Inhaltsdaten und Verbindungsdaten von EMails unterliegen dem Fernmeldegeheimnis
Die für den E-Mail-Dienst erhobenen Bestandsdaten dürfen ebenso wie beim Zugangs-Anbieter nach Maßgabe des § 89 Abs. 6 TKG im Einzelfall auf Ersuchen an die zuständigen Stellen übermittelt werden, soweit dies für die Verfolgung von Straftaten und Ordnungswidrigkeiten, zur Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung oder für die Erfüllung der gesetzlichen Aufgabe der Verfassungsschutzbehörden des Bundes und der Länder, des Bundesnachrichtendienstes, des militärischen Abschirmdienstes sowie des Zollkriminalamtes erforderlich ist. Eine richterliche Anordnung ist nicht erforderlich. Der E-Mail-Anbieter kann insbesondere Auskunft über die Zuordnung einer bestimmten Person zu einer bestimmten E-Mail-Adresse erteilen.
Inhaltsdaten und Verbindungsdaten von E-Mails unterliegen dem Fernmeldegeheimnis. Zu den Inhaltsdaten gehören auch der Betreff und die Bezeichnung von Dateianlagen. Die Überwachung der Inhalte ist dem entsprechend nur auf Basis der einschlägigen spezialgesetzlichen Eingriffsnormen zulässig. Rechtsgrundlage für diese Maßnahmen finden sich in den §§ 100a ff. § 39 Außenwirtschaftsgesetz (AWG) und dem Gesetz zur Beschränkung des Brief-, Postund Fernmeldegeheimnisses (G10). Die Anordnung nach § 100a darf nur durch den Richter oder bei Gefahr im Verzuge auch durch die Staatsanwaltschaft, nicht aber durch deren Hilfsbeamte, getroffen werden. Die angeordneten Maßnahmen berechtigen nicht zum Zugriff auf vergangene Telekommunikationsvorgänge.
Für die Weitergabe der Verbindungsdaten bei E-Mail-Diensten an die Strafverfolgungsbehörden gelten die §§ 100g, 100h Daten mit Inhaltsbezug (etwa Betreff, Bezeichnung von Dateianlagen) dürfen aufgrund dieser Regelungen (vgl. § 100g Abs. 3 nicht an Strafverfolgungsbehörden übermittelt werden (s. o. 4.1).
Nach der Rechtsprechung des BGH stellt ein Zugriff von Strafverfolgungsbehörden auf Inhalte von ebenfalls eine Telekommunikationsüberwachung dar. Das Eindringen in E-Mail-Systeme des Anbieters kann nicht auf die strafprozessualen Befugnisse der Beschlagnahme von Gegenständen oder zur Durchsuchung von Räumen gestützt werden, insbesondere weil der Zugriff anders als bei den vorgenannten Maßnahmen im Regelfall heimlich erfolgt und auch die zukünftige Kommunikation umfasst. Dies gilt auch dann, wenn z. B. ein Kopien bereits durch den Nutzer vom Server abgerufener E-Mails auf seinem Server speichert. Anders als bei einem Anrufbeantworter oder den auf dem PC des Nutzers gespeicherten abgerufenen E-Mails gilt hier weiterhin das Fernmeldegeheimnis, weil dies noch Bestandteil des vom Anbieter angebotenen E-Mail-Dienstes ist und der Nutzer zu Recht darauf vertraut, dass das Fernmeldegeheimnis für die gesamte Dauer der Erbringung des Dienstes (langfristige Bereithaltung von E-Mails auch zum wiederholten Abruf) gilt.
Inhalts-Anbieter (Content Provider)
§ 6 Abs. 5 Satz 5 TDDSG erlaubt es den Diensteanbietern, nach Maßgabe der hierfür geltenden Bestimmungen der Strafprozessordnung, Auskunft an Strafverfolgungsbehörden und Gerichte für Zwecke der Strafverfolgung zu erteilen.
