Aktuelles
DFN-Infobrief Recht Ausgabe August 2019 erschienen
Die DFN-Mitteilungen Nr. 95 sind erschienen
NHR geht an den Start
Karriere beim DFN
Leistungssteigerung ermöglicht Nutzercommunity High Speed Netzanbindung von bis zu 200 Gbit/s

Rechtsguide - II. Datentransfer in Netzen und Übermittlung von E-Mails

Welche rechtlichen Anforderungen gilt es bei der Übertragung von Daten über Kommunikationsnetze zu beachten?

Die folgenden Erläuterungen dienen zur ersten Orientierung über wichtige Rechtsfragen, die im Betrieb der Rechenzentren beim Datentransfer in Netzen und der Übermittlung von E-Mails eine Rolle spielen. Soweit vorhanden, wird auf Dokumente mit genaueren Informationen in der Wissensbasis verwiesen. Dieser Rechtsguide und die Zusatzdokumente in der Wissensbasis werden laufend aktualisiert und erweitert.

Einführung

Das folgende Kapitel des Rechtsguides widmet sich wichtigen Rechtsfragen im Zusammenhang mit der Tätigkeit der Datenübermittlung durch die Rechenzentren. Der Schwerpunkt liegt hierbei auf den Problemen im Zusammenhang mit der Bereitstellung des Internetzugangs (Access-Provider) und dem Angebot der Übermittlung von E-Mails (Mail-Provider) für die Nutzer in Hochschulen und Forschungseinrichtungen. Entsprechend der nach den jeweiligen Tätigkeiten differenzierenden Darstellung werden die Rechtsfragen im Zusammenhang mit Inhalten auf eigenen Webseiten und der Zurverfügungstellung von Speicherplatz für fremde Angebote in den folgenden Kapiteln des Rechtsguides dargestellt.

1. Haftung

Von im Internet oder per E-Mail übermittelten Inhalten können zahlreiche Rechtsverletzungen ausgehen. In Betracht kommen z. B. Verletzungen von Urheber- und Markenrechten und Verstöße gegen Strafgesetze. Das besondere Gefahrenpotential liegt darin, dass über das Internet jedermann inhaltlich kaum kontrollierbar Daten von Servern abrufen oder selbst übermitteln kann. Der Zugang zum Internet ermöglicht somit auch die Verbreitung und den Empfang von Informationen in rechtsverletzender Weise. Praktische Beispiele sind die Verbreitung urheberrechtlich geschützter Werke durch E-Mail, FTP-Server, Filesharing oder etwa die Einstellung beleidigender Kommentare in ein Meinungsforum. Der Netzzugang ist somit Ausgangspunkt für legale und illegale Kommunikation über das Internet durch die angeschlossenen Nutzer. Für die Rechenzentren stellt sich dabei die sehr wichtige Frage, ob und inwieweit aufgrund des zur Verfügung gestellten Netzzugangs eine Verantwortlichkeit für durch Nutzer begangene und somit fremde Rechtsverletzungen bestehen kann. Anknüpfungspunkt für eine mögliche Mitverantwortlichkeit ist die Zurverfügungstellung des Netzzugangs. Gegen eine Mitverantwortlichkeit spricht die unmittelbare Begehung durch den Nutzer und die aus rechtlichen und tatsächlichen Gründen fehlende lückenlose Kontrollmöglichkeit durch den Zugangsanbieter.

a) Haftungserleichterung durch §§ 8, 9 Telemediengesetz (TMG)

Diese Sachlage hat der Gesetzgeber erkannt und deshalb Haftungsprivilegierungen in den §§ 8, 9 Telemediengesetz (TMG) erlassen, die auf der europäischen E-Commerce-Richtlinie (RL 2000/31/EG) beruhen. Wenn Hochschulen und Forschungseinrichtungen ihren Angehörigen einen Netzzugang zur Verfügung stellen, gelten die Haftungserleichterungen auch für sie. Zugangsanbieter sind nach den genannten Vorschriften von einer Verantwortlichkeit für fremde rechtswidrige Informationen, die sie in einem Kommunikationsnetz lediglich übermitteln, weitgehend befreit. Dies gilt nach § 9 TMG auch für den Fall einer zeitlich begrenzten Zwischenspeicherung, die lediglich einer effizienteren Übermittlung der Informationen dient, wobei weitere in § 9 TMG explizit aufgezählte spezifische Voraussetzungen erfüllt sein müssen.

Nach § 7 Abs. 1 TMG sind Diensteanbieter hingegen für eigene Informationen, die sie zur Nutzung bereithalten, nach den allgemeinen Gesetzen verantwortlich. Die Haftungsprivilegierungen gelten damit nur für fremde Informationen. Fremd sind hierbei solche Informationen, die nicht der jeweiligen Einrichtung zuzurechnen sind, die also keine eigenen Informationen sind. Fremde Informationen sind beispielsweise die privaten E-Mails eines Mitarbeiters oder Daten, die aufgrund einer privaten Nutzung des einrichtungsinternen Internetzugangs übermittelt werden. Für solche Informationen ist der Zugangsvermittler nicht verantwortlich und somit grundsätzlich nicht haftbar zu machen. Dies gilt gemäß § 8 Abs. 1 S. 1 TMG jedoch nicht, wenn er die Übermittlung der fremden Informationen selbst veranlasst, wenn er den Adressaten der übermittelten Informationen selbst auswählt oder die übermittelten Informationen selbst auswählt oder verändert. Im Normalfall geschieht dies jedoch durch den Nutzer als Veranlasser der Datenübermittlung, während sich der Internetzugangsanbieter auf die Tätigkeit des inhaltsneutralen Datentransports beschränkt. Der Zugangsanbieter kann sich außerdem dann nicht auf seine Nichtverantwortlichkeit berufen, wenn er absichtlich mit einem der Nutzer seines Dienstes zusammenarbeitet, um rechtswidrige Handlungen zu begehen (§ 8 Abs. 1 S. 2 TMG).

Stark umstritten ist jedoch die Frage, unter welchen Umständen ein Access-Provider doch für fremde Rechtsverletzungen in die Pflicht genommen werden kann, obwohl die genannten Voraussetzungen für die Haftungserleichterungen erfüllt sind und der Zugangsanbieter somit eigentlich nicht verantwortlich ist.

b) Pflicht zur Entfernung oder Sperrung von Informationen, § 7 Abs. 2 S. 2 TMG

Ausgangspunkt für die partielle Durchbrechung des Grundsatzes der Nichtverantwortlichkeit für fremde Inhalte ist § 7 Abs. 2 S. 2 TMG. Demnach bleiben Verpflichtungen zur Entfernung oder Sperrung der Nutzung von Informationen nach den allgemeinen Gesetzen auch im Falle der Nichtverantwortlichkeit des Diensteanbieters nach §§ 8, 9 TMG unberührt. Daraus wird gefolgert, dass der nicht verantwortliche Zugangsanbieter dennoch zur Entfernung oder Sperrung fremder rechtsverletzender Informationen verpflichtet sein kann, weshalb die Geltendmachung entsprechender Unterlassungsansprüche möglich sein soll. Praktische Bedeutung erlangt diese Vorschrift dadurch, dass der eigentliche Verursacher oftmals nicht ermittelt werden kann und somit der Provider die einzig greifbare Möglichkeit ist, andauernde oder wiederholte Rechtsverletzungen zu unterbinden.

