Sogenannte Messenger- Dienste wie WhatsApp, Threema und andere sind aus dem Alltagsleben nicht mehr wegzudenken. Wegen ihrer einfachen Handhabung und weiten Verbreitung haben sie schon lange Einzug in den Alltag vieler Unternehmen gefunden.
Datenschutzrechtlich ist der Einsatz von Messenger-Diensten im Unternehmen jedoch nicht unbedenklich.
Ende-zu-Ende-Verschlüsselung als Mindeststandard
Im Unternehmen sollten nur Messenger zum Einsatz kommen, die mit einer Ende-zu-Ende-Verschlüsselung arbeiten. Dies gewährleistet, dass nur Sender und Empfänger die Nachricht lesen können und die Daten nicht an unberechtigte Dritte, insbesondere nicht an den Diensteanbieter selbst gelangen. Die meisten gängigen Anbieter wie WhatsApp, iMessage, Threema, Signal, und eingeschränkt auch Telegram bieten inzwischen auch eine entsprechende Verschlüsselung an.
Hauptproblem: Zugriff auf Kontaktdaten Dritter
Die meisten Messenger-Dienste übermitteln Daten aus den Telefonbüchern der Nutzer, um diesem zeigen zu können, mit welchem seiner Kontakte die Kommunikation über den jeweiligen Dienst möglich ist. Hierbei werden auch die Daten von Kontakten übermittelt, die keine Nutzer des Dienstes sind, und nie in eine Übermittlung ihrer Daten eingewilligt haben. Im Fall von WhatsApp ist es zusätzlich möglich, dass die gesammelten Daten in den USA mit anderen Daten des Facebook-Mutterkonzerns zusammengeführt werden.
Viele Datenschützer bewerten daher den Einsatz von Messenger-Diensten mit dieser Funktion als Datenschutzverstoß. Abweichend kann die Bewertung nur ausfallen, wenn es möglich ist einen entsprechenden Abgleich zu deaktivieren oder sichergestellt werden kann, dass der Dienst nur auf Kontakte zugreifen kann, die den Dienst ebenfalls nutzen, oder gegenüber dem Verwender in die Übermittlung eingewilligt haben. Diese Ansätze scheitern jedoch in den meisten Fällen am Funktionsumfang des jeweiligen Dienstes bzw. stellen sich in der Realität als impraktikabel dar. Verweigert auch nur einer der Kontakte seine Einwilligung zu einer Verarbeitung durch den jeweiligen Messenger-Dienst, müsste konsequenterweise die Nutzung eingestellt oder der Kontakt aus dem Adressbuch entfernt werden.
Datenübermittlungen in die USA und das Schrems-II Urteil
Beim Einsatz von Messenger-Dienste, die Daten zusätzlich in die USA übermitteln, steht einer datenschutzkonformen Verwendung zusätzlich das kürzlich gefällte Urteil des EuGH zu Datenübermittlungen in die USA im Weg (Schrems II). Dieser hatte mit Urteil aus Juli das EU-US-Privacy-Shield als Rechtsgrundlage für Datenübermittlungen in die USA für ungültig erklärt. Für eine rechtskonforme Datenübermittlung muss daher künftig auf alternative Rechtsgrundlagen zurückgegriffen werden, sodass eine datenschutzkonforme Übermittlung nach aktuellem Stand und realistischer Betrachtung schwer bis unmöglich umsetzbar ist.
Messenger-Dienste in der Kommunikation im Unternehmen
Aufsichtsbehörden sehen die Nutzung von Messenger-Diensten in der betriebsinternen Kommunikation daher kritisch. Sie können nur mit großem Aufwand datenschutzkonform eingesetzt werden.
Demnach sind vom Unternehmen zumindest folgende Maßnahmen zu treffen:
- Abschluss eines Auftragsverarbeitungsvertrages mit dem Diensteanbieter,
- Verhinderung des Zugriffs auf Telefonbücher Dritter, bspw. durch Diensthandys oder der Verwendung sog. Mobile Device Management-Software (schafft abgetrennte Bereiche auf dem Smartphone, wahlweise über Drittanbieter oder teilweise ins Betriebssystem integriert, z.B. bei Apples iOS.),
- Erfüllung der Informationspflichten gegenüber den Mitarbeitern.
Findet bei der Verwendung des Messenger-Dienstes (z.B. WhatsApp) eine Datenübertragung in die USA statt, reichen diese Maßnahmen nicht aus. Wie oben beschrieben, ist ein datenschutzkonformer Einsatz nach aktuellem Stand dann nicht möglich ist.
Die Nutzung von Messenger-Diensten in der unternehmensinternen Kommunikation ist kritisch zu überprüfen. Ist der datenschutzkonforme Einsatz des jeweiligen Dienstes nicht sichergestellt, sollte auf eine Nutzung verzichtet werden und zur Kommunikation auf alternative, elektronisch sichere Kommunikationswege zurückgegriffen werden.
Messenger-Dienste in der Kommunikation mit Kunden
Anders zu bewerten ist nach Ansicht der Aufsichtsbehörden die Nutzung von Messenger-Diensten in der Kundenkommunikation. Diese sei nicht grundsätzlich unzulässig, sofern der Kunde
- auf datenschutzrechtliche Risiken hingewiesen wird,
- und ihm darüber hinaus Kommunikationswege angeboten werden, die datenschutzrechtlich unbedenklich sind (z.B. verschlüsselter E-Mail-Versand per PGP).
Zu beachten ist jedoch, dass die Nutzungsbedingungen mancher Messenger bspw. den Versand von Newslettern an Verbraucher untersagen, so z.B. bei WhatsApp.
Datenschutzfreundliche Anbieter
Einfach umzusetzen und wenig risikobehaftet ist hingegen der Einsatz von Diensteanbietern, die die beschriebenen Anforderungen weitestgehend erfüllen, wie bspw. Threema und Wire, deren Server in der Schweiz stehen. Threema bietet hier zudem den Abschluss eines Auftragsverarbeitungsvertrages an.
Was ist zu tun?
Gerne beraten wir Sie bezüglich konkreter Maßnahmen. Kontaktieren Sie uns hierfür unter: kontakt[at]rmprivacy.de
Bildnachweis für diesen Beitrag: @ happyvector071 -stock. adobe. com