Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

31.03.1995

Messaging-Systeme/Betreiber muss gefahrenspezifische Sicherheitsmassnahmen ergreifen E-Mail und Verbindungsdaten unterliegen der Geheimhaltung

E-Mail wird in modernen Unternehmens- und Management-Strukturen allmaehlich zur Selbstverstaendlichkeit. Welche Risiken rechtlicher Art indes Betreiber und Mitwirkende im internen oder externen E- Mail-Verbund eingehen, darueber besteht weitgehend noch Unkenntnis. Der Muenchner Rechtsanwalt Frank Koch* gibt im folgenden Artikel seine Sicht der Rechtslage.

Elektronische Post wird zunehmend fuer komplexere Aufgaben eingesetzt. Unternehmensintern lassen sich mittlerweile durch entsprechende Kommunikationssoftware differenzierte Informationssysteme unterstuetzen, die etwa regelmaessig Berichtsabfragen und Sachbearbeitungssteuerungen (Workflow) gestatten. Externe Kontakte sind ueber Netze wie das Internet weltweit moeglich, ebenso Zugriffe auf Datenbanken oder die Einbindung in reaktionsschnelle Warnsysteme wie CERT (Computer Emergency Response Team). Je wichtiger die E-Mail wird, desto dringender muessten sich alle Anwender mit dem Umstand befassen, dass auch sie dem Postgeheimnis unterliegt, also niemand ausser dem jeweiligen Empfaenger die einzelne Mail lesen darf. Selbst die jeweiligen Verbindungsdaten unterliegen diesem Geheimnisschutz. Ausnahmen gelten allerdings fuer unternehmensinterne E-Mail und "Nachrichtenbretter".

PC mit Modem ist eine Fernmeldeanlage

Nicht nur Briefe, sondern jede, auch elektronisch vermittelte Kommunikation zwischen einem einzelnen Absender und Empfaenger wird vom Post- und Fernmeldegeheimnis geschuetzt (siehe Paragraph 14 Fernmeldeanlagengesetz und Paragraph 354 Strafgesetzbuch). Auch die privatisierte Telekom unterliegt diesem Post- und Fernmeldegeheimnis, ebenso jeder private Betreiber von einzelnen Mailboxen bis hin zu vollstaendigen Kommunikationsnetzen. Paragraph 354 StGB verpflichtet in seinen Absaetzen 1 und 3 nicht nur Post- beziehungsweise nunmehr Telekom-Bedienstete, sondern auch alle anderen Personen, die aufgrund ihrer Taetigkeit ebenfalls Fernmeldeanlagen betreiben, damit also zum Beispiel Mailbox- Inhaber, aber auch Unternehmen, die betriebsinterne Kommunikationsnetze an das oeffentliche Telefonnetz anschliessen. Eine Fernmeldeanlage ist naemlich bereits ein PC, der ueber Modem an das Telefonnetz angeschlossen ist.1

Alle Uebermittlungsformen werden vom Post-und Fernmeldegeheimnis erfasst, also nicht nur Telefon und Fernschreiben, sondern auch Telefax, Teletex, Datex-J/Btx, Datex-P und -L, Funkrufdienst und andere Formen neuer Uebertragungsdienste.2

Auch die auf dem Host-Rechner eines Access-Providers auf das kundenseitige Downloading wartende E-Mail ist geschuetzt. Das Postgeheimnis schuetzt (anders als das Briefgeheimnis in Paragraph 202 StGB ) nicht nur verschlossene Briefe, sondern jede Art der nicht an die Oeffentlichkeit gerichteten Nachricht an einen Empfaenger, damit die nichtoeffentliche Kommunikation. Eine solche Nachricht muss nicht besonders gegen Kenntnisnahme durch Unbefugte (etwa durch Umschlaege, Verschluesselung oder auch Komprimierung) geschuetzt sein. Jede Mail ist als solche bereits vom Geheimnisschutz umfasst, unabhaengig davon, ob ihr Inhalt trivial oder hochsensibel ist.

