Seit 2020 gibt es an unserer Universität eine Firewall, die das IT-Netz vor Angriffen von außen schützen soll. Eine aktualisierte Version der Firewall wurde dem Personalrat im April 2023 zur Mitbestimmung vorgelegt.

Ob so ein System sinnvoll ist, zu den Mitbestimmungsrechten des Personalrates und zu weiteren Punkte hier einige Erläuterungen.

Was macht eine Firewall?

Eine Firewall durchsucht den Datenverkehr zwischen dem Netz der Universität und dem Internet nach verdächtigen Mustern und Elementen und schlägt Alarm bzw. blockiert auch einzelne Verbindungen, wenn sie etwas „Schädliches“ entdeckt. Bei der Untersuchung des Datenverkehrs bieten sowohl die Metadaten (z. B. IP-Adresse und Portnummer der Gegenseite, verwendete Protokolle etc.) als auch die transportieren Nutzdaten Anhaltspunkte. Die Nutzdaten können allerdings nur bei unverschlüsseltem Verkehr ohne Weiteres untersucht werden. Hier kann dann beispielsweise grundsätzlich bekannte Schadsoftware erkannt werden. Der Anteil unverschlüsselten Datenverkehrs wird sich jedoch im einstelligen Prozentbereich bewegen. (Ein technisch prinzipiell mögliches Untersuchen des verschlüsselten Datenverkehrs, wie es in manchen Unternehmen Praxis ist, wird von der Dienststelle nicht angestrebt.) Die Firewall kann daher „bösen“ Traffic im Fall des verschlüsselten Verkehrs nur anhand von Blocklisten mit „bösen“ IP-Adressen, sowie regelbasiert anhand anderer Unregelmäßigkeiten in den Metadaten, der Menge des Traffics zu einer Gegenstelle etc. erkennen.

Eine Firewall kann daher nur ein Baustein der Absicherung des Netzes und der Systeme sein, zumal in einem so großen und heterogenen Netz wie dem der Universität, aus dem außerdem ständig Geräte heraus- und wieder hineingetragen werden. Denn vor Angriffen von innen, die sich etwa eines gehackten Accounts einer/s Beschäftigten bedienen, kann die Firewall prinzipbedingt nicht schützen.

Letztendlich müssten jedes einzelne Gerät und jeder Server hinreichend sicher gesichert sein, und zwar auf der Ebene des jeweiligen Systems. Auch die Erfahrung mit Ransomware (= Erpressungssoftware) in Unternehmen und Behörden zeigt dies deutlich, denn selbstverständlich hatte auch die letztes Jahr gehackte Uni Duisburg-Essen eine Firewall, Virenschutz und die weiteren üblichen Maßnahmen, die dem „Stand der Technik“ entsprechen.

Warum ist der Personalrat in der Mitbestimmung?

Der Personalrat ist bei der Einführung oder wesentlichen Änderung einer Firewall in der Mitbestimmung, da sie eine in die informationelle Selbstbestimmung der Beschäftigten eingreifenden Maßnahme ist – durch die Analyse der Daten ist grundsätzlich eine Verhaltens- und Leistungskontrolle der Beschäftigten möglich. Es kommt dabei nicht darauf an, ob der Arbeitgeber die Absicht hat, eine solche Kontrolle durchzuführen, sondern nur, ob dies mit dem einzuführenden System prinzipiell möglich ist (§ 67 NPersVG). Der Personalrat ist gemäß § 60 NPersVG frühzeitig zu informieren, wenn eine Maßnahme noch gestaltbar ist.  Bei der Anschaffung der neuen Version der Firewall wurde der Personalrat aber vor vollendete Tatsachen gestellt – im Übrigen wie schon bei der Ersteinführung der Firewall im Jahre 2020. Damals hat der Personalrat u. a. aus o. g. Gründen der Einführung der Firewall nicht zugestimmt. Daraufhin wurde die Einigungsstelle beim Ministerium für Wissenschaft und Kultur (MWK) eingeschaltet, im Ergebnis landete der Vorgang im Oktober 2020 vor dem Verwaltungsgericht und ist dort bis heute (!) noch nicht entschieden worden. D. h., dass schon die erste Version der Firewall letztlich nur vorläufig in Betrieb ist.

Warum hat der Personalrat die Einführung abgelehnt?

Für den Personalrat bedeutete dies, dass er die Einführung des Nachfolgeproduktes schon aus formalen Gründen nur ablehnen konnte. Ausführliche Erläuterungen seitens der IT-Dienste betr. veralteter Geräte usw. waren hilfreich, um den dortigen (Zeit-)Druck zu verstehen – allerdings konnte dies nicht bedeuten, dass der Personalrat seine gesetzlichen Pflichten zum Schutz der Beschäftigten vernachlässigt

Kritisch sehen wir insbesondere die vorgesehene anlasslose Speicherung der Metadaten jeglicher – auch der unverdächtigen – Kommunikation durch die Firewall für sieben Tage. Denn hierdurch wird natürlich erheblich in das Recht auf informationelle Selbstbestimmung der Beschäftigten eingegriffen. Gleichzeitig ist der Nutzen dieser Speicherung für mehr IT-Sicherheit sehr begrenzt. Insgesamt scheint uns das nicht verhältnismäßig zu sein. Die Dienststelle hält dem entgegen, dass ja der meiste Datenverkehr (d. h. über http bzw. https) durch den (vorgeschalteten) Web-Proxy schon anonymisiert werde. Dies gilt jedoch nicht für die Gegenstelle der Kommunikation. Auch werden natürlich von Beschäftigen auch noch andere Protokolle als http bzw. https verwendet, die nicht durch den Proxy gehen – das Argument mit dem Proxy fällt dann weg.