Bestandsdaten im Bereich der Tele- und Mediendienste dürfen nur aufgrund einer Beschlagnahmeanordnung, die vom Richter und bei Gefahr im Verzuge auch durch die Staatsanwaltschaft oder ihre Hilfsbeamten erlassen werden kann, gem. §§ 94 ff. herausgegeben werden.
Inhaltsdaten, die bei der Nutzung von Tele- und Mediendiensten anfallen und mittels Telekommunikation übermittelt werden, unterliegen ebenso wie die Inhaltsdaten der Telekommunikation dem Fernmeldegeheimnis. Sie können durch die Strafverfolgungsbehörden nur mittels Überwachung und Aufzeichnung der Telekommunikation ermittelt werden.
Rechtsgrundlagen für diese Maßnahmen finden sich in den §§ 100a ff. § 39 Außenwirtschaftsgesetz (AWG) und dem Gesetz zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses (G 10). Die Anordnung im Strafverfahren darf nur durch den Richter und bei Gefahr im Verzuge auch durch die Staatsanwaltschaft mit binnen drei Tagen einzuholender richterlichen Bestätigung erfolgen. Die angeordneten Maßnahmen berechtigen nur zum Zugriff auf zukünftig übertragene Inhalte.
Befugnisse der Nachrichtendienste
Mit dem Terrorismusbekämpfungsgesetz vom 9. 1. 2002 sind (befristet bis zum 10. 1. 2007) zusätzliche Erhebungsbefugnisse der Verfassungsschutzbehörden des Bundes und der Länder, des Bundesnachrichtendienstes (BND) und des Militärischen Abschirmdienstes (MAD) bei Anbietern von Telekommunikations- und Telediensten (nicht Mediendiensten) geschaffen worden. Die Nachrichtendienste dürfen im Einzelfall zur Erfüllung ihrer Aufgaben und unter der Voraussetzung, dass tatsächliche Anhaltspunkte für den Verdacht bestehen, dass jemand bestimmte Staatsschutzdelikte oder Kapitalverbrechen plant, begeht oder begangen hat, von denjenigen, die geschäftsmäßig Telekommunikations- oder Teledienste erbringen oder daran mitwirken, unentgeltlich Auskünfte über Telekommunikations5 verbindungsdaten und Teledienstenutzungsdaten einholen. Dies setzt eine Anordnung des Bundesinnenministeriums beziehungsweise einer entsprechenden obersten Landesbehörde oder (im Fall des BND) des Chefs des Bundeskanzleramtes voraus. Die Auskunft kann auch in Bezug auf eine zukünftige Nutzung dieser Dienste verlangt werden.
Eine Auskunftspflicht der Diensteanbieter gegenüber den Nachrichtendiensten besteht jedoch nicht, da der Gesetzgeber (anders als im Strafprozessrecht) einen entsprechenden Grundrechtseingriff nicht angeordnet hat.
Die Nachrichtendienste dürfen nur Auskunft über folgende Daten verlangen: Berechtigungskennungen, Kartennummern, Standortkennung sowie Rufnummer oder Kennung des anrufenden und angerufenen Anschlusses oder der Endeinrichtung, Beginn und Ende der Verbindung nach Datum und Uhrzeit, Angaben über die Art der vom Kunden in Anspruch genommenen Telekommunikations- und Teledienst-Dienstleistungen, Endpunkte festgeschalteter Verbindungen, ihr Beginn und ihr Ende nach Datum und Uhrzeit (§§ 8 Abs. 8 Satz 3 8 Abs. 3a Satz 3 BNDG, 10 Abs. 3 Satz 3 MADG). Anbieter von Tele-, Medien- oder Telekommunikationsdiensten werden durch die Strafprozessordnung oder das Recht der Nachrichtendienste (Verfassungsschutzgesetze des Bundes und der Länder, BNDG, MADG) weder berechtigt noch verpflichtet, generell Daten über ihre Nutzer auf Vorrat zu erheben oder zu speichern, die sie zu keinem Zeitpunkt für ihre eigenen Zwecke (Herstellung der Verbindung, Abrechnung) benötigen. Sie können nur im Einzelfall berechtigt sein oder verpflichtet werden, bei Vorliegen ausdrücklicher gesetzlicher Voraussetzungen (§§ 100a ff. 8 Abs. 8 3 Abs. 1, 5 Abs. 1 G 10; 8 Abs. 3a BNDG; 10 Abs. 3 MADG; 39, 40 AWG) Nachrichteninhalte aufzuzeichnen und bestimmte Daten, die sie ursprünglich für eigene Zwecke benötigt haben und nach dem Multimedia- oder Telekommunikationsrecht löschen müssten, weiter vorzuhalten und den Strafverfolgungsbehörden oder Nachrichtendiensten zu übermitteln.