Aus zivilrechtlicher Sicht kommt eine Inanspruchnahme des Access-Providers insbesondere zur Unterbindung andauernder oder weiterer Verletzungen von sogenannten absoluten, also gegenüber jedermann geltenden Rechten in Betracht, zu denen beispielsweise Urheberrechte und Markenrechte zählen. Grundlage eines möglichen Anspruchs des Verletzten ist die sogenannte Störerhaftung, die im Wege einer analogen Anwendung des § 1004 Abs. 1 Satz 2 Bürgerliches Gesetzbuch (BGB) einen Unterlassungsanspruch begründen kann. Dieser kann dann auf die Verhinderung beziehungsweise Erschwerung des Zugangs zu bestimmten Inhalten mithilfe von Netzsperren (z.B. DNS-, IP- oder URL-Sperren) gerichtet sein, wenn der Rechteinhaber zuvor angemessene Versuche unternommen hat, den unmittelbaren Rechtsverletzer zu ermitteln, dies aber nicht gelungen ist. Zu diesen angemessenen Ermittlungsversuchen gehört nach der Rechtsprechung des Bundesgerichtshofs auch die Einschaltung der staatlichen Ermittlungsbehörden oder die Beauftragung eines Privatdetektivs. Die erforderliche Störereigenschaft kann demjenigen zukommen, der nur mittelbar an einer Rechtsverletzung beteiligt ist. Die mittelbare Beteiligung des Access-Providers besteht in der für die Verletzung mitursächlichen Bereitstellung des Internetzugangs. Um eine ausufernde Haftung der Provider zu vermeiden, fordert der BGH jedoch, dass der Dritte zumutbare Prüfpflichten verletzt haben muss. Dabei sind unter anderem die Größe des jeweiligen Zugangsanbieters und der erforderliche technische, administrative und personelle Aufwand zur Umsetzung von Netzsperren zu berücksichtigen.

Betreiber von WLANs sind gemäß § 8 Abs. 3 TMG ebenfalls von dieser Privilegierung erfasst. Sie können aber durch eine gerichtliche Anordnung dazu verpflichtet werden, den Zugang zu ihrem WLAN durch ein Passwort zu beschränken und dieses nur Nutzern zur Verfügung zu stellen, die sich ihnen gegenüber identifizieren, sodass eine anonyme Nutzung ausgeschlossen ist.

In diesem Zusammenhang ist jedoch hervorzuheben, dass Diensteanbieter nach § 7 Abs. 2 S. 1 TMG nicht allgemein verpflichtet sind, die von ihnen übermittelten oder gespeicherten fremden Informationen zu überwachen oder nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hinweisen. Für anlassbezogene Prüfpflichten dagegen ist die entscheidende Frage stets, ob die begehrte Unterbindung weiterer Rechtsverletzungen zumutbar ist. Dies kann mit guten Gründen bezweifelt werden, bedarf aber in jedem Fall einer Abwägung aller Interessen im Einzelfall. Sollte sich im Nachhinein der Verdacht einer Rechtsverletzung als unbegründet herausstellen, kann der Provider von seinem Kunden gegebenenfalls wegen Vertragsverletzung in Anspruch genommen werden. In Bezug auf eine Sperrung des Internetzugangs sind im Hochschulbereich und in Forschungseinrichtungen bei Maßnahmen gegen Wissenschaftler oder Studierende zudem die Wissenschaftsfreiheit aus Art. 5 Abs. 3 GG und die Berufsfreiheit aus Art. 12 GG in die Entscheidung über eine Sperrung einzubeziehen, was auch nicht ohne Auswirkung auf die Frage der Zumutbarkeit bleiben kann. Erleichtert werden können solche Entscheidungen durch eine ausdrückliche Regelung in der Benutzungsordnung, dass eine vorübergehende Sperrung bis zur Klärung der Rechtslage vorgenommen werden kann. Zu betonen ist, dass lediglich Unterlassungs- und Beseitigungsansprüche gegen mittelbar Verantwortliche geltend gemacht werden können, nicht jedoch Schadensersatzansprüche, da diesen die Haftungsprivilegierungen des Telemediengesetzes entgegenstehen. Daneben besteht für Access-Provider seit der Einführung des zivilrechtlichen Auskunftsanspruchs in § 101 UrhG eine Auskunftspflicht über die Identität eines Nutzers gegenüber Privaten, wie zum Beispiel Inhabern von Urheberrechten. Wird das Rechenzentrum auf Rechtsverletzungen (z. B. Urheberrecht) durch einen Nutzer hingewiesen und aufgefordert, dies durch Sperrung des Zugangs zu unterbinden, sollte der Vorgang so schnell wie möglich an das Justitiariat abgegeben werden.

c) Wer haftet?

(1) Zivilrechtliche Haftung

Soweit das Rechenzentrum für Rechtsverletzungen (mit-) verantwortlich ist, haftet grundsätzlich die Einrichtung/Hochschule beziehungsweise deren Rechtsträger als juristische Person. Dies gilt auch in Bezug auf Fachbereiche und Institute, die in der Regel keine eigene Rechtspersönlichkeit haben und somit als Diensteanbieter im Sinne von § 2 Satz 1 Nr. 1 TMG nicht in Betracht kommen. Mitarbeiter haften in der Regel nicht persönlich, soweit eine Rechtsverletzung in Ausübung ihrer Diensttätigkeit geschieht. Bei Beamten folgt dies aus den Grundsätzen der Amtshaftung gemäß Art. 34 GG; Angestellte haben grundsätzlich einen Haftungsfreistellungsanspruch gegen den Arbeitgeber. Davon unberührt bleiben allerdings eventuelle Haftungsrückgriffe der Hochschule gegen den verantwortlichen Mitarbeiter aus dem Dienstverhältnis. Rückgriffe kommen in Betracht, wenn Dienstpflichten vorsätzlich oder in grobem Maß verletzt wurden und der Hochschule dadurch ein Schaden entstanden ist.

Soweit Aufgaben von Einrichtungen wahrgenommen werden, die keine organisatorischen Untergliederungen der Hochschulen sind, sondern selbständige juristische Personen des öffentlichen Rechts (wie z.B. Studierendenwerke), sind diese selbst und nicht etwa die Hochschule als Diensteanbieter im Sinne des § 2 Satz 1 Nr. 1 TMG anzusehen und können als solche haftbar gemacht werden.

(2) Strafrechtliche Verantwortlichkeit

Strafrechtlich können nur einzelne Personen persönlich verantwortlich sein, nicht die Hochschule oder das Studentenwerk als juristische Personen. Deshalb ist für jeden beteiligten Hochschulangehörigen individuell zu prüfen, ob er sämtliche Voraussetzungen eines Straftatbestandes selbst verwirklicht hat. Die Haftungsprivilegierungen des Telemediengesetzes finden aber auch hier Anwendung.