Ein weiterer Knackpunkt: Der Personalrat ist der Auffassung, dass die Dienststelle dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) unterliegt. Dies ergibt sich schon aus der Erlaubnis der privaten Internetnutzung durch Beschäftigte – eine Auffassung, die im Übrigen vom Bundesbeauftragten für Datenschutz und Informationsfreiheit geteilt wird [1].
Das bedeutet, dass auch für die Firewall die Regelungen des TTDSG zur Anwendung kommen müssen. Diese verbieten eine anlasslose Speicherung von störungsfreiem Datenverkehr. Die Dienststelle vertritt hier die Auffassung, dass das TTDSG für die Universität nicht anzuwenden sei. In der vorliegenden Konfiguration hätten die IT-Administrator*innen nach Auffassung des Personalrates die dienstliche Aufgabe, sich entgegen der gesetzlichen Regelungen zu verhalten – auch dem kann der Personalrat selbstredend nicht zustimmen.

EDIT 20.06.2023: Die Dienststelle argumentiert, dass mit dem Urteil des BGH vom 13.01.2011 – III ZR 146/10 die Speicherung von Verkehrsdaten für sieben Tage legitimiert sei. In dem Verfahren ging es jedoch um einen Anschlussinhaber, der seinen Internetdienstleister beklagt hatte mit dem Ziel, diesem die Speicherung der ihm je Einwahl zugewiesenen IP-Adresse nach Verbindungsende zu untersagen. Diese Konstellation ist unseres Erachtens mit der Konfiguration der Firewall nicht vergleichbar. Die Speicherung weiterer Metadaten (z.B. IP-Adressen von Gegenstellen, mit denen der Anschlussinhaber kommunizierte) war gar nicht Gegenstand des Verfahrens.

Außerdem halten wir es für falsch, bei einem derart mächtigen System auf einen Hersteller zu setzen, der nicht der DSGVO unterliegt, sondern dem US-Recht, unter dem Geheimdienste IT-Firmen zur Ausleitung von Datenverkehr ihrer Kunden außerhalb der USA zwingen können (Cloud-Act) – ohne dass sich Betroffene dagegen rechtlich zur Wehr setzen könnten (wenn sie es überhaupt mitbekommen).

Wie kann ein Kompromiss aussehen?

Grundsätzlich steht der Personalrat dem Einsatz einer Firewall nicht ablehnend gegenüber – so sie denn entsprechend konfiguriert ist und sichergestellt ist, dass keine (Beschäftigten-)Daten den Geltungsbereich der DSGVO verlassen (was beim kalifornischen Hersteller Palo Alto aufgrund der US-amerikanischen Gesetzgebung nicht garantiert werden kann). D. h. es ist aus Sicht des Personalrates zu prüfen, welche Hersteller im Geltungsbereich der DSGVO geeignete Produkte anbieten.
Des Weiteren müsste die anlasslose Speicherung von unverdächtiger Kommunikation unterbleiben.

Zusammenfassung

Der Personalrat kann der Einführung einer Firewall zustimmen, wenn

• der Personalrat rechtzeitig in die Entscheidungsprozesse eingebunden wird und eine ergebnisoffene Suche nach einem geeigneten Hersteller unter Einbeziehung von Unternehmen aus der EU durchgeführt wird,
• die Regelungen des TTDSG beachtet werden und auf anlasslose Speicherung von Metadaten verzichtet wird,
• eine Datenschutzfolgeabschätzung vorliegt sowie
• das o. g. Verfahren vor dem Verwaltungsgericht entschieden oder für erledigt erklärt ist (was bei der Sicherstellung der vorgenannten Punkte ein gangbarer Weg wäre).

Ergänzend befürwortet der Personalrat die Weiterentwicklung eines ganzheitlichen Sicherheitskonzepts, was unter anderem noch stärker auf die Absicherung und Härtung aller Systeme im Uninetz setzen müsste.

Aktueller Stand

Nach der Ablehnung durch den Personalrat hat die Dienststelle erwartungsgemäß eine vorläufige Regelung nach § 74 NPersVG getroffen, d. h. die neue Firewall trotzdem in Betrieb genommen und das Nichteinigungsverfahren eingeleitet (wie auch schon 2020). Die vorläufige Regelung ist prinzipiell beim Verwaltungsgericht überprüfbar, wovon wir aber keinen Gebrauch machen.

Es gibt jetzt zwei Möglichkeiten, wie es weitergeht: Entweder Personalrat und Dienststelle einigen sich im Nichteinigungsverfahren noch auf einen Kompromiss, oder die Einigungsstelle muss sich erneut mit der Angelegenheit befassen. Sie kann dann entweder die (nicht erteilte) Zustimmung des Personalrats ersetzen oder aber eine Empfehlung aussprechen, wie die Maßnahme zukünftig zu gestalten ist. In jedem Fall wird sich die Einigungsstelle mit der Einschlägigkeit der Regelungen des TTDSG auseinandersetzen müssen.

Für Verhandlungen während des Nichteinigungsverfahrens stehen wir selbstverständlich zur Verfügung.