Einführung einer SSL-Interception/Inspection/Intrusion im Unternehmen

Hallo zusammen

Folgender Fall: Ein Unternehmen gestattet die private Internetnutzung, wenn die Beschäftigen in die beschriebenen Nutzungsbedingungen (Protokollierungen, Sicherheits-Scanns und Kontrollen) einwilligen.

Nun ist angedacht eine SSL-Interception (https://it-forensik.fiw.hs-wismar.de/index.php/SSL_Inspection) einzuführen. Dies ist vor allem dem Umstand geschuldet, dass mittlerweile fast alle Verbindungen verschlüsselt erfolgen und die Sicherheitssysteme nicht mehr arbeiten können.

Ich beschäftige mich mit der Frage, ob eine Einwilligung in Bezug auf die private Nutzung erneuert werden muss, da ja das Thema SSL-Inspection nicht Teil der in der Einwilligung beschriebenen Maßnahmen war. Unter dem Strich passiert ja nun aber nichts anderes als dies früher der Fall war, als noch viele Verbindungen unverschlüsselt waren. Die Daten/Dateien/Verbindungen werden von den Sicherheitssystemen analysiert.

Welche Erfahrungen habt ihr mit sowas und käme hier eine Einwilligung in Form einer “konkludenten Handlung” in Frage? Man informiert alle Beschäftigten über diese Regelungen bzw. IT-Sicherheitsmaßnahmen und nutz jemand das Internet privat, willigt er automatisch ein. Ich bin gespannt auf eure Erfahrungen und Meinungen.

Schöne Grüße

Hallo

mal abgesehen davon das es besser wäre die Privatnutzung zu verbieten (aber das steht nicht zur Debatte), bedarf eine solche Maßnahme einer Rechtsgrundlage.

Ob eine neue Einwilligung (die im Beschäftigungsverhältnis sowieso kritisch ist) notwendig ist, würde ich von der alten Formulierung des Zwecks abhängig machen. Wenn hier allgemein von Protokoll und Sicherungsmaßnahmen gesprochen wird könnte es über die alte gedeckt sein.

Aber wie gesagt besser Privatnutzung untersagen - weil sobald Privatnutzung erlaubt ist, könnt ihr auch die Mails schon nicht sichern und archivieren und habt dann sogar ggf Probleme mit den grundsätzen der Buchführung.

Hm … es geht nicht um Mails, sondern um allgemeine Internutzung

Vielen Dank @haderner und @joeDS

Die Nutzung des betr. Mailsystems und der Telefonanlage ist ausschließlich für geschäftliche Zwecke erlaubt.

Es geht tatsächlich nur um die Internetnutzung. Und dies soll so beibehalten werden
Ist oftmals ja auch ganz praktisch.

Für die konkludente Handlung schwebt mir als Information etwa sowas vor:
Bitte beachten Sie, dass die Einwilligung nicht nur durch die Abgabe dieser Erklärung, sondern auch durch die tatsächliche Nutzung des Internetzuganges für private Zwecke, erteilt wird.

Warum mit erwachsenen Leuten nicht im Klartext anstatt in Schwurbeldeutsch sprechen? “Wir brechen künftig auf weil …” Und anstatt ‘konkludent’ eben ‘wir widerrufen …’ o.ä.

Eine konkludente Einwilligung ist eine stillschweigende/bestätigende Handlung/Willensbekundung des Betroffenen und bedarf keiner weiteren Erklärung. Ich denke allerdings nicht, dass von einer solchen bei SSL-Injection ausgegangen werden kann. Aus dem einfachen Grund, weil es zwischen dem Besuch von http://www.irgend.was und https://mein.bank.login oder https://video.sprechstun.de einen großen Unterschied gibt. Eine Einwilligung in informierter Weise heißt, der Betroffene muss um die Konsequenzen seiner Handlung wissen, über den Umfang der Verarbeitung informiert sein. Beim Aufbrechen verschlüsselter Verbindungen beinhaltet das die Offenlegung von Logindaten und sonstiger Daten, die er per HTTPS geschützt glaubt. Und für den Verantwortlichen beinhaltet es uU eine Verarbeitung besonderer pb Daten. Was mich zur Frage der Kontrolle der Kontrolleure führte…

