Unter dem Namen EDR (Endpoint Detection and Response) ist seit einiger Zeit Sicherheitssoftware im Einsatz, die aus datenschutzrechtlicher Sicht zahleiche Probleme mit sich bringt. Während klassische Anti-Viren-Software Viren und Trojaner durch Filterregeln und durch Erkennen von Mustern abzuwehren versucht, werden bei EDR-Software Unregelmäßigkeiten und Auffälligkeiten auf Endgeräten aufgezeichnet, auf einer zentralen Datenbank – oftmals in einer Cloud – gespeichert und anschließend mit Hilfe künstlicher Intelligenz ausgewertet. Sofern unzulässige Aktivitäten oder Unregelmäßigkeiten identifiziert werden, startet das Response-Modul Maßnahmen zur Beseitigung des Angriffs, bis hin zur Sperrung des jeweiligen Endgerätes.
Die datenschutzrechtlichen Probleme bestehen hauptsächlich darin, dass
- Benutzeraktivitäten – dies können Mausbewegungen ebenso sein wie Kopiervorgänge oder Datenübermittlungen – nach Unregelmäßigkeiten überprüft werden, die zentral definiert und für den Benutzer intransparent sind,
- die unregelmäßigen Aktivitäten zentral bei externen (Cloud-)Dienstleistern unter Nutzung der Benutzer-ID personenbezogen gespeichert und ausgewertet werden,
- es schwierig ist, eine Rechtgrundlage zur Verarbeitung dieser personenbezogenen Daten zu finden.
Mögliche Rechtsgrundlagen
Als Rechtsgrundlage kommt eigentlich nur Art. 6 Abs. 1 lit. f Datenschutz-Grundverordnung (DSGVO) in Betracht. Demnach muss der Einsatz der EDR-Software zur Wahrung berechtigter Interessen des Unternehmens, das die EDR-Software einsetzt, erforderlich sein; und dem Einsatz dürfen keine Risiken zur Beeinträchtigung der Grundrechte und Persönlichkeitsrechte der betroffenen Mitarbeiter entgegenstehen.
Zwar könnte, da personenbezogene Daten von Mitarbeitern verarbeitet werden, auch § 26 Abs. 1 Satz 1 Bundesdatenschutzgesetz (BDSG) einschlägig sein, wonach die Datenverarbeitung zur Durchführung des Beschäftigungsverhältnisses erforderlich sein muss. Doch selbst wenn die „Durchführung des Beschäftigungsverhältnisses“ begrifflich sehr weit interpretiert wird, so dürfte hierunter wohl kaum die zentrale Auswertung von Benutzeraktivitäten durch externe Dienstleister fallen. Und die Datenverarbeitung durch EDR-Software gemäß Art. 6 Abs. 1 lit. a DSGVO auf der Einwilligung der betroffenen Mitarbeiter zu stützen, ist ebenfalls nicht zu empfehlen, da fehlende Einwilligungen von Mitarbeitern dazu führen würde, die Endgeräte der jeweiligen Mitarbeiter nicht in die Überwachung einbeziehen zu dürfen.
Doch auch Art. 6 Abs. 1 lit. f DSGVO bringt erhebliche Probleme mit sich: Sofern die Datenverarbeitung gemäß Art. 6 Abs. 1 lit. f DSGVO auf dem berechtigten Interesse des Unternehmens gestützt wird, muss dem betroffenen Mitarbeiter gemäß Art. 21 DSGVO das Recht eingeräumt werden, der Datenverarbeitung zu widersprechen. Dem Widerspruch muss nur dann nicht nachgegeben werden, sofern das Unternehmen zwingende schutzwürdige Gründe nachweisen kann, dass seine Interessen am Einsatz der EDR-Software den Interessen und Persönlichkeitsrechten der Widerspruch einlegenden Mitarbeiter überwiegen. Es geht also um die Verhältnismäßigkeit des Einsatzes der EDR-Software.
