Sophos UTM, was wird protokolliert?

Dazu konsultiere bitte am besten einen Rechtsanwalt, der genau weiss, was bei euch Sache ist, oder: Frag nach. klar, theoretisch können die mit der UTM alles mitprotokollieren. Aber Ihr seid auch in der Firma um zu arbeiten und nicht um privat im Internet zu surfen...

Moin ....


Dieses Dilemma hast du gut erkannt.
Insbesondere unter Beachtung der neuen DSGVO wird es Unternehmen unmöglich eine private Nutzung zuzulassen.

Stell dir also die Frage wo du dir zuerst selbst ans Bein pinkelst.

VG

Es gibt nur die Möglichkeit es den Mitarbeitern zu erlauben oder zu verbieten.

Im ersteren Fall ist dann eine Protokollierung einfach nicht erlaubt und um zweiten schon.
Eine stillschweigende Duldung wird von den Rechtsverdrehern übrigens als Erlaubnis angesehen.
Da könnte man dann auch wieder Ärger bekommen wenn man den Traffic Protokolliert.

Also so oder so hat man hier ein wenig die Arschkarte gezogen.


Bei uns in der Firma hab ich das ganze nun so gelöst, dass grundsätzlich an den Arbeitsrechnern privates Surfen nicht erlaubt ist, das Nutzen unserer Internetleitung für private Zwecke dagegen schon. Aber nicht über das gleiche Netz.

Wer was privat zu erledigen hat muss das halt dann auf dem eigenen Handy oder Tablet machen.
Theoretisch wäre es auch noch möglich das über ein Firmennotebook zu machen solange vorher das WLAN Netz gewechselt wird.

Wir haben eigens für Gäste sowie für private Angelegenheiten von Mitarbeitern ein Gästenetz eingerichtet.

Hier ist anders als im internen Netz kein Proxy aktiv.

Es wird lediglich der Trafficverbrauch protokolliert, da wir für das Netz ein Voucher System mit persönlichem Passwort und begrenzbarer Nutzung aktiv haben.

Gäste haben in der Regel 1 Tag Zugriff. Mitarbeiter bekommen unbegrenzte Tickets ausgestellt.

Dank der DSGVO...

Könnte schliesslich auch sein, dass du Privat interne Daten teilst...

Unsinn, das gab es schon vor der DSGVO.
Es ist schon seit zig Jahren der Fall, dass wenn eine private Nutzung erlaubt war oder stillschweigend geduldet wurde ein protokollieren nicht mehr erlaubt war.

Das nun aber mehr protokolliert wird ist wohl definitiv eine Sache der DSGVO ;) denn die regelt den kompletten Umfang neu und die Firma hat nun die Fragestellung zu beantworten: Erheben wir keine Daten und Laufen in Gefahr, dass Daten unerkannt abgehen oder erheben wir alle Daten und Protokollieren mit, dass keine Daten abhanden kommen. Dazu kommt natürlich die Sicherheitsproblematik. Aber die Diskussion führen wir tatsächlich schon das x-Te mal, @to, frag im Betrieb nach.

So kompliziert sehe ich das eigentlich gar nicht.
Wenn der Mensch nicht möchte, dass die Firma das protokolliert, das Netz möchte ja auch geschützt werden, dann surft man einfach nicht auf arbeit oder nutzt sein Smartphone, wenn es denn so dringend ist.

Am Besten verbietet der AG einfach die private Nutzung. Dann muss er sich nicht auch noch mit solchen Sachen herumschlagen, die vermutlich einfach nur gut gemeint waren.

Gruß

Und dennoch gab es das schon vor der DSGVO. Für Deutschland hat sich hier gar nicht mal so viel verändert, da das Deutsche BDSG die Vorlage für die Europäische DSGVO war und hier viel übernommen wurde. Nur schien das wohl vielen Firmen nicht klar zu sein und zu Zeiten des BDSG gab es aus weit mehr Verstöße die wohl keinen interessiert haben oder schlichtweg durch Unkenntnis. Die DSGVO hat die Firmen hierzulande hauptsächlich dazu gezwungen sich endlich mal mit dem Thema auseinanderzusetzen und frühere Verstöße in Zukunft zu unterbinden.

Hauptsächlich haben sich die Strafen verschärft und Kunden haben ein Auskunftsrecht, Widerrufsrecht und es besteht eine generelle Auskunftspflicht über die Art der Datenverarbeitung.

Nur scheinen das einige immer noch nicht begriffen zu haben und schießen über das Ziel hinaus. Ich bin auch ständig verwundert warum ich beim Ärzten zum Beispiel ein Blatt für die Datenverarbeitung unterschreiben soll, denn eine Verarbeitung von Daten ist insoweit sie nur zur Erfüllung des betrieblichen notwendigen Zweckes dient generell erlaubt.

Ganz im Gegenteil würde hier eine Praxis sogar einen Verstoß begehen wenn sie mir die Behandlung verweigern würde, sollte ich nicht Unterschreiben da bei Unterschriften zur Datenverarbeitung immer die Freiwilligkeit oberstes Gebot ist und sich nicht nachteilig auswirken darf.



Wenn bei den Admins so eine Meldung kommt dann wird doch etwas protokolliert mit personenbezogenen Daten. Also entweder diese Funktion ebenfalls ausschalten, oder sich von allen Mitarbeitern die Einwilligung dafür holen, oder eben das private surfen am Arbeitsplatz verbieten.

In letzterem Fall kann man nämlich Argumentieren, dass die Datenverarbeitung zur Wahrung berechtigter Interessen des Betriebes erforderlich ist und die Interessen der betroffenen Person nicht überwiegen. Wenn eine private Nutzung erlaubt wäre, könnten die Arbeitnehmer nämlich mit dem berechtigen Interesse an Privatsphäre gegen eine Protokollierung vorgehen.

Schwierig wird das ganze sich dafür eine Einwilligung bei den Arbeitnehmern zu holen, hier besteht nämlich als oberstes Gebot die Freiwilligkeit. Sollte also nur ein Arbeitnehmer das ganze nicht freiwillig Unterzeichnen wollen bleiben wieder nur die alternativen Verbieten oder Protokollierung gänzlich ausschalten.

Also hat sich eben doch was geändert, daher kommt ggf. auch die UTM.

Aber das ist irrelevant, die UTM ist da, ein WebProxy ist aktiv, wir kennen weder Aushänge, Verträge noch die GL. Also ist das nur Tastaturtesten.