Internetrecht

Die Beweissicherung für Admins in Unternehmen

In Unternehmen finden mittlerweile die meisten Straftaten oder Pflichtverletzungen in digitaler Form statt. Da stellt sich unmittelbar die Frage welche Daten vom Unternehmen gespeichert werden dürfen, um diese später möglicherweise als Beweis in einem Verfahren einzubringen. Schließlich muss auch die Frage geklärt werden, inwieweit der Admin des Unternehmens verpflichtet werden kann an der Übermittlung der Beweise mitzuwirken.

Gesetz sieht Speicherungspflichten für Geschäftsunterlagen vor

Unternehmer haben von Gesetzes wegen die Pflicht bestimmte Geschäftsunterlagen aufzubewahren. Das Handels- und das Steuerrecht sehen vor, dass Unternehmer manche Geschäftsdaten bis zu zehn Jahre speichern müssen. Auch in anderen Bereichen finden sich ähnliche Vorschriften. Sie sind für die Praxis jedoch weniger von Bedeutung. Die steuerrechtliche Aufbewahrungspflicht ist überwiegend in §147 der Abgabenordnung geregelt. Sie gilt unter anderem für Inventare, Jahresabschlüsse, Bilanzen und den Austausch von Handels- oder Geschäftsbriefen. Im Grunde genommen für alle Unterlagen, die für die Besteuerung von Bedeutung sein könnten. Für bestimmte Berufe oder Tätigkeiten können weitere Unterlagen für die Besteuerung von Bedeutung sein. Beispielsweise regelt das Handelsgesetzbuch, dass Bewachungsbetriebe Auftragsbücher führen müssen.

In vielen Unternehmen liegt die Schwierigkeit darin die Unterlagen richtig einzuordnen. Ein Geschäftsbrief liegt zum Beispiel nicht vor, wenn der Austausch letztlich nicht zum Geschäftsabschluss geführt hat. Werbeprospekte haben ebenfalls keinen Geschäftsbriefcharakter. Unter Geschäftsbriefen sind selbstverständlich auch E-Mails gemeint. Die Anhänge der E-Mails müssen nur dann mitgespeichert werden, wenn die E-Mail für sich genommen unverständlich ist oder nur unzureichende Informationen enthält.

Speicherung von URLs und IP-Adressen

Zu Sicherheitszwecken und auch um das Surfverhalten der Arbeitnehmer zu überwachen, speichern viele Unternehmen die besuchten URLs ihrer Arbeitnehmer und die dabei verwendeten IP- Adressen. Sie nutzen dazu sogenannte Webtracking Tools. Die Speicherung dieser Daten kann sehr hilfreich sein, denn nicht selten sind Software Probleme und der Datenmissbrauch oder – Verlust auf ein rechtswidriges Verhalten der Arbeitnehmer zurückzuführen. Der Arbeitgeber haftet schließlich nach §130 OWiG, wenn dieser seine Mitarbeiter nicht hinreichend überwacht und dadurch Rechtsverstöße begangen werden.

Die Beantwortung der Frage, ob eine solche Speicherung erlaubt ist, richtet sich nach den datenschutzrechtlichen Vorschriften im Telekommunikationsgesetz (TKG), im Telemediengesetz (TMG) und im Bundesdatenschutzgesetz (BDSG). Erlaubt der Arbeitgeber seinen Arbeitnehmern die private Nutzung des Firmencomputers, ist der Arbeitgeber als Telekommunikationsanbieter zu qualifizieren. Er darf somit grundsätzlich Daten speichern, die zur Erkennung, Eingrenzung oder der Beseitigung von Störungen oder Fehlern im System dienen können. Das tracken der URL´s und IP Adressen ist jedoch nicht davon umfasst, denn das Speichern dieser Daten hilft nicht dabei Fehler und Störungen zu unterbinden oder vorzeitig zu erkennen, da der Zugriff zu keinem Zeitpunkt verhindert wird. Insofern müssen Arbeitgeber hier vorsichtig sein. Die bloße präventive Speicherung von IP-Adressen und URL´s ist nicht erlaubt und vom TKG nicht gedeckt. Das gleiche Prinzip gilt beim TMG. Auch hier bedarf es für die zulässige Speicherung eines konkreten Tatverdachts zum Zeitpunkt der Speicherung.

