Leiden oder löschen? Praxisanforderungen und Rechtsfolgen zentraler Spam-Filterung

Ordnungsmerkmale

erschienen in: <kes> 2004^#1, Seite 6

Zusammenfassung: Der rechtlich einwandfreie Umgang mit Spam erhitzt die Gemüter: Es gilt nicht nur, den täglich wachsenden Schaden durch unerwünschte E-Mail-Massen zu begrenzen, sondern auch durch geeignete Gestaltung der Gegenmaßnahmen keinen Straftatbestand zu erfüllen – ein Spagat.

Autor: Von Dirk Fox, Karlsruhe

In den vergangenen Monaten hat sich die gelegentliche Belästigung von Mitarbeitern durch Spam-E-Mails in vielen Unternehmen zu einer erheblichen Dauerbelastung der gesamten Infrastruktur entwickelt. Unerwünschte Nachrichten verstopfen nicht nur die Mailboxen der Mitarbeiter und binden Arbeitskraft und -zeit, sie lassen auch gelegentlich wichtige dienstliche Nachrichten in der Spam-Flut untergehen und kosten nicht zuletzt teuren Speicherplatz auf zentralen Systemen.

Waren vor einem guten Jahr erst maximal 10 % aller Nachrichten unerwünscht, überwiegen bei vielen Empfängern inzwischen die Störmeldungen bei Weitem: Bis zu 150 Spam-Nachrichten am Tag sind keine Seltenheit mehr. Das Anwachsen dieses "elektronischen Störfeuers" hält unvermindert an – man muss kein Hellseher sein um vorherzusagen, dass diese Entwicklung das Medium E-Mail schon bald unbenutzbar machen könnte.

Daher steht die Lösung des Spam-Problems in vielen Unternehmen heute ganz oben auf der Tagesordnung. Allein: Die mit der automatisierten, zentralen Filterung verbundenen rechtlichen Implikationen sind erheblich – und noch keineswegs alle Fallen ausgeräumt. Eine zentrale Lösung ist jedoch die einzig sinnvolle: Eine "halbautomatische" Filterung im E-Mail-System des Empfängers mit manueller Nachkontrolle, die in jeder Hinsicht rechtlich unbedenklich wäre, ist keine adäquate Lösung für das Problem.

E-Mails liest man nicht mehr nur am Arbeitsplatz, sondern unterwegs und von zu Hause oder leitet sie auf andere Endgeräte wie Faxe, PDAs oder Handys um. Die "Überall-Verfügbarkeit" von E-Mails hat allerdings ihren Preis: Die geringere und meist sehr kostspielige Übertragungsbandbreite (9,6 kBit/s bei GSM) sowie die eingeschränkte Lesbarkeit auf PDA- oder Handydisplays sind nur für wirklich wichtige Nachrichten akzeptabel.

Aus Sicht eines Unternehmens muss eine Anti-Spam-Lösung daher folgende Anforderungen erfüllen:

• Eine automatische Filterung von "offensichtlichem" Spam muss an zentraler Stelle im Unternehmen erfolgen und so für den weit überwiegenden Teil unerwünschter Nachrichten die (automatische) Übertragung an das Endsystem des Empfängers verhindern, um die "manuelle Filterung" durch den Mitarbeiter weitestmöglich zu reduzieren.
• Die zentrale Filterung darf praktisch keine False Positives (zu Unrecht als Spam klassifizierte Nachrichten) zurückhalten.
• Die Filterung muss hochgradig effizient erfolgen, um das E-Mail-System nicht durch aufwändige Analysen "auszubremsen", und sie muss den für Spam erforderlichen zusätzlichen Speicherbedarf deutlich reduzieren.

Tatsächlich ist die Filterung unerwünschter Nachrichteninhalte ja nicht ganz neu: Zum Schutz vor per E-Mail verbreiteten Viren setzen Unternehmen seit vielen Jahren zentrale Scanner ein, die den Anhang der Nachrichten überprüfen. Die Unterschiede zu einem Spam-Filter sind allerdings bedeutsam:

• Die Analyse bezieht sich auf Programmcode (binäre Daten, Makros oder Script-Programme), nimmt jedoch keine semantische Bewertung vor.
• False Negatives und False Positives sind extrem selten und liegen bei den meisten Lösungen weit unter einem Prozent.

Rechtlicher Hintergrund

Rechtlich unstrittig ist, dass es sich beim Einsatz eines zentralen Viren-Filters, sogar bei automatisierter Löschung infizierter Anhänge, um eine zulässige Schutzmaßnahme handelt, die weder eine unbefugte Verletzung des Fernmeldegeheimnisses darstellt (§ 85 TKG und § 206 StGB in Verbindung mit Art. 10 GG) noch den Straftatbestand einer ungesetzlichen Datenlöschung oder -unterdrückung erfüllt (§ 303a StGB).