Der Schutz erfasst auch alle uebermittlungsbezogenen Daten, insbesondere Daten dazu, ob und welche Personen E-Mails ausgetauscht haben (sogenannte Verbindungsdaten), also bei Telekom wie privaten Betreibern alle Daten ueber Absender und Empfaenger von E-Mails, ebenso Daten ueber die Vermittlungswege im Internet (Routing Tables), soweit Angaben zu diesen eine Rekonstruktion der Verbindungswege zurueck zum Absender ermoeglichen. Nicht nur Nachrichten in Schriftform werden geschuetzt, sondern auch die muendliche Kommunikation, wie sie ueber das Telefonnetz und bei Datenleitungen ausserdem ueber moderne Conferencing-Systeme moeglich sind (zum Beispiel "Proshare" von der Telekom oder die ersten Fernsehuebertragungen ueber Internet durch die Gesellschaft fuer Mathematik und Datenverarbeitung (GMD) in Sankt Augustin bei Bonn.3

Firmeninterne elektronische Kommunikation sowie oeffentliche Nachrichtenbretter werden nicht vom Postgeheimnis erfasst.

Rein im Firmenbereich verbleibende E-Mails fallen nicht unter das Post- und Fernmeldegeheimnis. Das gilt auch fuer elektronische Kommunikation in firmeneigenen, bundesweiten Kommunikationsnetzen und Corporate Networks. Entscheidend ist naemlich nicht die Groesse des Netzes oder der Inhalt der E-Mails, sondern allein, ob ein Unternehmen Netze einsetzt, die nicht zur allgemeinen Nutzung bereitgehalten werden, also nichtoeffentlich bleiben, da das Post- und Fernmeldegeheimnis nur die oeffentliche Kommunikation schuetzt, die freilich auch von privaten Anbietern wie Mailbox-Betreibern unterstuetzt werden kann.4

Dies bedeutet: Liest Mitarbeiter C eine E-Mail, die Mitarbeiter A an Mitarbeiter B adressiert, verletzt C nicht das Postgeheimnis, sofern innerbetriebliche Kommunikationsnetze wie etwa ein LAN verwendet werden. C darf die E-Mail aber nicht lesen, wenn A die Mail zum Beispiel ueber Compuserve oder Telnet an B schickt, da A hier ein oeffentlich zugaengliches und damit vom Post- und Fernmeldegeheimnis geschuetztes Netz verwendet. Fuer nicht oeffentlich zugaengliche Netze besteht jedenfalls im Verhaeltnis der Mitarbeiter zueinander grundsaetzlich auch kein besonderes Schutzbeduerfnis, da die Kommunikation ohnehin einheitlich unternehmensbezogenen Zwecken zu dienen hat.

Mitarbeiter duerfen innerbetriebliche Kommunikationsnetze also - schon aus ihren arbeitsvertraglichen Verpflichtungen heraus - nicht fuer sonstige, zum Beispiel private Zwecke nutzen und insoweit Schutz gegenueber anderen Mitarbeitern oder dem Arbeitgeber beanspruchen. Sobald aber die Mail den Bereich des firmeninternen Kommunikationssystems ueberschreitet, wird sie mit Eintritt in das oeffentliche Netz geschuetzt. Eine Verschluesselung der jeweiligen Mail ist fuer das Entstehen des Schutzes nicht notwendig. Umgekehrt greift das Post- und Fernmeldegeheimnis auch fuer verschluesselte E-Mail ein, die zwar im oeffentlichen Netz befoerdert wird, aber durch die Verschluesselung dem Zugriff Dritter entzogen ist. Entscheidend ist in beiden Faellen nicht, ob die E- Mail als solche durch technische Massnahmen geschuetzt wird, sondern allein die Benutzung eines oeffentlich zugaenglichen Systems.

