Der CCC ruft zur “Unterstützung der Petition gegen die ELENA-Datenberge” auf. Hintergründe zum ELENA-Verfahren finden sich u.a. in diesem Wikiepdia-Eintrag. Aufgrund der erhobenen Daten (darunter die Teilnahme an berechtigten Streiks sowie eventuell erhaltene arbeitsrechtliche Abmahnungen) ist das Verfahren sicherlich kritisch zu betrachten. Mal ganz abgesehen davon, dass da mal wieder eine weitere Datenbank entsteht die durch Arbeitgeber fleißig mit Daten gefüttert werden muss. Apropos Arbeitgeber: Uns könnte das aus betrieblicher Sicht ziemlich egal sein, da die Lohnbuchhaltung sowieso der Steuerberater macht. Dennoch stehen wir dem neuen Verfahren aufgrund der damit verbundenen Risiken und Nachteile für Arbeitnehmer negativ gegenüber.
Beitrag mit Schlagwort ‘Datenschutz’
Die c’t hat uns auf einen Beschluss der “obersten Aufsichtsbehörden für den Datenschutz” hingewiesen, der sich kritisch mit der Praxis von IP-Logfiles und -Auswertungen durch Webseitenbetreiber auseinandersetzt. Gleichzeitig wurden wir gefragt, ob
1. wir die IP-Adressen der Besucher von Kundenwebseiten speichern
2. wir unseren Kunden Logfiles mit IP-Nummern zur Verfügung stellen
3. die IP-Nummern in Logfiles durch uns anonymisiert werden
4. die Logfileerstellung standardmäßig ein- oder ausgeschaltet ist
5. Kunden die Logfileerstellung selbst unterbinden können
6. durch uns Logfile-Analyse-Tools angeboten/empfohlen werden
7. Neukunden auf die Rechtslage hinweisen
8. wir Änderungen an der bisherigen Voreinstellungen planen
Grundsätzlich ist der jeweilige Kunde für die rechtskonforme Nutzung von Serverlogfiles verantwortlich, die wir im Rahmen der technischen Dienstleistung bereitstellen. Dennoch möchten wir natürlich weder unsere Kunden “ins offene Messer laufen lassen” noch bei diesem wichtigen datenschutzrechtlichen Thema einfach die Augen verschließen. Daher haben wir die Rechtslage auch bereits mehrfach (zuletzt – ebenfalls mehrfach – im vergangenen Jahr) durch unsere Rechtsanwälte überprüfen lassen. Dabei hat sich gezeigt, dass – zumindest zum damaligen Zeitpunkt – keine eindeutige rechtliche Situation existiert und die Frage zur Handhabung von IP-Adressen auch unter Juristen noch intensiv diskutiert wird.
Selbstverständlich haben wir die Anfrage zum Anlass genommen, um eine erneute Überprüfung zu beauftragten. Weiterhin werden wir folgende kurzfristige Änderungen einführen:
- Neue Option “Deaktivierung von Logfiles” im Kundenmenü (bisher muss der Logfile-Ordner gelöscht werden), Zeitrahmen: ca. 2 Wochen
- Mit Einführung der neuen Option: Logfiles bei neuen Accounts sind standardmäßig deaktiviert; Infoanzeige bei der Aktivierung mit Hinweis auf Rechtslage
- Aufnahme einer Information in die Neukunden-Begrüßungsemail, Zeitrahmen: heute oder morgen
- Nach Abschluss der rechtlichen Klärung Infomail an alle Kunden zu diesem Thema, Zeitrahmen: ca. 2-4 Wochen
Grundsätzlich hätten wir auch kein Problem damit, IP-Nummern aus Logfiles einfach auszunehmen oder zu anonymisieren. In der Praxis befürchten wir bei einem solchen Schritte aber einen Proteststurm unserer Kunden, zumal die Bereitstellung von Serverlogfiles als branchenüblich zu bezeichnen sein dürfte und eine Anonymisierung sowohl mit den üblichen Tools vollständig kompatibel (d.h. wie eine IP-Nummer aufgebaut) sein muss als auch das Risiko einer “Verwechslung” mit realen IP-Nummern gleichzeitig ausschließen muss. Die anonymisierte IP-Adresse muss also im üblichen Format (123.456.789.000) aufgebaut sein, darf aber nicht mit realen IP-Nummern übereinstimmen. Denn anderenfalls kommen viele Analysetools sicherlich nicht mehr mit den gelieferten Rohdaten klar, eben weil die IP-Nummer in einem bestimmten Format erwartet wird. Der Austausch gegen einen Hash o.ä. scheidet daher ebenfalls aus, wenn man den Nutzwert der Logfiles (Verweildauer, Pfadanlayse, usw. – das “tägliche Brot” vieler Webseitenbetreiber also) erhalten will. Auch die einfache Kürzung der IP um einige Ziffern fällt daher flach.
