Der Einsatz von IT-Forensik innerhalb eines Unternehmens

Wird ein Unternehmen Opfer eines Cyberangriffs oder kam es zu einem internen Vorfall, der aufgeklärt werden muss, kommt die Abteilung IT-Forensik zum Einsatz. Wer selbst keine solche Abteilung hat, holt sich gerne externe Dienstleister ins Haus. Hier muss im ersten Schritt geprüft werden, ob eine Auftragsverarbeitung vorliegt oder nicht. Grundsätzlich dürfte der externe IT-Dienstleister aber als Auftragsverarbeiter tätig werden, weshalb ein Vertrag nach Art. 28 DSGVO geschlossen werden muss. Der Dienstleister hat zwar die Entscheidungsmöglichkeit über die Mittel der IT-forensischen Untersuchung, jedoch nicht über Zweck, Ziele und ggf. weitere, darüber hinausgehende Leistungen bzgl. der Verarbeitung personenbezogener Daten – diese werden durch den Auftraggeber bestimmt. Im Einzelfall kann dies aber je nach Ausgestaltung der Dienstleistung auch abweichen. Dieser Fall wird nachfolgend aber nicht beleuchtet.

Es sollte bei der Auswahl des externen Dienstleisters darauf geachtet werden, dass dieser die erforderlichen Standards und Zertifizierungen vorweisen kann und sich an den Leitfaden des BSI zur Vorgehensweise bei IT-forensischen Untersuchungen hält. Das BSI gibt in diesem Leitfaden auch eine Definition, was genau unter IT-Forensik zu verstehen ist: „IT-Forensik ist die streng methodisch vorgenommene Datenanalyse auf Datenträgern und in Computernetzen zur Aufklärung von Vorfällen unter Einbeziehung der Möglichkeiten der strategischen Vorbereitung insbesondere aus der Sicht des Anlagenbetreibers eines IT-Systems.“ (S. 8)

Das BSI baut derzeit ein „Cyber-Sicherheitsnetzwerk“ auf. Dort sollen zukünftig sog. „Vorfall-Experten“ im Notfall kontaktiert werden können: „Mit dem Cyber-Sicherheitsnetzwerk soll eine flächendeckende dezentrale Struktur aufgebaut werden, die effizient und kostengünstig KMU und Bürger bei IT-Sicherheitsvorfällen Unterstützung anbietet.“ Weitere Informationen dazu sind auf der Website des BSI zu finden.

Rechtsgrundlagen zum Einsatz von IT-Forensik

Die Rechtsgrundlage ist abhängig vom Zweck, der mit der IT-forensischen Untersuchung verfolgt wird. Handelt es sich um einen Vorfall eines Mitarbeiters (bspw. einen Diebstahl von Kundendaten, einen Missbrauch in Kassen- oder ERP-Systemen, um Geld abzuzweigen, o. Ä.), der aufgeklärt werden soll, dürfte das BDSG einschlägig sein. Darüber hinaus gilt die DSGVO. Nachfolgend werden mögliche Rechtsgrundlagen dargestellt. Da die IT-Forensik sich aber sehr in Daten und Zweck unterscheiden kann, ist dies stets im Einzelfall zu bewerten.

Aufdeckung einer Straftat

Auf § 26 Abs. 1 Satz 2 BDSG kann die Erhebung von Beschäftigtendaten gestützt werden, die zur Aufdeckung von im Beschäftigungsverhältnis begangenen Straftaten erforderlich sind.

Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat und die Verarbeitung zur Aufdeckung erforderlich ist. Zudem darf das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegen, insbesondere Art und Ausmaß dürfen im Hinblick auf den Anlass nicht unverhältnismäßig sein. Der ausreichende Anfangsverdacht muss auf hinreichend konkreten Tatsachen beruhen, welche über „vage“ Anhaltspunkte hinausgehen, sodass eine IT-forensische Untersuchung „ins Blaue hinein“ unzulässig ist (vgl. Gola, 2019, S. 389, Rn. 1746). Es ist eine Verhältnismäßigkeitsprüfung durchzuführen.

