Rechtliche Frage

Hallo,

ich hoffe das dies hier das richtige Unterforum ist.
Ich bin Azubi Fachinformatiker.
Meine Abschlussarbeit wird sich mit der Überwachung des Traffics auf Switchen befassen. Also wie hoch die Netzlasst pro Port ist.
Jetzt will mein Ausbilder, dass ich mit einbaue(in der Arbeit) einen bestimmten Port mit hoher Netzlasst spiegeln zu können und dann mitzuscheiden(mit Wireshark) um zu gucken ob der Benutzer z.b. Internet Radio hört o.ä.
Jetzt gibts ja §202 StGB. Dort steht ja drinn das man das eigentlich nicht darf, aber in einer komischen Formulierung. §202a/b/c beginnen alle mit:

"Wer unbefugt..."

Jetzt ist meine frage wer genau befugt ist bzw. wer jemand die Befugnis geben kann. Ein Richter? Die Polizei oder reicht es wenn mir die Geschäftsführung das gennehmigt.

wir sind hier alle keine Juristen und können somit keine hundertprozentig juristisch wasserfesten Antworten geben, aber ich würde derartige "Abhör-Maßnahmen" (manuelles Auswerten genauso wie automatisierte Deep Package Inspection) ähnlich einstufen wie Video-Überwachung oder Bildschirm-Überwachung am Arbeitsplatz.

Schon bei der öffentlichen Videoüberwachung muss der Arbeitnehmer explizit darauf hingewiesen werden, aus welchem Grund er in welchem Umfang überwacht wird...

Verdeckte Videoüberwachung oder gar Bildschirm-Überwachung unterliegen ziemlich hohen Hürden (und generell nur bei konkretem Straftat-Verdacht und nur über begrenzte Zeit oder so?!) und in diesem Bereich würde ich persönlich vom Gefühl her auch die DPI mit einordnen...

Aber vielleicht haben wir hier im Board ja auch noch nen Datenschutz-Beauftragten oder so, der das detailierter wiedergeben kann, was der Arbeitgeber darf und was nicht...

Eine Überwachung auf private Internetnutzung am Arbeitsplatz ist rechtens, wenn im Arbeitsvertrag der überwachten Person die private Internetnutzung verboten wird und/oder wenn darauf hingewiesen wird, dass eine Überwachung stattfindet.

Solange die Mitarbeiter das nicht wissen - darf sowas auf keinen Fall passieren.

Was DPI angeht so hat man es als Admin idR ohnehin schwer. Solange man keine Vernüpfungen "anstellt", sondern sich in seiner Tätigkeit auf das wesentliche beschränkt, dürfte es in der Praxis kein Problem geben. Es gibt für die IT kaum exakte Kataloge, wie zB in der StVo, wo jedes Vergehen Detailiert erfasst ist. Wenn es zu einer Beschwerde oder Klage kommt, so wird viel interpretiert werden. Kümmert sich ein Admin dabei gewissenhaft um das technische Problem - so wird er keinen Stress bekommen.

Das Überwachen der Tätigkeiten von Mitarbeitern gehört definitiv nicht dazu.

Wenn es eine Abschlussarbeit ist, deren Ergebnis später Einsatz finden soll, dann sollte man auf jeden Fall den Betriebsrat (sofern vorhanden) in das Projekt einbinden. Es gibt nichts schlimmeres, als wenn ein Projekt aufgrund mangelnder Absprachen mit dem Betriebsrat scheitert...

Moin

Eine Abschlußarbeit ist auf keinen Fall ein legitimer Grund ein echtes Netzwerk mitzuschneiden.
Du kannst das allenfalls theoretisch in deiner Arbeit erörtern oder das in einem Testnetz umsetzen, in dem alle Nutzer dem (schriftlich!) zugestimmt haben.

Sentrax

Anonymisier die Daten, dann dürftest du kein Problem bekommen.

Brabax hat gesagt.:

Anonymisier die Daten, dann dürftest du kein Problem bekommen.

Zum Vergrößern anklicken....

Wenn es sich um ein LAN handelt mit einer geringen Anzahl an Usern im LAN, wage ich das zu bezweifeln. Hinzu kommen Dinge wie Mitbestimmungsrecht des Betriebsrats. Ausserdem ist eine Inhaltsüberwachung nicht rechtens, wodurch z.B. keine Unterscheidung zwischen "der Mitarbeiter hat (aus Versehen?!) auf einen Youtube-Link geklickt" und "der Mitarbeiter hat ein Youtube-Video angesehen" mehr möglich ist. Genauso sieht es bei Emails aus. Die inhaltliche Überwachung von Emails muss dem Mitarbeiter bekannt sein UND es muss eine Regelung existieren, dass die private Nutzung von Emails im Office-Netzwerk nicht zulässig ist. Man sieht also, dass es mit einer einfachen Anonymisierung der Daten nicht erledigt ist und man sich dennoch jede Menge Stress einhandeln kann. Es geht hier schliesslich nicht um Tracking im WWW sondern um ein Netzwerk mit evtl. geringer Nutzerzahl, die alle vertraglich an den Anbieter des Netzwerks gebunden sind. Und diese vertragliche Bindung (über Arbeits-, Werk-, Service oder Gesellschaftervertrag) räumt nunmal auch Rechte ein, die je nach Vertragsart sich auch unterscheiden können. Bei einer generellen DPI muss z.B. jeder Besucher, Freiberufler usw., der das Netzwerk nutzen darf, _sichtbar_ auf die Überwachung hingewiesen werden. D.h. dass dann ein entsprechendes Schild im Büro hängen muss. Bei fest angestellten Mitarbeitern muss das im Arbeitsvertrag oder einer entsprechenden Anlage stehen, selbst wenn die Daten nur für statistische Zwecke erhoben werden. Gesellschafter darf man gar nicht überwachen. usw. usf.