Wir hoffen daher, mit den o.g. Schritten einen guten Mittelweg gefunden zu haben. Wer in Zukunft keine Logfiles braucht, bekommt sie gar nicht erstellt. Umgekehrt ist vielmehr eine bewusste Aktivierung möglich, bei der – ebenso wie bereits in der Tarif-Infomail auf die Rechtslage hingewiesen wird.
[Insgesamt ist das leider eines der Themen, bei denen man als Provider im Spannungsfeld zwischen den datenschutzrechtlichen Einschätzungen einerseits und den Kundenanforderungen bzw. der Marktsituation andererseits leicht zerrieben wird. Einfach weil es schwierig ist, bei gleichzeitig umstrittener Rechtslage den perfekten Mittelweg zu finden. Würden IP-Adressen hingegen z.B. grundsätzlich und eindeutig nicht erhoben werden dürfe, wäre das für uns und alle Mitbewerber klar umsetzbar, ohne sich der Kritik von Kunden ("andere können und machen das doch auch") aussetzen zu müssen.]
Vielleicht bei dieser Gelegenheit eine Frage an Leser: Wie ist die Nutzung von Serverlogfiles und die Kenntnis der Sachlage? Werden Logfiles benötigt und genutzt? Wie ist der Umgang hinsichtlich IP-Adressen? … – es wäre sicher interessant, hierzu einige Stimmen aus der Alltagspraxis zu hören. 
In unserem Rechenzentrum und den Büroserverräumen nutzen wir verschiedene Sensoren zur Messung von z.T. Temperatur, Luftfeuchtigkeit und eventuellen Wasseraustritt. Diese sind über das Netzwerk angeschlossen und somit adressierbar. Bei den Geräten lassen sich diverse Systemdetails konfigurieren, also z.B. wo das Gerät steht, wie es heißt und welche E-Mail Adresse dafür “verantwortlich” ist .
Die E-Mail Adressen die wir dafür verwenden sind durchgehend intern, wir geben die euch keinen externen Personen/Firmen, bekannt sind diese also nur einigen Mitarbeitern von uns. Umso überraschender war es als wir kürzlich eine Werbe-E-Mail des Herstellers erhalten waren, welche genau an unsere interne Adresse gesendet worden ist.
Daraufhin haben wir überlegt, woher der Hersteller diese Adresse kennen könnte. Wir sind aber auch danach noch 100% sicher, dass wir diese weder dem Lieferant noch dem Hersteller gegeben haben. Wenn wir mit diesen kommunizieren, dann über unsere persönlichen Adressen. Somit bleibt eigentlich nur die Möglichkeit, dass die Geräte die Daten selbst an den Hersteller übertragen haben.
