Sie befinden sich hier: kanzlei.biz > Blog > Spam- und Virenfilterung aus rechtlicher Sicht

Spam- und Virenfilterung aus rechtlicher Sicht

09. Dezember 2008
[Gesamt: 0   Durchschnitt:  0/5]
1234 mal gelesen
0 Shares
Die E-Mail nimmt als Kommunikationsmedium einen immer höheren Stellenwert ein und gehört in vielen Firmen schon seit langem zu den kritischen Komponenten im Geschäftsbetrieb. Doch auch hier lauern juristische Gefahren. Betreiben Sie einen eigenen Mailserver und filtern auf Spam und Viren? Oder filtern Sie absichtlich nicht? Ob Sie dies jeweils rechtskonform tun, das erfahren Sie im folgenden Artikel.

Die E-Mail nimmt als Kommunikationsmedium einen immer höheren Stellenwert ein und gehört in vielen Firmen schon seit langem zu den kritischen Komponenten im Geschäftsbetrieb. Doch auch hier lauern juristische Gefahren.
Betreiben Sie einen eigenen Mailserver und filtern auf Spam und Viren? Oder filtern Sie absichtlich nicht? Ob Sie dies jeweils rechtskonform tun, das erfahren Sie im folgenden Artikel.

Gefahren aus dem Internet

Schätzungen gehen heute davon aus, dass bereits über 90% des elektronischen Mailaufkommens aus unerwünschten Nachrichten besteht, oft als Spam bezeichnet. Gemeint sind unerwünschte Werbebotschaften oder gar Viren, die das elektronische Postfach in kurzer Zeit zum Überlaufen bringen. Um die Betriebskosten bei der Speicherung der E-Mails nicht explodieren zu lassen und um die Produktivität der Mitarbeiter nicht unter einer Flut von Werbung zu begraben, bietet sich eine Filterung der Postfächer an. Gleiches gilt für Viren, die sogar zu einer ernstzunehmenden Bedrohung für die IT-Sicherheit werden können.

Filter

Die Filterung kann lokal auf dem Computer durch den Benutzer erfolgen, doch ist dies meist schon zu spät. Die E-Mail ist bereits auf dem Server gespeichert, verbraucht wertvollen Speicherplatz und beinhaltet im schlimmsten Fall einen Virus, der dann sogar noch in der täglichen Datensicherung enthalten sein kann. Zudem sind viele Benutzer mit der Konfiguration überfordert, und einheitliche Sicherheitsrichtlinien können ohnehin viel besser zentral verwaltet werden. Besser ist also die Filterung direkt auf dem Server.

Hierbei gibt es verschiedene Methoden, der Lage Herr zu werden:

• Überprüfung des einliefernden Mailservers
• Überprüfung der Identität des Absenders
• Abfrage von so genannten Blacklists
• statistische Analyse des Inhalts der E-Mail
• Überprüfung mit einem Virenscanner

Ein Beispiel aus dem Alltag soll dies verdeutlichen:

Der Postbote, der eine Werbesendung bringt, entspricht dem Betreiber des Mailservers. Bereits an dieser Stelle kann der Empfang abgelehnt werden, wenn der Postbote bekannt dafür ist, nur unerwünschte Werbung auszuliefern.
Ein Blick auf den Briefumschlag offenbart in der Regel den Absender, auch ohne den Inhalt der Nachricht zu lesen, sodass das neueste Kreditangebot einer Ihnen unbekannten Bank bereits den Weg in den Papierkorb findet.

Ebenso kann die Werbesendung eines bekannten unseriösen Anbieters von Kaffeefahrten direkt entsorgt werden, was vereinfacht gesagt der Funktion einer Blacklist entspricht. Ist keines dieser Kriterien einschlägig, so kann durch kurzes Querlesen der Inhalt des Briefs erfasst und spätestens hier als unerwünschte Werbung entlarvt werden.

Genauso verhält es sich im virtuellen Briefverkehr. Der Unterschied hierbei ist, dass der Betreiber eines Mailservers nicht nur Postfächer und somit Filtertechnik für sich selbst bereit hält, sondern auch für Dritte – Kunden, Mitarbeiter oder Freunde. Er ist quasi der Postbote und trägt eine entsprechend große Verwantwortung.