Selbst eine tolerierte oder erlaubte private Nutzung, durch die das Unternehmen dann als Diensteanbieter unter die Bestimmungen des Telekommunikationsgesetzes (TKG) fällt, ändert an dieser rechtlichen Bewertung nichts, denn das stillschweigende Einverständnis des Nutzers vor Schaden stiftenden Programmen kann dabei vorausgesetzt werden. Mehr noch: Das TKG verpflichtet Betreiber von Telekommunikationsanlagen sogar zu geeigneten Schutzmaßnahmen (§ 87 TKG, vgl. [1]). Und auch nach Einschätzung des Bundesdatenschutzbeauftragten ist die Unterdrückung von Teilinhalten und Anhängen von E-Mails mit "gefährlichem oder verdächtigem ausführbaren Code" unproblematisch [2].

Ganz anders stellt sich die Situation im Falle unerwünschter Nachrichten dar: Hier kann man das Einverständnis des Nutzers mit einer zentralen "Behandlung" der E-Mails nicht ohne Weiteres voraussetzen.

Unabhängig von der Frage der Zulässigkeit der privaten Nutzung sollte man den Umgang mit E-Mails in einer Betriebsvereinbarung regeln. Einerseits schon, weil eine Filterung als eine technische Einrichtung verstanden werden könnte, die eine Verhaltens- oder Leistungskontrolle der Mitarbeiter ermöglicht und daher laut Betriebsverfassungsgesetz (§ 87 BetrVG) mitbestimmungspflichtig ist [3]. Vor allem aber, um für alle Mitarbeiter Transparenz und Klarheit zu schaffen.

Umstritten ist allerdings die Frage, ob eine zentrale Spam-Behandlung überhaupt rechtlich zulässig ist – und wenn ja, welche Art. Dabei sind zunächst zwei Dinge getrennt zu betrachten: Die Filterung, also Analyse eingehender Nachrichten, und ihre anschließende Behandlung in Abhängigkeit vom Ergebnis [4].

Filterung und Analyse

Eine – auch nur automatisierte – inhaltliche Analyse, also semantische Bewertung von Nachrichten (z. B. durch Stichwortsuche oder Bayes-Filter) stellt nach überwiegender Meinung von Juristen bei Zulässigkeit privater Nutzung einen unzulässigen Eingriff in das Fernmeldegeheimnis von Empfänger und Absender dar (§ 85 TKG). Dies erstreckt sich dann auch auf die dienstliche Kommunikation, da diese in der Praxis von privater E-Mail nicht automatisiert unterschieden werden kann. Und hier hilft auch keine Betriebsvereinbarung: Denn das Fernmeldegeheimnis ist ein Grundrecht (Art. 10 GG) und kann nicht durch eine Vereinbarung aufgehoben werden.

Insoweit stellt jedes zentrale Spam-Filtersystem, das eine inhaltliche Bewertung eingehender Nachrichten – gleich, ob automatisiert oder manuell durch einen Administrator – bei zulässiger oder geduldeter privater Nutzung vornimmt, einen klaren Verstoß gegen das Fernmeldegeheimnis dar und ist sogar strafbewehrt (§ 206 StGB).

Ob auch bei ausschließlich dienstlicher Nutzung mit einer solchen Filterung ein Verstoß gegen das Fernmeldegeheimnis vorliegt, ist strittig: Der "Hinweis Nr. 37" des Innenministeriums Baden-Württemberg verneint dies [5] – ein Standpunkt, der aber nicht ohne heftigen Widerspruch geblieben ist und dem auch die amtliche Begründung zum § 206 StGB (im Begleitgesetz zum TKG) entgegensteht.

Daher sollte bei zentraler Filterung in jedem Fall Lösungen der Vorzug gegeben werden, die ohne eine semantische Bewertung auskommen. Ein sehr erfolgversprechender Ansatz dafür wurde 2003 vorgestellt [6, 7]: Er nutzt zur Erkennung unter anderem die charakteristische Eigenschaft von Spam-E-Mails, dass diese an viele Adressaten zugleich verschickt werden. Für den Nachrichtenvergleich kommen dabei rechtlich unbedenkliche Hash-Wert-Verfahren zum Einsatz, die sich auf die gesamte Nachricht beziehen (Spam-Signatur). Zentrale Filterlösungen, die eine inhaltliche Auswertung vornehmen, sollte man hingegen nur als Angebot an den Endbenutzer vorsehen und unter dessen vollständiger Kontrolle (Konfiguration, Möglichkeit zur Deaktivierung) einsetzen.

Spam-Behandlung

Für die Behandlung einer als vermeintlich oder wahrscheinlich unerwünschten Nachricht identifizierten E-Mail gibt es grundsätzlich vier verschiedene technische Möglichkeiten: Markieren, Blockieren, Quarantäne (inkl. Umleitung an spezifische E-Mail-Adressen) und Löschen.

