Die EU-DSGVO und WhatsApp

Mit Inkrafttreten der EU-Datenschutzverordnung werden Kommunikationstools wie WhatsApp für Unternehmen endgültig zum unkalkulierbaren Risiko. Im Zuge von BYOD ist ein Verbot derartiger Dienste für die Mitarbeiter aber meist wirkungslos ist.

Ab 25. Mai 2018 gilt die Europäische Datenschutzgrundverordnung (EU-DSGVO) – und allerspätestens dann kann kein Unternehmen mehr das Thema Datenschutz auf die leichte Schulter nehmen. Waren die Strafen für Verstöße gegen Datenschutzregularien bislang noch eher moderat, ändert sich das mit der EU-Verordnung grundlegend. Bei Nichteinhaltung der EU-DSGVO drohen Sanktionen/Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Firmenumsatzes aus dem vorangegangenen Jahr.

Die Nutzung von Kommunikationsdiensten wie WhatsApp durch die Mitarbeiter wird damit zu einem unkalkulierbaren Risiko. Der Grund dafür ist vor allem, dass sie keinen ausreichenden Schutz personenbezogener Daten vor fremden Zugriffen bieten. Ganz im Gegenteil.

So liest beispielsweise WhatsApp die Adressbücher der Mitarbeiter inklusive E-Mail-Kontakten und Telefonnummern von Kollegen, Kunden, Prospects oder Lieferanten aus und gibt diese Daten an Facebook weiter. Außerdem erfasst der Dienst Metadaten von Nutzern, welche es erlauben, persönliche Benutzerprofile zu erstellen und sämtliche Daten, die Derartiges ermöglichen, gelten per Definition ebenfalls als personenbezoge Daten. Andere Lösungen stehen nicht viel besser da, was den Schutz personenbezogener Daten angeht. Darüber hinaus sind alle diese Tools meist US-amerikanischen Ursprungs, womit eine Datenhaltung in den USA einhergeht. Der europäische Gesetzgeber verlangt aber, personenbezogene Daten nicht in Drittländern zu speichern, in welchen ein zu niedriges Datenschutzniveau herrscht. Das ist derzeit mutmaßlich in allen Ländern außerhalb der EU der Fall. Den Mitarbeitern Messaging-Dienste einfach zu verbieten, wird aber nicht viel bringen. Diese Strategie wird von vielen Unternehmen zwar schon lange gefahren - mit dem Ergebnis, dass die Mitarbeiter die Dienste trotzdem nutzen und damit eine hochriskante Schatten-IT im Unternehmen erzeugen. Die Mitarbeiter müssen und möchten ja moderne Kommunikationstools nutzen, denn sie bieten ihnen ja zweifellos große Produktivitäts- und Effizienzvorteile. Wenn nötig, machen sie das eben an der IT vorbei.

WICHTIG: Nach dessen Nutzungsbedingungen von WhatsApp erklärt jeder Nutzer, er sei autorisiert, die Telefonnummern von Kontakten aus dem eigenen Adressbuch an die WhatsApp Inc. in die USA zu übermitteln. Außerdem lässt sich WhatsApp den Zugriff auf zahlreiche weitere Daten einräumen: Standortdaten, Informationen zum Handy-Modell, Betriebssystem und Mobilfunknetz. Schließlich muss der Nutzer sogar das im Vergleich zu Deutschland niedrigere Datenschutzniveau in den Vereinigten Staaten akzeptieren. So heißt es dort: "Du erkennst an, dass die Gesetze, Vorschriften und Standards des Landes, in dem deine Informationen gespeichert oder verarbeitet werden, von denen deines eigenen Landes abweichen können."

Unternehmensmitarbeiter, aber auch die WhatsApp Inc selbst benötigen die Zustimmung der in den Kontaktverzeichnissen abgelegten Personen zur Verarbeitung und Weitergabe ihrer Daten. Das besagen die deutschen & europäischen Datenschutzregeln. Das Gesetz und die Datenschutzbehörden machen klare Vorgaben für eine wirksame Einwilligung. Dass hier das Drücken des "Akzeptieren"-Buttons der WhatsApp-Datenschutzbestimmungen ausreicht, bezweifeln Datenschützer schon lange. Weder hält sich WhatsApp an den gesetzlich festgelegten Grundsatz der Datensparsamkeit noch wird, nach Einschätzung der Datenschützer, der Zweck der Datenverarbeitung konkret genug benannt. Das Ausmaß des Datenzugriffs ist den wenigsten Nutzern bewusst. Und das betrifft auch die Mitglieder von Geschäftsleitungen - wenn sich auf den Smartphones der Geschäftsleitungen also sensible geschäftliche Daten befinden, dürfte nicht nur Compliance-Abteilung der Unternehmen nervös werden.

Zeit, sich nach Alternativen unzusehen - oder gleich wieder back to the roots und BYOD abschaffen oder grundlegend reformieren und gesetzeskonform ausgestalten, das ein klar getrennter Bereich für privates und berufliches geschaffen wird. Das wird aber nur von einem kleinen Teil der Smartphones überhaupt so unterstützt?