2. Verdacht auf Straftaten

Die Einrichtungen eines Rechenzentrums können zur Begehung verschiedener Straftaten missbraucht werden. In Betracht kommen z. B. Delikte wie das Ausspähen von Daten nach § 202a StGB, Computersabotage nach § 303b StGB oder Computerbetrug nach § 263a StGB, die Verbreitung rechtswidriger Inhalte oder die Verbreitung beziehungsweise Verschaffung von Kinderpornographie nach § 184b StGB. Besteht der Verdacht, dass ein Benutzer über die Einrichtungen des Rechenzentrums Straftaten begangen hat, so sollten keine Ermittlungen auf eigene Faust angestellt werden. Es sollten nur Beweise gesichert werden (Ausdruck und Speicherung der Dateien, Informierung anderer Mitarbeiter als Zeugen etc.), aber keine neuen Beweise eigenmächtig ermittelt werden. Stattdessen ist frühzeitig die Polizei oder Staatsanwaltschaft zu informieren, um gegebenenfalls Anzeige zu erstatten. Der weitere Verlauf des Ermittlungsverfahrens wird dann von der Staatsanwaltschaft bestimmt, die über die entsprechenden gesetzlichen Befugnisse für Ermittlungen verfügt.

a) Auskünfte an Strafverfolgungsbehörden

Es ist keine Seltenheit, dass Strafverfolgungsbehörden (hierzu zählen die Behörden der repressiven Strafverfolgung, wie z. B. die Staatsanwaltschaft und deren polizeilichen Hilfsbeamten; nicht umfasst sind die Polizeibehörden, sofern sie zur Gefahrenabwehr handeln) an Mitgliedsinstitutionen des DFN-Vereins herantreten, um von diesen Daten ihrer User aus der Online-Kommunikation zu erlangen. Die folgende Übersicht zeigt nur überblicksartig die Befugnisse der Strafverfolgungsbehörden und als Kehrseite die Auskunftsverpflichtung der Rechenzentren auf. Nach der Eingriffsintensität und den daran anknüpfenden formalen Voraussetzungen für ein Auskunftsersuchen der Strafverfolgungsbehörden ist zwischen Bestandsdaten, Verkehrsdaten und Inhalten der Kommunikation zu trennen.

(1) Inhalte der Kommunikation

Inhalte der Kommunikation sind diejenigen Daten, die jedenfalls dem Fernmeldegeheimnis unterliegen. Dies sind im Bereich der Online-Kommunikation vor allem Inhalte von E-Mails oder von VoIP-Verbindungen. Wichtigste gesetzliche Grundlage für die Überwachung sind §§ 100a, 100b Strafprozessordnung (StPO). Neben hohen materiellen Anforderungen muss für die inhaltliche Telekommunikationsüberwachung in formeller Hinsicht eine gerichtliche Anordnung auf Antrag der Staatsanwaltschaft vorliegen. Nur bei Gefahr im Verzug kann die Anordnung auch direkt durch die Staatsanwaltschaft getroffen werden, wobei sie in diesem Fall innerhalb von drei Werktagen gerichtlich zu bestätigen ist. Die Anordnung bedarf in jedem Fall der Schriftform. Wird eine entsprechende schriftliche Anordnung vorgelegt, muss das Rechenzentrum die Überwachung ermöglichen und der Strafverfolgungsbehörde die erforderlichen Auskünfte unverzüglich erteilen.

(2) Verkehrsdaten

Verkehrsdaten sind Daten, die bei der Bereitstellung und Erbringung von Diensten erhoben werden und damit in einem unmittelbaren Zusammenhang mit einem konkreten Kommunikationsvorgang stehen. Hier sind in erster Linie Beginn und Ende von Internetverbindungen, besuchte Webseiten oder dynamisch vergebene IP-Adressen zu nennen. Wollen Strafverfolgungsbehörden solche Verkehrsdaten einholen, stellt der mittlerweile relativ komplexe § 100g StPO die richtige Ermächtigungsgrundlage dar. Die Auskunft kann sich dabei auf in der Vergangenheit oder auch in der Zukunft liegende Kommunikationsvorgänge beziehen. Zu den materiellen Voraussetzungen einer Verkehrsdatenauskunft gehört unter anderem der Verdacht einer Straftat von auch im Einzelfall erheblicher Bedeutung oder der Verdacht, dass eine Straftat mittels Telekommunikation begangen worden ist. Die formellen Voraussetzungen sind weitgehend mit denen der Telekommunikationsüberwachung vergleichbar, sodass auch hier grundsätzlich ein Richtervorbehalt gilt. Unter bestimmten Voraussetzungen sind darüber hinaus auch Standortdaten von der Ermächtigungsnorm des § 100g StPO erfasst. Die genauen Einzelheiten sind insofern im Leitfaden „Auskunftsverlangen von Ermittlungsbehörden“ aufgeführt. Im Falle eines rechtmäßigen Ersuchens nach § 100g StPO ist das Rechenzentrum zur Auskunft verpflichtet. Eine Auskunft über Daten der Vergangenheit ist selbstverständlich nur dann möglich, wenn die entsprechenden Daten noch vorhanden sind und damit noch nicht aufgrund datenschutzrechtlicher Pflichten gelöscht wurden (vergleiche Abschnitt zu datenschutzrechtlichen Anforderungen). Bei einem auf zukünftige Kommunikationsvorgänge gerichteten Auskunftsersuchen müssen die betreffenden Daten entsprechend des richterlichen Beschlusses aufgezeichnet und an die Behörden weitergegeben werden.

(3) Bestandsdaten

Bestandsdaten sind Daten, die für die Begründung und inhaltliche Ausgestaltung eines Vertragsverhältnisses über die Nutzung eines Dienstes erforderlich sind. Dies sind regelmäßig Name, Anschrift des Users oder eine statische IP-Adresse. Für die Bestandsdatenauskunft gilt das sogenannte Doppeltürmodell, demzufolge einerseits die Ermittlungsbehörde eine gesetzliche Grundlage benötigt, die es ihr erlaubt, die jeweiligen Bestandsdaten abzufragen, und andererseits für den Telekommunikationsdiensteanbieter eine gesetzliche Erlaubnisnorm vorliegen muss, die ihm aus datenschutzrechtlicher Sicht die Übermittlung der Daten erlaubt. Letzteres ist § 113 Telekommunikationsgesetz (TKG). Nach § 113 Abs. 1 TKG darf jeder geschäftsmäßige Telekommunikationsdiensteanbieter unter den Voraussetzungen des Absatzes 2 Bestandsdaten an bestimmte Behörden zu Auskunftszwecken übermitteln. Zu den berechtigten Empfängern gehören eine Reihe von Ermittlungs-/Sicherheitsbehörden, die in § 113 Abs. 3 TKG benannt sind. Eine richterliche Anordnung ist nicht erforderlich, sondern es reicht ein Auskunftsverlangen in Textform, welches eine gesetzliche Bestimmung angibt, die der anfragenden Behörde eine Erhebung der Daten erlaubt. Bei Gefahr im Verzug darf das Verlangen auch in anderer Form gestellt werden, ist dann aber unverzüglich in Textform zu bestätigen. Die Auskunftserteilung darf insbesondere auch unter Verwendung dynamischer IP-Adressen erfolgen, was häufig erforderlich ist, wenn beauskunftet werden soll, wer zu einem bestimmten Zeitpunkt eine konkret benannte IP-Adresse genutzt hat. Sind die formellen Voraussetzungen erfüllt, ist der Telekommunikationsdiensteanbieter verpflichtet, dem Ersuchen unverzüglich nachzukommen. Die Verantwortung für die Zulässigkeit des Auskunftsverlangens trägt dabei die anfragende Stelle.
In allen Fällen der staatlichen Auskunftsverlangen muss der in Anspruch genommene Diensteanbieter in der Regel Stillschweigen gegenüber dem Betroffenen und Dritten wahren. Für eine etwaige Benachrichtigung des Betroffenen ist die Behörde zuständig, die die Daten anfragt.
Bei Anfragen von Strafverfolgungsbehörden sollte nicht in Hektik verfallen werden. Vor der Übermittlung sollte immer das Justitiariat über das Ersuchen informiert und die weitere Vorgehensweise abgesprochen werden. Wie gezeigt wurde, sind die Strafverfolgungsbehörden im Rahmen ihrer Ermittlungen an bestimmte gesetzliche Vorgaben gebunden. Dies bedeutet vor allem, dass im Falle von Telekommunikationsüberwachungsmaßnahmen, die Inhalte oder Verkehrsdaten betreffen, nach der StPO eine schriftliche richterliche Anordnung oder ausnahmsweise eine Anordnung der Staatsanwaltschaft vorgelegt werden muss. Für die Bestandsdatenauskunft gelten dagegen niedrigere Hürden. Es empfiehlt sich – bei aller Kooperationsbereitschaft mit den Sicherheitsbehörden – auch in den anderen Fällen nach Möglichkeit zu versuchen, eine schriftliche Bestätigung für die Auskunftserteilung einzuholen. Dies dient in erster Linie dazu, im Nachhinein Vorwürfe über datenschutzrechtliche Verstöße von Seiten der Nutzer auszuräumen.

