Das Bedürfnis und die Möglichkeit, Computer-Straftaten aufzuklären, sind gestiegen. Dies weckt das Interesse kommerzieller Anbieter. Private Ermittler geraten häufig und nicht nur positiv in die Schlagzeilen. Grund genug das legale Betätigungsfeld der privaten IT-Forensik genauer zu beleuchten.
IT-Forensik aus wissenschaftlicher Sicht
Das Wort Forensik kommt aus dem lateinischen („forum“) und bedeutet Markt, Marktplatz, Öffentlichkeit. In den Städten des römischen Reiches war es ein Platz, auf dem auch öffentliche Gerichtsverhandlungen stattfanden. IT-Forensik steht für eine wissenschaftliche Expertise, bei der die Aufklärung von Vorfällen im digitalen Bereich im Mittelpunkt steht und es insbesondere auf die Gerichtsfestigkeit der digitalen Beweismittel ankommt. Fachlich berührt die IT-Forensik somit Bereiche der Kriminalistik. Es kommt nicht nur auf die Untersuchung von Computern, Netzwerken und Software an, vielmehr bedarf es fachlicher Kompetenz auf vielen Rechtsgebieten und dem richtigen Umgang mit Beweismitteln, die vor Gericht dem Beweisaufnahmeverfahren Stand halten müssen.
Im Falle von Straftaten kommt es in Betracht, die regulären Organe der Rechtspflege einzuschalten. Die Polizei ist mit Ermächtigungsnormen ausgestattet, die privaten Ermittlern nicht zur Verfügung stehen.
Privates Ermittlungsrecht
Für einzelne Fälle existieren beispielsweise im Bundesdatenschutzgesetz (BDSG) explizite Erlaubnistatbestände. Diese erlauben die Datenerhebung, -verarbeitung und -nutzung zu Zwecken der Strafverfolgung, auch im Rahmen eines Beschäftigungsverhältnisses. Hierbei sind stets die engen Grenzen der Verhältnismäßigkeit einzuhalten. Maßnahmen dürfen nur durchgeführt werden, wenn sie der Erreichung eines legitimen Zwecks dienen und hierfür geeignet sowie erforderlich sind. Eine Maßnahme ist erforderlich, wenn kein anderes gleichermaßen geeignetes, aber den Betroffenen weniger belastendes Mittel zur Verfügung steht. Denn es ist stets das mildeste Mittel anzuwenden. Die Maßnahmen müssen angemessen im engeren Sinne sein, das heißt, es ist eine Abwägung von Interessen sowie von Vor- und Nachteilen der Maßnahmen vorzunehmen.
Bevor Maßnahmen getroffen werden können, müssen tatsächliche Anhaltspunkte vorliegen und dokumentiert werden, welche einen Tatverdacht begründen und die Maßnahmen selbst rechtfertigen.
Um rechtliche Probleme bereits im Vorfeld zu vermeiden, können Unternehmen vorbereitende Maßnahmen treffen.
Hierzu zählen u. a.
- die Bestellung eines betrieblichen Datenschutzbeauftragten und eines IT-Sicherheitsbeauftragten,
- die regelmäßige Einbeziehung des Betriebsrates,
- Treffen einer Betriebsvereinbarung,
- die Einführung einer IT-Richtlinie als Anlage zu Arbeitsverträgen,
- regelmäßige Überprüfung der Einhaltung der IT-Richtlinie
- und regelmäßige Mitarbeiterschulungen.
Externe IT-forensische Untersuchungen
Falls forensische Maßnahmen ganz oder teilweise durch einen externen Dienstleister erbracht werden sollen, muss geprüft werden, ob dies im Rahmen einer Auftragsdatenverarbeitung gemäß § 11 BDSG möglich ist.
Die Handlungsverpflichtung einerseits und die Begrenzung der Handlungsmöglichkeiten andererseits definieren ein Spannungsfeld, in welchem sich ein Arbeitgeber bewegen muss.
Über den Autor
Thorsten Logemann ist Vorstandsvorsitzender der intersoft consulting services AG. Das Unternehmen ist spezialisiert auf Beratungsleistungen in den Bereichen Datenschutz, Recht, IT und setzt bei der Aufklärung von IT-Sicherheitsvorfällen auf hochqualifizierte Experten: zertifizierte IT-Forensiker, Rechtsanwälte sowie eine Kriminalkommissarin im Team.