Auf immer mehr Firmenhandys werden Messenger wie WhatsApp mit großer Selbstverständlichkeit genutzt. Die Vorteile für viele Geschäftsmodelle liegen auf der Hand: So lässt sich beispielsweise der Kundenservice digitalisieren und die Reaktionsgeschwindigkeit deutlich erhöhen. Angesichts der neuen und strengeren Datenschutz Grundverordnung stellt sich aber die Frage: Dürfen die genannten Programme überhaupt auf einem Firmenhandy installiert sein? Welche datenschutzrechtlichen Problemfelder sind zu beachten?
Die Möglichkeiten der Digitalisierung vor dem Hintergrund des verschärften Datenschutzes
Zweifelsohne stellt die professionelle Digitalisierung hohe Anforderungen an Unternehmen. Kundendaten und Informationssicherheit sind wichtige Güter geworden, die einen unmittelbaren Einfluss auf Image und Reputation eines Unternehmens haben. Mehr noch: Wer sich nicht an den verschärften Datenschutz hält, riskiert teils sehr empfindliche Bußgelder. Übrigens sind von potenziellen Verstößen gegen den geltenden Datenschutz alle Messengerdienste betroffen. Neben den genannten Diensten rücken ferner Skype, iMessage und ähnliche Programme in den Fokus. Unternehmen sollten prüfen, welche Programme auf dem Mitarbeitersmartphone installiert sind. Dieser Beitrag wird zeigen, welche Problemfelder es mit Blick auf verschärfte Datenschutzrichtlinien gibt.
Das Kernproblem betrifft die Übermittlung von personenbezogenen Daten
Seit der Einführung der DSGVO herrschen strengere Regeln in Bezug auf die Übermittlung personenbezogener Daten. Sofern von Unternehmensseite aus der Zugriff auf Kundendaten möglich ist, muss Artikel 28 der Datenschutzverordnung beachtet werden. Dort wird die so genannte Auftragsdatenverarbeitung (AV) geregelt. Die Nutzung von Messengerdiensten für eine berufliche Tätigkeit muss konform mit den Regelung der Verordnung sein. Dies wird in den meisten geschäftlichen Fällen aber nicht gesetzeskonform geschehen können. Es zeigen sich folgende Probleme bei der Übermittlung von personenbezogenen Daten:
1. Zugriff auf Kontaktdaten
Aus Sicht des Datenschutzes ist WhatsApp angreifbar, da das Programm den Zugriff auf Kontaktdaten nutzt. Dies betrifft alle Daten aus dem Adressbuch eines Smartphones und geht so weit, dass diese Daten auch an andere Partner im Unternehmensverbund von Facebook übermittelt werden.
„WhatsApp Inc. teilt Informationen weltweit, sowohl intern mit den Facebook-Unternehmen als auch extern mit Unternehmen, Dienstleistern und Partnern und außerdem mit jenen, mit denen du weltweit kommunizierst. Deine Informationen können für die in dieser Datenschutzrichtlinie beschriebenen Zwecke beispielsweise in die USA oder andere Drittländer übertragen oder übermittelt bzw. dort gespeichert und verarbeitet werden.“
WhatsApp-Datenschutzrichtlinie
2. Grenzenlose Übermittlung von Daten ohne Zustimmung
In der Datenschutzrichtlinie wird offen darüber gesprochen, dass Daten auch in die USA oder andere Länder übermittelt werden können. Somit ist keinesfalls klar, was wo mit Daten nach dem Zugriff auf das Adressbuch geschieht. Dies ist mit den neuen Datenschutzrichtlinien keinesfalls vereinbar. In einem solchen Fall müssen geeingete Garantien, z.B. eine Privacy-Shield-Zertifizierung nachgewiesen werden.
3. Inhalt der gesendeten Nachrichten
Datenschutzrechtlich sehr heikel für Unternehmen sind die Inhalte der Nachrichten selbst. Neben Standortdaten und Texten rücken Fotos in den Fokus. Da WhatsApp solche Daten nutzt, müsste jeder Unternehmer in der Praxis dafür sorgen, bei allen Kontakten von Mitarbeitern auf dem Firmen Smartphone eine Einwilligung für die Datenverarbeitung einzuholen. Dies erscheint rein organisatorisch, aber auch technisch, nur sehr schwer umsetzbar. Denn abgesehen von geschäftlichen werden sich auch private Kontakte auf dem Smartphone von Mitarbeitern befinden.
4. Auftragsverarbeitung
Es handelt sich bereits um eine Auftragsverarbeitung, wenn Daten via Messenger an den Server des Anbieters geschickt werden. Sofern es sich um personenbezogene Daten handelt, liegt eine Auftragsverarbeitung vor. Gemäß Artikel 28 DSGVO ist hierfür ein Vertrag für die Auftragsverarbeitung notwendig. Rechtlich problematisch ist, dass Facebook einen solchen Vertrag überhaupt nicht für die Auftragsverarbeitung anbietet. Wie sollen Unternehmen dann in Bezug auf Datenschutzrichtlinien allen Verpflichtungen nachkommen können?
5. Problemfeld der fehlenden ‚Ende zu Ende Verschlüsselung
Aus datenschutzrechtlicher Sicht sind die genannten Programme schon deshalb nicht geeignet, weil sie keine verlässliche Ende zu Ende Verschlüsselung ermöglichen. Nötig wäre es aber, zu jeder Zeit für die Sicherheit von personenbezogenen Daten zu sorgen. Bei der Nutzung dieser populären Kommunikationsdienste gibt es also Variablen, die sich der eigentlich notwendigen Kontrolle entziehen. Das macht die geschäftliche Nutzung von Messengerdiensten aus Sicht des Datenschutzes sehr angreifbar.
Fazit und mögliche Lösungen für eine zeitgemäße Unternehmenskommunikation
Es lässt sich festhalten, dass die Nutzung der genannten Dienste im geschäftlichen Kontext mit Blick auf geltende Datenschutzrichtlinien nur sehr eingeschränkt ist bzw. an hohe Anforderungen gekoppelt ist. Insofern ist eine rechtskonforme Nutzung momentan fast nicht möglich. Konkret fehlt es in der Praxis an Möglichkeiten, einen Auftragsverarbeitungsvertrag abschließen zu können. Allein aus organisatorischen Gründen scheint es unmöglich zu sein, von sämtlichen gespeicherten Kontakten eine Einverständniserklärung einzuholen.
In vielen Unternehmen besteht akuter Handlungsbedarf
Unternehmen, die alle datenschutzrechtlichen Anforderungen erfüllen wollen, müssen sich detailliert um die Konfiguration von Firmenhandys kümmern. Alternativ können funktionale Sicherheits-Apps wie Sandboxes oder auch DSGVO-konforme Dienste wie Threema Work eingesetzt werden. Zudem gibt es Anbieter, die die Form eines Newsletters für die Kommunikation mit einem Messengerdienst als datenschutzrechtlich konform zugänglich machen.
Hierbei wird mit der expliziten Einwilligung von Betroffenen geworben. In jedem Fall sollten Unternehmen es nicht bei der aktuellen IST-Situation belassen. Im schlimmsten Fall drohen hohe Bußgelder und ein irreparabler Imageschaden. Eine Ausgangsanalyse muss zeigen, welche Dienste im welchem Umfang geschäftlich von Mitarbeitern genutzt werden. Erst danach wird Handlungsbedarf konkret sichtbar.