf die vertrauliche E-Mail des Betriebsrats zugreifen will, um sich "besser auf die Verhandlungen vorzubereiten", dann sieht sie nur unleserliche Zeichen.

Digitale Signaturen ermöglichen es zu erkennen, ob Daten unverfälscht sind und von wem sie stammen. Wer signieren möchte, beschafft sich einen geheimen Signierschlüssel und kann damit z.B. vom Mailprogramm seine ausgehende Mail signieren lassen. Wer die Echtheit prüfen will, benötigt nur den zugehörigen öffentlichen Prüfschlüssel. Das Prüfprogramm erkennt dann jede Veränderung.
Gesetzesvorhaben in diesem Jahr sollen eine Art rechtliche Gleichstellung signierter Dokumente mit unterschriebenen Papierurkunden bewirken.

Doch Achtung, auch Verschlüsselungs- und Signiertechniken sind

..nicht frei von Nebenwirkungen


Mehr Sicherheit kann eine unbefangenere Kommunikation und auch die Übertragung vormals zu sicherheitskritischer Aufgaben auf die Beschäftigten erlauben. Doch es gibt aus Arbeitnehmersicht auch problematische Aspekte, etwa diese hier:
  • Signaturverfahren ersetzen Papier und handschriftliche Unterschriften. Erhebliche Rationalisierungseffekte und eine weitere Zunahme der Bildschirmarbeit werden möglich.
  • Mit Signaturvorgängen werden viele beweisbare Datenspuren erzeugt und dauerhaft elektronisch auswertbar gespeichert.
  • Die Anwendung von Signaturverfahren ist nicht risikolos – Signierschlüssel können in unbefugte Hände geraten, Dokumente können untergeschoben werden. Schlecht wenn die Arbeitnehmer solche Risiken tragen müssen und regresspflichtig gemacht werden.
  • Hintertürschlüssel, unsichere Verfahren oder das Verbot der unternehmensinternen Anwendung können den erreichbaren Schutz für die Beschäftigten untergraben.

Regelungen zu empfehlen


Auch hier empfiehlt es sich also, eine Dienst- oder Betriebsvereinbarung abzuschliessen. Zwar sind die Techniken selbst meist nicht zur Kontrolle von Arbeitnehmerverhalten geeignet. Aber zur Handhabung dieser Verfahren sind zahlreiche Verhaltensregeln erforderlich, die zumindest ordnungsrelevant sind und deshalb Mitbestimmungsrechte begründen. Ausserdem können Verschlüsselung und Signaturen zusammen mit dem Internet/Intranet geregelt werden, das ja mitbestimmungspflichtig ist.

Hinweise und Kontakte


Literaturhinweise


zu Internet, seinen Risiken aus Arbeitnehmersicht, z.B.
  • Schuler, K. : Jede Wand hat ihre zwei Seiten (Firewall-Systeme bieten Sicherheit, aber auch ...), Computer-Fachwissen 4/1999
  • Wilke, M. Intranet: Netz mit doppeltem Auftrag, Computer-Fachwissen 2/2000 und 3/2000
zu Verschlüsselungs- und Signaturverfahren eine kleine Einführung:
  • Konrad-Klein, J.: eMails – ganz schön privat, Computer-Fachwissen 5/1997

Links

  • online-rigths for online-workers: IBITS-Dokumente
  • Infos zu Verschlüsselung / Signaturen findet man im http://www.regtp.de/ (auch ein Video und Unterlagen), aber Vorsicht, die Arbeitnehmersicht spielt dort keine Rolle.
  • Die berühmte Verschlüsselungssoftware PGP gibt kostenlos bei http://www.pgpi.org./.
  • Datenschutz im Internet: Hier informieren gut die Landesdatenschutzbeauftragten, z.B. http://www.lfd.nrw.de/

Beratung und Seminare

Zum Autor


Autor Ulrich Pordesch, Mitarbeiter der GMD und von sovt, Darmstadt, ist bekannt durch zahlreiche Untersuchungen und Veröffentlichungen zum Thema "Digitale Signaturen" und hat auch an einem Gesetzeskommentar zum Signaturgesetz mitgearbeitet. Er war in der Vergangenheit beratend für Betriebs- und Personalräte bei Personaldatenverarbeitenden Systemen und ISDN tätig.
Bilder der Fachveranstaltung am 15.08.2000 - ver.di-T.I.M.-AK Rhein-Main

Praktisches Tool


  • software-Programm "Spyware" zur Prüfung des eigenen PC's: Download