b) Auskünfte an Polizeibehörden

Seltener ist es, dass die für die Gefahrenabwehr zuständigen Behörden die Herausgabe von User-Daten aus der Online-Kommunikation ersuchen. Hierfür sind jedoch die Landespolizei- beziehungsweise Gefahrenabwehrgesetze der jeweiligen Bundesländer einschlägig. Als Faustformel kann gelten, dass für ein rechtmäßiges Ersuchen der Behörde auf Herausgabe von Inhalts- und Verbindungsdaten eine spezielle Ermächtigungsgrundlage erforderlich ist. Der Verweis auf eine allgemeine ordnungsbehördliche Generalklausel oder die Amtshilfe ist in diesen Fällen regelmäßig nicht ausreichend. Im Hinblick auf Bestandsdaten gilt wiederum § 113 TKG, der voraussetzt, dass sich die für die Gefahrenabwehr zuständige Behörde auf eine spezielle Ermächtigungsnorm stützen kann, die zur Abfrage von Bestandsdaten ermächtigt (z. B. § 20a Abs. 1 S. 1 Nr. 1 Polizeigesetz NRW). Sofern es möglich ist, sollte immer ein Schriftstück mit Angabe der jeweils einschlägigen Befugnisnorm von der anfordernden Behörde verlangt werden.

c) Einbindung in Ermittlungsverfahren und Prävention

Ferner können die Mitarbeiter in Rechenzentren in behördliche Maßnahmen dergestalt eingebunden werden, dass sie z. B. visuelle Wahrnehmungen beziehungsweise Beobachtungen des Nutzerverhaltens an die Staatsanwaltschaft oder Polizei zukünftig weitergeben. Diese Kooperation in Form eines "Augen und Ohren offen halten" ist unbedenklich. Bei einer weitergehenden Zusammenarbeit sollte eine Anordnung von der Staatsanwaltschaft beziehungsweise dem Behördenleiter eingeholt werden. Auf jeden Fall sollte bei Verdacht begangener oder bevorstehender Straftaten zunächst die zuständige Stelle informiert und die weitere Vorgehensweise abgestimmt werden.

3. Nutzungsausschluss bei missbräuchlicher Internet-Nutzung

Bei missbräuchlicher oder rechtswidriger Nutzung des Internetzugangs stellt sich die Frage, unter welchen Voraussetzungen ein Nutzer von der weiteren Nutzung der Dienste des Rechenzentrums ausgeschlossen werden kann. Dies wird vor allem bei besonders schwerwiegenden oder wiederholten Verstößen gegen die Benutzungsordnung oder bei strafbarer Nutzung der Online-Ressourcen relevant. Dementsprechend enthalten die meisten Benutzungsordnungen der DFN-Mitgliedsinstitutionen entsprechende Ausschlusstatbestände, nach denen Nutzer vorübergehend oder dauerhaft in der Nutzung eingeschränkt oder vollständig von der weiteren Internetnutzung ausgeschlossen werden können. Allerdings kann der Ausschluss oder die Beschränkung des Internetzugangs eines Nutzers, z.B. eines Studierenden an einer Hochschule, unter Umständen erhebliche Auswirkungen für den Betroffenen haben, wenn nämlich der Student auf die Informationsrecherche im Internet angewiesen ist. Hier können unter anderem die Wissenschaftsfreiheit (Art. 5 Abs. 3 S. 1 GG), die Berufsfreiheit (Art. 12 GG) oder die Informationsfreiheit (Art. 3 Abs. 1 GG) betroffen sein.

Aus diesem Grund kommt ein dauerhafter und vollständiger Ausschluss eines Studierenden grundsätzlich nur bei besonders schwerwiegenden oder wiederholten Missbräuchen in Betracht. Als Ausprägung des Verhältnismäßigkeitsgrundsatzes ist für jeden Einzelfall zu prüfen, ob nicht weniger einschneidende Maßnahmen, wie die vorübergehende Beschränkung einzelner Internet-Dienste (z.B. nur WWW oder nur E-Mail), möglich sind. Insbesondere bei weniger schwerwiegenden Missbräuchen dürfte zudem eine vorherige Abmahnung und Anhörung des Betroffenen geboten sein. In der Benutzungsordnung sollte ein entsprechendes formelles Ausschlussverfahren mit hinreichend konkreten Ausschlussgründen vorgesehen sein. Allerdings bleibt es grundsätzlich eine Frage des Einzelfalls und der konkreten Umstände, ob und in welchem Umfang ein missbräuchliches Verhalten beziehungsweise die rechtswidrige Nutzung des Internetzugangs durch einen Nutzungsausschluss "sanktioniert" werden kann.

