EU-DSGVO

WhatsApp und Co. im Unternehmen: Wie sicher ist Ihre Kommunikation?

Veröffentlicht am von Sabrina Reinecke

Was sich zunehmend im privaten Bereich etabliert hat, setzt sich nun auch im beruflichen Alltag fort: Kommunikationsplattformen wie z.B. WhatsApp breiten sich flächendeckend in den Unternehmen aus. Natürlich muss ein unternehmensintern genutzter Kommunikationsdienst, eine ganze Reihe von Kriterien erfüllen. Insbesondere muss er den Vorgaben der DSGVO und des Telekommunikationsgesetzes (TKG) gerecht werden.

Der Dienst WhatsApp bedient diese Anforderungen in keiner Weise und gefährdet die Daten seiner Nutzer sogar. So liest WhatsApp kontinuierlich das Telefonbuch aus und überträgt alle Kontakte auf die eigenen Server. Das betrifft sogar Personen, die selbst gar kein WhatsApp nutzen und nur im Adressbuch eines WhatsApp-Nutzers gespeichert sind.

An dieser Stelle darf nicht vernachlässigt werden, dass es sich bei WhatsApp um ein Unternehmen im Facebook-Konzern handelt und die Server von WhatsApp und Facebook in den USA stehen. Dass eine Weitergabe von Nutzerdaten innerhalb des Konzerns erfolgt ist inzwischen bekannt und WhatsApp und Facebook stehen öffentlich dazu. In welchem Umfang Daten weitergegeben und für eigene Zwecke genutzt werden, ist für den WhatsApp-Nutzer aufgrund der fehlenden Informationsbereitstellung jedoch nicht nachvollziehbar. Nach einer Rechtsgrundlage für diese Verarbeitungen sucht man vergeblich; es gibt schlichtweg keine, weshalb diese Verarbeitung der Nutzerdaten durch WhatsApp illegal ist.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden („DSK“) hat im November 2019 besondere Anforderungen definiert, denen eine Kommunikationsplattform gerecht werden muss, um im Unternehmenskontext eingesetzt zu werden. Das „Whitepaper“ der DSK bezieht sich dabei insbesondere auf technische Datenschutzanforderungen an Messenger-Dienste in Krankenhäusern. Die dort definierten Anforderungen gelten allerdings auch für andere Unternehmen. Im Folgenden wird ein Teil der datenschutzrechtlichen Anforderungen aus den Bereichen technische Umsetzung der Applikation, Kommunikation, Sicherheit der Endgeräte sowie Plattform und Betrieb dargestellt.

Anforderungen an die technische Umsetzung der Messenger Applikation:

  1. Detaillierte Information des Nutzers über die konkrete Datenverarbeitung bei App-Nutzung
  2. Nutzung / Zugriff erst nach gesondertem Authentifizierungsvorgang
  3. Möglichkeit der Ablage von Kontaktdaten der Kommunikationsteilnehmern in einem vom Adressbuch getrennten Speicher
  4. Importmöglichkeiten für serverseitige Authentifizierung sowie Möglichkeiten der Verschlüsselung (z.B. Nutzung digitaler Signaturen, Zertifikate, Schlüssel), einhergehend mit integriertem Zertifizierungsmanagement
  5. verlässliche Identifizierung und Authentifizierung der Kommunikationspartner
  6. Integrierte Löschfunktion: verwaltete Daten müssen gezielt löschbar sein
  7. Gewährleistung der Verfügbarkeit: Möglichkeit der Sicherung der Kontaktdaten, Inhaltsdaten und Kommunikationsvorgänge
  8. Technischer Datenschutz durch Konfigurationseinstellungen
  9. Einhaltung des Grundsatzes der datenschutzgerechten Voreinstellungen
  10. Möglichkeit von halb-automatisierten Update-Verfahren
  11. Erkennbarkeit und Auszeichnung von Diensten Dritter zur Fehleranalyse

Auch definiert die DSK Anforderungen an die Kommunikation als solche:

  1. Gewährleistung von Vertraulichkeit und Integrität der Kommunikation
  2. Kryptografische Funktionen zur Eingangskontrolle der Nachrichten (z.B. Prüfnummern)
  3. Aufzeichnungen und Protokollierung der Verbindungsdaten zu der über den Messengerdienst geführten Kommunikation (u.a. Teilnehmer, Zeitpunkt, Geräte- und Standortdaten)
  4. Einsatz offener Kommunikationsprotokolle (Möglichkeit zur Kommunikation mit anderen Messenger-Diensten)

Ebenso ist die Sicherheit der Endgeräte von enormer Bedeutung. Hier fallen die folgenden Punkte ins Gewicht:

  1. Mobile Device Management für Endgeräte, inklusive sicherer Konfiguration der Geräte
  2. wirksamer Zugriffschutz (interner Speicher der Geräte muss durch Verschlüsselung geschützt werden, Entschlüsselung nur mit Kenntnis der Anmeldedaten)
  3. ausschließliche Nutzung von Geräten deren Betriebssystemversion durch den Hersteller mit Sicherheitspatches versorgt werden

Last but not least muss auch die Plattform und ihr Betrieb als solche betrachtet werden:

  1. Zentrales Identitätsmanagamentsystem und abgesicherter Registrierungsprozess (nur zugelassene Nutzer dürfen am Nachrichtenaustausch teilnehmen, geschlossene Nutzergruppen müssen realisiert werden)
  2. Datenschutz-Folgenabschätzung ist für die Nutzung eines Messenger-Dienstes in Kombination mit personenbezogenen Daten immer notwendig
  3. Gewährleistung von regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der getroffenen TOMs zur Sicherheit der Verarbeitung
  4. Sicherstellung der regelmäßige Löschung (wenn möglich temporäre Speicherfristen nutzen)
  5. Durchführung von sicherheitsrelevante Updates in regelmäßigem Turnus

Wichtig ist für Sie als Unternehmen: Entscheiden Sie sich dennoch für eine Nutzung des Dienstes sollten Sie sich bewusst machen, dass Sie sich angreifbar machen und zudem ihre eigenen Datensätze gefährden. Es lohnt sich wirklich sich die Frage nach dem Mehrwert von WhatsApp und Co. im Vergleich zu eventuellen Gefährdungen wie Datenverlust oder Haftungsfragen zu stellen.

Und es gibt durchaus „Licht am Ende des Tunnels“: Schon jetzt sind einige Alternativen auf dem Markt, wie z.B. die App „Threema“, die datenschutzrechtlich weit weniger bedenklich als WhatsApp ist.

Quelle: „Whitepaper“ der DSK zu technischen Datenschutzanforderungen an Messenger-Dienste im Krankenhausbereich, abgerufen am 15.02.2020 unter https://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DSKBeschluessePositionspapiere/98DSK_Whitepaper-Messenger-Krankenhausbereich.html