Das erheblich gestiegene Risiko eines Cyberangriffs führt dazu, dass immer mehr Unternehmen auch mehr und mehr moderne IT-Sicherheitslösungen einführen. Ein Ansatz besteht darin, die bisherige tradionelle Firewall durch eine sogenannte Next Generation Firewall (kurz: NGFW) zu ersetzen oder zu ergänzen.
Was ist eine Next Generation Firewall?
Während eine traditionelle Firewall vereinfacht gesprochen, mit Filterregeln auf Basis des verwendeten Netzwerkprotokolls und Ports arbeitet, anhand deren Netzwerkverbindungen zugelassen und blockiert werden, bietet eine NGFW darüber hinausgehende Sicherheitsfeatures. Diese prüft u. a. auch den Inhalt der Datenpakete, Prozess- und andere Aktivitäten im Netzwerk.
Man kann sich dies am Beispiel eines Einlasskontrolleurs vor einem Fußballstadion so vorstellen: Wäre dieser eine traditionelle Firewall, würde er nur prüfen, ob der Fan ein Ticket für das Spiel und für den richtigen Block im Stadion hat. Die NGFW führt dagegen die Taschenkontrolle durch und schaut ob etwa Pyrotechnik oder andere gefährliche Gegenstände hineingeschmuggelt werden sollen.
Hierbei kann die NGFW sogar verschlüsselte Verbindungen entschlüsseln, prüfen und anschließend wieder verschlüsseln. Zudem analysieren NGFW das Verhalten der Nutzer:innen im Netzwerk und können dabei Anomalien erkennen. Sie sind also im Grunde eine Kombination aus Firewall und Intrusion Detection System.
Um eine bestmögliche Erkennung von Schadsoftware zu gewährleisten, werden dabei vielfach Kommunikationsdaten bis ggf. hin zu einzelnen Dateien in eine cloudbasierte Sandbox des Herstellers hochgeladen und genauer analysiert.
Datenschutzrechtlicher Rahmen
Eine NGFW verarbeitet damit auch in großem Umfang personenbezogene Daten u. a. der Nutzer:innen im Netzwerk, also zumeist der Beschäftigten, denn auch IP-Adressen und MAC-Adresse im Netzwerk lassen sich in vielen Fällen einzelnen Nutzer:innen zuordnen, ggf. werden auch unmittelbar Benutzernamen verarbeitet. Dabei geht es nicht nur um die Metadaten der Kommunikation im Netzwerk und von Prozess- und Dateiaktivitäten, sondern auch um den Kommunikationsinhalt. Hinzukommen ggf. Namen von Dateien, die möglicherweise ebenfalls Personenbezug haben können. Was aus IT-Sicherheitssicht begrüßenswert und zumeist sinnvoll ist, wirft zahlreiche datenschutzrechtliche Fragen auf.
Welche Erlaubnisnormen kommen für die Verarbeitung von Daten in Betracht?
Dies fängt bereits bei der Frage der Zulässigkeit des Einsatzes einer solchen NGFW und seiner Rechtsgrundlage an. In Betracht kommt insofern zum einen die rechtliche Verpflichtung im Sinne von Art. 6 Abs. 1 S. 1 lit. c DSGVO. Dabei ließe sich argumentieren, dass Art. 32 Abs. 1 DSGVO den Verantwortlichen zum Ergreifen geeigneter technisch-organisatorischer Maßnahmen zum Schutz personenbezogener Daten verpflichtet, wozu die NGFW einen wesentlichen Beitrag leistet. Allerdings schreibt Art. 32 DSGVO keine konkreten Verarbeitungen bzw. konkrete Maßnahmen vor, sondern spricht von geeigneten Maßnahmen. Ob in besonderen Fallkonstellationen ggf. nur durch Einsatz einer NGFW ein angemessenes Schutzniveau erreicht werden kann, ist bisher ungeklärt.
Zu denken wäre daneben an das berechtigte Interesse im Sinne von Art. 6 Abs. 1 S. 1 lit. f DSGVO als Erlaubnisnorm. Die Verarbeitung der personenbezogenen Daten müsste dazu zur Wahrung eines berechtigten Interesses des Unternehmens oder Dritter erforderlich sein. Dabei ist eine Abwägung mit etwaigen entgegenstehenden Interessen, Grundrechten oder Grundfreiheiten der betroffenen Personen vorzunehmen und zu dokumentieren. Das Interesse des Unternehmens an der Gewährleistung der IT-Sicherheit dürfte dabei in der aktuellen Zeit durchaus stark ins Gewicht fallen. Entgegenstehende schutzwürdige Interessen können allerdings insbesondere bei speziellen Funktionsträgern wie dem Betriebsrat oder einer internen Meldestelle für Rechtsverstöße innerhalb des Unternehmens nach dem kommenden Hinweisgeberschutzgesetz in Frage kommen.
Da in Unternehmen mit Betriebsrat ohnehin ein Mitbestimmungsrecht des Betriebsrats besteht und dieser gem. § 87 Abs. 1 Nr. 6 BetrVG bei der Einführung einer NGFW beteiligt werden muss, kann sich anbieten, eine Betriebsvereinbarung hierüber abzuschließen. Diese kann dann die Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten beim Einsatz der NGFW bilden, wenn die Anforderungen von Art. 88 Abs. 2 DSGVO eingehalten werden. Von besonderer Bedeutung ist dabei die Herstellung von Transparenz hinsichtlich der Verarbeitung für die Beschäftigten.