Rechtlich weitgehend unbedenklich ist das bloße Markieren von vermuteten Spam-Nachrichten. Diese Markierung sollte jedoch nicht im Betreff oder dem Nachrichtentext (Mail Body) erfolgen, denn dies stellt eine unzulässige Veränderung von Nachrichten im Sinne des Strafgesetzbuches dar (§ 303a StGB). Die Erweiterung der Zustellinformationen (Header) um einen entsprechenden Eintrag, den inzwischen sehr viele E-Mail-Clients auswerten können, umgeht dieses Problem. Eine Markierung löst allerdings nicht das betriebliche Problem, denn die Nachricht wird normal zugestellt – der Aufwand für den Abruf (ggf. über Verbindungen mit geringer Bandbreite) und die "Nachbehandlung" der Nachricht verbleibt beim Empfänger.

Vorzuziehen ist daher ein Blockieren vermeintlicher Spam-Nachrichten, das schon beim Empfang im Rahmen des SMTP-Protokolls erfolgen kann (z. B. auf der Basis der – nicht fälschbaren – IP-Adresse des übermittelnden Gateway). Der Nachteil: Das Gateway, das an der Auslieferung der E-Mail gehindert wird, schickt eine Fehlermeldung an den vermeintlichen Absender – neuerlicher Spam, da die Absenderadressen von Spam-Nachrichten regelmäßig gefälscht sind, oft aber eine tatsächlich existierende E-Mail-Adresse bezeichnen.

Rechtlich einwandfrei ist es auch, die Nachricht dem Empfänger nicht direkt zuzustellen, sondern in einen separaten persönlichen Quarantäne-Bereich zu verschieben, aus dem sie nach Ablauf einer per Betriebsvereinbarung festgelegten Frist gelöscht wird. Doch auch diese Lösung erfüllt die betrieblichen Anforderungen nicht vollständig, denn sie reduziert nur eingeschränkt den Aufwand für die Speicherung der Spam-Nachrichten (auf dem Mail-Gateway) und die gelegentliche manuelle Durchsicht durch den Empfänger.

Zweifellos wäre das Löschen zumindest der mit sehr hoher Wahrscheinlichkeit als Spam klassifizierten Nachrichten die Wunschlösung; derzeit wäre eine hinreichend sichere Erkennung technisch für circa 80–90 % aller Spam-Nachrichten machbar. Allerdings: Eine Löschung stellt eine strafbewehrte Datenunterdrückung nach dar (§ 303a StGB) – gleichgültig, ob nur dienstliche oder auch private E-Mail-Kommunikation über die IT-Systeme des Arbeitgebers zulässig ist.

Hier ist die rechtliche Einschätzung eindeutig: Wer ohne Einwilligung löscht, macht sich strafbar. Umstritten ist allerdings, ob eine pauschale und unspezifische Einwilligung des Arbeitnehmers in eine "Löschung von durch die Systeme des Arbeitgebers als wahrscheinlich unerwünscht identifizierte Nachrichten" ausreicht – eine Ermächtigung, die einer Einverständniserklärung an den Briefträger nahe käme, doch alle Briefe wegzuwerfen, die er für überflüssig hält.

Fazit

Die Diskussion um einen rechtskonformen Umgang mit Spam wird zweifellos fortdauern, bis durch erste Urteile auf eine einschlägige Rechtsprechung verwiesen werden kann. Dennoch sind schon heute einige unstreitige Eckpunkte einer rechtlich sauberen Lösung festzuhalten:

• Die zentrale Filterung und Löschung von Malware (Viren, Würmer, Trojanische Pferde etc.) ist rechtlich unbedenklich.
• Zentrale semantische Spam-Filter stellen einen erheblichen Eingriff in das Fernmeldegeheimnis dar; ihr Betrieb setzt die explizite (freiwillige) Zustimmung des Empfängers voraus, die nicht durch eine Betriebsvereinbarung ersetzt werden kann.
• Rechtlich unbedenklich sind die Markierung von vermuteten Spam-Nachrichten im E-Mail-Header (zur späteren Filterung im Empfängersystem) und ebenso ein Verschieben der Nachrichten in einen persönlichen Quarantäne-Bereich (Betriebsvereinbarung erforderlich).
• Das Löschen von mit hoher Wahrscheinlichkeit als Spam klassifizierten Nachrichten setzt das explizite Einverständnis des Empfängers voraus und erfordert, dass die Konfiguration und Justierung des Filters durch den Empfänger selbst vorgenommen werden kann.

Dirk Fox ist Geschäftsführer der Secorvo Security Consulting GmbH und Herausgeber der Fachzeitschrift Datenschutz und Datensicherheit (DuD).

zurück zum Inhalt
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2004^#1, Seite 6