++ Neues im DFN ++
Deutsches Forschungsnetz erprobt Technologie für Terabit-Anschlüsse
Anwender im Deutschen Forschungsnetz realisieren 100-GB/s-Verbindungen in die USA
Gemeinsame Pressemitteilung von ECI und DFN zum Terabit-Testbed
Größere Nutzungskapazität bei DFNVC

Unterdrückung von virenbehafteten E-Mails

I. Ausgangsfall:

Der Nutzer eines universitären Internetzugangs bekommt mit einer E-Mail eine virenbehaftete Anlage zugesandt. Dies wird bereits im Vorfeld vom zentralen Virenscanner erkannt. Es bestehen die folgenden Handlungsmöglichkeiten:

1. Löschung

Die positiv auf Viren getestete E-Mail wird unwiderruflich gelöscht. Damit gehen alle in der E-Mail enthaltenen Daten verloren. Es erfolgt eine Benachrichtigung über die Ausfilterung und Löschung der E-Mail.

 

2. Quarantänelösung

Die E-Mail wird zunächst nicht zugestellt. Der Benutzer erhält eine Nachricht mit der Mitteilung, dass die virenverseuchte E-Mail über ein Web-Interface nach Eingabe der Zugangsdaten abrufbar ist. Zum Schutz des universitären Rechnersystems kann der Zugriff auf diese Seite dann von Rechnern ohne lokalen Virenscanner unterbunden werden. Der Abruf derartiger E-Mails von Mitarbeiterrechnern kann an zusätzliche Bedingungen geknüpft werden (z.B. Haftungsregelungen). Der Zeitraum, für den eine virenbehaftete E-Mail vorgehalten wird, kann in einer Benutzungsordnung festgelegt werden (Vgl. Handlungsempfehlung zur Abwehr von Spam und Viren behafteter Mails).

II. Rechtliche Einordnung

1. Scanvorgang

Beim Einsatz von Virenscannern ist weitestgehend unstrittig, dass ein einfacher „Scanvorgang“, also das bloße Überprüfen von eingehenden E-Mails durch ein Antivirenprogramm, unbedenklich ist (So auch die Landesbeauftragte für den Datenschutz NW, 15. Datenschutzbericht 2001, S. 21 und 16. Datenschutzbericht 2003, S. 101; Köcher, DuD 2004, S. 272 ff.).

2. Anschließende Maßnahmen

Nach Erkennen einer möglichen Gefahr durch einen Virus, muss unter Berücksichtigung der jeweils gegebenen Interessenlage abgewogen werden, wie weiter verfahren wird:

  • Auf der einen Seite steht die vom Betreiber zu erhaltende Systemsicherheit bei der Datenübermittlung und in diesem Zusammenhang auch die organisatorische Gewährleistung des Schutzes personenbezogener Daten innerhalb der Einrichtung (vgl. insbes. für Datenübermittlung § 109 Abs. 1 TKG bzw. die allgemeine Verpflichtung Daten verarbeitender Stellen zur Gewährleistung der Datensicherheit aus den Landesdatenschutzgesetzen, z.B. § 10 DSG NW).
  • Auf der anderen Seite wird durch Abwehrmaßnahmen in einen Telekommunikationsvorgang eingegriffen, so dass unter Umständen das Telekommunikationsgeheimnis Einfluss auf die Beurteilung nehmen kann. Das Telekommunikationsgeheimnis der Nutzer aus § 88 TKG ist dann betroffen, wenn zwischen Einrichtung und Nutzer ein Anbieter-Nutzer-Verhältnis besteht. Hierzu ist nach § 3 Nr. 6 TKG erforderlich, dass die Einrichtung ganz oder teilweise geschäftsmäßig Telekommunikationsdienste erbringt. Der E-Mail-Dienst ist als Telekommunikationsdienst im Sinne von § 3 Nr. 24 TKG anzusehen. Geschäftsmäßig wird der Dienst nach § 3 Nr. 10 TKG dann erbracht, wenn ein nachhaltiges Angebot von Telekommunikation für Dritte mit oder ohne Gewinnerzielungsabsicht bereitgestellt wird. Es kommt daher nicht darauf an, ob die Leistung gewerbsmäßig gegen ein Entgelt erbracht wird, sondern auf ein nachhaltiges Angebot im Sinne einer nicht nur vorübergehenden Bereitstellung. Das Angebot muss jedoch für Dritte erbracht werden, was nur dann der Fall ist, wenn eine private Nutzung des E-Mail-Dienstes durch die Nutzer zulässig ist. In diesem Fall ist insbesondere auch die Strafnorm in § 206 Abs. 2 Nr. 2 StGB zu beachten, nach der die unbefugte Unterdrückung einer einem Post- oder Telekommunikationsunternehmen zur Übermittlung anvertrauten Sendung strafbar ist. Nach einer Entscheidung des OLG Karlsruhe (DuD 2005, 167 ff. m. Anm. Köcher; MMR 2005, 181 ff. m. Anm. Heidrich) können auch Hochschulen unter den Begriff des „Unternehmens“ im Sinne von § 206 Abs. 2 Nr. 2 StGB fallen. Daneben können Abwehrmaßnahmen eine Veränderung des Inhalts der ursprünglichen Mail nach sich ziehen und damit sogar gegebenenfalls den Tatbestand der Datenveränderung aus § 303a StGB verwirklichen (Heidrich/Tschoepe, MMR 2004, S. 79). Ohne die Frage, ob im Ergebnis tatsächlich eine strafbare Datenunterdrückung vorliegt, abschließend zu beantworten, lässt sich dieser Vorschrift im Rahmen der notwendigen Abwägung doch der grundsätzliche Stellenwert entnehmen, der der Materie vom Gesetzgeber zugesprochen wird: Bei allen Maßnahmen ist zu beachten, dass eine manuelle Bearbeitung mit der Möglichkeit der Einsichtnahme in Inhalte und die Daten zu den näheren Umständen des Telekommunikationsvorgangs aufgrund des Telekommunikationsgeheimnisses unterbleibt.

Ist die private Nutzung ausgeschlossen (dies sollte unbedingt ausdrücklich erfolgen, um keine Grauzonen zu schaffen), ist § 206 Abs. 2 Nr. 2 StGB nicht einschlägig. Allerdings ist zu beachten, dass insbesondere im Bereich der Hochschulen andere Nutzungsstrukturen als bei  Unternehmen der gewerblichen Wirtschaft anzutreffen sind. Die Grenzen zwischen dienstlicher und privater Nutzung verschwimmen bei wissenschaftlichem Personal und Studierenden zusehends. So kommt, aufgrund der öffentlichen Aufgaben von Hochschulen, die  Freiheit von Forschung und Lehre aus Art. 5 Abs. 3 GG besonders zum Tragen, wodurch eine scharfe Trennung zwischen privater und dienstlicher Nutzung äußerst schwierig wird. Im Zusammenhang mit Art. 5 Abs. 3 GG ist ebenfalls zu berücksichtigen, dass je nach Fachbereich die Möglichkeit zum Empfang von Schadsoftware erwünscht sein kann, wobei im Falle des unsachgemäßen Umgangs die ohnehin auf den universitären Rechnern vorhandenen lokalen Virenscanner ebenfalls einen gewissen Schutz bieten können. Auch bei einer ausgeschlossenen Privatnutzung muss die Einsichtnahme in Inhalte und Daten zu den näheren Umständen des Telekommunikationsvorgangs die Ausnahme bleiben. Zwar gilt das Telekommunikationsgeheimnis nicht direkt. Der Arbeitgeber hat jedoch im Rahmen seiner Fürsorgepflicht Rücksicht auf das Persönlichkeitsrecht seines Arbeitnehmers zu nehmen. Eine dauerhafte Überwachung ohne konkreten Anlass verletzt jedenfalls das Persönlichkeitsrecht des Arbeitnehmers (vgl. Zilkens, DuD 2005, 255; Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, 3. Aufl., 2004, Rn. 351).

