Datenschutzgerechter Einsatz von Spam-Filtern

Aufgrund der Menge von Spam-Mails muss sich jede Behörde und jedes Unternehmen Gedanken darüber machen, wie es dieser Spam-Flut Herr wird. Als wichtigste Schutzmaßnahme wird dabei die generelle Filterung aller E-Mails angesehen. Allerdings herrscht häufig Unklarheit, welche Filtermethoden am wirksamsten sind und was aus rechtlicher Sicht bei einer Filterung zu beachten ist.  

Kein Filterverfahren ist perfekt

Um an dieser Stelle gleich etwaige Illusionen zu zerstören, sei darauf hingewiesen, dass es bis zum heutigen Tage kein perfektes Filterungsverfahren gibt. Jedes der eingesetzten Filterverfahren weist eine Reihe von Schwachstellen auf. Allerdings ist es durch die Kombination unterschiedlicher Verfahren möglich, das verbleibende Spam-Aufkommen auf ein erträgliches Maß zu reduzieren, wobei gesetzliche Vorgaben zu berücksichtigen sind.

Die Filterverfahren im Vergleich

Die häufigste Filterung findet an Hand der IP-Adresse des Absenders statt, da sich diese nicht ohne weiteres fälschen lässt. IP-Adressen können in zwei verschieden Listen geführt werden. Während in den so genannten White-Lists die „guten” IP-Adressen erfasst werden, enthalten die Black-Lists die „schlechten” IP-Adressen.

Die White-Lists enthalten dabei alle akzeptierten Versender von Massenmail, die durch ihre Aufnahme in diese Liste von allen weiteren Filterungsmaßnahmen ausgenommen werden.

Im Gegensatz zu IP-basierenden Filterverfahren sind inhaltsbasierte Verfahren aufwendiger, weil sie erhebliche Rechenzeit erfordern. Dafür ist aber die Qualität der Filterung oft besser. Man unterscheidet hierbei Verfahren, die mittels festgelegter Muster (Heuristik) bekannte Spam-Inhalte erfassen, und statistische Verfahren, die laufend durch die Vorlage von E-Mails trainiert werden und selbständig typische Kennzeichen von Spam erlernen.

Zusammenwirken verschiedener Filterungs-Methoden

Keine Filterungsmaßnahme wird für sich allein erfolgreich sein. Deswegen sollten entsprechende Filterungsprodukte verschiedene Filter-Methoden miteinander verknüpfen.

Diese Filterungsmaßnahmen sind entweder nacheinander oder parallel einsetzbar. Werden sie nacheinander angewendet, entscheidet jede Filterstufe, ob sie die E-Mail annimmt, ablehnt oder an den nächsten Filter weiterleitet. Bei der parallelen Anwendung werden alle Kriterien gleichzeitig überprüft, um zu einer gemeinsamen Entscheidung zu gelangen.

Technisch mögliche Behandlung von Spam-Mails

Nachdem eine E-Mail als Spam eingestuft wurde, ist es vor dem Hintergrund der Arbeitsersparnis für die Beschäftigten sinnvoll, diese E-Mail auch einer möglichst automatischen Behandlung zuzuführen.

Technisch gesehen sind mehrere Vorgehensmöglichkeiten möglich:

  • Markierung der E-Mail als Spam-Mail und Weiterleitung an den Empfänger
  • Blockung der E-Mail und damit einhergehende Unterdrückung der Weiterleitung der Original-E-Mail an den Empfänger
  • Verweigerung der Annahme der E-Mail (Bounce)
  • Löschung der E-Mail

Ein Blocken oder Löschen von E-Mails ist rechtlich fragwürdig

Eine zentrale Blockung oder Löschung vermeintlicher Spam-Mails ist zumindest bei einer gestatteten privaten E-Mail-Nutzung ohne Einwilligung der Betroffenen rechtlich nicht zulässig. Dabei kann sich der Arbeitgeber auch nicht auf ein vermutetes Einverständnis der Betroffenen stützen.

Doch selbst wenn eine ausdrückliche Einwilligung der Beschäftigten vorliegt, steht ein Verstoß gegen § 88 Telekommunikationsgesetz (TKG) und die korrespondierenden Schutzvorschriften im Raum.

So sind Sie auf der sicheren Seite

Denkbar wäre allerdings eine Filterung der ankommenden Mails – noch vor deren Annahme – hinsichtlich des angegebenen Empfängers. Ist die angegebene E-Mail-Adresse der empfangenden Stelle nicht bekannt, kann noch vorherrschender Meinung die Annahme der Mail verweigert werden.

Durch diese Vorfeld-Filterung kann das gesamte Spam-Aufkommen bereits erheblich verringert werden.

Die restlichen Mails sollten dann zwar gescannt und gegebenenfalls als Spam-Mail gekennzeichnet aber an den Empfänger weitergeleitet werden, der dann selbst entscheidet, ob er diese Mails liest oder sie ungelesen löscht. Natürlich kann auch ein spezieller Mail-Ordner angelegt werden, in dem alle vermeintlichen Spam-Mails abgelegt werden und der unter alleiniger Zugriffskontrolle des Empfängers steht. Die Speicherung dieser Mails kann vom Anwender bis zu einem Verfallsdatum, bis zu einer bestimmten Menge oder bis zur manuellen Löschung erfolgen.

Beim Scannen der Mails muss eine Kenntnisnahme zumindest der privaten Mails durch den Arbeitgeber und/oder Provider ausgeschlossen sein. Deshalb sollte der Filterungsvorgang automatisch ablaufen. Eine inhaltliche Kontrolle ein- und auslaufender Mails ist dann nur bei begründetem Verdacht auf strafrechtliche Handlung oder Geheimnisverrat zulässig.

Die Vorgehensweise zur Spam-Bekämpfung sollte im Einvernehmen mit der Arbeitnehmervertretung geregelt werden

Bezüglich des gewählten Verfahrens sollte eine Vereinbarung mit der Arbeitnehmervertretung geschlossen werden, in der detailliert die unternehmens- bzw. behördenweite Vorgehensweise beschrieben ist.

Aufgrund dieser Vereinbarung sollten wiederum entsprechende Weisungen erlassen werden, die genau regeln, welche Maßnahmen zur Spam-Bekämpfung von Seiten des Arbeitgebers ergriffen werden, ob und gegebenenfalls welche personenbezogenen Daten dabei anfallen und ob und wofür diese Daten genutzt werden (können).

Diese Weisungen sollten konsequenterweise Bestandteil der eigenen E-Mail-Richtlinie sein.