Erster Schritt: Sachverhaltserfassung
Für die datenschutzrechtliche Beurteilung gilt es zunächst den konkreten Sachverhalt korrekt und vollständig zu erfassen. Welche Daten werden konkret verarbeitet? Erfolgen ggf. nur Verarbeitungen von Hashwerten bzw. Signaturen? Können auch besondere (sensible) Kategorien wie Gesundheitsdaten erfasst werden? Hierbei helfen die von vielen Herstellern zur Verfügung gestellten Whitepaper, die unter Umständen genaue Auflistungen der Verarbeitungen enthalten.
Welche Maßnahmen sind datenschutzrechtlich zu ergreifen?
In der Praxis sollte darauf geachtet werden, bei der Administration der NGFW die Datenverarbeitung hinsichtlich Umfang und Dauer der verarbeiteten Daten auf das notwendige Maß zu begrenzen.
Zugriffs-, Protokollierungs- und Löschkonzept
Aus Datenschutzsicht ist beim Einsatz der NGFW insbesondere die Umsetzung und Dokumentation eines Protokollierungs- und Zugriffskonzepts (nach dem Need-to-know-Prinzip) von entscheidender Bedeutung. Zudem muss die Speicherdauer der verarbeiteten personenbezogenen Daten geklärt und in das Löschkonzept des Unternehmens aufgenommen sowie die Datenschutzinformationen für die betroffenen Personen, insbesondere die Arbeitnehmer:innen entsprechend angepasst werden.
Auftragsverarbeitungsvertrag mit dem Hersteller
Nicht vergessen werden darf auch der Abschluss eines den Vorgaben des Art. 28 DSGVO genügenden Auftragsverarbeitungsvertrages, da es sich im Verhältnis zum Hersteller, insbesondere bei cloudbasierten Lösungen, in der Regel um eine ausschließlich weisungsgebundene Datenverarbeitung handelt. Die Zulässigkeit der damit verbundenen Datenverarbeitung im Auftrag des Unternehmen hängt vom Vorliegen eines solchen Vertrages ab. Sorgfältig zu prüfen sind dabei u. a. die vom Hersteller ergriffenen technisch-organisatorischen Maßnahmen zum Schutz der verarbeiteten personenbezogenen Daten.
Besonderheiten bei Drittstaatsübermittlung
Weitere Komplexität gewinnt die Thematik, wenn der Hersteller der Software in einem Drittstaat außerhalb der EU bzw. des EWR beheimatet ist. Wie so oft stammen viele Anbieter von NGFW aus den USA. Für eine Drittstaatsübermittlung ist es bereits ausreichend, wenn ein Zugriff etwa zu Wartungs- oder Supportzwecken von dort aus erfolgt oder einzelne Daten zu Analysezwecken auf einen Server in einem Drittstaat übermittelt werden.
Kommt es dadurch zu einer Drittstaatsübermittlung, ist z. B. im Fall der USA, da nach aktuellem Stand kein Angemessenheitsbeschluss der EU-Kommission für Datenübermittlungen in die USA besteht, zu prüfen, ob anderweitige Garantien für ein angemessenes Datenschutzniveau bestehen, z. B. in Form von Standardvertragsklauseln, die auch eine belastbare und nachvollziehbare Risikoabwägung für den Drittstaatstransfer enthalten (sog. Transfer Impact Assessment, kurz: „TIA“). In vielen Fällen scheitert die Zulässigkeit der Drittstaatsübermittlung genau an diesem Punkt, da entweder gar kein „TIA“ durchgeführt wurde oder wenn doch, dieses den Anforderungen der Aufsichtsbehörden nicht genügt.
Weitere Infos dazu auch im Blogartikel Übermittlung personenbezogener Daten in Drittländer (SCHREMS II) und die Folgen für Unternehmen
Datenschutz-Folgenabschätzung
In Anbetracht des Umfangs der Datenverarbeitung, des möglichen Cloud-Einsatzes und der möglicherweise sensiblen Kommunikationsinhalte, die von der NGFW erfasst werden, wird in aller Regel vor deren Einsatz eine Datenschutz-Folgenabschätzung erforderlich sein. Hierbei unterstützt und berät der Datenschutzbeauftragte.
Fazit zur Next Generation Firewall
Alleine diese kurzen Ausführungen zeigen, dass die Einführung einer NGFW im Unternehmen keinesfalls von heute auf morgen erfolgen kann, sondern eines sorgfältig geplanten Einführungsprojektes bedarf, bei dem sowohl die IT-Verantwortlichen, der Datenschutzbeauftragte und ggf. eine gebildete Arbeitnehmervertretung eingebunden werden müssen, um Verzögerungen zu vermeiden.
Denken Sie über den Einsatz einer Next Generation Firewall nach? Wenn Sie Fragen haben, sprechen Sie mich gerne an:
Dr. Christian Velten
Fachanwalt für Arbeitsrecht und Datenschutzbeauftragter
Gesellschafter der Datenschutz Mittelhessen GbR
Mit unserem Newsletter verpassen Sie keinen Artikel. Bleiben Sie immer up to date!
Jetzt anmelden: ibo-Newsletter