Datenschutz und Datensicherheit bei der betrieblichen Anwendung von E-Mail-Systemen

Inhaltsverzeichnis

1. ZIELSETZUNG UND VORGEHENSWEISE

2. GESETZLICHER RAHMEN

2.1. BUNDESDATENSCHUTZGESETZ (BDSG)

2.2. EU - DATENSCHUTZRICHTLINIE

2.3. MULTIMEDIAGESETZE

2.3.1. Telekommunikationsgesetz (TKG)

2.3.2. Teledienstegesetz (TDG)

2.3.3. Teledienstedatenschutzgesetz (TDDSG)

2.3.4. Signaturgesetz (SigG)

2.4. KOLLEKTIVES ARBEITSRECHT

3. AUS DEM RECHTLICHEN RAHMEN ABGELEITETE GRUNDSÄTZLICHE ANFORDERUNGEN

3.1. MAIL-SICHERHEIT

3.2. SICHERHEIT DER INHALTSDATEN GEGENÜBER DER ADMINISTRATION

3.3. ABSCHOTTUNG DER VERBINDUNGSDATEN

3.4. KONFIGURIERBARKEIT DER VERBINDUNGSPROTOKOLLIERUNG

3.5. AUTHENTIZITÄT VON EMAILS

4. ANFORDERUNGEN BEI BETRIEBLICHEN ANWENDUNGEN

4.1. ORGANISATIONSMODELLE

4.2. INTERNE E-MAIL

4.3. EXTERNE E-MAIL

4.4. E-MAILS AUTOMATISCH UM- ODER WEITERLEITEN

4.5. PROTOKOLLIEREN VON EMPFANG UND VERSAND

4.6. ATTACHMENTS

4.7. VERSCHLÜSSELUNG UND SIGNATUREN

5. E-MAIL -PROTOKOLLE

5.1. X.400

5.2. SIMPLE MAIL TRANSPORT PROTOCOL, RFC 821

6. SCHEMA FÜR DIE DS - BEWERTUNG

6.1. GRUNDLEGENDE KONZEPTE DER BETRACHTETEN SOFTWARE

6.2. VERSAND VON MITTEILUNGEN

6.3. EMPFANG VON MITTEILUNGEN

6.4. SPEICHERUNG DER DATEN

6.5. SCHUTZ VOR UNBEFUGTEM ZUGRIFF

6.6. VERSCHLÜSSELUNG UND SIGNATUREN

6.7. PROTOKOLLIERUNG DER E-MAIL-AKTIVITÄTEN

7. ANWENDUNG DES PRÜFSCHEMAS AUF AUSGEWÄHLTE SOFTWAREPRODUKTE

7.1. LOTUS NOTES / DOMINO SERVER

7.1.1. Grundlegende Konzepte von Notes / Domino

7.1.2. Versand von Mitteilungen

7.1.3. Empfang von Mitteilungen

7.1.4. Speicherung der Daten

7.1.5. Schutz vor unbefugtem Zugriff

7.1.6. Verschlüsselung

7.1.7. Protokollierung der E-Mail-Aktivitäten

7.2. EXCHANGE SERVER 5.5

7.2.1. Grundlegende Konzepte

7.2.2. Versand von Mitteilungen

7.2.3. Empfang von Mitteilungen

7.2.4. Speicherung der Daten

7.2.5. Schutz vor unbefugtem Zugriff

7.2.6. Verschlüsselung

7.2.7. Protokollierung der E-Mail-Aktivitäten

7.3. E-MAIL-TRANSPORT MIT INTERNET-STANDARDS

7.3.1. Grundlegende Konzepte der betrachteten Software

7.3.2. Versand von Mitteilungen

7.3.3. Empfang von Mitteilungen

7.3.4. Speicherung der Daten

7.3.5. Schutz vor unbefugtem Zugriff

7.3.6. Verschlüsselung

7.3.7. Protokollierung der E-Mail-Aktivitäten

8. SECURITY POLICIES

8.1. BEISPIEL EINER SECURITY POLICY:

8.1.1. Private Nutzung ist gestattet.

8.1.2. Institutionelle E-Mails: Die E-Mails werden bei Eingang geprüft und ggf. an die Abteilungen oder Sachbearbeiter weiterverteilt.

8.1.3. Vertretungsregelung: Sämtliche an das persönliche Postfach adressierten E-Mails werden an die Absender mit einem entsprechenden Hinweis und der Angabe er E-Mail-Adresse der Vertretung zurückgeschickt.

