Anforderungen an Data Loss Prevention Software (DLP)

it-sicherheit 06
Fachbeitrag

Unternehmen sehen sich verstärkt Bedrohungen wie Cyberkriminalität oder Wirtschaftsspionage ausgesetzt. Daher wird in größeren Unternehmen DLP-Software zunehmend als ein Baustein für mehr Datenschutz und Datensicherheit eingesetzt.

Was ist DLP-Software?

DLP-Software steht für Data loss prevention bzw. Data leak prevention und ist ein Unternehmenswerkzeug, welches letztendlich vor ungewolltem Daten- bzw. Informationsabflüssen schützen soll. Im Vordergrund umfangreicher Maßnahmenmöglichkeiten steht dabei die Überwachung der Datentransfers im Netzwerk. Daneben ermöglicht die Software die Unterbindung von nicht erlaubten Datentransfers auf Grundlage hinterlegter Regeln nebst Protokollierung sämtlicher Verstöße. DLP-Lösungen können dabei zwischen sensiblen, vertraulichen Daten und unkritischen Informationen unterscheiden. Während der E-Mail-Versand von letzterem beispielsweise zugelassen werden kann, wird dies bei vertraulichen Daten umfassend blockiert. Dazu kann auch gehören, dass das Kopieren auf externe Datenträger blockiert wird oder nur einzelne Inhalte einer Datei in eine andere kopiert werden können. Die Zuordnung einer Datei hinsichtlich des Schutzbedarfs kann dabei nach ihrem Speicherort oder über deren Inhalt erfolgen. Meist ergänzend mit Maßnahmen wie der Sperrung von USB-Ports und anderer externer Datenträger.

Warum wird DLP-Software in Unternehmen eingesetzt?

Betriebliche Maßnahmen zum Datenschutz und zur Datensicherheit stehen hinsichtlich der potenziell schwerwiegenden Folgen, die ein ungewollter Informationsabfluss von Know-how oder Kundenlisten für den geschäftlichen Erfolg und das Kundenvertrauen haben können, vermehrt im Fokus von Unternehmen. Denn neben finanziellen Schäden von geklautem oder verlorenem geistigem Eigentum können mitunter auch noch zivilrechtliche Schadensersatzansprüche von Geschädigten gegen das Unternehmen entstehen.

Es geht dabei nicht nur um böswillig handelnde Mitarbeiter, sondern mitunter auch um solche, die nicht umsichtig, zum Teil fahrlässig, handeln. Zum Beispiel der Mitarbeiter, der am Wochenende zu Hause noch etwas arbeiten möchte und zu diesem Zweck, die erforderlichen Daten auf einen USB-Stick kopiert – und leider verliert. Alternativ werden zu diesem Zweck die Daten auch aus dem Büro an den privaten E-Mail-Account gemailt und befinden sich dann ohne besonderen Schutz auf dessen Servern. Es geht also darum, bestimmte Daten vor fahrlässiger oder vorsätzlicher unbefugter Kenntnisnahme und Weiterleitung an unberechtigte Dritte zu schützen.

Die Einführung einer DLP-Software kann daneben im Einzelfall aber auch rechtlich vorgeschrieben sein, denn § 9 Bundesdatenschutzgesetz (BDSG) sieht bei der Verarbeitung personenbezogener Daten vor, dass zum Schutz dieser technische und organisatorische Maßnahmen zu treffen sind.

Anforderungen an den Beschäftigtendatenschutz

Der Zweck des Datenschutzes besteht darin, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Grundrecht auf informationelle Selbstbestimmung beeinträchtigt wird. Aus Arbeitgebersicht sind Kontrollen und Überwachungen, ob der Arbeitnehmer seinen arbeitsvertraglichen Pflichten nachkommt, auch präventiv zur Vermeidung etwaiger Pflichtverletzungen, grundsätzlich anerkannt und notwendig. Bei der Überwachung am Arbeitsplatz gilt es, einen angemessenen Ausgleich zwischen den Eigentumsrechten des Arbeitgebers und dem sich daraus ableitenden Kontrollinteresse und dem Recht auf informationelle Selbstbestimmung zu finden.

In der Praxis kann dies wie folgt aussehen. Ein Unternehmen erhält einen Hinweis, dass aus einer Unternehmensabteilung vertrauliches Know-How abfließt. Um dieses aufzudecken, kann das Unternehmen nunmehr eine DLP-Software einsetzen.

DLP-Software stellt eine technische Einrichtung dar, die objektiv geeignet ist, das Verhalten der Mitarbeiter zu überwachen. Daher ist beim Einsatz einer solchen Sicherheitslösung nicht nur frühzeitig der Datenschutzbeauftragte einzubeziehen, sondern insbesondere auch nach § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz (BetrVG) die Mitbestimmung des Betriebsrats zu beachten.

Nach § 4 BDSG besteht hinsichtlich der Erhebung, Verarbeitung und Nutzung personenbezogener Daten ein sogenanntes Verbot mit Erlaubnisvorbehalt, d.h., ohne Rechtsgrundlage aus dem BDSG oder einer anderen Rechtsvorschrift ist dieses unzulässig.

Rechtsgrundlage für die Datenverarbeitung durch eine DLP-Lösung im Arbeitsverhältnis ist mangels einer greifenden Rechtsgrundlage im BDSG die Betriebsvereinbarung. Die beteiligten Betriebsparteien müssen daher Regelungen schaffen, die einen angemessenen Ausgleich zwischen den berechtigten Interessen des Arbeitgebers und den schutzwürdigen Interessen der Mitarbeiter darstellen.

Die Mitarbeiter sollten dabei informiert werden, was die DLP-Software prüft und welche Reaktionen auf Verstöße gegen das Regelwerk vorgesehen sind. Dies könnte sein die Anzeige eines Hinweises, dass die geplante Aktion gegen das Regelwerk verstoßen würde oder die Blockade der Aktion. Ziel dieser Einbeziehung ist es, die Mitarbeiter für den verantwortungsbewussten Umgang mit vertraulichen Informationen zu sensibilisieren.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.