Malware-Scanner im Unternehmen: Datenschutzrechtliche Grenzen und Pflichten

Publiziert am 17. April 2025 von SWinkler

Schadsoftware erkennen – aber rechtskonform

Cyberangriffe, Datenpannen und Sicherheitslücken sind längst keine Ausnahme mehr, sondern gehören zum digitalen Alltag von Unternehmen und Behörden. Um Angriffe frühzeitig zu erkennen, setzen viele Organisationen auf Malware-Scanner oder komplexe Sicherheitslösungen wie EDR-Systeme mit TLS-Inspection. Doch dabei lauern datenschutzrechtliche Risiken, die schnell zu Problemen führen können.

Im Jahr 2024 gingen gleich zwei Hinweise beim Landesbeauftragten für Datenschutz in Baden-Württemberg ein, in denen sich Beschäftigte über den Einsatz solcher Scanner beschwerten. Der Grund: Die Programme griffen tief in personenbezogene Daten ein – ohne erkennbare datenschutzrechtliche Grundlage.

TLS-Inspection: Technisch wirksam, rechtlich riskant

Ein Fall betraf eine private Stelle, die den verschlüsselten Internetverkehr per TLS-Inspection analysierte, um Schadsoftware aufzuspüren und unerwünschte Webseiten zu blockieren. Dabei werden Datenverbindungen entschlüsselt und wieder verschlüsselt – ein Vorgehen, das technisch mit einem „Man-in-the-Middle“-Angriff vergleichbar ist.

Zwar lässt sich ein berechtigtes Interesse an der Netzsicherheit nach Art. 6 Abs. 1 lit. f DSGVO anführen, doch nur unter engen Voraussetzungen: Die Maßnahme muss geeignet, erforderlich und verhältnismäßig sein. Zudem dürfen die gewonnenen Daten nicht zur Leistungs- oder Verhaltenskontrolle genutzt werden. Für Unternehmen der kritischen Infrastruktur (KRITIS) kann § 8a BSIG zusätzliche Pflichten zur Angriffserkennung begründen – doch auch hier ist die Verarbeitung personenbezogener Daten nicht automatisch gedeckt.

Malware-Scanner bei Behörden: Rechtslage komplizierter

Der zweite Fall betraf eine öffentliche Stelle, die ein EDR-System nutzte. Dieses führte unter anderem sogenannte IoC-Scans und Threat Hunting auf Endgeräten durch – inklusive Zugriff auf Registry, Arbeitsspeicher und Dateiinhalte.

Öffentliche Stellen können sich nicht auf Art. 6 Abs. 1 lit. f DSGVO berufen. Zulässig ist die Datenverarbeitung nur dann, wenn sie zur Erfüllung öffentlicher Aufgaben nach Art. 6 Abs. 1 lit. e DSGVO notwendig ist. Dies kann durch Landesgesetze wie § 5 Abs. 2 CSG (Baden-Württemberg) gestützt sein – jedoch ist umstritten, ob der Einsatz solcher Software direkt davon erfasst wird.

Rechtssicher handeln: Empfehlungen für Arbeitgeber und Behörden

Die Datenschutzaufsicht hat klare Anforderungen formuliert:

  1. Geeignetheit, Erforderlichkeit, Verhältnismäßigkeit prüfen – insbesondere bei tiefgreifenden Eingriffen.
  2. Keine dauerhafte Überwachung – punktuelle Threat Hunts sind milderen Mitteln vorzuziehen.
  3. Zweckbegrenzung durch präzise Konfiguration – z. B. nur anerkannte Malware-Signaturen scannen, keine Schlagworte wie „Kündigung“ durchsuchen.
  4. Lokale Auswertung statt Serverübertragung – um die Datensouveränität zu wahren.
  5. Betroffene frühzeitig informieren – vor allem bei Fernzugriffen oder Untersuchungen im BYOD-Kontext.
  6. Besondere Vorsicht bei privaten oder sensiblen Daten – z. B. bei Ärzten, Journalisten oder Rechtsanwälten.

Ein datenschutzkonformer Einsatz von Sicherheitssoftware ist also möglich – aber er erfordert technisches Know-how, juristisches Verständnis und sorgfältige Dokumentation.

Fazit: IT-Sicherheit und Datenschutz in Balance bringen

Der Schutz der IT-Infrastruktur ist für jede Organisation unverzichtbar – doch auch der Datenschutz darf dabei nicht unter die Räder geraten. Wer auf moderne Sicherheitslösungen setzt, sollte vorab prüfen, ob diese tatsächlich notwendig und rechtlich zulässig sind.

Wenn Sie Fragen zur datenschutzkonformen Gestaltung Ihrer IT-Sicherheitsmaßnahmen haben oder Unterstützung bei der rechtlichen Bewertung von Malware-Scannern benötigen, stehen wir Ihnen gern beratend zur Seite.

Dieser Beitrag wurde unter Uncategorized veröffentlicht. Setze ein Lesezeichen auf den Permalink.