Unternehmen sehen sich verstärkt Bedrohungen wie Cyberkriminalität oder Wirtschaftsspionage ausgesetzt. Daher wird in größeren Unternehmen DLP-Software zunehmend als ein Baustein für mehr Datenschutz und Datensicherheit eingesetzt.
Der Inhalt im Überblick
Was ist DLP-Software?
DLP-Software steht für Data loss prevention bzw. Data leak prevention und ist ein Unternehmenswerkzeug, welches letztendlich vor ungewolltem Daten- bzw. Informationsabflüssen schützen soll. Im Vordergrund umfangreicher Maßnahmenmöglichkeiten steht dabei die Überwachung der Datentransfers im Netzwerk. Daneben ermöglicht die Software die Unterbindung von nicht erlaubten Datentransfers auf Grundlage hinterlegter Regeln nebst Protokollierung sämtlicher Verstöße. DLP-Lösungen können dabei zwischen sensiblen, vertraulichen Daten und unkritischen Informationen unterscheiden. Während der E-Mail-Versand von letzterem beispielsweise zugelassen werden kann, wird dies bei vertraulichen Daten umfassend blockiert. Dazu kann auch gehören, dass das Kopieren auf externe Datenträger blockiert wird oder nur einzelne Inhalte einer Datei in eine andere kopiert werden können. Die Zuordnung einer Datei hinsichtlich des Schutzbedarfs kann dabei nach ihrem Speicherort oder über deren Inhalt erfolgen. Meist ergänzend mit Maßnahmen wie der Sperrung von USB-Ports und anderer externer Datenträger.
Warum wird DLP-Software in Unternehmen eingesetzt?
Betriebliche Maßnahmen zum Datenschutz und zur Datensicherheit stehen hinsichtlich der potenziell schwerwiegenden Folgen, die ein ungewollter Informationsabfluss von Know-how oder Kundenlisten für den geschäftlichen Erfolg und das Kundenvertrauen haben können, vermehrt im Fokus von Unternehmen. Denn neben finanziellen Schäden von geklautem oder verlorenem geistigem Eigentum können mitunter auch noch zivilrechtliche Schadensersatzansprüche von Geschädigten gegen das Unternehmen entstehen.
Es geht dabei nicht nur um böswillig handelnde Mitarbeiter, sondern mitunter auch um solche, die nicht umsichtig, zum Teil fahrlässig, handeln. Zum Beispiel der Mitarbeiter, der am Wochenende zu Hause noch etwas arbeiten möchte und zu diesem Zweck, die erforderlichen Daten auf einen USB-Stick kopiert – und leider verliert. Alternativ werden zu diesem Zweck die Daten auch aus dem Büro an den privaten E-Mail-Account gemailt und befinden sich dann ohne besonderen Schutz auf dessen Servern. Es geht also darum, bestimmte Daten vor fahrlässiger oder vorsätzlicher unbefugter Kenntnisnahme und Weiterleitung an unberechtigte Dritte zu schützen.
Die Einführung einer DLP-Software kann daneben im Einzelfall aber auch rechtlich vorgeschrieben sein, denn § 9 Bundesdatenschutzgesetz (BDSG) sieht bei der Verarbeitung personenbezogener Daten vor, dass zum Schutz dieser technische und organisatorische Maßnahmen zu treffen sind.
Anforderungen an den Beschäftigtendatenschutz
Der Zweck des Datenschutzes besteht darin, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Grundrecht auf informationelle Selbstbestimmung beeinträchtigt wird. Aus Arbeitgebersicht sind Kontrollen und Überwachungen, ob der Arbeitnehmer seinen arbeitsvertraglichen Pflichten nachkommt, auch präventiv zur Vermeidung etwaiger Pflichtverletzungen, grundsätzlich anerkannt und notwendig. Bei der Überwachung am Arbeitsplatz gilt es, einen angemessenen Ausgleich zwischen den Eigentumsrechten des Arbeitgebers und dem sich daraus ableitenden Kontrollinteresse und dem Recht auf informationelle Selbstbestimmung zu finden.
