Scan auf Schadsoftware im Unternehmen: Rechtliche Zulässigkeit

Artikel von Maximilian Mertin·7. November 2025

Die Erkennung von Schadsoftware ist für Unternehmen essenziell, um IT-Sicherheit zu gewährleisten. Doch der Einsatz von Programmen zum Scannen auf Schadsoftware, insbesondere bei verschlüsseltem Netzwerkverkehr, wirft erhebliche datenschutzrechtliche Fragen auf. Dieser Beitrag beleuchtet die datenschutzrechtliche Zulässigkeit des Scannens auf Schadsoftware in Unternehmen und zeigt, worauf Verantwortliche achten müssen.

Der Inhalt im Überblick

Wann ist das Scannen auf Schadsoftware datenschutzrechtlich zulässig?
Welche Risiken birgt die TLS-Inspection für den Datenschutz?
Welche rechtlichen Grundlagen gelten für das Scannen auf Schadsoftware?
Wie kann das Scannen auf Schadsoftware datenschutzkonform gestaltet werden?
Datenschutz und IT-Sicherheit im Gleichgewicht

Wann ist das Scannen auf Schadsoftware datenschutzrechtlich zulässig?

Das Scannen auf Schadsoftware (Malware) in Unternehmen erfolgt häufig durch Programme, die den Netzwerkverkehr analysieren. Besonders relevant ist dabei die sogenannte TLS-Inspection, bei der verschlüsselte Verbindungen entschlüsselt und überprüft werden. Hierbei werden zwangsläufig auch personenbezogene Daten der Beschäftigten verarbeitet. Der Einsatz von Scannern beschäftigt die Arbeitswelt schon viele Jahre. Begleitend können die Beiträge über Künstliche Intelligenz in Schadsoftware die verschiedenen Arten von Malware hilfreich sein.

Als Rechtsgrundlage kommt insbesondere Art. 6 Abs. 1 lit. f) DSGVO in Betracht, der die Verarbeitung auf ein berechtigtes Interesse des Unternehmens stützt. Nach Erwägungsgrund 49 kann die Verarbeitung personenbezogener Daten zur Gewährleistung der Netz- und Informationssicherheit ein solches berechtigtes Interesse darstellen – allerdings nur, soweit die Maßnahme unbedingt notwendig und verhältnismäßig ist. Hierüber berichtet der Landesbeauftragte für den Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) in seinem aktuellen Tätigkeitsbericht und nennt aus seiner Sicht Zulässigkeitsvoraussetzungen.

Wichtige Voraussetzungen:

Geeignetheit: Die Maßnahme muss zur Erreichung des Sicherheitsziels geeignet sein.
Erforderlichkeit: Es darf kein milderes, gleich wirksames Mittel geben.
Angemessenheit: Die Interessen der Beschäftigten dürfen nicht übermäßig beeinträchtigt werden.

Welche Risiken birgt die TLS-Inspection für den Datenschutz?

Die TLS-Inspection ermöglicht es, verschlüsselten Netzwerkverkehr zu entschlüsseln und auf Schadsoftware zu prüfen. Technisch ähnelt dieses Vorgehen einem „Man-in-the-Middle“-Angriff, da das Programm sich zwischen Client und Server schaltet und den Datenstrom entschlüsselt. Dies kann dazu führen, dass auch sensible personenbezogene Daten der Beschäftigten eingesehen und verarbeitet werden.

Risiken und Herausforderungen:

Verletzung der Vertraulichkeit: Durch das Aushebeln der Verschlüsselung können vertrauliche Informationen offengelegt werden.
Zweckbindung: Die Daten dürfen ausschließlich zur IT-Sicherheit und nicht zur Leistungs- oder Verhaltenskontrolle genutzt werden.
Transparenz: Beschäftigte müssen über Art und Umfang der Datenverarbeitung informiert werden.

Das Bayerische Landesamt für Datenschutzaufsicht sieht in seinem 7. Tätigkeitsbericht die TLS-Inspection bei erlaubter Privatnutzung des Internets im Unternehmen nur mit wirksamer Einwilligung der Beschäftigten als zulässig an. Auch bei rein dienstlicher Nutzung bestehen hohe Anforderungen an die Verhältnismäßigkeit und die technische Absicherung.

Welche rechtlichen Grundlagen gelten für das Scannen auf Schadsoftware?

Neben dem berechtigten Interesse nach Art. 6 Abs. 1 lit. f) DSGVO kann in bestimmten Fällen auch Art. 6 Abs. 1 lit. c) DSGVO einschlägig sein, wenn eine rechtliche Verpflichtung zur IT-Sicherheit besteht. Für Betreiber kritischer Infrastrukturen (KRITIS) ergibt sich aus § 8a BSIG die Pflicht, Systeme zur Angriffserkennung einzusetzen. Ob dies zwingend die Verarbeitung personenbezogener Daten umfasst, ist jedoch umstritten.