Der externe Zugriff von Apps auf Smartphones, die geschäftlich genutzt werden und auf denen entsprechende Kontakte hinterlegt worden sind, sollte so gering wie möglich gehalten werden, um datenschutzrechtliche Probleme von vornherein zu vermeiden. Daher empfiehlt es sich in diesem Zusammenhang, allgemein Apps und im speziellen Messenger-Dienste wie WhatsApp nicht ungeprüft auf Diensthandys vom Nutzer installieren zu lassen, sondern ausschlieslich über eine Gruppenrichtlinie geprüft freizugeben. Eine Risikoanalyse sollte zu JEDER App immer dann durchgeführt werden, sofern ein generelles Verbot nicht durchsetzbar oder gewollt ist. So kann im Anschluss eine Entscheidung getroffen werden, die für das Unternehmen von Vorteil ist und es nicht in Schwierigkeiten bringt.

Messenger-Dienste auch im Unternehmen können so einfach aber gar nicht mehr aus dem Alltag gedrängt werden - was also tun? Sehen wir uns mal an, welche Grundvoraussetzungen erforderlich sind:

  • Intuitives und schnelles Messaging
  • Bessere Produktivität und Kommunikation
  • Nutzung auf Smartphone, Tablet und Desktop
  • Starker Datenschutz von spezialisiertem Anbieter
  • Deutsche Cloud oder On-Premise Lösung
  • Professionelle Administration und MDM-Support
  • Integration in File Sharing und IT Ecosystem
  • 1:1 und Gruppen-Messaging für Teams und Themen
  • Echtzeit-Chats inkl. Empfang mit Push Notifications
  • Persönliche Verteiler für 1-Klick Gruppen-Messaging
  • Direkte Lesebestätigungen für alle Mitglieder eines Chats
  • Chat-Administration (z.B. Chat-Mitglieder hinzufügen)
  • Profilseiten mit relevanten Informationen über Mitarbeiter
  • Übersichtlicher Posteingang für schnellen Überblick
  • Teilen von Inhalten (Video, Kalender, Audio, Foto, Ort, usw.)
  • Integration in 3rd Party Lösungen (z.B. für File Sharing)
  • Deutsche Cloud, Private Cloud oder gleich On-Premise Lösung
  • Keine Metadatenanalyse oder Adressbuchspeicherung
  • Pseudonymisierte Nutzerdaten und "Privacy by Design“
  • Datensparsamkeit und Löschung von alten Daten
  • Verschlüsselte Nachrichten, Inhalte und Metadaten
  • Verschlüsselte Übertragung und Speicherung
  • Zugriffs-Management und Schutz vor Datenverlust
  • Hohe Verfügbarkeit und regelmäßiger Backup
  • Kontinuierliche Audits und Weiterentwicklung
  • Unternehmensweite Nutzerverwaltung
  • LDAP/Active Directory Import oder Synchronisierung
  • Domain-basiertes Nutzerverzeichnis
  • Autorisierung und Zugriffssperrung von Nutzern (inkl. "White Listing")
  • Firmenweite Kommunikationseinstellungen
  • Vordefinierte und gemanagte Gruppen von Nutzern
  • Revisionssicherheit mit Archivierungsfunktion
  • Firmenweite Policies (z.B. Datenlöschung, Vorschautexte in Push Notifications, usw.)
  • Service Monitoring und unterschiedliche Admin-Rechte
  • Mobiler Sicherheits-Layer als Schutz vor Datenverlust
  • Integration in führende MDM/EMM Anbieter
  • Komplett gesicherter und steuerbarer Zugriff (z.B. auf das Firmennetzwerk, durch einzelne Endgeräte, usw.)
  • Automatisierte Roll-Outs auf mobilen Endgeräten
  • Zugriff auf privaten Endgeräten (BYOD) muss gesichert bzw. blockierbar sein
  • Remote-Löschen von Daten bei Geräteverlust
  • Unternehmensweite Einstellungen zur Datenverwendung (z.B. Verhindern von Copy&Paste von Daten oder Photo Sharing)
  • Geschützter Zugriff auf App durch Passcode

Erst wenn all diese Punkte wirklich positiv abgearbeitet bzw. bestätigt sind, kann ein Messenger-Dienste auch im Unternehmen wieder gesetzeskonform ond ohne Sanktionen/Bußgelder verwendet werden. Es steht zu vermuten, dass dies nicht WhatsApp sein wird.

Zeit, mit der Arbeit zu beginnen!

Anmeldung Newsletter


Verfügbare Mailinglisten:

Bitte helfen Sie uns Spam zu vermeiden, und lösen Sie diese kleine Aufgabe!

captcha

Ich akzeptiere den Disclaimer

() Pflichtfelder

Information

×
Partner | Referenzen
  • 1_LOGO_SSH.png
  • NXP.png
  • VOESTALPINE.png
  • 1_LOGO_Avalara.jpg
  • commerzbank.gif
  • 1_LOGO_VARONIS.png
  • vodafone.gif
  • dekabank.gif
  • tuev-nord.jpg
  • 1_LOGO_NEXIONA.png
  • DEUTSCHE_BANK.png
  • 1_LOGO_VEEAM.png
  • Tsystems.gif
  • netcologne.gif
  • AIRBUS.png
  • gieseckedevrient.gif
  • Exponet Infrakon 4c.png
  • sbb.gif
  • VENTURETEC.png
  • idRoboTica.png