Filtern kann strafbar sein!

Stellen Sie sich jetzt einmal folgenden Fall vor: Ihr Nachbar verweigert unliebsamen Briefträgern den Zugang zu Ihrem Grundstück, und Ihr Postbote wirft ungefragt Post weg, weil er sie für Werbung hält. Oder schlimmer, er öffnet jeden Brief, liest ihn und entscheidet dann, ob er Ihnen den Brief aushändigt oder nicht. Für solche Fälle sieht der Gesetzgeber den Straftatbestand der §§ 202, 206 StGB vor, der Verletzung des Brief-, Post- oder Fernmeldegeheimnisses. Jedermann ist klar, dass ein solches Verhalten unter Strafe gestellt werden muss, wenn die Berechtigten nicht ausdrücklich Ihre Zustimmung dazu erklären.

Was viele jedoch nicht wissen:

Auch der Betreiber eines Mailservers, der ohne Zustimmung der Berechtigten filtert, kann sich nach den §§ 202, 206 StGB strafbar machen! Zivilrechtlich ist zudem ein Schadensersatz- und Unterlassungsanspruch denkbar.

Es ist deshalb wichtig, dass eine etwaige Filterung rechtssicher abgewickelt wird. Es ist nicht per se verboten zu filtern, wenn die entsprechenden Maßnahmen getroffen und den Informations- und Aufklärungspflichten genügt wird.

Nicht filtern kann auch gefährlich werden!

Betreiber von Mailservern, die jetzt überlegen, lieber gar nicht zu filtern, leben allerdings ebenfalls gefährlich. Stellen Sie sich den Fall einmal anders herum vor: Im Laufe der Zeit wird sich herumsprechen, dass sich Ihr Server bestens für den Versand von Spam und Viren eignet.

Zum einen ist Ihr Server dann eine perfekte Zielscheibe für gezielte Spamming-Angriffe, wodurch die Qualität Ihrer Dienstleistung leidet. Das kann im Endeffekt dazu führen, dass Sie Ihren Kunden die zugesicherten Leistungen nicht mehr in der gewohnten Qualität bieten können, weil ständig Postfächer überlaufen sind und der Server überlastet ist. Zugleich werden Sie binnen kürzester Zeit auf sämtlichen Blacklists verzeichnet sein, was den Versand von E-Mail über Ihren Mailserver nahezu unmöglich macht.

Auch Ihre Nutzer wissen dann aber, dass Sie keinerlei Filtermechanismen einsetzen. Je größer der Nutzerkreis, umso wahrscheinlicher ist, dass sich darunter einige befinden, die ebenfalls unerwünschte Nachrichten versenden. Wenn vielleicht auch nicht so groß angelegt wie die „professionellen“ Spammer, so doch im Kleinen. Was liegt also näher, als gerade Ihren Server als Ausgangspunkt für Spam- und Virenangriffe gegen Dritte zu nutzen? Sollte aufgrund Ihrer Nachlässigkeit dann die IT-Infrastruktur anderer in Mitleidenschaft gezogen werden, so sehen Sie sich neben zivilrechtlichen Ansprüchen wie Unterlassung und Schadensersatz unter Umständen auch strafrechtlichen Vorwürfen ausgesetzt.

Rechtsprobleme mit Blacklists

Ein weiteres Problem stellen die häufig eingesetzten Blacklists dar. Sie bestehen vereinfacht gesagt aus einer Liste von Mailservern oder Absendern, die durch häufiges Einliefern von Spam oder Viren aufgefallen sind. Die Betreiber von Mailservern können eingehende Nachrichten gegen diese Listen prüfen, sodass Nachrichten der verdächtigen Gegenstellen sofort abgelehnt werden. Dabei gibt es gleich zweierlei Rechtsprobleme:

Zum einen wird durch die Abfrage der Listen eine gewisse Informationsmenge über die eingehenden Nachrichten an die Betreiber der Blacklist übertragen. Die Informationen sind zwar minimal und qualifizieren nicht unbedingt zum verwertbaren Datensatz, aber ganz ohne Information der Nutzer könnte ein solches Vorgehen grenzwertig sein, da ein Dritter mit gewissen Daten Ihrer Nutzer in Berührung kommt.

