Archiv für den Monat: September 2013

IT-Forensik, Privatermittlung und der Datenschutz

Im Rahmen unserer Tätigkeit als IT-Forensiker werten wir sowohl Computer, als auch mobile Endgeräte wie Handy- und Smartphone aus. Auch für Private und Unternehmen. Im Zuge dessen betrifft dies auch Geräte von Mitarbeitern. Um diese auswerten zu können, ist die Auswertung und damit die Erstattung eines Gutachtens an bestimmte Vorraussetzungen geknüpft.
Bereits im Vorfeld der Entwicklung von Antwortstrategien in Bezug auf Sicherheitsvorfälle (Incident-Response-Strategien), sollte der Datenschutzbeauftragte (und möglicherweise auch der Betriebsrat) aktiv einbezogen werden. Sollte eine Auswertung von Protokolldaten mit möglicherweise personenbezogenen Daten erforderlich werden, sollte der Datenschutzbeauftragte informiert werden und der Auswertung beiwohnen. Es gibt dazu nicht nur datenschutzrechtliche, sondern auch ermittlungstechnische Beweggründe. Es wäre ja Schade, am Ende bei einer gerichtlichen Auseinandersetzung zu scheitern, nur weil man gesetzliche Vorgaben nicht beachtet hat.
Der Datenschutz ist im Falle einer Ermittlung nicht außer Kraft gesetzt. Datenschutz soll in diesen Fällen kein Täterschutz sein. Deshalb ist es den Behörden (und nur diesen) erlaubt, Daten zu sammeln, die eigentlich nicht gesammelt werden dürften. Behörden sind dazuausdrücklich ermächtigt. Das Recht auf informationelle Selbstbestimmung tritt dann hinter den Strafverfolgungsanspruch des Staates zurück. Allerdings ist in jedem Einzelfall zu entscheiden, ob neben bestehender Normen und Tatbestände auch die Verhältnismäßigkeit der Mittel gewahrt bleibt. Der Datenschutzbeauftragte wird in diesem Zusammenhang sicher wertvolle Dienste leisten.

Im Rahmen der Erstattung von Privatgutachten bedeutet dies, dass der Auftraggeber nicht nur allgemeine datenschutzrechtliche Bestimmungen einzuhalten hat, sondern auch ein berechtigtes Interesse nachzuweisen hat, wenn die Ermittlung auf bestimme Personen abzielt, die verdächtigt werden. Das ist insbesondere dann erforderlich, wenn es gegen Mitarbeiter geht (Kriminalität am Arbeitsplatz vs. Arbeitnehmerdatenschutz). An dieser Stelle lassen wir uns das berechtigte Interesse grundsätzlich schriftlich im Vertrag bestätigen und übernehmen dahingehend keine Haftung.

Als Arbeitgeber sind sSe diesbezüglich übrigens gut beraten, hinsichtich der Nutzung vom Firmenrechnern klare vertragliche Regelungen und Richtlinen zu schaffen, die z.B. die private Nutzung von Firmenrechnern und Mobiltelefonen untersagen. Dann kann eine Auswertung wesentlich leichter erfolgen und man ist rechtlich auf einer deutlich sichereren Seite. Das Thema Datenschutz und IT-Forensik / Privatermittlung ist sehr komplex und in diesem Beitrag nicht erschöfpfend zu behanden. Dahingehend bin ich auch als Sachverständiger für Datenschutz tätig und kann Sie an dieser Stelle unabhängig und sachverständig beraten. Diese Möglichkeit sollten Sie nutzen, bevor ein Sicherheitsvorfall oder eine kriminelle Handlung in Ihrem Unternehmen festgestellt wird.

Insgesamt wird uns dieses Thema auch auf dieser Seite noch einige Male beschäftigen. In diesem Sinne …