Ausserdem...

... und dann mitzuscheiden(mit Wireshark) um zu gucken ob der Benutzer z.b. Internet Radio hört o.ä.

Zum Vergrößern anklicken....

Diese Anforderung ist mit anonymisierten Daten wohl kaum umsetzbar, da dann die Benutzer-Zuordnung fehlt.

Daher gilt als Grundsatz für jeden Admin "Es wird nichts überwacht wofür keine _schriftliche_ Einwilligung oder Anweisung des Datenschutzbeauftragten oder des betroffenen Mitarbeiters vorliegt." Nur dann ist man wirklich auf der richtigen Seite. Das hab ich zu meiner Zeit als DSB schon immer gepredigt, da ein normaler Sysadmin (d.h. Fachinformatiker) nicht die Ausbildung hat alle Paragraphen zu kennen, die dabei eine Rolle spielen. Das sind nämlich nicht nur BDSG sondern auch TKG, StGB, BetrVG, ggf. HGB usw.. Und genau deswegen können wir hier auch keine Rechtsberatung ersetzen. Weder kennen wir die Umstände noch die Bedingungen und den Umfang der Überwachung. Und daher sollte man sich lieber an altgediente Grundsätze halten, mit denen man nichts falsch machen kann.

Daher: Es wird nichts überwacht wofür keine _schriftliche_ Einwilligung oder Anweisung des Datenschutzbeauftragten oder des betroffenen Mitarbeiters vorliegt.

Danke erstmal für die vielen Antworten und sry das ich erst jetzt wieder schreibe. Ich habe mich jetzt so mit meinem Ausbilder geeinigt, dass ich die rechtlichen Aspekte in meiner Arbeit erleutere und wir die Umsetzung nach Abgabe meiner Projektarbeit machen.
Für die Arbeit werde ich meine eigenen Daten mitschneiden und verwenden.

Hätte zu dem Thema auch eine Frage wie verhält das den jetzt wenn mein AG mir untersagt den PC privat zu nutzen laut Betriebsvereinbarung andererseits Interntsurfen während der Pause als "persöhnliche Bildung" akzeptiert wird.
Hat da einer Erfahrungen?

Da ein Zweck und die Zeit der "privaten" Nutzung definiert ist, darf in diesem Fall eine Überwachung erfolgen und zwar auf die Dauer der privaten Nutzung und auch auf die Inhalte bzw. Art der genutzten Dienste. Filme aus P2P-Netzwerken ziehen ist z.B. keine persönliche Bildung. Und auch dass du auf Youporn lernen willst, wie du deine Frau richtig befriedigst, dürfte eher unwahrscheinlich sein. Allerdings gilt auch hier: Es muss dir irgendwie bekannt gegeben werden, dass deine Internet-Nutzung protokolliert und/oder ausgewertet/überwacht wird und du musst dafür eingewilligt haben. Sonst hat der Arbeitgeber nur die Möglichkeit der Filterung bestimmter Dienste und Inhalte um so die private Nutzung für den definierten Zweck einzuschränken. Überwacht ein Arbeitgeber bei Erlaubnis zur privaten Nutzung ohne Einwilligung des Angestellten die Nutzung des Internets von selbigem, ist das ein Verstoss gegen das Fernmeldegeheimnis und stellt somit sogar eine Straftat dar.

Prinzipiell gilt: Ein Beschäftigter muss in die Protokollierung und Auswertung seiner Internet-Aktivitäten einwilligen. Tut er dies nicht, darf er den Anschluss nicht privat nutzen.

Danke, Protokollierung wurde mir mitgeteilt bin ich naiv, wenn ich dann davon ausgehe das keine Auswertung in Form von Profilbildung Inhalts Überwachung statt finden darf?

Nein, da bist du nicht naiv. Wenn nur eine Protokollierung mitgeteilt wurde, ist der Arbeitgeber nur zu Stichproben befugt. Eine ständige Kontrolle des Arbeitnehmers ist in jedem Fall untersagt, da es einen schweren Eingriff in die Persönlichkeitsrechte des Arbeitnehmers darstellt. Das regelt u.a. auch die Bildschirmarbeitsverordnung in Anhang 1 (neben dem Betriebsverfassungsgesetz).

Ohne Wissen der Benutzer darf keine Vorrichtung zur qualitativen oder quantitativen Kontrolle verwendet werden.

Zum Vergrößern anklicken....