 

4. Welche datenschutzrechtlichen Anforderungen sind zu beachten?

Soweit Rechenzentren durch den Netzzugang und den E-Mail-Dienst geschäftsmäßig Telekommunikationsdienste (TK-Dienste) erbringen, sind die Vorgaben des Fernmeldegeheimnisses und die für den Bereich der Telekommunikation einschlägigen Datenschutzvorschriften des Telekommunikationsgesetzes (TKG) zu beachten. Das geschäftsmäßige Erbringen von Telekommunikationsdiensten setzt keine Gewinnerzielungsabsicht voraus, sondern lediglich ein dauerhaftes Erbringen normalerweise entgeltlicher Dienste gegenüber Dritten, so dass Rechenzentren bei erlaubter Privatnutzung hiervon erfasst werden.

a) Situation bei ausgeschlossener Privatnutzung

Ist die Nutzung der TK-Dienste nur zu dienstlichen Zwecken erlaubt (vollständiges Verbot der Privatnutzung für Beschäftige), kommt die Anwendung der datenschutzrechtlichen Vorschriften des TKG (§§ 88, 91 ff. TKG) nicht in Betracht, da die Hochschule insofern nicht als TK-Diensteanbieter zu qualifizieren ist, weil dazu die Erbringung von TK-Dienstleistungen für Dritte erforderlich wäre. Im Falle der rein dienstlichen Nutzung handelt es sich gewissermaßen nur um eine Erbringung des Dienstes der Hochschule für sich selbst, da die Kommunikation der Mitarbeiter der Hochschule zugerechnet wird. Die Mitarbeiter gelten in dem Fall nicht als außenstehende „Dritte“. Deshalb führt ein Ausschluss der Privatnutzung dazu, dass die telekommunikationsspezifischen Datenschutzanforderungen nicht beachtet werden müssen. Das Verbot der Privatnutzung muss in der Benutzungsordnung oder Dienstvereinbarung ausdrücklich und unmissverständlich erfolgen. Allerdings folgt hieraus keine unbegrenzte Zugriffsmöglichkeit auf die Kommunikationsinhalte, da die Einrichtung auch gegenüber ihren Arbeitnehmern zur Achtung der Persönlichkeitsrechte verpflichtet ist. Die Überwachung von Nutzern über Stichproben hinaus kann somit auch bei einer verbotenen Privatnutzung nur dann in Betracht kommen, wenn tatsächliche Anhaltspunkte für Verstöße oder eine missbräuchliche Nutzung vorliegen.

b) Situation bei erlaubter Privatnutzung

Bei erlaubter oder geduldeter Privatnutzung sind die telekommunikationsspezifischen Datenschutzvorschriften auch durch Hochschulen und Forschungseinrichtungen zu beachten. Relevant sind insbesondere Vorgaben zur Wahrung des Fernmeldegeheimnisses (§ 88 TKG), zum Datenschutz (§§ 91 ff.) und zu technischen Schutzmaßnahmen (§ 109 TKG).

(1) Fernmeldegeheimnis

Grundsätzlich müssen alle, die geschäftsmäßig (mit oder ohne Gewinnerzielungsabsicht) TK-Dienste erbringen, das grundgesetzlich in Art. 10 GG garantierte Fernmeldegeheimnis wahren. Hierzu werden durch § 88 Abs. 1, 2 TKG alle Diensteanbieter verpflichtet, sodass auch Hochschulrechenzentren betroffen sind, sofern eine Privatnutzung der Dienste nicht verboten ist. Danach ist es untersagt, sich über das "für die Erbringung der TK-Dienste einschließlich des Schutzes der technischen Systeme erforderliche Maß" hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen (§ 88 Abs. 3 S. 1 TKG). Die Einsichtnahme in Mail-Postfächer einzelner Nutzer oder die Überwachung des Mail-Verkehrs durch den Systemadministrator sind also ohne Einwilligung der Betroffenen grundsätzlich unzulässig. Dieser allgemeine Schutz des Fernmelde-/Telekommunikationsgeheimnisses wird durch die Vorgaben zur Datensicherheit und zum Datenschutz ergänzt und konkretisiert.

(2) Datenschutzrechtliche Vorgaben

Hochschulen und Forschungseinrichtungen haben bei erlaubter Privatnutzung die telekommunikationsspezifischen Datenschutzvorschriften in §§ 91 ff. TKG zu beachten. Durchgängiger Grundsatz des Datenschutzrechts ist es, dass die Erhebung und der Umgang mit personenbezogenen Daten nur dann erlaubt sind, wenn eine gesetzliche Erlaubnisnorm dies vorsieht oder eine Einwilligung der betroffenen Person vorliegt. Für den Schutz personenbezogener Daten wird im TKG im Wesentlichen zwischen zwei Datenkategorien differenziert.

Aus § 95 TKG ergeben sich die Vorgaben zum Schutz sogenannten Bestandsdaten. Hierbei handelt es sich um Daten, die für die Begründung und inhaltliche Ausgestaltung eines Vertragsverhältnisses über die Nutzung eines Dienstes erforderlich sind. Dies sind beispielsweise Name, Anschrift des Users oder eine fest vergebene IP-Adresse. § 95 TKG erlaubt die Erhebung und Verarbeitung von Bestandsdaten, soweit dies für die Durchführung des Nutzungsverhältnisses erforderlich ist. Die Erlaubnis ist hierbei eng auf die tatsächlich hierfür erforderlichen Daten zu beschränken. So ist beispielsweise kaum vorstellbar, dass der Familienstand eines Nutzers ein erforderliches Datum für die Durchführung des Nutzungsverhältnisses sein kann. Sollen darüber hinaus Bestandsdaten erhoben und verwendet werden, ist die Einwilligung des entsprechenden Nutzers erforderlich, die den Anforderungen des § 4a Bundesdatenschutzgesetz (BDSG) beziehungsweise den vergleichbaren Vorschriften in den Landesdatenschutzgesetzen genügen muss. Unter den Voraussetzungen des § 94 TKG kann die Einwilligung auch elektronisch erklärt werden.

Aus §§ 96 ff. TKG ergeben sich die Vorgaben in Bezug auf die sogenannten Verkehrsdaten. Als solche werden die Daten bezeichnet, die bei der Bereitstellung und Erbringung von Diensten erhoben werden. Hierunter sind in erster Linie Beginn und Ende von Internetverbindungen, übermittelte Datenmengen, besuchte Webseiten oder dynamisch vergebene IP-Adressen zu verstehen. Verkehrsdaten sind somit diejenigen Daten mit zumindest herstellbarem Personenbezug, die bei der tatsächlichen Nutzung des Netzzugangs durch den Nutzer anfallen. Da sie Aufschlüsse über die näheren Umstände der Kommunikation liefern können, werden sie insoweit vom Fernmeldegeheimnis erfasst und genießen damit einen höheren Schutz als die Bestandsdaten. Die Rechtslage ist entsprechend komplexer, wobei auch hier der allgemeine Grundsatz gilt, dass entweder eine gesetzliche Erlaubnis oder eine Einwilligung für die Erhebung und Verwendung der Daten bestehen muss.

§ 96 TKG führt verschiedene Erlaubnistatbestände für die Erhebung von Verkehrsdaten auf:

Es dürfen die zum Aufbau und zur Aufrechterhaltung der Kommunikation und die zur Entgeltabrechnung erforderlichen Daten verwendet werden. Die Befugnisse umfassen damit alle betrieblich notwendigen Daten für die Erbringung der Kommunikationsleistung.

Nach dem Ende der jeweiligen Verbindung sind die Möglichkeiten zur Verwendung auf Grundlage einer gesetzlichen Erlaubnis deutlich eingeschränkt. Dies ist auch für die weitere Speicherung der Daten von Bedeutung. Besteht keine Befugnis zur Verwendung der Daten (mehr), müssen diese nach Beendigung der Verbindung gelöscht werden.