Wahrung der Verhältnismäßigkeit
Die Verhältnismäßigkeit kann aus datenschutzrechtlicher Sicht gewahrt werden, sofern folgende Punkte beim Einsatz der EDR-Software berücksichtigt werden:
- Die aufgezeichneten Benutzeraktivitäten müssen für alle betroffenen Mitarbeiter transparent sein; dies gilt auch für die Algorithmen, auf deren Grundlage die Aufzeichnung erfolgt.
- Die aufgezeichneten Benutzeraktivitäten dürfen nur temporär (maximal 72 Stunden) in der zentralen Datenbank gespeichert und nur zur Identifizierung von Unregelmäßigkeiten analysiert und ausgewertet werden.
- Mit den externen Dienstleistern müssen Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen werden. Es dürfen keine externen Unternehmen oder Subunternehmen außerhalb der EU oder des Europäischen Wirtschaftsraums (EWR) mit dem Hosting und der Auswertung der personenbezogenen Daten beauftragt werden.
Der Einsatz von EDR-Software und in diesem Zusammenhang die Nutzung von Telemetriedaten durch Software-Hersteller wird uns in nächster Zeit weiter beschäftigen. Die Herausforderung wird darin bestehen, einen vernünftigen Ausgleich zu finden zwischen den berechtigten Interessen der Unternehmen und Software-Hersteller einerseits und der Wahrung der Persönlichkeitsrechte der betroffenen Mitarbeiter andererseits.
Anonymous
16. Oktober 2021 @ 12:09
Ich teile zwar die Einschätzung über die grundsätzlichen Probleme. Leider ist die versuchte Abwägung der Verhältnismäßigkeit – weil unmöglich zu erfüllen – nicht zielführend.
Aussage:Die aufgezeichneten Benutzeraktivitäten müssen für alle betroffenen Mitarbeiter transparent sein; dies gilt auch für die Algorithmen, auf deren Grundlage die Aufzeichnung erfolgt.
– Kein Proble ber der Information der Beschäftigen, aber bei der Informationstiefe.
Die Algorithmen sind das Geschäftsgeheimnis des Anbieters und hoch dynamisch, stehe also nicht zur Verfügung.
Aussage: Die aufgezeichneten Benutzeraktivitäten dürfen nur temporär (maximal 72 Stunden) in der zentralen Datenbank gespeichert und nur zur Identifizierung von Unregelmäßigkeiten analysiert und ausgewertet werden.
– 72 Stunden sind keinesfalls ausreichen – woher kommt diese Forderung? – es geht nicht nur um Angriffserkennung sondern auch um das ermitteln von Baselines zur Angriffseinschätzung.
Aussage: Es dürfen keine externen Unternehmen oder Subunternehmen außerhalb der EU oder des Europäischen Wirtschaftsraums (EWR) mit dem Hosting und der Auswertung der personenbezogenen Daten beauftragt werden.
– Das ergibt sich nicht aus der DSGVO.
Da es sich bei EDR Software um den Stand der Technik handelt, es aktuell keine durchgehend EU basierten Anbieter gibt, bleibt hier nur die Interessenabwägung. Die nach meiner Einschätzung für den Schutz alle im Unternehmen gespeicherten Daten, somit für den Einsatz der EDR votieren würde, da sonst noch viel größere Datenschutzverletzungen wahrscheinlich wären.
Dr. Uwe Schläger
14. Oktober 2021 @ 9:07
Der Einsatz von EDR-Software ist nicht unzulässig, entspricht auch dem „aktuellen Stand der Technik“ gemäß Art. 32 DSGVO, sollte aber verhältnismäßig erfolgen. Und hierzu gehört es u.a., dass die aufgezeichneten Aktivitäten und Algorithmen transparent sind.
Jonas
13. Oktober 2021 @ 17:06
Wie sieht es mit dem „aktuellen Stand der Technik“ in Artikel 32 DSGVO aus? Gehört EDR bei Antivirensoftware nicht inzwischen dazu? Und schützt EDR nicht vor Ransomware- oder sonstigen Angriffen, die ggf. noch viel größere Datenschutzverletzungen zur Folge hätten?