Sommer 2008: Telekom-Skandal und die Folgen

Vorgeblich nur um undichte Stellen in der Kommunikation zwischen Aufsichtsrat und Presse zu finden, hat die Telekom - über längere Zeiträume hinweg - die Telefon-Verbindungsdaten von Mitarbeitern und Kunden überwacht und durch eine externe Firma auswerten lassen. Klarer Verstoß gegen Grundgesetz, Fernmeldegesetz und Datenschutzgesetz. Entsprechend groß ist auch die Aufregung. Verantwortlich: bisher niemand. Man ahnt, wie die Suche ausgehen wird...

Innerhalb eines jeden größeren Unternehmens werden Verbindungsdaten und ähnliche Daten wie z.B. der Zugriff auf bestimmte Programme oder Dateien in ausführlichem Maße aufgezeichnet. Meistens kümmert sich niemand darum, was mit diesen Protokollen geschieht.

Aufgezeichnet werden in der Regel Verbindungs- oder Zugriffsdaten bei der Festnetz- und der mobilen Telefonie, bei der Elektronischen Post, beim Zugriff auf Internet-Seiten und manchmal auch auf die nur unternehmensinternen Intranet-Seiten. Im Rahmen so unschuldig klingender Anwendungen wie Softwareinventarisierung kann jeder Zugriff auf einzelne Programme festgehalten werden. Intrusion Detection-Programme überwachen unter dem Gesichtspunkt des Netzwerkschutzes Datenströme an unterschiedlichsten Stellen. Der neueste Hit ist "Forensische Software", bei der Speicherzustände der Client-Rechner festgehalten werden und von einer fernen Stelle bei Bedarf jederzeit abgerufen werden können - so kann man dann auch noch feststellen, was Benutzer gelöscht haben. Alle diese Informationen werden zusammen mit Informationen über den Zeitpunkt des Geschehens und natürlich der Benutzeridentifikation gespeichert.

Das Überwachungspotenzial dieser harmlos klingenden Daten ist enorm hoch. Wertet man die Protokolle aus, so kann jederzeit nachgewiesen werden, wer was wann getan hat. Mails oder sonstige Datenströme können sogar nach dem Vorkommen bestimmter Reizwörter untersucht werden - landet das überwachende System einen Treffer, so kann ein Alarm ausgelöst werden, all dies in der Regel natürlich hinter dem Rücken der Benutzer, ohne deren Wissen.

Bisher hat man allzu leichtgläubig den Administratoren vertraut., der Personengruppe, die Zugriff auf diese Protokolldaten hat. In vielen Firmen sind diese Tätigkeiten aber längst Opfer von Outsourcing-Initiativen geworden. Unternehmensfremde Leute nehmen die Aufgaben wahr - ganz nebenbei ein El Dorado für die Einschleusung von Maulwürfen. Wer also ein Unternehmen ausspähen will, der platziere eine Hilfskraft bei einem dieser Provider ...

Im Unterschied zur Telekom hat das Geschehen in den Unternehmen (in der Regel) nicht mit Kundendaten, sondern nur mit Mitarbeiterdaten zu tun. Die dazu benutzten Systeme sind allesamt technische Einrichtungen im Sinne des § 87 Abs. 1 Nr. 6 BetrVG und mitbestimmungspflichtig. Das heißt: Der Betriebsrat kann eine Regelung erzwingen, in der festgelegt wird, ob und wenn ja in welcher Form solche Programme eingesetzt werden dürfen.

Was ist zu tun? Zunächst sollte der Betriebsrat sich einen Überblick verschaffen, welche Überwachungen von Verbindungs- und Zugriffsdaten überhaupt erfolgen. Im Anschluss daran geht kein Weg daran vorbei, die Dinge in entsprechenden Betriebsvereinbarungen zu regeln.

 

Karl Schmitz, Juni 2008

Bisherige Streiflicher...

Haben Sie Fragen zum Thema? Brauchen Sie Unterstützung? Wir beraten Sie gerne!
tse GmbH - info@tse.de - 040/366951,-52