Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

19.12.2003 - 

False-Positive-Rate ist entscheidend

Juristische Stolperfallen bei der Spam-Abwehr

Der Einsatz von Anti-Spam-Lösungen hat juristische Aspekte, die Firmen bei der Auswahl und Einführung eines Produkts unbedingt beachten sollten. Mit dem auf IT-Recht spezialisierten Rechtsanwalt Horst Speichert von e/s/b Rechtsanwälte in Stuttgart sprach Jan Schulze*.

CW: Gibt es in Bezug auf Spam rechtliche Verpflichtungen für die Anwender?

SPEICHERT: Zwar existiert keine explizite Pflicht, Spam-Filter einzusetzen, aber ein Unternehmen muss selbstverständlich für die Einhaltung der Gesetze sorgen. Nehmen wir zum Beispiel an, Sie führen einen Betrieb, der auch ausbildet. Dann haben Sie mit ziemlicher Sicherheit minderjährige Mitarbeiter. Hier sind Sie dafür verantwortlich, dass der Jugendschutz eingehalten wird. Das betrifft auch die Internet-Nutzung der Auszubildenden und deren E-Mail. Juristisch fällt das in den Bereich der Organisationspflichten, die ein ganzes Bündel von Maßnahmen enthalten. Dazu gehört zum Beispiel das Verteilen von Zuständigkeiten, die Mitarbeiterschulung und gegebenenfalls eben auch das Einführen geeigneter Techniken wie Anti-Spam-Filter.

Denn auch per Massen-Mails werden zunehmend als illegal einzustufende Inhalte transportiert. Ein Unternehmen wird also in Zukunft kaum auf eine Filterlösung verzichten können, wenn Spam weiterhin so stark wächst und die Inhalte zunehmend kritisch werden. Zudem darf man den wirtschaftlichen Aspekt nicht vergessen: Spam kostet die Mitarbeiter Zeit und damit Geld. Es ist also auf jeden Fall im Interesse des Unternehmens, möglichst wenig Werbe-Mails in den Postfächern zu haben.

CW: Also ist es am besten, den Mail-Verkehr streng zu überwachen und verdächtige Mails im Zweifelsfall herauszufischen?

SPEICHERT: Das wäre genau der falsche Weg! Grundsätzlich ist der Einsatz eines Filters sehr zu empfehlen. Dabei spielt jedoch aus juristischer Sicht die False-Positive-Rate, also der Anteil von fälschlicherweise als Spam eingestuften Mails, eine entscheidende Rolle. Hier kommen zwei Dinge zusammen. Zum einen müssen kaufmännische Fragen bedacht werden. Denn eine E-Mail ist nicht anders zu sehen als zum Beispiel ein Fax. Nehmen wir zum Beispiel ein kaufmännisches Bestätigungsschreiben: Wenn Sie einen Vertrag per Handschlag schließen, wird Ihnen Ihr Geschäftspartner wahrscheinlich eine Bestätigung der Abmachungen per E-Mail schicken.

Antworten Sie nicht auf dieses Schreiben, gilt die Abmachung von Ihrer Seite als angenommen, und es ist ein rechtskräftiger Vertrag zustande gekommen. Endet nun eine solche Mail im Junk-Mail-Ordner auf dem Server und bleibt deswegen unbeachtet, kann ein Unternehmen große Schäden erleiden oder Aufträge versäumen. Denn eine Mail gilt als rechtswirksam zugegangen, sobald sie auf dem Posteingangs-Server landet. Der Absender trägt immer das Transportrisiko, während das Organisationsrisiko allein beim Empfänger liegt.

CW: Also muss der Spam-Ordner am Mail-Server von einem Administrator manuell immer wieder überprüft werden?

SPEICHERT: Das wirft das nächste Problem auf: E-Mail ist ein normaler Kommunikationsweg wie die Briefpost oder das Telefon. Sie unterliegt damit Telekommunikationsgesetzen wie dem Fernmelderecht oder dem Briefgeheimnis. Das Filtern ist immer eine Manipulation der Kommunikationswege. Es gilt dabei zu verhindern, dass in die persönliche Kommunikation der Mitarbeiter eingegriffen wird. Das ist jedoch der Fall, wenn etwa ein Systemverwalter beim Prüfen des Spam-Ordners am Mail-Server eine private E-Mail öffnet. Hierbei werden die Persönlichkeitsrechte des Empfängers verletzt.

Das gilt übrigens auch, wenn beim manuellen Sortieren von fälschlicherweise als Spam klassifizierter Mail eine private Nachricht nicht an den Empfänger weitergeleitet, sondern unterdrückt wird. Deswegen ist dringend anzuraten, dass im Unternehmen Betriebsvereinbarungen getroffen werden, die die private E-Mail-Nutzung und den Umgang mit Spam regeln.

CW: Heißt das, ein Anti-Spam-System darf überhaupt keine Fehler machen?

SPEICHERT: Hier gilt wie bei allen technischen Lösungen, dass die Fehlervermeidung im Rahmen des technisch Machbaren erfolgen muss. Zudem gibt es den Grundsatz der Verhältnismäßigkeit, nach dem einem Unternehmen nur ein Aufwand zugemutet werden kann, der auch in einer vernünftigen Relation zur dortigen Situation steht. Moderne Anti-Spam-Lösungen haben meist niedrige False-Positive-Rates. So liegt diese beim Hersteller Brightmail etwa bei einer fälschlicherweise als Spam aussortierten Mail unter einer Million Nachrichten. Mehr ist heute kaum möglich, und kein Mensch kann das Unmögliche verlangen.

CW: Zu welcher Anti-Spam-Strategie würden Sie aus juristischer Sicht einem Unternehmen raten?

SPEICHERT: Auf jeden Fall sollten Anwender sich mit dem Thema befassen - sowohl aus wirtschaftlichen als auch aus rechtlichen Gründen. Am Einsatz einer geeigneten Anti-Spam-Lösung führt meiner Meinung nach mittelfristig kein Weg vorbei - schon allein, weil durch Spam hohe Kosten entstehen. Entscheidet sich ein Unternehmen für die Einführung eines Filters, sollte bei der Produktauswahl die False-Positive-Rate eine zentrale Rolle spielen. (ave)

*Jan Schulze ist freier Autor in Erding.