Interne E-Mail nicht vom Postgeheimnis geschuetzt

Eine andere Frage ist allerdings, ob Inhalte firmeninterner E- Mails Dritten ausserhalb des Unternehmens mitgeteilt werden duerfen. Rein begrifflich kann diese Weitergabe das Postgeheimnis nicht verletzen, da die Kenntnis dieser Inhalte nicht aus einer oeffentlichen, geschuetzten Befoerderung stammt. Im Einzelfall ist aber ergaenzend zu pruefen, ob in dieser Mitteilung eine unberechtigte Uebermittlung personenbezogener Daten oder die Offenlegung geschuetzten betrieblichen Know-hows zu sehen ist. Innerbetriebliche E-Mail ist damit ein Beispiel fuer Post, die nicht vom Post- und Fernmeldegeheimnis geschuetzt wird, da sie nichtoeffentlich bleibt. Umgekehrt gibt es aber auch Nachrichten und Mitteilungen in oeffentlichen Netzen, die dennoch nicht unter das Post- und Fernmeldegeheimnis fallen, naemlich alle Beitraege fuer "Nachrichtenbretter" wie Bulletin Board Systems, Foren etc. (zum Beispiel Gernet, Usenet). Diese Nachrichten sind bestimmungsgemaess bereits als solche nicht an einzelne Empfaenger, sondern an einen groesseren, vielfach sogar unbestimmten Empfaengerkreis gerichtet, damit also nicht schutzbeduerftig. Gleiches gilt fuer Mailing Lists, sofern die Nachrichten ueber diese wie ueber ein Nachrichtenbrett verteilt werden. Hier muss aber im Einzelfall genau geprueft werden, ob eine derartige Mailing List oeffentlich zugaenglich ist, sich also jeder bei ihr anmelden kann. Nur dann kann das Post- und Fernmeldegeheimnis eingreifen.

Betriebliche Pruef- und Sicherungspflichten

Die Unternehmensleitung muss sehr genau pruefen, welche Verbindungen zwischen firmeninternen Kommunikationsnetzen und dem oeffentlichen Fernmeldeverkehr bestehen. Jede E-Mail, auf die ueber Telekom- Netze, also oeffentliche Datenleitungen zugegriffen werden kann, unterliegt dem Post- und Fernmeldegeheimnis. Mit dem Anschluss an das oeffentliche Netz wird das firmeninterne Kommunikationssystem ausserdem zur Fernmeldeanlage, deren Betrieb anzeigepflichtig ist und das Unternehmen zum "Betreiber" mit entsprechender Haftung macht.

Der Einsatz moderner multifunktionaler Kommunikationssysteme etwa mit ISDN-Anschluss und Internet-Account bedarf deshalb genauer Pruefung im Einzelfall, welchen Weg die Mails nehmen und inwieweit ueber das Netz auf Mails im Unternehmen zugegriffen werden kann. Hier sind insbesondere die jeweiligen Schnittstellen zu Aussendienstmitarbeitern oder Telearbeitsplaetzen zu pruefen.

Werden diese Abgrenzungen nicht ausreichend beachtet und durch Funktionserweiterungen im Kommunikationssystem E-Mails ploetzlich ueber oeffentliche Netze zugaenglich, greift das Post- und Fernmeldegeheimnis ein und darf die Unternehmensleitung die eigene E-Mail nicht mehr lesen, sondern nur vom Empfaenger gemaess dem Arbeitsvertrag Auskunft ueber den Inhalt der E-Mail verlangen.

Beispielsweise oeffnet jeder Mitarbeiter, der ueber einen Host- Rechner des Unternehmens eine eigene "Home Page" fuer das Internet erstellt und nutzt, damit auch das unternehmensinterne Netz fuer das oeffentliche, so dass die Nachrichten auf dem Host-Rechner ploetzlich vom Post- und Fernmeldegeheimnis geschuetzt sind. Zudem kann ein solcher Mitarbeiter zur boesen Ueberraschung der Geschaeftsleitung weltweit mit wenigen Anstrengungen eine muehselig erarbeitete Corporate Identity nachhaltig schaedigen.