Darüber hinaus stellt sich die Frage, mit welcher Sorgfalt die häufig von Privatpersonen oder Initiativen gepflegten Listen gewartet werden, und wer bei Falschlistungen haftbar gemacht werden kann. Die meisten Blacklists entziehen sich dem Zugriff durch die deutsche Rechtsordnung dadurch, dass sie bereits aufgrund ihrer Entstehungsgeschichte oft im nichteuropäischen Ausland beheimatet sind, sodass die Durchsetzung von Rechtsansprüchen erschwert sein kann.

Die Problematik erstreckt sich hier auf zwei Fallgruppen: Die unberechtigte Sperrung des eigenen Mailservers, und die durch fälschliche Sperrung Dritter verursachte fehlgeschlagene Zustellung von E-Mails. Beide Fälle sind durchaus Realität. Gerade die Betreiber größerer Mailserver sehen sich aufgrund der Vielzahl ihrer Nutzer und der dadurch absolut gesehen höheren Anzahl von Missbrauchsfällen oft einer Sperrung ausgesetzt. Für die Nutzer der betreffenden Server hat dies zur Folge, dass sie viele Empfänger nicht mehr erreichen können. Die Nutzer anderer Mailserver sind dadurch beeinträchtigt, dass E-Mails der betreffenden Absender als Spam abgewiesen werden können. Auch hier entstehen möglicherweise Schadensersatz- und Unterlassungsansprüche gegen Sie als Server-Betreiber, während Sie selbst etwaige Ansprüche gegen die Blacklist-Betreiber nur schwerlich durchsetzen können. Auch wettbewerbsrechtlich können Ansprüche entstehen, beispielsweise dann, wenn ein Provider seinen Konkurrenten im Mailserver sperrt.

Nachkommen der Informationspflicht durch Benachrichtigung?

Wer jetzt denkt, im Falle einer erfolgreichen Filterung einfach Absender und Empfänger zu informieren, der sollte sich das besser zwei Mal überlegen, denn bei E-Mails kommt noch ein weiteres Kriterium dazu: Genauso wie beim Brief lässt sich auch die Identität eines E-Mail-Absenders nahezu beliebig fälschen, und dies wird gerade für Spam oder Viren häufig praktiziert. Oft werden unbeteiligte und vor allem unwissende Dritte als Absender angegeben.

Würden diese über jede zurückgewiesene E-Mail informiert, so sähen sie sich einer ebenso gewaltigen Flut an unerwünschter Post ausgesetzt wie jener, die eigentlich verhindert werden sollte. Beim Empfänger verhält es sich genauso.

Stellen Sie sich vor, für jede Werbesendung die Sie nicht wünschen, wirft Ihnen der Postbote einen Zettel mit der Information ein, dass eine Werbesendung nicht zugestellt wurde – die Belästigung und der Aufwand wären derselbe. Auch hier wären letzten Endes wieder zivilrechtliche Ansprüche denkbar. Zudem muss die Strafbarkeit nicht zwangsläufig entfallen, denn trotz Benachrichtigung wurde die eigentliche E-Mail ja nicht zugestellt. Im unserem Beispiel: Wirft der Postbote ungefragt Briefe weg, und teilt dies dem Nachbarn sofort mit, kann er sich bereits strafbar gemacht haben.

Was also tun?

Was aber passiert, wenn Sie als Empfänger den Brief direkt an der Haustür ablehnen und er mit dem Vermerk „Annahme verweigert“ an den Absender zurückgeschickt wird? Oder wenn Sie Ihrem Postboten explizit sagen, alle Werbesendungen der Firma XY sind umgehend mit diesem Vermerk zurückzusenden? Dann macht der Postbote sich natürlich nicht strafbar, denn er handelt ja auf Ihren expliziten Wunsch hin. Sollte sich unter der vermeintlichen Werbung doch einmal ein wichtiges Schreiben befinden, hat der Absender zusätzlich die Rückmeldung, dass der Brief nicht zugegangen ist.

Auf die gleiche Art und Weise kann sich auch der Betreiber eines Mailservers absichern!