Ich habe noch nicht verstanden, warum für die Durchsetzung eines berechtigten Interesses eine Einwilligung erforderlich ist. Stimmt jemand dem SSL-Injection nicht zu, wird sein Traffic nicht gescannt? Welche Rechtsgrundlage wird im Fall eines dennoch durchgeführten Scans herangezogen?

Ja da stimme ich absolut zu, dass Website nicht gleich Website ist.
Hierfür soll eben informiert werden, welche Sicherheitsmaßnahmen seitens der Unternehmens ergriffen werden und auf der Basis kann jeder selbst entscheiden ob und welche Seiten in der Arbeit besucht werden.

Es soll (wurde) jeder Kollege befragt werden ob er einwilligt oder nicht. Für alle die nicht einwilligen gilt das Verbot. Beginnt ein Nutzer mit der Privatnutzung ohne vorher die Einwilligung über einen Workflow oder Unterschrift erteilt zu haben, willigt dieser durch seine Handlung ein. Das System kann nicht unterscheiden ob jemand privat od. geschäftlich "surft"und macht immer die gleichen Verarbeitungen. Allerdings sollen Online-Banking-Portale möglichst ausgenommen werden.

Bezüglich der Daten die im Rahmen der Nutzung für die “Arbeit” entstehen, reicht das berechtigte Interesse sicherlich aus und der BR hat auch zugestimmt. Bei erlaubter Privatnutzung wird i. d. R. empfohlen eine Einverständnis einzuholen (je nach Standpunt ob Arbeitgeber ein Diensteanbieter ist oder nicht).
Sind die berechtigten Interessen hier auch tragfähig?

Das Thema mit den Logins und Passwörtern ist durchaus heikel. Was ich technisch nicht einschätzen kann ist, ob das in der Zeit in der wenig verschlüsselt war, dann nicht auch schon so war.

Scanns (von priv. Nutzungsvorgängen) ohne vorheriger Einwilligung kann es dann im Grunde nicht geben und für geschäftl. Nutzungsvorgänge greifen die berechtigten Interessen.

Gibt es eigentlich auch (Stichproben-) Prüfungen, ob die, die nicht einwilligen, sich daran halten?
Was passiert, wenn jemand nicht einwilligt und dann doch Online-Banking aufruft? Selbst schuld? Oder Abmahnung wegen Verstoß?

Die Einwilligung ist eine Rechtsgrundlage für die rechtmäßige Verarbeitung (vgl. Art.6 DSGVO). Willigt ein Benutzer nicht ein, fällt diese Rechtsgrundlage weg und seine Daten dürfen nicht verarbeitet werden. Ein Scan des Traffics wäre nicht rechtmäßig. Wenn die Alternative die Nichtbenutzung ist, dann ist die Entscheidung des Benutzers hinsichtlich der Datenverarbeitung nicht freiwillig, da er der Verarbeitung zustimmen muss. Eine solche Einwilligung ware nicht wirksam. Darum sehe ich die Einwilligung nicht als geeignete Rechtsgrundlage für die angedachte Verarbeitung. Dem Benutzer kann zwar eine Freiwilligkeit für die Nutzung unterstellt werden, aber eben nicht für die Verarbeitung, welche eine zwangsläufige Folge der Nutzung ist. Mir ist unklar, warum eine Einwilligung für derlei Zwecke empfohlen wird. Erst recht sehe ich keine konkludente Einwilligung des Benutzers, wenn er in informierter Weise handeln soll (siehe oben). Unternehmen, BR und DSB sollten sich eine andere Rechtsgrundlage für das Vorhaben suchen, in der BV die Schutzmaßnahmen festlegen und die Mitarbeiter in transparenter Weise informieren, dass und welche Verarbeitung in jedem Fall stattfindet.