Folgende für den Bereich der Hochschulen und Forschungseinrichtungen in Betracht kommende Befugnisse bestehen nach Beendigung der Verbindung:

Werden Verkehrsdaten zu anderen als den in § 96 Abs. 1 genannten Zwecken verwendet, ist dies gemäß § 96 Abs. 2 unzulässig. Es gibt jedoch einige Rechtsnormen, die ebenfalls den Umgang mit Verkehrsdaten erlauben.

Eine eher theoretische Bedeutung hat mittlerweile die Erlaubnis nach § 96 Abs. 1 i. V. m. § 97 TKG, derzufolge Verkehrsdaten gespeichert und verwendet werden dürfen, soweit sie zur Ermittlung oder Abrechnung von Entgelten benötigt werden. Denn die Internetnutzung ist für Studierende und Mitarbeiter an Hochschulen in aller Regel kostenlos und es gibt keinerlei Abrechnung der in Anspruch genommenen Dienste, zumal eine Abrechnung nach der Menge der übermittelten Daten in Zeiten der Internet-Flatrates meistens nur noch im Mobilfunkbereich vorkommt. Sollte dies ausnahmsweise anders sein, ist zu beachten, dass die Daten zu diesem Zweck erforderlich sein müssen. Wird beispielsweise gegenüber einer Kostenstelle mit mehreren Arbeitsplätzen abgerechnet, ist die gesonderte Dokumentation für jeden Arbeitsplatz nicht erforderlich, da es in der Regel nur auf den Gesamtverbrauch der Kostenstelle ankommt. Wird individuell gegenüber den einzelnen Nutzern abgerechnet, ist in der Regel die Speicherung von zu einem bestimmten Zeitpunkt verwendeten IP-Adressen zur Abrechnung nicht erforderlich, wenn der Verbrauch anhand der Benutzerkennung zugeordnet werden kann. Findet eine interne Abrechnung überhaupt nicht statt, ist die Befugnis für die Einrichtung bedeutungslos. Zu Abrechnungszwecken gespeicherte Daten dürfen ohne gesonderte Erlaubnis oder Einwilligung nicht zu anderen Zwecken verwendet werden. Die Daten dürfen im Regelfall höchstens für 6 Monate seit dem Zeitpunkt der Versendung der Rechnung gespeichert werden.

Von großer praktischer Relevanz ist jedoch die Erlaubnisnorm des § 100 TKG. Dieser erlaubt eine Verwendung von Verkehrsdaten, um Störungen von Telekommunikationsanlagen und dem Missbrauch von TK-Diensten zu begegnen. So darf der Diensteanbieter nach § 100 Abs. 1 TKG zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern an Telekommunikationsanlagen Verkehrsdaten erheben und verwenden. Dies gilt auch für Störungen, die zu einer Einschränkung der Verfügbarkeit von Informations- und Kommunikationsdiensten oder zu einem unerlaubten Zugriff auf Telekommunikations- und Datenverarbeitungssysteme der Nutzer führen können. Zwar setzt die Befugnis zur Speicherung nicht voraus, dass im Einzelfall bereits Anhaltspunkte für eine tatsächliche Störung oder einen Fehler vorliegen, sondern es genügt, dass die in Rede stehende Datenerhebung und -verwendung geeignet, erforderlich und im engeren Sinn verhältnismäßig ist, um abstrakten Gefahren für die Funktionstüchtigkeit des Telekommunikationsbetriebs entgegenzuwirken. Denn das „Erkennen“ von Störungen und Fehlern findet in der Regel in einem Stadium statt, in dem Anhaltspunkte hierfür erst gewonnen werden, also ein konkreter Verdacht noch nicht bestehen muss (BGH, Urteil vom 13.1.2011 – Az.: III ZR 146/10). Allerdings darf die Befugnis nicht dahingehend missverstanden werden, dass Verkehrsdaten zu Zwecken der Fehlererkennung unbegrenzt vorgehalten werden dürfen. Auch in Bezug auf diese Befugnis kommt es maßgeblich auf die Erforderlichkeit der Daten zu diesem Zweck an. Sobald erkennbar ist, dass die Daten für die Erkennung, Eingrenzung oder Beseitigung einer Störung nicht oder nicht mehr benötigt werden, sind diese zu löschen, es sei denn, dass eine anderweitige Befugnis (z. B. Abrechnungszwecke) besteht. Das Gleiche gilt für solche Daten, die bei Vorliegen einer Störung nicht zu deren Eingrenzung oder Beseitigung benötigt werden. Die Rechtsprechung akzeptiert derzeit eine Speicherung für einen Zeitraum von bis zu sieben Tagen, wenn diese Daten zum Erkennen und Beseitigen technischer Störungen benötigt werden (BGH, Urteil vom 3.7.2014 – Az. III ZR 391/13; BGH, Urteil vom 13.1.2011 – Az. III ZR 146/10). Nach sieben Tagen sind sie jedoch zu löschen, soweit keine anderen gesetzlichen Ermächtigungen vorliegen.

Nach § 100 Abs. 3 TKG kann der Diensteanbieter bei Vorliegen zu dokumentierender tatsächlicher Anhaltspunkte auch Verkehrsdaten erheben und verwenden, die zum Aufdecken sowie Unterbinden einer rechtswidrigen Inanspruchnahmen der Telekommunikationsnetze und -dienste, wie z.B. einer Leistungserschleichung, erforderlich sind. Die Voraussetzungen sind deutlich schärfer: es bedarf konkret vorliegender Anhaltspunkte für einen Missbrauch, die zudem dokumentiert werden müssen, und die Datenverwendung muss der Sicherung des Entgeltanspruchs dienen. Für die weiteren Einzelheiten wird auf § 100 Abs. 3 TKG verwiesen. Eine allgemeine, möglicherweise latent vorhandene Missbrauchsgefahr der Netzdienste kann eine präventive Protokollierung aller Verkehrsdaten daher grundsätzlich nicht rechtfertigen. Insgesamt dürfte die praktische Relevanz von § 100 Abs. 3 TKG für Hochschulen und Forschungseinrichtungen eher gering sein.

Eine Erhebung und Verwendung von Verkehrsdaten außerhalb der gesetzlich eingeräumten Befugnisse bedarf der Einwilligung durch den Betroffenen, die den Voraussetzungen des § 4a BDSG oder den vergleichbaren Vorschriften der für die Hochschulen zumeist einschlägigen Landesdatenschutzgesetze genügen muss. Unter den Voraussetzungen des § 94 TKG kann eine Einwilligung auch im elektronischen Verfahren eingeholt werden.

(3) Technische Schutzmaßnahmen zur Datensicherheit

Nach § 109 Abs. 1 TKG haben Diensteanbieter erforderliche technische Vorkehrungen und sonstige Maßnahmen zum Schutz des Fernmeldegeheimnisses und gegen die Verletzung des Schutzes personenbezogener Daten zu treffen, wobei der Stand der Technik zu berücksichtigen ist.