Die rechtliche Beurteilung hängt somit maßgeblich davon ab, ob die private Nutzung in der Einrichtung zulässig ist. 

a) Löschung

Abhängig von der Zulässigkeit der privaten Nutzung ergibt sich folgende Beurteilung:

  • Ist die Privatnutzung ausgeschlossen, kommt eine strafrechtliche Relevanz nach § 206 Abs. 2 Nr. 2 StGB nicht in Betracht. § 303a StGB enthält die Einschränkung auf Unternehmen, die geschäftsmäßig Post- oder Telekommunikationsdienstleistungen erbringen, zwar nicht, jedoch ist hier regelmäßig von einer Rechtfertigung über § 34 StGB auszugehen (Heidrich/Tschoepe, MMR 2004, 79). Allerdings gilt es auch ohne eine mögliche strafrechtliche Relevanz die oben aufgezeigten Besonderheiten im Bereich der Hochschulen bei einer Löschung zu beachten.
  • Ist die private Nutzung zugelassen, kommt eine Verwirklichung von § 206 Abs. 2 Nr. 2 StGB zwar in Betracht. Allerdings wird nach der Entscheidung des OLG Karlsruhe (siehe oben) selbst eine Löschung positiv gescannter E-Mails im Regelfall gerechtfertigt sein. Das Gericht führte hierzu aus, dass „es unter Umständen gerechtfertigt sein kann, eine E-Mail herauszufiltern, beispielsweise dann, wenn sie mit Viren behaftet ist, so dass bei deren Verbreitung Störungen oder Schäden an Telekommunikations- und Datenverarbeitungssystemen eintreten“ (OLG Karlsruhe, s. o.). Im Falle eines positiven Virenchecks fällt die Abwägung demnach zu Gunsten von § 109 TKG und § 10 DSG NW (in den meisten Bundesländern existieren inhaltsgleiche Vorschriften) aus, so dass eine Rechtfertigung regelmäßig in Betracht kommt.

Für beide Fälle gilt allerdings, dass aus Gründen der Verhältnismäßigkeit die Benachrichtigung über die Ausfilterung und Löschung geboten ist, damit Absender und Empfänger wenigstens davon Kenntnis erlangen können, dass die Übermittlung fehlgeschlagen ist und auf welchem Grund das Scheitern beruht (vgl. Hoeren, NJW 2004, 3517; Orientierungshilfe der 63. Konferenz zur datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz, Nr. II i, III 2c).

Ein ganz erheblicher Nachteil der Löschung besteht darin, dass die in der E-Mail enthaltenen Informationen unwiderruflich verloren gehen. Dies kann sich gerade bei zeit- und unternehmenskritischen Informationen erheblich auswirken. Zudem ist der Gesichtspunkt zu beachten, dass der Empfang von Schadsoftware zu Forschungs- und Wissenschaftszwecken erwünscht sein kann.

b) Quarantänelösung

Statt der Löschung bietet sich zum Ausschluss dieser Nachteile eine Quarantänelösung an. Im Falle der gestatteten Privatnutzung kann auch hierdurch der Tatbestand des § 206 Abs. 2 Nr. 2 StGB erfüllt sein, da das Merkmal der Unterdrückung bereits bei einem relevanten Zurückhalten der Nachricht erfüllt ist (OLG Karlsruhe, aaO.). Allerdings greift auch hier die Rechtfertigung ein, wenn es sich um eine positiv auf Viren gescannte E-Mail handelt. Aus Gründen der Verhältnismäßigkeit ist ebenfalls die Benachrichtigung über die Ausfilterung und das Zurückhalten der E-Mail erforderlich (vgl. Hoeren, aaO.).

III. Personalvertretungsrechtliche Betrachtung

Nach den Landespersonalvertretungsgesetzen (z. B. § 72 Abs. 3 Nr. 2 Landespersonalvertretungsgesetz NW) hat der Personalrat meist ein Mitbestimmungsrecht bei der Einführung und Anwendung von technischen Einrichtungen, die geeignet sind, das Verhalten oder die Leistung der Beschäftigten zu überwachen. Schon die üblichen Logdateien eines Virenscanners, aus denen sich entnehmen lässt, wer wann von wem eine mit Viren befallene E-Mail bekommen hat, machen den Einsatz des Systems daher nach den meisten Landespersonalvertretungsgesetzen mitbestimmungspflichtig.

 

Autor(en): Forschungsstelle Recht,  Verantwortlich: A. Rülke
erstellt am:  08.08.2003      aktualisiert am:  07.11.2010