Von den fünf Geräten, die wir haben, hatten bis vor Kurzem noch zwei die Möglichkeit auch nach extern zu kommunizieren (also außerhalb unseres internen Netzes). Bei den anderen Geräten, die nicht nach außen kommunizieren können, sieht man im Logfiles Fehlermeldungen die einen weiteren Indiz für den unberechtigten Datentransfer darstellen: Die Geräte versuchen das Gateway des internen IP Netzes zu kontaktieren, was nur dann notwendig ist, wenn es externe Adressen erreichen möchte. Normalerweise hat das Sensorgerät aber gar keinen Grund das zu tun (wir fragen es nur ab, es meldet nicht selbst aktiv Messwerte irgendwohin). Diese Verbindungsversuche passieren alle 30-60 min.
Es ist fraglich was die Geräte noch so alles mit an den Hersteller übertragen (Sensorwerte, Zugangsdaten des Gerätes?), wir haben uns das bisher nicht genauer angeschaut (dafür müssten wir Netzwerkverkehr der Geräte mitschneiden). Als erste Maßnahme haben wir aber für alle der Geräte jegliche externe Kommunikation unterbunden. Den Hersteller und Lieferant haben wir auf die Thematik angesprochen, bisher aber noch keine Antwort erhalten. (mk)
Der Focus berichtet unter der Überschrift “Datenschutz: Vorsicht, Chef hört mit” von “verwanzten Büros, überwachten Toiletten und Spitzeln in der Teeküche” und stellt die Rechtslage aus verschiedenen Bereichen dar. Eine interssante Gelegenheit, um die hypothetische Frage “wie ist denn das bei dF?” zu beantworten.
Thema 1: Er-Googeln von Mitarbeitern
Wer als zuständiger Vorgesetzter, Selbstständiger oder Unternehmer behauptet, niemals und unter keinen Umständen einen Bewerber “ergoogeln” zu würden, ist entweder unehrlich oder kennt Suchmaschinen nicht. Denn auch wenn das zumindest bei uns alles Andere als die Regel ist, kann eine solche Recherche zur Prüfung zweifelhafter Angaben für den Personalverantwortlichen hilfreich sein. Nur: Das muss im Einzelfall gerechtfertig und erforderlich sein. Auch darf es unter keinen Umständen zu einer Speicherung oder sonstigen Erfassung von solchen Recherche-Erkenntnissen kommen. Es geht nur um eine persönliche Kenntnisnahme des Personalverantwortlichen im besonderen Einzelfall. Wer willkürlich für jeden Bewerber oder gar Mitarbeiter Internetsuchen vornimmt und dann solche Dinge wohlmöglich noch in die Personalakte einfließen lässt, handelt in der Regel rechtswidrig und fördert nicht gerade die vertrauensvolle Zusammenarbeit mit den Angestellten. Mal ganz abgesehen vom moralischen Standpunkt (der leider immer seltener eine Rolle zu spielen scheint). [Edit: Gerald weist zu Recht darauf hin, dass Inhalte im Internet bewusst vom Betreffenden oder einem Dritten gefälscht sein können, um das Bild positiv oder negativ zu beeinflussen. Es ist also grundsätzlich ein sehr vorsichtige Gewichtung angebracht.]
Ob sich natürlich z.B. Kollegen gegenseitig ergoogeln usw. entzieht sich sowohl der betrieblichen Kenntnis als auch Einflussnahme.
Thema 2: Bluttests
Es mag in sensiblen, gesundheitlich kritischen Bereichen sinnvoll sein, eine solche Untersuchung vornehmen zu lassen. Bei anderen Tätigkeiten (z.B. im Büro) hat so etwas jedoch nichts zu suchen und spiegelt eine zweifelhafte Einstellung gegenüber den Bewerbern wieder. Bei uns war und ist das kein Thema. Und wird es auch nicht werden.
Thema 3: Kann der Chef meine E-Mails lesen?
Allgemein: Können wird er es in vielen Fällen irgendwie sicherlich schon, dürfen tut er es häufig jedoch nicht. Hier hängt es u.a. davon ab, ob z.B. die private Nutzung erlaubt oder ausdrücklich untersagt ist. Wir selbst greifen nicht auf Mailpostfächer von Mitarbeiter zu und würden dies auch nur im Notfall (Gefahrenabwehr, Betrugs-/Spionagefall, etc.) im Rahmen der rechtlichen Möglichkeiten und nach einer Einzelfallabwägung tun. Dass wir es technisch könnten, ist hingegen sicherlich keine Überraschung.