Diese Verpflichtung zur Ergreifung bestimmter technischer Schutzmaßnahmen trifft auch die Rechenzentren der Hochschulen und Forschungseinrichtungen als Diensteanbieter und Betreiber von Netz-Servern und Routern. Im Hinblick auf das Fernmeldegeheimnis muss jeder Diensteanbieter verhindern, dass Eingriffe vorgenommen werden, die nicht von gesetzlichen Erlaubnistatbeständen gedeckt sind, und dass keine unberechtigten Zugriffe erfolgen können. Dies beinhaltet die Verpflichtung, Daten nicht nur vor äußeren Einflussnahmen wie z. B. durch „Hacker“ zu schützen, sondern auch vor eigenmächtigen Einflussnahmen der eigenen Mitarbeiter. Hierbei ist neben technischen Schutzvorkehrungen vor allem an Zugangskontrollen für sensible Bereiche, Zugriffsbeschränkungen auf Datenbestände und an die Schulung der Mitarbeiter in Bezug auf den Umgang mit personenbezogenen Daten zu denken.

Unter der Verletzung des Schutzes personenbezogener Daten, gegen die ebenfalls technische Vorkehrungen zu treffen sind, wird nach der Legaldefinition des § 3 Nr. 30a TKG eine Verletzung der Datensicherheit verstanden, die zum Verlust, zur unrechtmäßigen Löschung, Veränderung, Speicherung, Weitergabe oder sonstigen unrechtmäßigen Verwendung personenbezogener Daten führt, die übertragen, gespeichert oder auf andere Weise im Zusammenhang mit der Bereitstellung öffentlich zugänglicher TK-Dienste verarbeitet werden, sowie der unrechtmäßige Zugang zu diesen.

Verlangt werden die „erforderlichen“ Schutzmaßnahmen, wobei im Sinne eines hohen Schutzniveaus ein strenger Maßstab anzulegen ist. Dennoch muss als Ausfluss des Verhältnismäßigkeitsgrundsatzes der wirtschaftliche Aufwand noch im Verhältnis zu der Bedeutung des zu schützenden Rechtsguts stehen, sodass hier eine Angemessenheitsbewertung vorgenommen werden muss.

Da außerdem der Stand der Technik zu berücksichtigen ist, handelt es sich bei der Verpflichtung nach § 109 Abs. 1 TKG um eine dynamische Verpflichtung, die eine fortwährende Anpassung an die neuen technischen Entwicklungen und Risiken erfordert.

Unabhängig von der Eigenschaft als Diensteanbieter besteht überdies nach der allgemeinen Regelung in § 9 Bundesdatenschutzgesetz (BDSG) und in vergleichbaren Regelungen der zumeist für Hochschulen einschlägigen Landesdatenschutzgesetze die Verpflichtung zu angemessenen Maßnahmen zur Datensicherung in datenverarbeitenden Stellen. Hochschulen und Forschungseinrichtungen haben daher unabhängig von ihrer Eigenschaft als Kommunikationsdiensteanbieter Datenbestände gegen unerlaubte Zugriffe von innen wie außen durch angemessene Maßnahmen zu schützen. Wichtige Beispiele hierfür sind ein wirksamer Passwortschutz und Maßnahmen zum Schutz der Informationsinfrastruktur vor Viren.

5. Datenschutzrechtliche Konsequenzen für die Praxis

Aufgrund der Komplexität werden im Folgenden die praktischen Konsequenzen für die Rechenzentren durch die zu beachtenden datenschutzrechtlichen Vorgaben beispielhaft dargestellt:

a) Protokollierung von Einwahlvorgängen

Eine vollständige, nutzerbezogene Speicherung und Auswertung aller Verbindungs-/ Nutzungsdaten, die beim Netzzugang über Einwahlpunkte oder sonstige Dialog-Server anfallen, ist unzulässig. Es dürfen lediglich die Daten erhoben und gespeichert werden, die für die jeweilige Verbindung zwingend erforderlich sind. Beispielhaft sind derzeit folgende Daten zu nennen:

Zur Identifikation und Zugangskontrolle müssen zu Beginn der Sitzung der Nutzername, das Passwort oder die Rufnummer (bei aktivierter Rufnummernübermittlung) erhoben werden.

Die dynamische IP-Adresse muss aus technischen Gründen (korrektes Routing) während der konkreten Verbindung gespeichert werden. Jedoch besteht nach Beendigung der jeweiligen Sitzung kein betriebstechnisches Bedürfnis mehr für eine weitere Speicherung.

Insbesondere die Dauer, der Umfang der jeweiligen Nutzung (z.B. übertragene Datenmenge) und die näheren Umstände der Telekommunikation (z.B. Mail-Protokolle, aufgerufene Seiten, kontaktierte Server) dürfen ohne Einwilligung des Nutzers über das Ende der Verbindung nur gespeichert werden, soweit dies zu Abrechnungszwecken, zur Störungsbeseitigung oder zur Missbrauchsaufklärung erforderlich ist. Die Erforderlichkeit zu Abrechnungszwecken hat mittlerweile allerdings stark an Relevanz verloren. Zur Störungserkennung und -beseitigung dürfen die erforderlichen Daten bis zu sieben Tage lang gespeichert werden, aber nur soweit dies auch tatsächlich zu diesen Zwecken erforderlich ist (siehe oben II. 4. Lit. b) Die Aufklärung einer - äußerlich unverdächtigen - Nutzung der eigenen Systeme zum unbefugten Eindringen in externe Systeme setzt allerdings tatsächliche Anhaltspunkte für einen Missbrauch voraus. Eine "verdachtsunabhängige", präventive Protokollierung zum Schutz fremder Systeme ist grundsätzlich unzulässig. Aus Datenbeständen, die aus anderen Gründen erhoben werden dürfen (z.B. für Abrechnungszwecke), können allerdings unter Umständen nachträglich die Daten ermittelt werden, die konkrete Indizien für einen Missbrauch enthalten.

Zur Aufklärung von Hacker-Attacken oder sonstigen unberechtigten Zugriffen oder Zugriffsversuchen auf personenbezogene Daten innerhalb des eigenen Systems können daten- beziehungsweise ereignisbezogene Protokolldateien ausgewertet werden (z.B. Zugriffsversuche auf Passwort-Listen etc.).

b) Konsequenzen für Spam- und Virenfilterung in Einrichtungen

Die rechtlichen Vorgaben durch das Fernmeldegeheimnis und den Datenschutz sind auch bei der einrichtungsinternen Ausfilterung von Spam- und Virenmails zu beachten. Für die rechtliche Beurteilung ist zunächst entscheidend, ob in der jeweiligen Einrichtung die private Nutzung des E-Mail-Dienstes durch Mitarbeiter und/oder Studierende zugelassen ist. In diesem Zusammenhang ist darauf hinzuweisen, dass unter Umständen auch bei einer fehlenden ausdrücklichen Regelung eine Erlaubnis zur Privatnutzung anzunehmen ist, wenn sich dies aus einer dauerhaften Übung in der Einrichtung ergibt.

