Freitag, 24. November 2017

Einfach mal die email checken

Rhein/Neckar, 07. April 2014. (red) Nachdem im Januar der Diebstahl von bis zu 16 Millionen emai-Passwörtern bekannt geworden ist, wurde nun ein weiterer Datenklau von rund drei Millionen DatensĂ€tzen bekannt. Das Bundesamt fĂŒr Sicherheit in der Informationstechnik (BSI) bietet einen Check an, um die eigenen emails auf „Betroffenheit“ zu prĂŒfen. [Weiterlesen…]

Sicherer „surfen“ ohne Internet Explorer

Guten Tag!

Heddesheim, 21. Januar 2010. Der Internet Explorer von Microsoft ist der mit Abstand am hĂ€ufigsten verwendete „Browser“. Aber auch der mit den hĂ€ufigsten „kritischen“ Warnhinweisen, was die Sicherheit angeht. Aktuell warnt das Bundesamt fĂŒr Sicherheit in der Informationstechnik (BSI) vor dessen Nutzung und gibt Tipps, was die Nutzer beachten sollten. Auch das heddesheimblog gibt eine Empfehlung.

Pressemitteilung des BSI vom 19. Januar 2009

„Um das Risiko, welches durch die SicherheitslĂŒcke entstehen könnte, zu vermindern, empfiehlt das BSI, weitere Sicherheitseinstellungen fĂŒr die folgenden Programme vorzunehmen:

  • Microsoft Outlook (bis einschließlich Outlook 2003)
  • Outlook Express
  • Microsoft Windows Mail
  • Windows Live Mail
  • Microsoft Hilfesystem
  • Microsoft Sidebar

FĂŒr die Anwender der o.g. Programme empfiehlt das BSI folgende Maßnahmen:

FĂŒr die ĂŒberwiegend im Heimanwenderbereich eingesetzten Programme Microsoft Outlook Express, Microsoft Windows Mail, Microsoft Windows Live Mail gilt:
Die Nutzung der „EingeschrĂ€nkten Zone“ und nicht der „Internet-Zone“ zur Anzeige von E-Mails wird dringend empfohlen. In der eingeschrĂ€nkten Zone ist die AusfĂŒhrung von Active Scripting zu unterbinden (Standardeinstellung). ZusĂ€tzlich sollte die Anzeige von HTML-E-Mails deaktiviert werden.

Speziell fĂŒr Windows Live Mail drĂŒcken Sie bitte + , wĂ€hlen den MenĂŒpunkt „Sicherheitsoptionen…“, gehen dort auf den Reiter „Sicherheit“ und wĂ€hlen Sie die „Zone fĂŒr eingeschrĂ€nkte Sites“ aus. Folgen Sie nicht der Empfehlung von Windows Live Mail, dass die „Internetzone“ zweckmĂ€ĂŸiger sei.

FĂŒr das ĂŒberwiegend im Unternehmensbereich eingesetzte Programm Microsoft Outlook (bis einschließlich Version 2003) gilt:
In Unternehmensnetzwerken, in denen Outlook bis Version 2003 im Einsatz ist, sollten die Einstellungen (Nutzung der „EingeschrĂ€nkten Zone“ zur Anzeige von E-Mails, Unterbindung der AusfĂŒhrung von Active Scripting in der „EingeschrĂ€nkten Zone“, Deaktivierung der Anzeige von HTML-E-Mails) ĂŒber Gruppenrichtlinien zentral vorgenommen werden.

FĂŒr das Microsoft Hilfesystem gilt:
Es sollten keine Hilfedateien, insbesondere mit der Dateiendung „chm“, aus unsicheren Quellen geöffnet werden.

