Rechtliche Implikationen beim Einsatz von IT-Monitoring-Systemen in Unternehmen

14.10.2013

Rechtliche Implikationen beim Einsatz von IT-Monitoring-Systemen in Unternehmen

  • Neue Analyse von KPMG in Zusammenarbeit mit RSA gibt Hinweise zur Anwendung von Security-Monitoring-Systemen in Unternehmensnetzwerken
  • Unternehmen in Deutschland, die ein Monitoring-Verfahren einsetzen, unterliegen strengen Datenschutz- und Privatsphäre-Richtlinien
  • Das White Paper stellt einen rechtlichen Rahmen für drei mögliche Einsatzszenarien von RSA Security Analytics vor

 

SCHWALBACH. RSA, die Sicherheitssparte von EMC, hat in Zusammenarbeit mit der Wirtschaftsprüfungs- und Beratungsgesellschaft KPMG und der KPMG Rechtsanwaltsgesellschaft ein Whitepaper zu „RSA Security Analytics“ vorgelegt. Es enthält allgemeine Hinweise an Unternehmen, wie sie in Compliance mit deutschem Recht ihre Datensicherheit auf dem neuesten Stand der Technologie halten können. Die Anforderungen an die Informationssicherheit verschärfen sich durch rasant ansteigende Vernetzung, neue Technologien und zunehmende Bedrohungen. Reguläre perimeterbasierte Schutzmaßnahmen wie Firewalls sowie Anti-Viren-Programme reichen für eine effektive Identifikation und Abwehr von sogenannten „Advanced Threats“ nicht mehr aus. Somit bietet RSA Security Analytics hierfür ein Monitoring-System für diverse Kommunikationskanäle.

 

In der Praxis ist die gesetzeskonforme Anwendung des Systems für Sicherheitsbeauftragte eines Unternehmens jedoch oft kompliziert. Das liegt daran, dass sich in Deutschland Arbeitgeber, die auf Sicherheitslösungen setzen, u.a. an strenge Datenschutzgesetze wie das Bundesdatenschutzgesetz (BDSG) und das Telekommunikationsgesetz (TKG) halten müssen und bei Verstößen gegebenenfalls dem Strafgesetzbuch (StGB) unterliegen.

 

Um Unternehmen deutlich zu machen, wie sie ihre Datensicherheit auf dem neuesten Technologiestand bringen und dabei gleichzeitig die entsprechenden rechtlichen Vorgaben und Richtlinien in vollem Umfang einhalten können, werden im Report drei Szenarien zur Verwendung von RSA Security Analytics geschildert:

 

  1. Der private Gebrauch der Kommunikationssysteme des Unternehmens im betreffenden Unternehmen ist erlaubt.

In dem Fall, dass Arbeitnehmer die Kommunikationssysteme für private Zwecke nutzen dürfen oder die Nutzung toleriert wird, unterliegt der Arbeitgeber dem Telekommunikationsgesetz. RSA Security Analytics speist gescannte Daten aus den Internet-Gateways direkt in den Arbeitsspeicher ein, um Anomalien nahezu in Echtzeit ausfindig zu machen. Erst im nächsten Schritt, bei der Speicherung auf Festplatte, wäre es aber technisch möglich, die Daten aufzuschlüsseln und personenbezogene Daten zu erheben. Hier kann RSA Security Analytics gewährleisten, dass eine Erhebung personenbezogener Daten ausgeschlossen wird und nicht stattfindet. Ohne personenbezogene Daten wird die weitere Verarbeitung zu Reports und Analysen nach den Maßgaben des TKG möglich, solange die Daten nur zur Ermittlung eines Missbrauchs der Systeme genutzt werden.

 

  1. Der private Gebrauch von Kommunikationssystemen des Unternehmens ist generell verboten.

Ist den Mitarbeitern die private Nutzung der IT untersagt, so unterliegt das Unternehmen mit Blick auf die Mitarbeiterkommunikation nicht dem Telekommunikationsgesetz. Dennoch gilt das Bundesdatenschutzgesetz, sobald personenbezogene Daten verarbeitet werden. Es ist dann Aufgabe von Sicherheitsbeauftragtem, Datenschutzbeauftragtem und Unternehmensleitung, gegen die Belange des Einzelnen abzuwägen, ob die personenbezogene Datenerfassung zur Sicherheit des Unternehmens zwingend erforderlich ist. In diesem Fall ist RSA Security Analytics grundsätzlich nutzbar.
 

  1. Der private Gebrauch der Kommunikationssysteme des Unternehmens ist verboten und überwachte Daten enthalten keine personenbezogenen Informationen.

Sofern keine personenbezogenen Daten in die Analyse involviert sind, unterliegen sämtliche Funktionen und Features von RSA Security Analytics weder den Maßgaben für den Schutz personenbezogener Daten nach dem Telekommunikations- noch dem Bundesdatenschutzgesetz.