Ist eine Erlaubnis zur privaten Nutzung des einrichtungsinternen E-Mail-Dienstes anzunehmen, stellen sich in Bezug auf zentrale Filtermaßnahmen zur Spam- oder Virenbekämpfung teils schwierige Rechtsfragen, da die Einrichtung dann als Telekommunikationsdiensteanbieter zu qualifizieren ist. In diesem Fall sind die telekommunikationsspezifischen Datenschutzvorschriften in §§ 91 ff. TKG und das Fernmeldegeheimnis aus § 88 TKG zu beachten. Durch die kaum trennbare Vermischung privater und dienstlicher Inhalte ist in der Regel eine differenzierte Behandlung nicht möglich. Anknüpfend an das Fernmeldegeheimnis stellt die Strafnorm des § 206 Abs. 2 Nr. 2 Strafgesetzbuch (StGB) die unbefugte Unterdrückung einer einem Post- oder Telekommunikationsunternehmen anvertrauten Sendung unter Strafe. Dass auch Hochschulen bei einem Eingriff in die Zustellung von E-Mails unter den Begriff des Unternehmens im Sinne dieser Strafnorm fallen können, ergibt sich aus einer Entscheidung des Oberlandesgerichts Karlsruhe (Beschluss vom 10.1.2005 – 1 Ws 152/04 = MMR 2005, S. 181 ff.). Allerdings stand diese Entscheidung nicht im Zusammenhang mit einer Spam- oder Virenfilterung durch die beteiligte Hochschule, so dass die Rechtslage diesbezüglich nicht geklärt ist. Daneben kann bei Abwehrmaßnahmen, bei denen E-Mails gelöscht oder inhaltlich verändert werden, die Gefahr einer strafbaren Datenveränderung nach § 303a StGB in Betracht gezogen werden. Die Komplexität dieser Fragen erfordert eine differenzierte Betrachtung.

(1) Virenfilterung

Erfolgt die Virenfilterung aufgrund eines positiven Prüfergebnisses des Virenscanners, besteht in der Regel eine konkrete Gefahr für die Datensicherheit in der betroffenen Einrichtung. Aus § 109 Abs. 1 TKG und der allgemeinen Verpflichtung datenverarbeitender Stellen zur Gewährleistung der Datensicherheit aus den Datenschutzgesetzen (z. B. § 9 BDSG, § 10 DSG NW) ergibt sich die Pflicht, technische und organisatorische Schutzmaßnahmen zur Gewährleistung der Datensicherheit zu ergreifen. Vor diesem Hintergrund ist im Regelfall selbst die Löschung positiv gescannter E-Mails gerechtfertigt. Somit ist die Maßnahme selbst dann, wenn einer der genannten Straftatbestände eingreift, durch die in der Regel gegebene Rechtfertigung nicht strafbar.

Allerdings ist bei einer Löschung oder sonstigen Vereitelung des Zugangs aus Gründen der Verhältnismäßigkeit die Benachrichtigung der Beteiligten geboten, damit Absender und Empfänger wenigstens Kenntnis davon erlangen können, dass die Übermittlung fehlgeschlagen ist und auf welchem Grund das Scheitern beruht.

Wird die Löschung erwogen, ist zudem zu berücksichtigen, dass dadurch der Einrichtung zeitkritische Informationen verloren gehen können. Als Alternative bietet sich diesbezüglich eine Quarantänelösung an, bei der ein Abruf der verseuchten E-Mails über ein gesichertes Web-Interface zumindest theoretisch möglich bleibt.

(2) Spamfilterung

Schwieriger gestaltet sich die Situation bei der Filterung unerwünschter Werbe-Mails, dem sogenannten Spam. Die Probleme beginnen hier anders als bei der Virenfilterung bereits bei der zuverlässigen Erkennung von Spam-Mails. Die Optimierung inhaltsbezogener Filterprogramme wird laufend durch entsprechende Gegenmaßnahmen der Versender von Spam unterlaufen. Damit scheidet eine auch nur annähernd eindeutige Erkennung von Spam bislang noch aus.

Zuverlässiger bei der Erkennung von Spam sind Verfahren, die an die Herkunft einer E-Mail von einem möglicherweise unsicheren Server anknüpfen. Oftmals werden nicht zureichend gesicherte Mailserver zur Verteilung von Spam-Mails missbraucht. Ergeben sich Hinweise auf Sicherheitsprobleme, wird der entsprechende Server gelistet. Die Folge ist, dass alle E-Mails mit Herkunft von diesem Server bei Anwendern nicht mehr angenommen werden, die sich der entsprechenden Liste zur Spamerkennung bedienen. Angesichts der Tatsache, dass nicht selten auch Mailserver von Wissenschafts- und Bildungseinrichtungen trotz nachweisbar fehlender für den Spamversand geeigneter Sicherheitslücken gelistet werden, erscheint die Transparenz und Zuverlässigkeit dieser Methode äußerst fraglich. Nicht zu vergessen ist, dass E-Mails von solchen Servern ohne weitere Differenzierung abgewiesen werden, so dass mit dem Höchstmaß der Erkennung ein Höchstmaß an Fehlerhaftigkeit einhergeht. Aus diesem Grund ist es unbedingt erforderlich, dass im Falle der Nutzung eines solchen „Blacklisting“-Dienstes ein sorgfältiger und zuverlässiger Anbieter mit einem transparenten Verfahren ausgewählt wird. Nur so kann nachvollzogen werden, wann und warum ein Server gelistet wird und es ist möglich, einen fehlerhaft gelisteten Server wieder zu entfernen.

Neben dem Problem der möglichst sicheren Erkennung von Spam stellt sich die Frage der weitergehenden Vorgehensweise gegen Spam. In Betracht gezogen wird hierbei zumeist die Nichtannahme, die Markierung oder die Löschung spamverdächtiger E-Mails. Bei Maßnahmen, die zu einer Vereitelung der Zustellung von E-Mails führen, ist zu beachten, dass hierdurch bei einer erlaubten Privatnutzung möglicherweise in geschützte Kommunikationsvorgänge eingegriffen wird. Dies betrifft nicht nur den Fall von falsch erkannten Spam-Mails, sondern auch das in Betracht zu ziehende private Interesse am Empfang von Werbemails. Solange die E-Mail durch das Rechenzentrum noch nicht zum Empfang angenommen wurde (Header oder zumindest Body also noch nicht auf dem Empfänger-Server liegen), ist eine Nichtannahme der Mail jedoch strafrechtlich nicht relevant. Die rechtlich sicherste Lösung ist in jedem Fall die Markierung der E-Mails mit dem ermittelten Spam-Wert, die zusammen mit einem entsprechenden Mailprogramm die eigenständige Ausfilterung durch den Nutzer ermöglicht. Bei der Markierung von E-Mails ist aus rechtlichen Gründen unbedingt darauf zu achten, dass die Markierung im Header und nicht im Subject (Betreff) der E-Mail erfolgt.

Ist die Nutzung des einrichtungsinternen E-Mail-Dienstes nur zu Dienstzwecken erlaubt, kommt die Anwendung der telekommunikationspezifischen Datenschutzvorschriften in §§ 91 ff. TKG nicht in Betracht. Auch das in § 88 TKG geregelte Fernmeldegeheimnis findet in diesem Fall keine Anwendung. Die auf das Fernmeldegeheimnis Bezug nehmende Strafnorm in § 206 Abs. 2 Nr. 2 StGB ist somit ebenfalls nicht einschlägig. Zu beachten ist, dass der Ausschluss der Privatnutzung ausdrücklich und unmissverständlich gegenüber den Nutzern erfolgen sollte, damit keine Grauzonen entstehen können.

Wenn dies beachtet wird, stellen sich ansonsten in Bezug auf die Spam- und Virenfilterung durch die Einrichtung keine spezifischen Rechtsprobleme.

     aktualisiert am: 13.07.2017 |