Soweit ein Unternehmen Host-Rechner in oeffentliche Netze einfuegt, ist es wie jeder sonstige Betreiber verpflichtet, seine Teilnehmer, andere Betreiber im Netz und sonstige Dritte vor Gefahren aus dem System zu schuetzen. Zunaechst hat hierzu der Betreiber laufend sein eigenes System automatisiert zu ueberwachen, um Fremdzugriffe moeglichst schnell festzustellen.

Eine solche Eigenueberwachung durch technische Kontrollen ist auch insoweit zulaessig, als Daten unberechtigter Dritter wie solche der Vertragspartner oder Kunden aufgezeichnet werden. Jeder Nutzer muss damit rechnen, dass die von ihm an fremden Rechnern vorgenommenen Handlungen technisch aufgezeichnet werden, von der Passworteingabe bis hin zur Protokollierung.5

Ein solcher Eingriff in die Persoenlichkeitssphaere des Nutzers ist zulaessig, da sich der Betreiber selbst aus dem unmittelbaren Schutzbereich seiner Privatsphaere herausbegibt. Umstritten ist allerdings, ob die Zugriffe Unberechtigter bis auf den Fremdrechner zurueckverfolgt werden koennen, von dem sie ihren Ausgang genommen haben. Soweit am Fremdrechner keine Datenveraenderungen vorgenommen werden, sondern nur die Rechneradresse als solche festgestellt wird, duerfte eine solche Rueckverfolgung grundsaetzlich als zulaessig anzusehen sein, da sie zur Feststellung dient, wer der Verursacher rechtswidriger Eingriffe in das System ist. Dies muss dann freilich auch fuer die Feststellung der Adressen aller zwischengeschalteten, weiterleitenden Rechner - also der Routing Tables - gelten.6

Firewalls gehoeren zum Stand der Technik

Weiter muss der Betreiber eine Reihe von gefahrenspezifischen Sicherheitsmassnahmen treffen. Er muss insbesondere alle technisch moeglichen und wirtschaftlich vertretbaren Massnahmen zur Sicherung von Kunden, Mitarbeitern sowie eventuell gefaehrdeten Dritten durchfuehren.

Bei kommerziell betriebenen Mailboxen mit sensiblen Datenbestaenden und betrieblichen Netzzugaengen kann die Absicherung durch sogenannte "Firewalls" zum geschuldeten Stand der Technik gehoeren, dessen Verletzung eine Schadensersatzpflicht des Betreibers begruendet.

Der Betreiber muss sein System ausserdem regelmaessig einem Virencheck unterziehen. Auch muss er das System regelmaessig auf unautorisierte Eintragungen hin untersuchen, ferner pruefen, ob auf die von ihm auf den Host-Rechner geladene Software Urheberrechte Dritter bestehen, die den Erwerb entsprechender Nutzungsrechte erforderlich machen.

Alle Mitarbeiter sind ausserdem zur Verschwiegenheit ueber alle ihnen zur Kenntnis gelangenden Informationen ueber Kunden, Vertragspartner etc. zu verpflichten.

Literatur:

1 Huelsmann, Datenschutz und Datensicherung 1994, S. 621

2 Schoenke/Schroeder/Lenckner Strafgesetzbuch n 354 Randnr.6

3 Siehe grundsaetzlich zu diesen und weiteren Rechtsfragen der elektronischen Kommunikation erstmals ausfuehrlich den Beitrag des Verfassers in Computer-Vertragsrecht, Heft 2/1995, Teil 10/ Seite 100-102

4 Lenckner a.a.o. 354 Randnr. 32

5 So insbesondere Baer, Computer und Recht 1993,S. 634, 639

6 So der Verfasser, a.a.o. Randnr. 102 k

* Dr. Frank Koch ist Rechtsanwalt in Muenchen