Data Loss Prevention-Systeme im Spannungsfeld zwischen Risikovorsorge, Sicherheitsmassnahme und Datenschutz
Data Loss Prevention-Systeme versprechen die für Unternehmen durch ungewollten Datenabfluss entstehenden Geschäftsrisiken zu minimieren. Spätestens seit für Steuersünder-CDs Millionen bezahlt werden, steht der Schutz vor Bedrohungen von innen, die durch kriminelle Absicht oder unwissentlich durch Irrtum und Nachlässigkeit von Mitarbeitern verursacht werden, ganz oben auf der Agenda von IT-Verantwortlichen. Die (Echtzeit-)Überwachung des unternehmensinternen Datenverkehrs ist aber arbeits- und datenschutzrechtlich nicht unproblematisch, ein Ausgleich des berechtigten Sicherheitsinteresses des Arbeitgebers mit den Persönlichkeitsrechten der Arbeitnehmer eine Herausforderung.
Inhaltsverzeichnis
- 1. Einleitung
- 2. Funktionsweise von Data Loss Prevention-Systemen
- 2.1. Unterscheidung zwischen erlaubter und unerlaubter Datenverwendung
- 2.2. Absicherung von Endgeräten und Netzwerkübergängen
- 2.3. Kernfunktionalitäten von DLP-Systemen
- 3. Vereinbarkeit mit Datenschutzprinzipien
- 3.1. Vorrang restriktiver Zugangs- und Zugriffsberechtigungskonzepte
- 3.1.1. Risiken von sog. «Open Security»-Modellen
- 3.1.2. Erforderlichkeitsgrundsatz
- 3.1.3. Datenvermeidung und Datensparsamkeit
- 3.2. Keine Datenerhebung ohne Kenntnis des Beschäftigten?
- 3.2.1. Beurteilung nach § 4 Abs. 2 BDSG
- 3.2.2. Verschärfung durch Regierungsentwurf zur Neuregelung des Beschäftigtendatenschutzes?
- 3.3. Verbot automatisierter Einzelentscheidungen
- 3.4. Fernmeldegeheimnis und TKG-/TMG-Datenschutz
- 3.4.1. Zulässigkeit von DLP bei erlaubter privater E-Mail-/Internetnutzung von Beschäftigten?
- 3.4.2. Beurteilung nach § 32i BDSG-E
- 3.5. Aufdeckung von Straftaten am Arbeitsplatz
- 3.5.1. Beurteilung nach § 32 BDSG 2009
- 3.5.2. Beurteilung nach § 32d Abs. 3 und § 32e BDSG-E
- 3.6. Konzerninterne Datenübermittlung durch zentrales DLP
- 3.6.1. Beurteilung gemäß § 32 und § 11 BDSG
- 3.6.2. Parallelen zu Whistleblowing-Hotlines
- 3.6.3. Konzerndatenübermittlung im Regierungsentwurf nicht geregelt
- 3.7. Betroffenenrechte (Benachrichtigung, Auskunft u. ä.)
- 3.8. Einwilligung, Betriebsvereinbarung
- 3.8.1. Beurteilung nach BDSG de lege lata
- 3.8.2. Änderungen durch den Regierungsentwurf
- 4. Empfehlungen für einen datenschutzkonformen DLP-Einsatz
- 5. Zusammenfassung
- 6. Literatur
Loggen Sie sich bitte ein, um den ganzen Text zu lesen.
There are no comments yet
Ihr Kommentar zu diesem Beitrag
AbonnentInnen dieser Zeitschrift können sich an der Diskussion beteiligen. Bitte loggen Sie sich ein, um Kommentare verfassen zu können.
No comments