8.1.4. Beim dienstlich erforderlichen Zugriff auf fremde dienstliche Postfächer werden die Besitzer der Postfächer und der ggf. Betriebsrat informiert.

8.1.5. Protokolldateien der E-Mail-Systeme, werden nicht länger als nötig, maximal 14 Tage, nach dem FIFO-Prinzip gespeichert.

8.1.6. Der Zugriff auf die Verbindungsdaten durch die Administratoren muss protokolliert werden.

8.1.7. Zugriffe auf die Postfächer zu Zwecken der Administration dürfen nur protokolliert erfolgen.

8.1.8. Variante der Security Policy:

8.1.9. Private Postfächer per Webmail

8.2. UMSETZUNG DER SECURITY POLICY MIT LOTUS NOTES / DOMINO

8.2.1. Institutionelle Postfächer: Die E-Mails werden bei Eingang geprüft und ggf. an die Abteilungen oder Sachbearbeiter weiterverteilt.

8.2.2. Vertretungsregelung: Sämtliche an das persönliche Postfach adressierten E-Mails werden an die Absender mit einem entsprechenden Hinweis und der Angabe er E-Mail-Adresse der Vertretung zurückgeschickt.

8.2.3. Dienstlich erforderlicher Zugriff auf fremde dienstliche Postfächer.

8.2.4. Protokolldateien der E-Mail-Systeme, werden nicht länger als nötig, maximal 14 Tage, nach dem FIFO-Prinzip gespeichert.

8.2.5. Der Zugriff auf die Verbindungsdaten durch die Administratoren muss protokolliert werden.

8.2.6. Zugriffe auf die Postfächer zu Zwecken der Administration dürfen nur protokolliert erfolgen.

8.3. UMSETZUNG DER SECURITY POLICY MIT EXCHANGE

8.3.1. Institutionelle Postfächer: Die E-Mails werden bei Eingang geprüft und ggf. an die Abteilungen oder Sachbearbeiter weiterverteilt.

8.3.2. Vertretungsregelung: Sämtliche an das persönliche Postfach adressierten E-Mails werden an die Absender mit einem entsprechenden Hinweis und der Angabe er E-Mail-Adresse der Vertretung zurückgeschickt.

8.3.3. Dienstlich erforderlicher Zugriff auf fremde dienstliche Postfächer.

8.3.4. Protokolldateien der E-Mail-Systeme, werden nicht länger als nötig, maximal 14 Tage, nach dem FIFO-Prinzip gespeichert.

8.3.5. Der Zugriff auf die Verbindungsdaten durch die Administratoren muss protokolliert werden.

8.3.6. Zugriffe auf die Postfächer zu Zwecken der Administration dürfen nur protokolliert erfolgen.

8.4. UMSETZUNG DER SECURITY POLICY MIT INTERNETPROTOKOLLEN

8.4.1. Institutionelle Postfächer: Die E-Mails werden bei Eingang geprüft und ggf. an die Abteilungen oder Sachbearbeiter weiterverteilt.

8.4.2. Vertretungsregelung: Sämtliche an das persönliche Postfach adressierten E-Mails werden an die Absender mit einem entsprechenden Hinweis und der Angabe er E-Mail-Adresse der Vertretung zurückgeschickt.

8.4.3. Dienstlich erforderlicher Zugriff auf fremde dienstliche Postfächer.

8.4.4. Protokolldateien der E-Mail-Systeme, werden nicht länger als nötig, maximal 14 Tage, nach dem FIFO-Prinzip gespeichert.

8.4.5. Der Zugriff auf die Verbindungsdaten durch die Administratoren muss protokolliert werden.

8.4.6. Zugriffe auf die Postfächer zu Zwecken der Administration dürfen nur protokolliert erfolgen.

Zielsetzung und Themen

Die Arbeit untersucht, inwieweit der betriebliche Einsatz von E-Mail-Systemen die Persönlichkeitsrechte der Arbeitnehmer beeinträchtigen kann und wie durch technische und organisatorische Maßnahmen ein angemessener Datenschutz und Datensicherheit gewährleistet werden können, ohne die betriebliche Effizienz zu gefährden.