Pflichtverletzung eines Mitarbeiters

Ggf. kann eine Maßnahme der IT-Forensik auf § 26 Abs. 1 S. 1 BDSG gestützt werden. Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für dessen Durchführung erforderlich ist. Ist eine Maßnahme also deshalb erforderlich, weil z. B. eine Pflichtverletzung eines Mitarbeiters angenommen wird, ist somit § 26 Abs. 1 S. 1 BDSG einschlägig. Es ist zu prüfen, ob die Maßnahme tatsächlich erforderlich ist oder ob mildere Mittel vorliegen.

Verarbeitung von Gesundheitsdaten im Rahmen der IT-Forensik

Gesundheitsdaten können nach § 26 Abs. 3 BDSG i. V. m. § 24 Abs. 1, 2 BDSG verarbeitet werden, wenn sie zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes, zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten, oder zur Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche erforderlich sind. Auch hier gilt es die Verhältnismäßigkeit zu wahren. Die weiteren Rechtsgrundlagen des Art. 9 Abs. 2 DSGVO dürften darüber hinaus nicht oder nur im Einzelfall greifen.

Forensische Maßnahmen zur Gewährleistung der IT-Sicherheit

Werden personenbezogene Daten dagegen aus reinen IT-Sicherheitsaspekten verarbeitet, wie z. B. Verhinderung der Öffnung von Malware oder Identifizierung von Angriffen von außen, dürfte die Datenverarbeitung gerade nicht im Beschäftigtenkontext erfolgen. Auch wenn Daten Dritter betroffen sind, handelt es sich nicht um die Verarbeitung von Beschäftigtendaten. Einschlägige Rechtsgrundlage für die Verarbeitung ist hier das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO. Im Einzelfall kann eine Verarbeitung nach Art. 6 Abs. 1 lit. c DSGVO erfolgen, soweit eine entsprechende Anordnung oder gesetzliche Grundlage vorliegt.

Das berechtigte Interesse liegt im Schutz der IT-Infrastruktur, der Schadensprävention und Aufklärung von Fällen bzgl. Cyberangriffen. Das Prinzip der Erforderlichkeit besagt, dass die Verarbeitung von personenbezogenen Daten von Beschäftigten geeignet sein muss, das angestrebte Ziel der Datenverarbeitung zu erreichen und gleichzeitig das relativ mildeste Mittel darstellen muss. Auch dies ist im Einzelfall zu bewerten.

Weitergabe der Daten an Polizei oder andere Dritte

Die Datenübermittlung an externe Behörden (bspw. Polizeibehörden und Staatsanwaltschaft) kann grundsätzlich auf Grundlage des berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO erfolgen. Das berechtigte Interesse ergibt sich aus dem Interesse, die Behörden bei der Aufklärung von IT-Sicherheitsvorfällen zu unterstützen bzw. einer gesetzlichen Verpflichtung nachzukommen. Hierbei dürfen aber keine weiteren milderen Mittel vorhanden sein. Schutzwürdige Interessen sind abzuwägen. Soweit eine Straftat vorliegt, dürfte aber das Interesse des Unternehmens überwiegen.

Weitere datenschutzrechtliche Pflichten des Unternehmens

Neben dem abzuschließenden Auftragsverarbeitungsvertrag (kurz AV-Vertrag) muss das Unternehmen zusätzlich folgendes sicherstellen:

Betroffene sind nach Art. 13 DSGVO zu informieren.
Es ist sicherzustellen, dass die personenbezogenen Daten nach Zweckerreichung umgehend gelöscht werden.
Mitarbeiter der IT-Forensik sollten ausschließlich nach dem Vier-Augen-Prinzip tätig werden (siehe Leitfaden des BSI).
Es ist ein strenges Need-to-Know-Prinzip einzuhalten.
Es sollte vor Einsatz des Prozesses eine Datenschutz-Folgenabschätzung durchgeführt werden.

Lisa-Maria Körner | 17. Oktober 2022 | Allgemein | Arbeitgeber, Arbeitnehmer, AV-Vertrag, berechtigtes Interesse, Cyberangriff, Datenweitergabe, Forensische Maßnahmen, Gesundheitsdaten, IT-Forensik, IT-Sicherheitsvorfall, Pflichtverletzung, Straftat, Vorfall