Eine präventive Speicherung ist jedoch auf Grundlage des BDSG erlaubt. §32 BDSG sieht vor, dass personenbezogene Daten, zu denen auch die IP Adressen zählen, gespeichert werden dürfen, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder für dessen Durchführung oder Beendigung erforderlich ist. Wer während der Arbeit das Internet vertragswidrig nutzt, verletzt seine arbeitsvertraglichen Pflichten, sodass hier die präventive Speicherung der Daten für das Beschäftigungsverhältnis von Relevanz ist. Bei der Speicherung muss jedoch der Grundsatz der Datensparsamkeit und der Datenvermeidung beachtet werden. Es dürfen immer nur die erforderlichen Daten gespeichert werden. Es muss eine Abwägung stattfinden zwischen dem objektiven Interesse des Arbeitgebers, der in seinem Recht am eingerichteten und ausgeübten Gewerbebetrieb betroffen ist und dem Persönlichkeitsrecht des Arbeitnehmers. Das Grundrecht auf informationelle Selbstbestimmung spielt dabei als Ausprägung des allgemeinen Persönlichkeitsrechts eine große Rolle. Personenbezogene Daten dürfen nach §32 BDSG auch bei Vorliegen eines konkreten Straftatverdachts erhoben, verarbeitet oder genutzt werden.

Die Speicherung personenbezogener Daten ist nach §4 BDSG auch immer dann zulässig, wenn der Betroffene eingewilligt hat. Voraussetzung für eine wirksame Einwilligung ist immer, dass der Betroffene im Klaren darüber ist, welche konkreten Daten zu welchem Zweck erhoben werden. Hier besteht häufig das Problem, dass die Einwilligung im Nachhinein für Unzulässig erklärt werden kann. In so einem Fall, dürfen die Daten nicht ausgewertet werden und im Verfahren als Beweis dienen.

In welcher Form müssen die Daten gespeichert werden?

Manche Daten müssen im Original aufbewahrt werden. Rechnungen und Handels- und Geschäftsbriefe dürfen jedoch auf Bild- oder Datenträgern aufbewahrt werden. Wichtig ist hier nur, dass die Unterlagen während der gesamten Aufbewahrungszeit lesbar bleiben. Admins müssen darauf achten, dass die Datenträger oder das Format, indem die Daten abgespeichert sind, auch nach Jahren noch lesbar sind und ein Zugriff auf die Daten uneingeschränkt möglich bleibt. Bei der Aufbewahrung verschlüsselter E-Mails ist es wichtig dafür zu sorgen, dass der Verschlüsselungscode jederzeit zur Verfügung steht.

Verpflichtungen des Admins als Zeuge im Strafverfahren

Durch die zunehmend digitale Speicherung in Unternehmen, kommt der Zeugenpflicht des Admins bei der Beweissicherung im Strafverfahren eine besondere Bedeutung zu. Häufig wird der Admin bei Ermittlungsverfahren direkt bei der Durchsuchung vor Ort als Zeuge vernommen. Dies ist rechtlich im Strafverfahren grundsätzlich möglich. Es stellt sich sodann die Frage inwiefern der Admin in seiner Stellung als Zeuge verpflichtet ist die gespeicherten Daten herauszusuchen und aufzubereiten. Grundsätzlich sind sich Rechtsprechung und Juristen einig: Der Admin muss lediglich das preisgeben, was er durch seine tägliche Arbeit an Wissen erlangt hat: Die Art und Weise wie die Soft und Hardware konfiguriert ist, die Art und Weise der Datensicherung, Informationen über Sicherungsmechanismen oder sonstige Zugangsberechtigungen.

Der Admin kann in seiner Stellung als Zeuge nicht gezwungen werden die Daten nach bestimmten Kriterien zu sortieren oder auszuwerten. Es gehört nicht zu den Aufgaben eines Zeugen die Sicherung und Auswertung der vorgefundenen Beweismittel zu erleichtern. Er ist lediglich in der Pflicht sein Wissen und seine Wahrnehmungen kundzutun. Selbstverständlich darf er jedoch freiwillig seine Hilfe anbieten. Zur Herausgabe ist er erst dann verpflichtet, wenn die Staatsanwaltschaft auf Grundlage einer weiteren Norm einen Herausgabeanspruch geltend macht (§95 StPO). Jedoch geht die Verpflichtung zur Herausgabe nicht so weit, dass damit auch eine Verpflichtung zur Herausgabe zusammen mit einer Auswertung umfasst wäre. Eine Kopie einzelner Daten kann im Einzelfall verlangt werden, wenn damit ein weitergehender Eingriff in die Rechte des Betroffenen vermieden wird.

Fazit: Ein Unternehmen muss bei der Speicherung von Daten diverse gesetzliche Regelungen beachten, die hier klare Grenzen vorsehen. Im Rahmen eines Strafverfahrens muss der Admin als Zeuge sein Wissen preisgeben und gegebenenfalls die gespeicherten Datensätze herausgeben. Zu einer Auswertung der Daten ist er nicht verpflichtet.

 

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (1 Bewertungen, Durchschnitt: 5,00 von 5)

RSSKommentare (0)

Kommentar schreiben | Trackback URL

Kommentar schreiben

Mit dem Absenden des Kommentars erklären Sie sich mit den Datenschutzbestimmungen einverstanden.

Jetzt unseren Newsletter abonnieren

E-Mail-Adresse eingeben und immer auf dem Laufenden bleiben:
×