In der Praxis kann dies wie folgt aussehen. Ein Unternehmen erhält einen Hinweis, dass aus einer Unternehmensabteilung vertrauliches Know-How abfließt. Um dieses aufzudecken, kann das Unternehmen nunmehr eine DLP-Software einsetzen.
DLP-Software stellt eine technische Einrichtung dar, die objektiv geeignet ist, das Verhalten der Mitarbeiter zu überwachen. Daher ist beim Einsatz einer solchen Sicherheitslösung nicht nur frühzeitig der Datenschutzbeauftragte einzubeziehen, sondern insbesondere auch nach § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz (BetrVG) die Mitbestimmung des Betriebsrats zu beachten.
Nach § 4 BDSG besteht hinsichtlich der Erhebung, Verarbeitung und Nutzung personenbezogener Daten ein sogenanntes Verbot mit Erlaubnisvorbehalt, d.h., ohne Rechtsgrundlage aus dem BDSG oder einer anderen Rechtsvorschrift ist dieses unzulässig.
Rechtsgrundlage für die Datenverarbeitung durch eine DLP-Lösung im Arbeitsverhältnis ist mangels einer greifenden Rechtsgrundlage im BDSG die Betriebsvereinbarung. Die beteiligten Betriebsparteien müssen daher Regelungen schaffen, die einen angemessenen Ausgleich zwischen den berechtigten Interessen des Arbeitgebers und den schutzwürdigen Interessen der Mitarbeiter darstellen.
Die Mitarbeiter sollten dabei informiert werden, was die DLP-Software prüft und welche Reaktionen auf Verstöße gegen das Regelwerk vorgesehen sind. Dies könnte sein die Anzeige eines Hinweises, dass die geplante Aktion gegen das Regelwerk verstoßen würde oder die Blockade der Aktion. Ziel dieser Einbeziehung ist es, die Mitarbeiter für den verantwortungsbewussten Umgang mit vertraulichen Informationen zu sensibilisieren.
Vielen Dank für den High Level Artikel. Könnten Sie evtl. etwas ausführen was genau Knackpunkte sein könnten. Wir haben derzeit die Privatnutzung erlaubt, weswegen sich die Frage stellt, ob das überhaupt erlaubt sein dürfte. Vielen Dank im Voraus und weiter so.
Leider geht dies aus Ihrem Artikel nicht so richtig hervor, aber wann wäre es denn ok wenn so etwas laufen würde? Dauerhaft im Hintergrund oder nur Anlassbezogen? Vielen Dank Herr Mertin.
Der Beitrag entstand unter Geltung des im Mai 2018 aufgehobenen BDSG. Zwar hat der Gesetzgeber mit der DSGVO und dem BDSG inhaltlich einen Großteil übernommen, die Art. 5 und 32 DSGVO bedingen gleichwohl eine differenziertere Betrachtung und Bewertung für einen rechtskonformen Einsatz.
Im Kern geht es weiterhin um die Rechtsgrundlage und konkrete Ausgestaltung (Erforderlichkeit und Angemessenheit der Verarbeitung). Ihre Fragen sowie neue bzw. verschärfte Anforderungen wie die Datenschutz-Folgenabschätzung (DSFA) nehmen wir zum Anlass, eine Überarbeitung des Beitrags anzustreben.
Vielen Dank! Können Sie hier evtl. schon abschätzen wann mit der Überarbeitung zu rechnen ist? Weiter so!
Ob und wann genau eine Überarbeitung erfolgt ist derzeit nicht abschätzbar. Zum einen handelt es sich hierbei um ein sehr spezielles Thema, zum anderen aber bedarf es vor allem, wie bei jedem Betrag, entsprechender zeitlicher Ressourcen bei den jeweiligen Beraterinnen und Beratern.
Wir dürfen im Unternehmen unseren Computer auch privat nutzen. Darf man sowas denn dann überhaupt? Vielen Dank