FĂŒr die Microsoft Sidebar gilt:
Das Risiko fĂŒr Angriffe ĂŒber die Sidebar ist generell niedriger einzuschĂ€tzen, da diese Angriffe mit einem erheblich grĂ¶ĂŸerem Aufwand verbunden sind. Wer das verbleibende Risiko vermeiden möchte, sollte bis zur Bereitstellung des Patches auf die Benutzung der Sidebar verzichten.“

Empfehlung der Redaktion:

  • Nutzen Sie den von der Reaktion favorisierten Browser „Firefox“ anstelle des Internet Explorer. Firefox können Sie kostenlos hier downloaden. Neben der besseren Sicherheit bietet Firefox zahlreiche sinnvolle Add-ons (Zusatzprogramme).
  • Macintosh-User (ebenfalls beim heddesheimblog im Einsatz 🙂 ) haben viele der Sicherheitsprobleme der PC-Nutzer nicht. Vor allem die Bedrohung durch Viren ist weitaus geringer. Planen Sie die Anschaffung eines neuen Computers, ist ein „Mac“ eine gute Wahl. Aber auch eine im Vergleich zu PCs teurere.
  • Verzichten Sie auf die Ansicht von email im html-Modus. Hier liegen die grĂ¶ĂŸten Gefahren. Der html-Modus zeigt emails „besser“ an, ermöglicht es aber auch, (schadbringende) Programme auszufĂŒhren. Im Gegensatz zu „Nur-Text“-Anzeige.
  • Öffnen Sie DateianhĂ€nge nur, wenn Sie den Absender kennen und die empfangene email Sinn macht. Schickt Ihnen beispielsweise jemand unter einer Ihnen bekannten email-Adresse „ungewöhnliche“ emails mit AnhĂ€ngen, versichern Sie sich zuerst, ob das auch „bewusst“ an Sie geschickt wurde.
  • Klicken Sie niemals aus Neugier auf „vermeintlich interessante“ Inhalte von nicht-angeforderten emails. Denken Sie erst nach. Wie groß oder klein die „Versprechen oder Verlockungen“ auch sein sollten – verhalten Sie sich kritisch und fragen Sie sich: Wieso erhalte ich diese email? Gibt es keinen plausiblen Grund, ist das Grund genug, misstrauisch zu sein.

Einen schönen Tag wĂŒnscht
Das heddesheimblog

Private email am Arbeitsplatz können zum Problem werden

Guten Tag!

Heddesheim, 17. Dezember 2009. Ob und wie lange man mal eben nach der Post schauen oder privat am Arbeitsplatz surfen kann, sollte im Interesse von Arbeitnehmern und Arbeitgebern klar geregelt sein. Und Arbeitnehmer sollten sich ĂŒber die Konsequenzen bewusst sein, wenn sie mit ihrer geschĂ€ftlichen email private Korrespondenz austauschen – beim Arbeitsplatzwechsel können immer noch private email dort ankommen.

Konkret ist der Redaktion folgender Fall bekannt geworden: Ein Angestellter hatte gekĂŒndigt. Der Arbeitgeber hatte zunĂ€chst seinen email-Account gelöscht. Durch Zufall fand der Angestellte heraus, dass der Arbeitgeber einige Zeit spĂ€ter seinen alten email-Account wieder eingerichtet hatte und offensichtlich die email an den Angestellten las und teilweise beantwortete.

Wir haben dazu den renommierten Anwalt Stephan Hansen-Oest, spezialisiert auf IT-Recht, befragt.

Interview: Hardy Prothmann

Herr Hansen-Oest, darf eine Firma einfach so wieder eine email-Adresse aufschalten und vermutlich Nachrichten lesen, die konkret an eine frĂŒher beschĂ€ftigte Person geschickt werden?