Übrigens: Ein Leseverbot gilt auch für Administratoren, die laut einem kürzlich veröffentlichten Gerichtsurteil bei Zugriff auf private E-Mails sogar fristlos und ohne Abmahnung entlassen werden können. Berücksichtigt man den enormen Vertrauensbruch und den persönlichen Inhalt solcher Nachrichten, dann erscheint das Urteil nachvollziehbar. Denn wer ganz erhebliche (z.B. technische) Rechte hat, muss diese auch mit ganz erheblicher und besonderer Sorgfalt nutzen.
Thema 4: Wer darf meine Telefongespräche belauschen?
Bei z.B. Schulungen oder zur Qualitätssicherung kann bei uns im Einzelfall ein Kollege oder Vorgesetzter bei einem Telefonat anwesend sein. Ohne Zustimmung des Gesprächspartners “lauschen” wir bei dem Gespräch nicht mit, sondern versucht nur, nach dem Telefonat Ansätze für Verbesserungen in der Gesprächsführung zu finden. Bei neuen MitarbeiterInnen fragen wir zudem auch Anrufer, ob ein Vorgesetzter direkt in der Leitung mithören darf, um eingreifen bzw. eben Schulungen vornehmen zu können. Eine sonstige Überwachung von Telefonaten erfolgt hingegen nicht und bei privaten Gesprächen im üblichen, geringen Umfang während der Pausen drücken wir gerne beide Augen (und Ohren) zu. Für die Zukunft könnte eine Aufzeichnung eingehender Supportanrufe in Frage kommen, da sowohl von Mitarbeiter- als auch Kundenseite solch eine Aufnahme in Streitfällen schon mehrfach als wünschenswert genannt worden ist. Hierzu ist jedoch in Folge der komplexen, rechtlichen Situation noch keine abschließende Entscheidung getroffen worden. Immerhin muss auch die technische Umsetzung allen juristischen und Datenschutz-Aspekten vollständig entsprechen.
Thema 5: Wo dürfen Kameras installiert werden?
In unseren Büroräumen setzen wir keine Kameras zur Überwachung von MitarbeiterInnen ein. Dies käme nur in Betracht, wenn z.B. nach Diebstählen eine temporäre, verdeckte Aufzeichnung erforderlich wäre und kein milderes Mittel zur Wahl stünde. Im Rechenzentrum gibt es natürlich entsprechende Schutzmaßnahmen im Gelände und Gebäude, die dem grundsätzlichen Betriebsschutz dienen. Dies gilt auch für das Gebäude, in dem sich die von uns gemieteten Büroflächen befinden.
Thema 6: Dürfen Unternehmen auch Familien von Mitarbeitern bespitzeln?
Eine ziemlich absurde Vorstellung. Klar, irgend ein spezielles Szenario könnte man sich vielleicht vorstellen (“Einkäufer kauft bei einer Firma ein, die man routinemäßig bei einem Wirtschafts-Auskunftsdienst überprüft und als deren GF dabei ein offensichtlicher Angehöriger des Einkäufers auftaucht”). Neben der Feststellung “oh, das sieht nach einem Interessenkonflikt aus, darum müssen wir uns kümmern” gibt es selbst dann aber ja keine Gründe für eine Bespitzelung. Sofern sich Anzeichen für eine Straftat ergeben, ist bei nicht möglicher direkten Aufklärbarkeit des Sachverhaltes die Staatsanwaltschaft für die Ermittlung zuständig. Und nicht irgend eine selbsternannte Schnüffelnase.
Thema 7: Wann darf mein Chef mich zum Amtsarzt schicken?