Die Landesämter für Verfassungsschutz können Auskünfte über Telekommunikationsverbindungsdaten und Teledienstenutzungsdaten nur dann einholen, wenn die Landesgesetzgeber das Antragsverfahren, die Beteiligung der G-10-Kommission, die Verarbeitung der erhobenen Daten und die Mitteilung an den Betroffenen sowie eine parlamentarische Kontrolle gleichwertig wie im Bundesverfassungsschutzgesetz geregelt haben.
25.4
Orientierungshilfe zu Rechtsfragen bei der Einführung häuslicher Telearbeitsplätze Stand: 17. Oktober 2002
Diese Orientierungshilfe spricht nicht nur datenschutzrechtliche Fragestellungen an, sondern enthält auch Hinweise auf andere rechtliche Aspekte, die vor der Einführung von Telearbeit zu klären sind. Soweit einzelne Themenkreise doppelt angesprochen werden, ist dies darin begründet, dass manche Themenkomplexe mehrfach relevant sind.
1. Schwachstellen von Telearbeitsplätzen
Bei der Telearbeit gibt es im Vergleich zum Büroarbeitsplatz zusätzliche potentielle Schwachstellen:
a) Die Organisation der Telearbeit ist komplizierter, da die räumliche Entfernung größer ist und der Arbeitgeber nur indirekte Möglichkeiten der Einflussnahme hat.
b) Der Arbeitsplatzrechner ist unberechtigten Zugriffen eher ausgesetzt.
c) Der Arbeitsplatzrechner kann zu nicht vorgesehenen Zwecken verwandt werden.
d) Die Kommunikationsverbindung zwischen Arbeitsplatzrechner und Institution geht in der Regel über öffentliche Leitungen.
e) Es gibt einen zusätzlichen Zugang zum Netz der Verwaltung.
f) Die Möglichkeiten des Zugriffs und der Kontrolle durch den behördlichen Datenschutzbeauftragten und den Administrator sind eingeschränkt.
2. Regelungsbereiche
Für die Telearbeit sind zu verschiedenen Bereichen dienstliche Anordnungen, allgemeine Weisungen und technische Vorgaben nötig:
Die Anordnungen und Vorgaben zur Nutzung der dienstlichen Einrichtungen sind für folgende Bereiche erforderlich:
a) zur Nutzung der dienstlichen Einrichtungen am Telearbeitsplatz und
b) zu den Befugnissen des zu Hause arbeitenden Bediensteten im Netz des Dienstherrn
c) zur häuslichen Umgebung des Arbeitsplatzes
d) zur Ausstattung des Arbeitsplatzes
e) zur Absicherung der Kommunikation mit der Dienststelle
f) zum Zugang in das Verwaltungsnetz und dessen Absicherung
g) zu den Protokolldaten und deren Auswertung
h) zu notwendigen Änderungen und deren Vorabanzeige.
Die mit den Bediensteten zu schließenden Einzelvereinbarungen sind in Form von Musterverträgen vorzubereiten.