Stephan Hansen-Oest: Ein klares Nein. Die Firma war, wenn die gegebenenfalls nur teilweise Privatnutzung von Internet zumindest bekannt und geduldet wurde, sogenannter geschĂ€ftsmĂ€ĂŸiger Anbieter von Telekommunikationsdiensten fĂŒr Dritte im Sinne des § 3 TKG (Telekommunikationsgesetz). Rechtsfolge ist, dass die Firma an das Fernmeldegeheimnis im Sinne des § 88 TKG gebunden ist. Nach § 88 Abs. 3 TKG ist es der Firma untersagt, Kenntnis vom Inhalt oder den nĂ€heren UmstĂ€nden der Telekommunikation zu verschaffen. Es darf in keinem Fall dazu kommen, dass Kommunikationsinhalte dieser email dann zur Kenntnis genommen oder gar darauf geantwortet wĂŒrde. Der rein technische Empfang einer email und die technische Verarbeitung sind jedoch erlaubt.

Welche juristischen Folgen könnte ein Verstoß haben?

Hansen-Oest: Eine solche Verletzung des Fernmeldegeheimnisses ist nach § 206 Abs. 2 StGB (Strafgesetzbuch) strafbar. Die Strafandrohung ist Freiheitsstrafe bis zu fĂŒnf Jahren oder Geldstrafe. Nach der jĂŒngeren Rechtsprechung des Bundesverfassungsgerichts gilt das Fernmeldegeheimnis jedoch nur fĂŒr die Phase der ÃƓbertragung der Daten. Sobald die emails auf dem Server der Firma gespeichert wird, gilt das Fernmeldegeheimnis nicht mehr. Selbst wenn der Fall so gestaltet wĂ€re, dass die Firma erst Kenntnis vom Inhalt der email an den Mitarbeiter nach vollstĂ€ndiger ÃƓbertragung und Speicherung auf dem Mail-Server der Firma hatte, wĂ€re die Handlung aber dennoch unzulĂ€ssig und wohl auch strafbar.

Sie sprechen das neue vom Bundesverfassungsgericht geschaffene Grundrecht auf GewĂ€hrleistung der Vertraulichkeit und IntegritĂ€t informationstechnischer Systeme an. Gilt das aber nicht nur fĂŒr das VerhĂ€ltnis zwischen staatlichen Behörden und den BĂŒrgern.

Hansen-Oest: ZunĂ€chst ja. Dennoch fließt es ĂŒber die sogenannte mittelbare Drittwirkung von Grundrechten auch in den vorliegenden Fall ein. Auch in einem BeschĂ€ftigungsverhĂ€ltnis ist das Persönlichkeitsrecht des BeschĂ€ftigten vom Unternehmen zu wahren. Eine entsprechende Kenntnisnahme von emails ohne Einwilligung des Mitarbeiters wĂ€re daher unzulĂ€ssig und möglicherweise auch nach § 202 a StGB strafbar. Hier gilt eine Strafandrohung von Freiheitsstrafe bis zu drei Jahren oder Geldstrafe. Letzteres hĂ€ngt jedoch von den konkreten UmstĂ€nden des Einzelfalles ab.

Wie ist das denn in der Praxis? Wissen die Unternehmen ĂŒber die juristischen Fallstricke Bescheid?

Hansen-Oest: Große Unternehmen in aller Regel ja. Aber gerade bei kleinen und mittelstĂ€ndischen Unternehmen ist der Sachverhalt oft nicht bekannt und es gibt auch keine entsprechenden Regelungen.

Wie können sich Angestellte oder freie Mitarbeiter gegen ein Unternehmen wehren, das wie beschrieben ihre emails liest?

Hansen-Oest: Der Mitarbeiter hat einen zivilrechtlichen Unterlassungsanspruch und im Falle schwerwiegender Persönlichkeitsrechtsverletzungen gegebenenfalls auch einen „Schmerzensgeldanspruch“. Das wird jedoch selten der Fall sein. Außerdem kann der Mitarbeiter natĂŒrlich Strafanzeige bei der Polizei oder der Staatsanwaltschaft erstatten.

In vielen FĂ€llen dĂŒrfte der Nachweis aber schwierig sein.