Zu beachten:

Art. 32 DSGVO verpflichtet Unternehmen zur Umsetzung technischer und organisatorischer Maßnahmen, begründet aber keine eigenständige Pflicht zur Verarbeitung personenbezogener Daten.
Die rechtliche Verpflichtung muss sich unmittelbar auf die Datenverarbeitung beziehen.

Wie kann das Scannen auf Schadsoftware datenschutzkonform gestaltet werden?

Um das Scannen auf Schadsoftware datenschutzkonform zu gestalten, sind technische und organisatorische Maßnahmen erforderlich. Das BSI empfiehlt im IT-Grundschutzkompendium die temporäre Entschlüsselung von Verbindungen in nicht vertrauenswürdige Netze als Standard-Anforderung, sofern keine gleichwertigen Alternativen bestehen.

Empfohlene Maßnahmen:

Temporäre Entschlüsselung von verschlüsselten Verbindungen in nicht vertrauenswürdige Netze.
Ausschluss besonders sensibler Seiten von der Entschlüsselung.
Umsetzung von Standard-Anforderungen für normalen Schutzbedarf.
Berücksichtigung datenschutzrechtlicher und rechtlicher Vorgaben bei Entschlüsselung.

Wichtige Grundsätze:

Keine Nutzung der gewonnenen Daten zur Leistungs- oder Verhaltenskontrolle.
Einbindung des Datenschutzbeauftragten in die Konzeption und Umsetzung.

Checkliste für Unternehmen:

Ist die Maßnahme technisch notwendig und verhältnismäßig?
Gibt es Alternativen mit geringerem Eingriff in die Rechte der Beschäftigten?
Werden sensible Seiten von der Entschlüsselung ausgenommen?

Datenschutz und IT-Sicherheit im Gleichgewicht

Das Scannen auf Schadsoftware ist ein wichtiger Baustein der Unternehmenssicherheit, stellt aber hohe Anforderungen an den Datenschutz. Unternehmen müssen sorgfältig abwägen, ob und in welchem Umfang Maßnahmen wie die TLS-Inspection zulässig und erforderlich sind. Eine datenschutzkonforme Umsetzung erfordert technische, organisatorische und rechtliche Sorgfalt, um die Rechte der Beschäftigten zu wahren und gleichzeitig ein hohes Maß an IT-Sicherheit zu gewährleisten.

- Beschäftigtendatenschutz
  Talentpool: Datenschutzkonforme Aufnahme von BewerbungenFachbeitrag·11. November 2025
- Dr. Datenschutz Shortnews im Oktober 2025 – KW 40News·2. Oktober 2025
- Der Datenschutz bei der Aufzeichnung von TelefongesprächenFachbeitrag·24. Juni 2025
Mehr zum Thema
- Datensicherheit
  Zero-Day-Attacken: Unsichtbare Bedrohung und wirksamer SchutzFachbeitrag·28. November 2025
- Dr. Datenschutz Shortnews im November 2025 - KW46News·14. November 2025
- Data Loss Prevention (DLP): Datenverlust ist kein ZufallFachbeitrag·12. September 2025
Mehr zum Thema
- IT-Sicherheit
  Zero-Day-Attacken: Unsichtbare Bedrohung und wirksamer SchutzFachbeitrag·28. November 2025
- Risiko und Risikomanagement: Vorteile für OrganisationenFachbeitrag·21. November 2025
- Was ist SOC 2? – Ein Überblick für UnternehmenFachbeitrag·10. Oktober 2025
Mehr zum Thema
- Scanner
  Desinfec’t 2024: All-in-One-Scanner für Malware & Co.?Fachbeitrag·9. August 2024
- Wann ist das Kopieren des Personalausweises erlaubt?Fachbeitrag·1. September 2017
- Das papierlose Büro dank Resiscan?Fachbeitrag·12. Mai 2015
Mehr zum Thema
- Schadsoftware
  Falschangaben beim Abschluss einer Cyber-VersicherungUrteil·30. Juni 2025
- Desinfec’t 2024: All-in-One-Scanner für Malware & Co.?Fachbeitrag·9. August 2024
- Die unbekannte Gefahr durch BrowsererweiterungenFachbeitrag·8. Dezember 2023
Mehr zum Thema
- TOM
  Resilienz des Unternehmens stärken und Abhängigkeiten erkennenFachbeitrag·5. Dezember 2025
- Top 5 DSGVO-Bußgelder im Oktober 2025News·3. November 2025
- Anforderungen an Nachweis der AuskunftserteilungFachbeitrag·15. September 2025
Mehr zum Thema

Beitrag kommentieren

Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

Klicken Sie hier, um den Kommentarbereich anzuzeigen. Kommentare verbergen.