Es spielt keine Rolle, was in der Vergangenheit passierte oder der Benutzer dachte, was passieren würde. Maßgeblich ist die künftig angedachte Verarbeitung samt Rechtsgrundlage.

Wenn ich die Eingangsskizze richtig verstanden habe, dann sehe ich das als individuellen Vertrag Firma <–> Mitarbeiter.

Die “Einwilligung” ist dann eine in eine Vertragsänderung (hängt von der Formulierung des Vertrags ab) unter Kündigung des bisherigen Vertrags, nicht notwendig eine datenschutzrechtliche.

Statt “konkludent” gehört für mich eine Aufklärung dazu (siehe Folgen wie von @anzolino dargestellt), schon wenn man die Mitarbeiter respektiert (ohne nun groß im Recht zu argumentieren). Oder man empfiehlt ihnen “Tor” zu nutzen

Mit “konkludent” oder “stillschweigend, falls kein Widerspruch” sind zB die Banken bei Verbrauchern und Verwahrentgelt auf die Nase gefallen (gut so)

Ich hatte das so verstanden, dass man

a) einwilligen kann, dass Privatnutzung gescannt wird oder
b) nicht einwilligen und dann auch nicht privat nutzen darf.

Im Fall b) wären alle Daten dienstlich und das Unternehmen darf scannen ohne Einwilligung.

Eine Einwilligung ist hier m.E. ungleich schlechter als das berechtigte Interesse, gleichwohl möglich. Die freiwillige Einwilligung, so denn informiert, erscheint mir hier nicht hoch gehängt. Die Alternative ist, die Beschäftigten verzichten. In Zeiten, in denen jeder einen Internetfähigen Computer mit sich trägt, erscheint das keine Zwangssituation zu sein.

Ich habe mehrfach gesehen und erachte als sinnvoll, bekannte und sensible Seiten vom Scan auszunehmen, also z.B. Home Banking Seiten und große Freemailer. Hier kommt es natürlich sehr genau darauf an, für was der Scan sein soll, ob “nur” technische Integrität oder auch Data Loss Prevention. Letzteres dürfte kaum mit der privaten Nutzung in Einklang zu bringen sein.

Ja, so ist das zu verstehen!

Zum jetzigen Zeitpunkt (ausschl. schriftl. Einwilligung oder keine) finden Kontrollen nur statt, wenn es konkrete Hinweise auf übermäßige Privatnutzung in der Arbeitszeit gibt. Routinemäßig wird ansonsten nichts gemacht.

Vielen Dank euch allen für die rege Diskussion.

Ich komme zum folgenden Schluss:
Es kommt sowas wie eine Vereinbarung zur Privatnutzung zu Stande und viele Verarbeitungen sind dadurch legitimiert. Die IT-Sicherheitsmaßnahmen (SSL-Inspection) sind für die Vertragserfüllung nicht notwendig - hier greift eher das berechtigte Interesse des Unternehmens. Dabei wird das Fernmeldegeheimnis verletzt, sofern man von der Anwendbarkeit des § 3 TTDSG für Arbeitgeber ausgeht.

Ich denke eine verständliche Information - die einmal im Jahr beim Start des Browser zB erscheint und auf die Datenschutzinformationen und Nutzungsbedingungen etc. verweist ist der erste und wichtigste Schritt.
Darin sollte erläutert werden, dass man durch die private Nutzung die Bedingungen akzeptiert (konkludent) und ggf. auf das Fernmeldegeheimnis (vorsorglich) verzichtet. Die datenschutzrechtliche Grundlage für die SSL … ist das berechtigte Interesse. Widerspricht jemand gem. Art 21 wird ihm die Nutzungsvereinbarung gekündigt.