• Analyse des gesetzlichen Rahmens für Datenschutz und Datensicherheit bei E-Mail-Nutzung
• Konkretisierung der Anforderungen an E-Mail-Systeme aus betrieblicher Sicht
• Untersuchung von Protokollierungsmöglichkeiten und deren Potenzial zur Verhaltenskontrolle
• Evaluation ausgewählter Softwareprodukte (Lotus Notes, Exchange, Internet-Standards) anhand eines Prüfschemas
• Entwicklung modellhafter Security Policies für den datenschutzkonformen Betrieb

Auszug aus dem Buch

Zusammenfassung der Kapitel

1. ZIELSETZUNG UND VORGEHENSWEISE: Einleitung in die Problematik elektronischer Nachrichten am Arbeitsplatz und Definition der Zielsetzung der Arbeit.

2. GESETZLICHER RAHMEN: Überblick über die relevanten Gesetze wie BDSG, TKG, TDG und das kollektive Arbeitsrecht.

3. AUS DEM RECHTLICHEN RAHMEN ABGELEITETE GRUNDSÄTZLICHE ANFORDERUNGEN: Herleitung sicherheitstechnischer und datenschutzrechtlicher Anforderungen aus den gesetzlichen Vorgaben.

4. ANFORDERUNGEN BEI BETRIEBLICHEN ANWENDUNGEN: Spezifikation betrieblicher Anforderungen an E-Mail-Systeme inklusive Organisationsmodellen und Sicherheitsaspekten.

5. E-MAIL -PROTOKOLLE: Darstellung und Analyse der Funktionsweise von X.400 und SMTP/ESMTP.

6. SCHEMA FÜR DIE DS - BEWERTUNG: Vorstellung eines Prüfschemas zur systematischen Bewertung der Datenschutz- und Sicherheitseigenschaften von E-Mail-Software.

7. ANWENDUNG DES PRÜFSCHEMAS AUF AUSGEWÄHLTE SOFTWAREPRODUKTE: Anwendung des Prüfschemas auf Lotus Notes/Domino, Exchange Server 5.5 und Internet-Standards.

8. SECURITY POLICIES: Entwicklung und Umsetzung von Sicherheitsrichtlinien für den betrieblichen E-Mail-Einsatz unter verschiedenen technologischen Bedingungen.

Schlüsselwörter

Datenschutz, Datensicherheit, E-Mail-Systeme, BDSG, TKG, Betriebliches Arbeitsrecht, Verschlüsselung, Digitale Signatur, Protokollierung, Leistungs- und Verhaltenskontrolle, Lotus Notes, Exchange Server, SMTP, X.400, Security Policy.

Häufig gestellte Fragen

Worum geht es in der Arbeit grundsätzlich?

Die Arbeit beschäftigt sich mit den datenschutzrechtlichen und sicherheitstechnischen Herausforderungen beim Einsatz von E-Mail-Systemen im betrieblichen Umfeld.

Was sind die zentralen Themenfelder?

Die Schwerpunkte liegen auf der rechtlichen Einordnung (Gesetze, Betriebsvereinbarungen), den Anforderungen an technische Systeme und der Implementierung von Sicherheitsrichtlinien.

Was ist das primäre Ziel der Arbeit?

Das Ziel ist es, aufzuzeigen, wie Persönlichkeitsrechte von Mitarbeitern gewahrt werden können und welche technischen Maßnahmen nötig sind, um E-Mail-Systeme sicher und datenschutzkonform zu betreiben.

Welche wissenschaftliche Methode wird verwendet?

Die Arbeit kombiniert eine Analyse der Gesetzeslage mit einer technischen Untersuchung gängiger E-Mail-Systeme anhand eines selbst entwickelten Prüfschemas.

Was wird im Hauptteil behandelt?

Der Hauptteil analysiert detailliert die Softwareprodukte Lotus Notes/Domino, Microsoft Exchange 5.5 und Internet-Standards (SMTP/IMAP) auf ihre Eignung und Konfigurierbarkeit hinsichtlich der Anforderungen.

Welche Schlüsselwörter charakterisieren die Arbeit?

Die zentralen Begriffe sind Datenschutz, Datensicherheit, E-Mail-Protokolle, Betriebsverfassungsrecht, Sicherheitsrichtlinien (Security Policies) und Zugriffskontrolle.

Wie unterscheidet die Arbeit zwischen verschiedenen Postfächern?

Die Arbeit differenziert zwischen institutionellen Postfächern (abteilungsbezogen), persönlichen Postfächern (individuell) und privaten Postfächern zur Trennung von Berufs- und Privatleben.

Welche Rolle spielen Administratoren bei der Datensicherheit?

Administratoren haben systembedingt Zugriff auf alle Daten, weshalb die Arbeit die Notwendigkeit einer strikten Protokollierung und Zugriffsbeschränkung für Admin-Aktivitäten hervorhebt.