 

 

Jörg Asma, Partner, Head of Technology & Business Services bei KPMG:

 

„Die rechtliche Situation in Deutschland ist oft für Sicherheits- und Datenschutzbeauftragte eines Unternehmens komplex und deren Analyse entsprechend zeitaufwändig. RSA Security Analytics verfügt aber über weitreichende Konfigurationsmöglichkeiten, um die Privatsphäre der Mitarbeiter gemäß deutschem Recht zu schützen.“

 

Roger Scheer, Regional Director RSA Germany:

 

„Im heutigen IT-Zeitalter dienen Monitoring-Systeme dazu, Cyber-Angriffe abzuwehren und somit Unternehmenswerte und Mitarbeiterinformationen vor Verlust zu schützen. Gleichzeitig hat aber der Schutz der Privatsphäre von Mitarbeitern oberste Priorität. Die Studie mit KPMG zeigt einen rechtlichen Rahmen auf, wie Organisationen gleichzeitig Netzwerksicherheit und Privatsphäre mit Tools wie RSA Security Analytics gewährleisten können.“

 

 

Zusätzliche Informationen:

 

  • Das Whitepaper RSA Security Analytics – The Legal Implications of Using Deep Security Monitoring in Germany & France zum Download
  • Weitere Informationen erhalten Sie auf unserer Webseite: www.RSA.com
  • Besuchen Sie unseren Blog
  • Informieren Sie sich über EMC auf Twitter, Facebook, YouTube und Xing

 

Weitere Informationen:

 

EMC                                                  Golin/Harris B&L GmbH

Deutschland GmbH                            Holger Wilke

Andreas vom Bruch                            Darina Gugleva

Public Relations Manager                   Verena Urmann

                                                        

Am Kronberger Hang 2a                     Seidlstraße 26

65824 Schwalbach/Taunus                  80335 München

Telefon (0 61 96) 47 28 - 769               Telefon (089) 38 01 79 65, -18

Telefax (0 61 96) 47 28 - 218               Telefax (089) 38 01 79 11

andreas.vombruch@emc.com            hwilke@golinharris.com

www.emc2.de                                    dgugleva@golinharris.com

                                                         vurmann@golinharris.com

 

 

 

Kurzprofil EMC:

 

Die EMC Corporation ermöglicht Unternehmen und Service Providern, ihre Geschäftsprozesse zu verändern und IT as a Service bereitzustellen. Cloud Computing ist ein entscheidender Faktor für diese Transformation. EMC erleichtert IT-Abteilungen mit innovativen Produkten und Dienstleistungen den Weg in die Cloud. Die Informationen als wichtigstes Gut lassen sich mit Lösungen von EMC flexibel, sicher und kosteneffizient speichern, verwalten, schützen und für die Analyse aufbereiten. Weitere Informationen über EMC finden sich unter: http://germany.emc.com

 

Kurzprofil RSA:

 

RSA, The Security Division of EMC, ist ein führender Anbieter von Sicherheits-, Risiko- und Compliance-Management-Lösungen. Für die Kunden von RSA ist die Lösung ihrer komplexen sicherheitsspezifischen Herausforderungen ein kritischer Faktor für den Unternehmenserfolg. Zu den Herausforderungen zählen das Management organisatorischer Risiken, die Absicherung des Zugriffs auf unternehmensinterne Ressourcen, der Nachweis der Einhaltung von Sicherheitsanforderungen sowie der Schutz von virtuellen Infrastrukturen und Cloud-Umgebungen.

 

Mit Identitätsprüfung, Kryptographie, Schlüsselmanagement, Security Information und Event Management (SIEM), Data Loss Prevention und Betrugsbekämpfung bis hin zu Enterprise Governance, Risk & Compliance (eGRC) sowie umfassenden Beratungsleistungen sorgt RSA für Transparenz und Vertrauen in digitale Identitäten, Transaktionen und Daten von Millionen von Anwendern. www.RSA.com

 

###

Disclaimer KPMG:

 

Wir weisen darauf hin, dass der nachfolgend eingestellte Bericht in Erfüllung einer vertraglichen Vereinbarung mit der EMC Deutschland GmbH und unter Konsultation der RSA Security LLC (im Folgenden „Mandant“) erstellt wurde.

 

Die Informationen, die in diesem Bericht enthalten und zugänglich sind, sind im Sinne einer allgemeinen Orientierung erteilt worden und zielen darauf ab, dem Leser allgemein gehaltene Informationen von Interesse mit Bezug zu den betreffenden Inhalten zu geben. Die erteilten Informationen sind weder geeignet noch zielen sie darauf ab, eine rechtliche, prüferische, gutachterliche, steuerliche oder sonstige professionelle Auskunft, Beratung oder Dienstleistung zu ersetzen oder als solche zu dienen. Durch Ihre Verwendung dieses Berichts kommt kein Beratungsverhältnis zwischen Ihnen als Mandant und KPMG Law als anwaltlicher Berater zustande.

 

Die Geltung von Gesetzen und Regularien für den Einsatz einer speziellen Technologie kann je nach den besonderen tatsächlichen Umständen und Begebenheiten variieren.

Bestandteil unserer Vereinbarung mit unserem Mandanten ist eine Haftungsvereinbarung, nach der die Haftungshöchstsumme für den einzelnen Schadensfall bei einfacher Fahrlässigkeit auf einen Betrag von € 10 Mio. beschränkt wird. Diese Haftungsbeschränkung gilt gegenüber allen Adressaten (Adressaten im Sinne dieser Regelung sind der Mandant, Sie selbst und alle weiteren Dritten, die unter den im Vertrag mit dem Mandanten vereinbarten Bedingungen Zugang zum Bericht von KPMG Rechtsanwaltsgesellschaft erhalten); diese können als Gesamtgläubiger gemäß § 428 des Bürgerlichen Gesetzbuchs die Haftungshöchstsumme nur einmal in Anspruch nehmen. Die Verteilung der Haftungssumme ist ausschließlich durch die Adressaten zu bestimmen; es besteht keine Verpflichtung, KPMG Rechtsanwaltsgesellschaft über den vereinbarten Gesamtgläubigerausgleich zu unterrichten. Die Gültigkeit und Höhe der Haftungsbegrenzung kann nicht mit der Begründung angefochten werden, dass eine solche Einigung unter den Adressaten nicht herbeigeführt werden konnte.