SSL/TLS-(Ent-)Schlüsselung erlaubt?

Q: SSL/TLS-(Ent-)Schlüsselung erlaubt?

Firewalls mit SSL/TLS-Entschlüsselung (Secure Sockets Layer – Transport Layer Security) sollen einer inhaltsbezogenen Analyse des verschlüsselten Datenverkehrs zur Abwehr von Gefahren - z.B. per E-Mail oder beim Online-Surfen- und damit der IT-Sicherheit dienen. Grundsätzlich unzulässig - und sogar gemäß § 206 StGB strafbewehrt - ist dies gemäß §§ 88, 91 ff. TKG (Telekommunikationsgesetz - Fernmeldegeheimnis) aber, wenn das Unternehmen die private Internetnutzung (konkludent/stillschweigend) zugelassen hat. Nach derzeitiger Ansicht der Datenschutzaufsichtsbehörden führt dies nämlich dazu, dass das Unternehmen als ein dem TKG unterliegender Telekommunikationsanbieter zu behandeln ist. Die Möglichkeiten einer SSL/TLS-entschlüsselnden Firewall beschränken sich damit grundsätzlich auf die Zulässigkeitsvoraussetzungen aus §§ 91 ff. TKG , auf Betriebsvereinbarungen (vgl. Art. 88 DSGVO) oder auf Einwilligungen , wobei bei Letzteren gerade die Freiwilligkeit im Beschäftigungskontext genauestens geprüft werden muss (vgl. § 26 Abs. 2 BDSG). Ist die private Internetnutzung untersagt, so käme dagegen nach einer Einzelfallprüfung Art. 6 Abs. 1 S. 1 lit. f) DSGVO als Grundlage in Betracht. Unabhängig davon sollte im Voraus eine Datenschutzfolgenabschätzung gemäß Art. 35 DSGVO durchgeführt werden.

Firewalls mit SSL/TLS-Entschlüsselung (Secure Sockets Layer – Transport Layer Security) sollen einer inhaltsbezogenen Analyse des verschlüsselten Datenverkehrs zur Abwehr von Gefahren – z.B. per E-Mail oder beim Online-Surfen- und damit der IT-Sicherheit dienen. Grundsätzlich unzulässig – und sogar gemäß § 206 StGB strafbewehrt – ist dies gemäß §§ 88, 91 ff. TKG (Telekommunikationsgesetz – Fernmeldegeheimnis) aber, wenn das Unternehmen die private Internetnutzung (konkludent/stillschweigend) zugelassen hat. Nach derzeitiger Ansicht der Datenschutzaufsichtsbehörden führt dies nämlich dazu, dass das Unternehmen als ein dem TKG unterliegender Telekommunikationsanbieter zu behandeln ist. Die Möglichkeiten einer SSL/TLS-entschlüsselnden Firewall beschränken sich damit grundsätzlich auf die Zulässigkeitsvoraussetzungen aus §§ 91 ff. TKG, auf Betriebsvereinbarungen (vgl. Art. 88 DSGVO) oder auf Einwilligungen, wobei bei Letzteren gerade die Freiwilligkeit im Beschäftigungskontext genauestens geprüft werden muss (vgl. § 26 Abs. 2 BDSG). Ist die private Internetnutzung untersagt, so käme dagegen nach einer Einzelfallprüfung Art. 6 Abs. 1 S. 1 lit. f) DSGVO als Grundlage in Betracht. Unabhängig davon sollte im Voraus eine Datenschutzfolgenabschätzung gemäß Art. 35 DSGVO durchgeführt werden.

SSL/TLS-(Ent-)Schlüsselung erlaubt?

Diese Seite teilen