3. Verantwortlichkeit
a) Die datenverarbeitende Stelle bleibt für die Einhaltung der datenschutzrechtlichen Vorschriften verantwortlich.
b) Die datenverarbeitende Stelle hat die technischen und organisatorischen Maßnahmen nach § 10 HDSG vorzugeben. Sie muss die vom Mitarbeiter zugesicherten Maßnahmen ausdrücklich bestätigen.
c) Sie muss die Einhaltung aller Maßnahmen kontrollieren.
4. Grundpflichten und -rechte der Bediensteten
Die Bediensteten dürfen die personenbezogenen Daten nur im Rahmen der Weisungen des Dienstherren verarbeiten.
Weisungen muss es insbesondere geben
a) zum Verbot der Bearbeitung mit und der Übertragung auf eigene DV-Anlagen
b) zur Nutzung des dienstlichen PC und der über ihn erreichbaren Speicher
c) zur Verwahrung und zur Herausgabe von Arbeitsunterlagen und entsprechenden Dateien
d) zu den Löschungspflichten und deren Befristung
e) zur Internetnutzung und E-Mail über dienstliche PC
f) zur Sicherung des PC gegen unbefugte Nutzung
g) zur Handhabung der vorgegebenen Verschlüsselungstechnik (ggf. durch technische unausweichliche Vorgaben)
h) zum Administratoreneinsatz einschließlich der Kontrollrechte am Telearbeitsplatz
i) zur Verwendung von Programmen nach Auswahl der Dienststelle (Ausschluss der Nutzung eigener Software)
j) zur Verfügbarkeit der Daten und deren Aktualisierung
Es muss organisatorisch und technisch sichergestellt werden, dass am Telearbeitsplatz verarbeitete Daten der Dienststelle ausreichend aktuell zur Verfügung stehen. (Speicherung der Daten auf einem Server der Dienststelle, tägliche Übertragung der Daten zur Dienststelle, evtl. Abrufrecht der Dienststelle...)
5. Einzelvertraglich zu regelnde Sachverhalte Folgende Punkte müssen zusätzlich zu in 4. genannten Grundpflichten in den Einzelvereinbarungen mit den Bediensteten geklärt werden:
a) Art der zu verarbeitenden Daten. Hier sind Einschränkungen zu beachten, die sich aus Amts- oder besonderen Berufsgeheimnissen ergeben (Personaldaten, Patientendaten, Sozialdaten).
b) Zutrittsrechte des behördlichen Datenschutzbeauftragten vor Arbeitsaufnahme und während der Telearbeit. Insbesondere sind die vom Bediensteten vorgesehenen Datensicherheitsmaßnahmen zu überprüfen.
c) Zutrittsrechte der behördlichen Administratoren zur Wartung, Behebung von Störungen und bei Veränderungen der Hard- oder Software.
d) Kontrollrechte der Dienststelle, insbesondere das Zutrittsrecht zur Wohnung. Geregelt werden muss, was geschieht, wenn der Zutritt verweigert wird. Es ist sinnvoll, die Möglichkeit vorzusehen, dass das Telearbeitsverhältnis außerordentlich beendet wird.
e) Rückholrechte des dienstlichen Geräts, auch zu Prüfzwecken.
f) Kontrollrechte des Hessischen Datenschutzbeauftragten. Insbesondere müssen die Zutrittsrechte durch Unterwerfungserklärung der mit dem Mitarbeiter entsprechend § 4 Abs. 3 Satz 1 HDSG vereinbart werden. Wenn die Einwilligung verweigert wird, darf ein Telearbeitsplatz nicht eingerichtet werden. Für den Fall, dass der Zutritt durch den Bediensteten im Einzelfall verweigert wird, sollte die Möglichkeit der Beendigung des Telearbeitsplatzes vorgesehen werden.
g) Datensicherung. Festzulegen ist insbesondere die Verantwortung für die Datensicherung (Backup). (Etwa zentraler Datenbeistand bei der Dienststelle, lokaler Datenbestand beim Bediensteten.)
h) Pflicht zur Anzeige von Änderungen im häuslichen Bereich. Grundsatz der Vorabgenehmigung durch die Dienststelle.