Technisch gibt es mehrere Möglichkeiten, E-Mails zu filtern. Die zwar aufwändigste, aber gleichzeitig auch (rechts)sicherste Möglichkeit besteht darin, sämtliche Filterungen die zu einem Verwerfen der Nachricht führen könnten, direkt in der so genannten SMTP-Sitzung durchzuführen, noch während der gegnerische Mailserver die Nachricht einliefert. Dadurch erfährt dieser sofort, dass die Nachricht nicht zugestellt werden konnte, und es obliegt nun wiederum ihm, seinen Nutzer davon in Kenntnis zu setzen. Auf keinen Fall sollten Sie Benachrichtigungen per E-Mail versenden, weder an den Absender noch an den vermeintlichen Empfänger.

Juristisch genügt dies jedoch noch nicht. Zum Schutz vor Strafe und auch zum Schutz vor zivilrechtlichen Schadensersatzforderungen, muss der Betreiber eines Mailservers einige wichtige Punkte beachten:

• Jeder einzelne Nutzer, für den ein Postfach bereit gehalten wird, muss explizit darauf aufmerksam gemacht werden, dass E-Mails gefiltert werden.
• Sofern technisch vertretbar ist es noch sicherer, zunächst gar keine Filterung anzuwenden, und diese nur durch den Benutzer optional zuschalten zu lassen, allerdings kann dies nicht immer wünschenswert sein.
• Von jedem Benutzer sollte, am besten zusammen mit Aushändigung der Benutzungsordnung und der Datenschutzrichtlinien, schriftlich bestätigt werden, über die Filterung informiert worden und mit ihr einverstanden zu sein.
• Es sollte auch auf die Abfrage und die Risiken der eingesetzten Blacklists hingewiesen werden.
• Es sollte genau genannt sein, welche Veränderungen in eintreffenden E-Mails mit Spamverdacht vorgenommen werden, beispielsweise ob der Betreff verändert oder zusätzlicher Nachrichteninhalt eingefügt wird.
• Arbeitgeber sollten sich nicht nur aus Haftungsgründen überlegen, den Mitarbeitern die private Nutzung ihrer geschäftlichen E-Mail-Adresse zu verbieten.
• Die Nutzer müssen weiterhin darüber aufgeklärt werden, dass jede Form von Filterung keine 100%ige Zuverlässigkeit besitzt. Im Einzelfall können auch Fehlfilterungen (so genannte „false positives“) vorkommen.
• Vergleichbar mit der Informationspflicht der Telekommunikationsanbieter bei Einzelverbindungsnachweisen sollten Sie Ihre Nutzer auch dazu verpflichten, etwaige Mitnutzer des Postfachs ebenso über die Filterung und die damit verbundenen Risiken zu informieren.
• Gehen Sie behutsam mit der manuellen Sperrung einzelner Server um, und vermeiden Sie eine solche möglichst.

Abschließende Hinweise

Auch die früher oft angewandte Praxis, Nachrichten nach einer bestimmten Anzahl von Tagen automatisch zu löschen, ist rechtlich höchst schwierig. Grundsätzlich sollten Sie als Mailserver-Betreiber niemals Nachrichten löschen, zumindest nicht ohne explizite Zustimmung der Berechtigten. Dies betrifft auch Nachrichten, die vom Benutzer in Ordner wie „Papierkorb“ oder „Spam“ verschoben worden sind.

Wir stehen mit Rat und Tat zur Seite!

Ihr kompetenter Ansprechpartner in allen juristischen Fragen rund um das Thema elektronische Kommunikation ist die Kanzlei Hild & Kollegen. Sie benötigen eine Nutzungsordnung für Ihren Mailserver? Sie möchten professionelle Beratung, um den Informations- und Aufklärungspflichten gegenüber Ihren Nutzern nachzukommen? Kontaktieren Sie uns!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

kanzlei.biz in den Medien

Referenzen-Sidebar
Jetzt zum Newsletter anmelden!

Erlaubnis zum Versand des Newsletters: Ich möchte regelmäßig per E-Mail über aktuelle News und interessante Entwicklungen aus den Tätigkeitsfeldern der Anwaltskanzlei Hild & Kollegen informiert werden. Diese Einwilligung zur Nutzung meiner E-Mail-Adresse kann ich jederzeit für die Zukunft widerrufen, in dem ich z. B. eine E-Mail an newsletter [at] kanzlei.biz sende. Der Newsletter-Versand erfolgt entsprechend unserer Datenschutzerklärung.

n/a