Illegale Downloads bzw. Filesharing am Arbeitsplatz nachweisen

Fachbeitrag

Zahlreiche Arbeitgeber gestatten oder dulden die private Internetnutzung am Arbeitsplatz. Das könnte allerdings Probleme hervorrufen, da für einige Mitarbeiter die Versuchung groß ist, illegale Downloads von Musik- oder Videodaten (z.B. per Filesharing) zu tätigen. Wenn hierfür keine Schutzmaßnahmen getroffen wurden oder der Täter nicht ermittelt werden kann, wird u. U. sowohl das Unternehmen als auch die Geschäftsführung dafür haftbar gemacht.

Praxisfall: Illegale Downloads / Filesharing

Ihr Unternehmen erhält ein anwaltliches Schreiben mit dem Hinweis, dass eine Person illegale Downloads und Uploads von Audio- oder Videodaten über Ihren Internetanschluss getätigt hat. Der Rechteinhaber oder dessen Rechtsanwalt macht gegen Ihr Unternehmen Unterlassungs- und Schadensersatzansprüche geltend. Sie haben zwar bereits den betreffenden Rechner ausfindig machen können, die betreffenden Dateien allerdings nicht. Daher fehlen Beweise, um den Täter zur Rechenschaft zu ziehen. Hier kommt die IT-Forensik ins Spiel.

Problem bei der digitalen Spurensuche

Von entsprechenden IT-forensischen Maßnahmen sind zwangsläufig die Mitarbeiter des Unternehmens betroffen und der Mitarbeiterdatenschutz (§ 32 BDSG bzw. am 25. Mai 2018 § 26 BDSG (neu). Die anlasslose Dauerüberwachung ist datenschutzrechtlich unzulässig. So hält z.B. das Bundesarbeitsgericht (BAG), den Einsatz eines Keyloggers (trotz vorheriger Information des Betroffenen) zur Überwachung der Arbeitsrechner für rechtswidrig. Ebenso beschränkte der Europäische Gerichtshof für Menschenrechte neulich die Kontrollmöglichkeiten des Arbeitgebers bei der unerlaubten, privaten Nutzung des dienstlichen Internetanschlusses. Selbst bei einem ausdrücklichen Verbot der privaten Nutzung und der Bekanntmachung der Überwachung dieses Verbots soll eine Kontrolle unter gewissen Umständen unwirksam sein.

Weiterhin zu beachten sind jedoch auch arbeitsrechtliche Aspekte, welche mit dem Datenschutz im unmittelbaren Zusammenhang stehen (z.B. bestehende Nutzungsabreden oder Betriebsvereinbarungen bei einer erlaubten Privatnutzung).

In dem vorliegend geschilderten Sachverhalt lägen jedoch grundliegende Hinweise für eine unzulässige Nutzung des Internetanschlusses vor, wenn der abstrakt geschilderte Hinweis weiter untermauert werden kann (z.B. durch Nennung der IP-Adressen, der konkret verletzten Urheberrechtswerke und Nachweis der Urheberschaft) und sich Vorwürfe gegen einzelne Mitarbeiter erhärten.

Was kann die IT-Forensik leisten?

Illegale Downloads hinterlassen Spuren. Mit Hilfe der IT-Forensik ist es möglich diese zu sichern, bspw.:

  • Im Cache bzw. der Historie des Internetbrowsers lassen sich gegebenenfalls entsprechende Spuren finden.
  • Auch wenn der Nutzer z.B. den „Privat-Modus“ beim Surfen genutzt hat und keine Historie vom Browser angelegt wird, so lassen sich unter Umständen Spuren auf der Festplatte finden, da einige Browser dennoch Daten auf die Festplatte schreiben und diese anschließend löschen, letzteres jedoch nicht sicher.
  • Auch in den unterschiedlichen Speicherartefakten können sich Spuren befinden, z.B. wenn der Arbeitsspeicher nicht ausreicht und das System daher auf den Auslagerungsspeicher (Swap) der Festplatte zurückgreifen muss.

Sind auf dem Arbeitsrechner personalisierte Benutzerkonten eingerichtet, lassen sich dadurch die gefundenen Spuren in der Regel diesem Benutzer auch zurechnen.

Auswertung und Deutung der Daten

Nachdem man den betroffenen Rechner nach Anhaltspunkten durchsucht hat, werden diese dahingehend ausgewertet, wer, wann, welche Daten in das Internet hoch- bzw. aus dem Internet heruntergeladen hat. Dabei werden die Spuren aus einer den oben genannten Quelle genutzt, um die Anhaltspunkte aus jeweils anderen Quellen zu verifizieren. Dadurch lässt sich unter Umständen der Tathergang abbilden und dem Täter auch einen gewissen Vorsatz nachweisen. Dies mag auf dem Papier einfach aussehen, in der Praxis ergeben sich hier oft Schwierigkeiten. Wie etwa die Begründung eines Urteil des BAG zu einem Fall der Kündigung wegen illegalen Downloads zeigt:

„In den Entscheidungsgründen hat das Landesarbeitsgericht unter Wiederholung der Erwägungen des Arbeitsgerichts ausgeführt, trotz Vorliegens „gewisser Verdachtsmomente“ sei es letztlich eine unbewiesene Behauptung des beklagten Landes, es seien (alle) vorgefundenen Privatdateien dem Kläger zuzurechnen, dieser (allein) habe die Privatnutzungen und damit auch mögliche (nach § 106 UrhG strafbare) Vervielfältigungen und Brennvorgänge vorgenommen bzw. durchgeführt. Keiner der dokumentierten Vorgänge lasse sich einzelnen Personen – etwa dem Kläger – zuordnen. Es sei auch „nicht bewiesen“, dass es gerade dieser gewesen sei, der die Kopierprogramme installiert habe. „Allein die Tatsache“, dass zahlreiche dokumentierte „Vorgänge“ Zeiten beträfen, während derer sich der Kläger nicht am Arbeitsplatz aufgehalten habe, beweise, dass andere Personen sowohl Zugriff auf den Rechner gehabt hätten als auch in der Lage gewesen seien, die Kopierprogramme zu nutzen. Auch diesen Ausführungen ist nicht zu entnehmen, von welchem konkreten, seiner Meinung nach feststehenden Sachverhalt das Landesarbeitsgericht ausgegangen ist.“

Der Streit, wie die gefundenen Spuren zu deuten sind und ob sich mit ihnen ein Beweis führen lässt, hat sich in diesem Fall bis zur letzten Instanz gezogen. Neben den oben genannten rechtlichen Grenzen, sollte der IT-Forensiker auch diese Problematik kennen. Im Zweifel treffen sich Arbeitgeber und Arbeitnehmer vor Gericht und dann kommt es auf eine gerichtsfeste Spurensicherung an.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Identifizierung, Sicherung und Auswertung digitaler Spuren und Beweise
  • Untersuchung auf Bedrohungen durch komplexe und gezielte Cyber-Attacken
  • Cyber Security Check zur Schwachstellenanalyse von IT-Systemen

Informieren Sie sich hier über unser Leistungsspektrum: IT-Forensik

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.