Auslegungssache 43: IT-Forensik und Datenschutz

Was tun beim Verdacht, der Mitarbeiter missbraucht die Firmen-IT? Eine heikle Angelegenheit, denn auch dann gilt der Datenschutz. Wir geben Tipps im Podcast.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 3 Beiträge
Von
  • Holger Bleich
  • Joerg Heidrich

Verfehlungen im Arbeitsumfeld kommen nicht selten vor: Mal lädt ein Mitarbeiter massenhaft urheberrechtlich geschützte Filme auf den Bürorechner herunter, ein anderer verbringt täglich Stunden mit seinen eBay-Aktivitäten. Mitunter tangiert der Missbrauch von Arbeitszeit und -mitteln auch den strafrechtlichen Bereich, etwa wenn es um den Handel mit Darstellungen von Kindesmissbrauch geht. Immer gilt: Nachforschungen von Arbeitgebern bei einem Verdacht sind heikel, denn auch hier gilt Datenschutz- und Persönlichkeitsrecht.

Christoph Wegener im Auslegungssache-Podcast

In Episode 43 der Auslegungssache ergründen Joerg und Holger, wie Arbeitgeber, IT-Administratoren und Datenschutzbeauftragte in solchen Fällen agieren sollten. Fachkundige Hilfe dabei leistet Christoph Wegener, der Unternehmen bei IT-forensischen Aktivitäten freiberuflich unterstützt. Zunächst geht es um die datenschutzrechtlichen Grundlagen, die in Deutschland im Paragrafen 26 BDSG definiert sind, der die "Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses" regelt. Wer diese Bestimmung verletzt, verstößt nicht nur gegen Recht, sondern riskiert auch ein Verwertungsverbot für seine mühevoll gewonnenen Informationen, die dann im Rahmen von straf-, zivil- und arbeitsrechtlichen Auseinandersetzungen nicht oder nur begrenzt verwendet werden können.

Wegener erläutert, welche Vorbereitungen man treffen sollte. Es gilt beispielsweise dafür zu sorgen, dass mindestens vier Augen bei der Forensik mitwirken, und am besten alle relevanten Stellen, etwa der interne Datenschutzbeauftragte und der Betriebsrat einbezogen werden. Ein Alleingang von IT-Administratoren ist tabu. Hat man den Verdacht auf eine Straftat, sollte grundsätzlich eine Ermittlungsbehörde übernehmen. Neben den datenschutzrechtlichen Vorüberlegungen spielt die technische Vorgehensweise (Sichern und Auswerten) eine große Rolle. Auch hier hat Wegener einige Tipps parat.

Christoph Wegener und Joerg Heidrich haben zu dem Thema kürzlich einen Artikel in c't veröffentlicht: Verdachtsmomente finden, Beweise sichern – und zwar datenschutzgerecht, c't 15/2021, S. 166

c't DSGVO - Was 2021 wirklich wichtig ist

180 Seiten Ratgeber von Fachjuristen: Was Unternehmen, Vereine und Selbstständige wissen müssen! Mit vielen FAQs, Anleitungen, Checklisten und Mustern. Auf DVD: 60 Minuten Webinar "Anatomie einer IT-Katastrophe" – vorbereitet sein und die Krise meistern.

Episode 43:

Hier gehts zu allen bisherigen Folgen:

Mehr von c't Magazin Mehr von c't Magazin

(hob)