Hansen-Oest: Das ist richtig. Es kommt auf die technische Infrastruktur an, ob beispielsweise Logfile-Dateien vorliegen, die einen Zugriff dokumentieren. Im vorliegenden Fall existiert aber wohl keine schriftliche Vereinbarung zu der automatisierten Antwort. Insofern können die ehemaligen Mitarbeiter diese Antwort umgehend verbieten lassen, die ja auch nachweislich vom Unternehmen versendet wurde. Ebenso kann die Löschung der namentlichen email verlangt werden.

Mal unterstellt, es steckt keine böse Absicht hinter dem Verhalten des Unternehmens. Wie schĂŒtzt sich ein Unternehmen, um eventuellen juristischen Auseinandersetzungen aus dem Weg zu gehen?

Hansen-Oest: Leider kann man Unternehmen aus GrĂŒnden der Rechtssicherheit derzeit nur raten, die Privatnutzung von email im Rahmen ihres Direktionsrechts ausdrĂŒcklich zu untersagen und dies auch zu kontrollieren, um das Entstehen einer „betrieblichen ÃƓbung“ zu verhindern. Das ist auch ohne Zustimmung des Betriebsrats möglich (vgl. LAG Hamm, Beschluss vom 07.04.2006, Aktenzeichen: 10 TaBV 1/06).

Dann kann ein Unternehmen jederzeit Einblick in die emails nehmen?

Hansen-Oest: GrundsĂ€tzlich ja, aber eine TotalĂŒberwachung der Mitarbeiter ist wiederum unzulĂ€ssig. Besteht ein Betriebsrat, ist die DurchfĂŒhrung von Kontrollen gegebenenfalls nach § 87 BetrVG (Betriebsverfassungsgesetz) als Maßnahme, die zur Verhaltens- und Leistungskontrolle bestimmt ist, mitbestimmungspflichtig.

Und was, wenn das Unternehmen die private Nutzung nicht verbieten will?

Hansen-Oest: Wenn ein Unternehmen dennoch die Privatnutzung einrÀumen will, sollte dies meiner Meinung nach nicht durch eine Betriebsvereinbarung erfolgen, da zweifelhaft ist, ob in das Fernmeldegeheimnis des Einzelnen durch eine Betriebsvereinbarung eingegriffen werden kann.
Besser ist es, von jedem Mitarbeiter eine Einwilligung einzuholen. Allerdings muss die Einwilligung, um wirksam zu sein, freiwillig erteilt werden, und hier gibt es im ArbeitsverhĂ€ltnis wegen des ÃƓber-/ UnterordnungsverhĂ€ltnisses hĂ€ufig Probleme. Außerdem ist im Falle von Einwilligungen dann zu klĂ€ren, wie man mit Mitarbeitern umgehen möchte, die ihre Einwilligung nicht abgeben bzw. diese widerrufen. Hier wĂ€re eigentlich der Gesetzgeber gefragt, da diese rechtlich unbefriedigende Situation schon seit Jahren besteht und Unternehmen Probleme bereitet.

Inwiefern?

Hansen-Oest: Viele Unternehmen wollen die private Nutzung in geringfĂŒgigem Rahmen erlauben, beispielsweise weil diese GroßzĂŒgigkeit die Motivation der Mitarbeiter erhöhen kann, wenn beispielsweise mit der Familie kommuniziert werden kann oder eben mal eine ÃƓberweisung per Internet-Banking erledigt wird. Welcher Umfang dann aber zulĂ€ssig ist und welcher nicht, ist nicht hinreichend durch die Gesetzgebung geregelt.

Warum reagiert der Gesetzgeber nicht?

Hansen-Oest: Ich denke, dass hat vor allem mit der mangelnden technischen Kompetenz zu tun. Das Thema ist bekannt, wird aber seit Jahren nicht angepackt.

Ist Ihnen ein konkreter Fall bekannt, bei dem die unzulÀssige Einsichtnahme von email-Inhalten vor Gericht verhandelt wurde?

