Data-Loss-Prevention-Software.

 DLP als Wundermittel gegen Datendiebstahl oder nur neue Datenschutz-Baustelle?

Tobias Vößing

Data-Loss-Prevention-Software.

Data-Loss-Prevention-Software (DLP-Software) wird von Unternehmen zur Verhinderung von Datendiebstahl eingesetzt. Was aber ist mit dem Datenschutzrecht der Arbeitnehmer?

DLP-Software ermöglicht es, E-Mail-Inhalte und -Anhänge auf Konflikte mit hinterlegten Regeln (DLP-Policy) zu überprüfen. Dabei werden z. B. Dateinamen protokolliert, die von und zu allen USB-Geräten transportiert werden. Erkannt wird dann jede Änderung an bestimmten Daten (auch mit Hilfe von Drittsoftware). Auf diese Weise soll der unbefugte oder unerwünschte Abfluss vertraulicher Daten verhindert werden.
Doch sind die angebotenen Lösungen mit dem Datenschutz des Unternehmens, vor allem in Bezug auf Arbeitnehmer-Datenschutz, vereinbar?

Rechtsgrundlage

Als Rechtsgrundlage kommen sowohl Art. 6 Abs. 1 lit. b DSGVO als auch § 26 Abs. 1 S. 1 Alt. 2 BDSG in Betracht. Die Prüfung durch die DLP-Software muss für die Durchführung des Beschäftigungsverhältnisses erforderlich sein.
Der Einsatz kommt demnach nur in Betracht, wenn alle anderen, milderen Maßnahmen zum Schutz vor ungewolltem Datenabfluss vollständig ausgeschlossen sind.

Persönlichkeitsrecht vs. Schutz der Geschäftsgeheimnisse

Im Rahmen der Angemessenheitsprüfung muss abgewogen werden: Persönlichkeitsrechte der Beschäftigten oder Unternehmensinteresse auf den Schutz der Geschäftsgeheimnisse? Im Rahmen der Angemessenheit ist auf den Schutz der personenbezogenen Daten zu achten und schließlich eine Abwägung im Einzelfall vorzunehmen. Unbedingt ist zu verhindern, dass mittels DLP-Software eine Leistungs- und/oder Anwesenheitskontrolle der Mitarbeiter möglich wird. Sofern die Software dies nicht ermöglicht, dürfte das Interesse des Arbeitgebers überwiegen. Anderenfalls empfiehlt sich der Abschluss einer Betriebsvereinbarung. Auf jeden Fall aber bedarf es einer klaren Einschränkung der Zugriffsrechte. Außerdem muss eine Selbstverpflichtung, die DLP-Software ausschließlich zum Zwecke der Verhinderung von Datenabfluss zu nutzen, vorliegen.

Arbeitnehmer informieren

Regelmäßig ermöglicht die Software die Kontrolle der E-Mails der Beschäftigten. Private E-Mail-Nutzung sollte daher verboten werden. Alternativ bedarf es der ausführlichen Information, dass bei Vorliegen konkreter Verdachtsmomente eine Kontrolle ausnahmsweise erfolgen darf.
Vor der Einführung der DLP-Software ist zwingend eine Datenschutz-Folgeabschätzung gemäß Art. 35 DSGVO durchzuführen. Der Datenschutzbeauftragte sollte an diesem Prozess beteiligt sein. Das Verbot automatisierter Einzelfallentscheidungen ist durch die DLP-Software jedoch nicht berührt.

Vor der Einführung einer DLP-Software sollten folgende Maßnahmen getroffen werden:

  • Ausschluss aller milderen Maßnahmen
  • Abwägung zwischen Schutz der Geschäftsgeheimnisse und Persönlichkeitsrechten der Arbeitnehmer
  • Information an die Arbeitnehmer
  • Datenschutz-Folgeabschätzung gemäß Art. 35 DSGVO