Eine so verfahrene Situation, dass man darüber auch nur nachdenken müsste, hatten wir hier zum Glück noch nicht. In Frage käme das sicherlich nur wenn die Gesundheit anderer Kollegen gefärdet wäre oder sich der Eindruck einer “Blaumacherei” geradezu aufdrängt und sich auch keinerlei andere Lösung mehr anbietet. Insgesamt schwer vorstellbar.
Thema 8: Wann muss das Unternehmen meine Daten löschen?
Was die Aufbewahrung von Unterlagen angeht, gelten die rechtlichen Aufbewahrungsfristen. Ansonsten haben wir keine elektronischen Daten über Mitarbeiter. Nicht mehr relevante Unterlagen werden zudem regelmäßig vernichtet (Zug um Zug mit Archivierung der Unterlagen aus dem Personalordner in einem Sammelarchivordner).
Wie man also sieht, geht es bezüglich solcher Dinge bei uns sehr unspektakulär zu. Eben so, wie es der gesunde Menschenverstand und ein gutes Miteinander eben auch erfordern. Das sollte selbstverständlich sein und ist es sicherlich/hoffentlich in der Regel – trotz aller schlimmer Einzelfälle – immer noch.
Nachtrag: Interessant sind auch die Leserkommentare bei Focus Online dazu, die man teilweise doch mit Verwunderung zur Kenntnis nehmen muss.
Kommentare deaktiviert
Werbegeschenk mit Überraschung
Update: Hat sich erledigt, das war wohl Absicht (ein Mitarbeiter war zu dieser Veranstaltung eingeladen und hat dann, obwohl er nicht teilgenommen hat, den USB-Stick mit Fotos erhalten, was dann aber intern in Vergessenheit geraten ist bzw. nicht bekannt war).
Von einem Lieferanten haben wir ein Werbegeschenk erhalten: Einen USB-Stick im Scheckkartenformat. So weit, so unspektakulär. Würde der integrierte Speicher nicht eine sensible Überraschung bergen.
Denn der USB-Stick ist keinesfalls unbenutzt, sondern scheint bereits für interne Zwecke verwendet worden zu sein. Jedenfalls finden sich 246 Fotos und 15 Videos mit einer Datenmenge von insgesamt mehr als 860 MB auf dem Datenträger, welche offensichtlich einen munteren Betriebsausflug zeigen.
Sicherlich sind das keine großartigen Geheimnisse, auch wenn sich die gezeigten Mitarbeiter sicher vielleicht weniger über die Verbreitung der von ihnen gemachten Bilder freuen dürften (zumal ja auch jemand Anderes den USB-Stick hätte erhalten und die Fotos veröffentlichen können usw.). Der Fall zeigt jedoch, wie schnell Daten in falsche Hände geraten können. An Stelle der Fotos könnten sich auch interne Unterlagen, Dokumente, usw. befinden.
Natürlich geben wir den – intern bereits verlosten – USB-Stick zurück, z.B. falls das die einzige Kopie der Daten sein sollte. Solche Fotos haben ja auch immer einen hohen emotionalen Wert.
Die neueste Version des Opera-Browsers verfügt über eine “Turbo-Funktion”. Damit soll sich der Seitenabruf auch bei langsamen Verbindungen deutlich beschleunigen lassen. Realisiert wird dies durch Nutzung eines Proxy-Servers, über den alle Webseitenaufrufe umgeleitet und z.B. Grafiken komprimiert werden. In der Praxis mag dies zwar mit Geschwindigkeitsvorteilen verbunden sein. Aus datenschutzrechtlicher Sicht ist dies jedoch zumindest bei betrieblicher Nutzung bedenklich. Werden doch auch u.U. sensible Daten darüber an Dritte (nämlich den Proxybetreiber) übermittelt. Der Einsatz der neuen “Turbo”-Funktion auf Firmenrechnern bzw. bei externem Zugriff auf unser Intranet via VPN ist daher bei uns nicht freigegeben. Dies gilt auch für die Nutzung von Google Chrome, da dort ebenfalls datenschutzrechtliche Bedenken bestehen.