Hansen-Oest: Als eigenstÀndiger Prozess nicht. Aber im Rahmen von arbeitsrechtlichen Klagen werden solche VorgÀnge hÀufig als Argument verhandelt. Kennt sich ein Jurist, der einen Arbeitnehmer gegen einen Arbeitgeber vertritt, in der Sache aus, kann er das Fehlverhalten des Arbeitgebers in dieser Sache trefflich nutzen, um dessen Verhandlungsbasis zu verschlechtern.

Wer mal seine Post durchschaut, wird sehen, dass fast alle privaten emails auch ĂŒber Firmenadressen gesendet werden. Ist den Menschen die mögliche Preisgabe von privaten Informationen egal oder wissen sie es einfach nicht besser?

Hansen-Oest: Das hĂ€ngt davon ab, wie der einzelne Mensch sein Privatleben definiert. Da hat jeder eine andere Auffassung und Wertung, was das Bundesverfassungsgericht ja bereits 1983 mit dem Urteil zur VolkszĂ€hlung festgestellt hat. Danach gibt es keinen SpĂ€renunterschied, also beispielsweise IntimspĂ€hre oder SozialsphĂ€re. Privat ist privat. FĂŒr den einen sind die Preisgabe seines Geburtstagdatums oder der Name der Freundin völlig belanglos, fĂŒr andere eben nicht. Juristisch gibt es diese Unterscheidung nicht.

Info:
Stephan Hansen-Oest berĂ€t Unternehmen in Sachen IT-Recht. Er ist als anerkannter SachverstĂ€ndiger beim UnabhĂ€ngigen Landeszentrum fĂŒr Datenschutz Schleswig-Holstein fĂŒr IT-Produkte (rechtlich) und akkreditierter „legal expert“ fĂŒr das European Privacy Seal.

Checkliste

Wie sich Unternehmen und Mitarbeiter im Umgang mit emails richtig verhalten:

  • Die private Nutzung der Telekommunikation sollte grundsĂ€tzlich untersagt werden.
  • Wollen Sie die private Nutzung doch erlauben, schließen Sie mit jedem Mitarbeiter eine eigene Vereinbarung ab. Lassen Sie diese Vereinbarung von einem Juristen prĂŒfen.
  • Regeln Sie auch, was mit einer namentlichen email-Adresse passiert, wenn der Mitarbeiter das Unternehmen verlĂ€sst. Beispielsweise eine ÃƓbergangsfrist, in der Post noch angenommen und automatisiert beantwortet wird.
  • Informieren Sie die Mitarbeiter darĂŒber, dass Sie regelmĂ€ĂŸige Kontrollen durchfĂŒhren.
  • Dokumentieren Sie die jeweilige Regelung schriftlich.

Darauf sollten Arbeitnehmer achten:

  • Private emails sollten privat bleiben. Richten Sie sich bei einem Provider eine kostenlose email fĂŒr ihre privaten Kontakte ein. Vorteil: Auch wenn Sie den Arbeitgeber wechseln, behalten Sie diese Adresse.
  • Fragen Sie von sich aus beim Arbeitgeber nach, wie die private Nutzung der Telekommunikation geregelt werden soll. Verlangen Sie eine schriftliche Regelung. Das ist auch fĂŒr Sie wichtig, falls es zu einem arbeitsrechtlichen Streitfall kommt.
  • Sichern Sie ihre Kontakte beispielsweise durch die Archivfunktion ihres email-Programms. Sollte das Speichern von Daten im Unternehmen nicht möglich oder gar verboten sein, benutzen Sie die CC oder besser BCC-Funktion und senden die emails in Kopie auch an ihre private email-Adresse. Falls auch dies gegen die Unternehmensrichtlinien verstĂ¶ĂŸt, notieren Sie die email-Adressen in ihrem Notizbuch.
  • Informieren Sie ihre Kontakte sofort, wenn Sie wissen, dass Sie den Arbeitgeber wechseln.