Unter dem Namen EDR (Endpoint Detection and Response) ist seit einiger Zeit Sicherheitssoftware im Einsatz, die aus datenschutzrechtlicher Sicht zahleiche Probleme mit sich bringt. Während klassische Anti-Viren-Software Viren und Trojaner durch Filterregeln und durch Erkennen von Mustern abzuwehren versucht, werden bei EDR-Software Unregelmäßigkeiten und Auffälligkeiten auf Endgeräten aufgezeichnet, auf einer zentralen Datenbank – oftmals in einer Cloud – gespeichert und anschließend mit Hilfe künstlicher Intelligenz ausgewertet. Sofern unzulässige Aktivitäten oder Unregelmäßigkeiten identifiziert werden, startet das Response-Modul Maßnahmen zur Beseitigung des Angriffs, bis hin zur Sperrung des jeweiligen Endgerätes.

Die datenschutzrechtlichen Probleme bestehen hauptsächlich darin, dass

  • Benutzeraktivitäten – dies können Mausbewegungen ebenso sein wie Kopiervorgänge oder Datenübermittlungen – nach Unregelmäßigkeiten überprüft werden, die zentral definiert und für den Benutzer intransparent sind,
  • die unregelmäßigen Aktivitäten zentral bei externen (Cloud-)Dienstleistern unter Nutzung der Benutzer-ID personenbezogen gespeichert und ausgewertet werden,
  • es schwierig ist, eine Rechtgrundlage zur Verarbeitung dieser personenbezogenen Daten zu finden.

Mögliche Rechtsgrundlagen

Als Rechtsgrundlage kommt eigentlich nur Art. 6 Abs. 1 lit. f Datenschutz-Grundverordnung (DSGVO) in Betracht. Demnach muss der Einsatz der EDR-Software zur Wahrung berechtigter Interessen des Unternehmens, das die EDR-Software einsetzt, erforderlich sein; und dem Einsatz dürfen keine Risiken zur Beeinträchtigung der Grundrechte und Persönlichkeitsrechte der betroffenen Mitarbeiter entgegenstehen.

Zwar könnte, da personenbezogene Daten von Mitarbeitern verarbeitet werden, auch § 26 Abs. 1 Satz 1 Bundesdatenschutzgesetz (BDSG) einschlägig sein, wonach die Datenverarbeitung zur Durchführung des Beschäftigungsverhältnisses erforderlich sein muss. Doch selbst wenn die „Durchführung des Beschäftigungsverhältnisses“ begrifflich sehr weit interpretiert wird, so dürfte hierunter wohl kaum die zentrale Auswertung von Benutzeraktivitäten durch externe Dienstleister fallen. Und die Datenverarbeitung durch EDR-Software gemäß Art. 6 Abs. 1 lit. a DSGVO auf der Einwilligung der betroffenen Mitarbeiter zu stützen, ist ebenfalls nicht zu empfehlen, da fehlende Einwilligungen von Mitarbeitern dazu führen würde, die Endgeräte der jeweiligen Mitarbeiter nicht in die Überwachung einbeziehen zu dürfen.

Doch auch Art. 6 Abs. 1 lit. f DSGVO bringt erhebliche Probleme mit sich: Sofern die Datenverarbeitung gemäß Art. 6 Abs. 1 lit. f DSGVO auf dem berechtigten Interesse des Unternehmens gestützt wird, muss dem betroffenen Mitarbeiter gemäß Art. 21 DSGVO das Recht eingeräumt werden, der Datenverarbeitung zu widersprechen. Dem Widerspruch muss nur dann nicht nachgegeben werden, sofern das Unternehmen zwingende schutzwürdige Gründe nachweisen kann, dass seine Interessen am Einsatz der EDR-Software den Interessen und Persönlichkeitsrechten der Widerspruch einlegenden Mitarbeiter überwiegen. Es geht also um die Verhältnismäßigkeit des Einsatzes der EDR-Software.

Wahrung der Verhältnismäßigkeit

Die Verhältnismäßigkeit kann aus datenschutzrechtlicher Sicht gewahrt werden, sofern folgende Punkte beim Einsatz der EDR-Software berücksichtigt werden:

  • Die aufgezeichneten Benutzeraktivitäten müssen für alle betroffenen Mitarbeiter transparent sein; dies gilt auch für die Algorithmen, auf deren Grundlage die Aufzeichnung erfolgt.
  • Die aufgezeichneten Benutzeraktivitäten dürfen nur temporär (maximal 72 Stunden) in der zentralen Datenbank gespeichert und nur zur Identifizierung von Unregelmäßigkeiten analysiert und ausgewertet werden.
  • Mit den externen Dienstleistern müssen Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen werden. Es dürfen keine externen Unternehmen oder Subunternehmen außerhalb der EU oder des Europäischen Wirtschaftsraums (EWR) mit dem Hosting und der Auswertung der personenbezogenen Daten beauftragt werden.

Der Einsatz von EDR-Software und in diesem Zusammenhang die Nutzung von Telemetriedaten durch Software-Hersteller wird uns in nächster Zeit weiter beschäftigen. Die Herausforderung wird darin bestehen, einen vernünftigen Ausgleich zu finden zwischen den berechtigten Interessen der Unternehmen und Software-Hersteller einerseits und der Wahrung der Persönlichkeitsrechte der betroffenen Mitarbeiter andererseits.