Was sich zunehmend im privaten Bereich etabliert hat, setzt sich nun auch im beruflichen Alltag fort: Kommunikationsplattformen wie z.B. WhatsApp breiten sich flĂ€chendeckend in den Unternehmen aus. NatĂŒrlich muss ein unternehmensintern genutzter Kommunikationsdienst, eine ganze Reihe von Kriterien erfĂŒllen. Insbesondere muss er den Vorgaben der DSGVO und des Telekommunikationsgesetzes (TKG) gerecht werden.

Der Dienst WhatsApp bedient diese Anforderungen in keiner Weise und gefĂ€hrdet die Daten seiner Nutzer sogar. So liest WhatsApp kontinuierlich das Telefonbuch aus und ĂŒbertrĂ€gt alle Kontakte auf die eigenen Server. Das betrifft sogar Personen, die selbst gar kein WhatsApp nutzen und nur im Adressbuch eines WhatsApp-Nutzers gespeichert sind.

An dieser Stelle darf nicht vernachlĂ€ssigt werden, dass es sich bei WhatsApp um ein Unternehmen im Facebook-Konzern handelt und die Server von WhatsApp und Facebook in den USA stehen. Dass eine Weitergabe von Nutzerdaten innerhalb des Konzerns erfolgt ist inzwischen bekannt und WhatsApp und Facebook stehen öffentlich dazu. In welchem Umfang Daten weitergegeben und fĂŒr eigene Zwecke genutzt werden, ist fĂŒr den WhatsApp-Nutzer aufgrund der fehlenden Informationsbereitstellung jedoch nicht nachvollziehbar. Nach einer Rechtsgrundlage fĂŒr diese Verarbeitungen sucht man vergeblich; es gibt schlichtweg keine, weshalb diese Verarbeitung der Nutzerdaten durch WhatsApp illegal ist.

Die Konferenz der unabhĂ€ngigen Datenschutzaufsichtsbehörden („DSK“) hat im November 2019 besondere Anforderungen definiert, denen eine Kommunikationsplattform gerecht werden muss, um im Unternehmenskontext eingesetzt zu werden. Das „Whitepaper“ der DSK bezieht sich dabei insbesondere auf technische Datenschutzanforderungen an Messenger-Dienste in KrankenhĂ€usern. Die dort definierten Anforderungen gelten allerdings auch fĂŒr andere Unternehmen. Im Folgenden wird ein Teil der datenschutzrechtlichen Anforderungen aus den Bereichen technische Umsetzung der Applikation, Kommunikation, Sicherheit der EndgerĂ€te sowie Plattform und Betrieb dargestellt.

Anforderungen an die technische Umsetzung der Messenger Applikation:

  1. Detaillierte Information des Nutzers ĂŒber die konkrete Datenverarbeitung bei App-Nutzung
  2. Nutzung / Zugriff erst nach gesondertem Authentifizierungsvorgang
  3. Möglichkeit der Ablage von Kontaktdaten der Kommunikationsteilnehmern in einem vom Adressbuch getrennten Speicher
  4. Importmöglichkeiten fĂŒr serverseitige Authentifizierung sowie Möglichkeiten der VerschlĂŒsselung (z.B. Nutzung digitaler Signaturen, Zertifikate, SchlĂŒssel), einhergehend mit integriertem Zertifizierungsmanagement
  5. verlÀssliche Identifizierung und Authentifizierung der Kommunikationspartner
  6. Integrierte Löschfunktion: verwaltete Daten mĂŒssen gezielt löschbar sein
  7. GewĂ€hrleistung der VerfĂŒgbarkeit: Möglichkeit der Sicherung der Kontaktdaten, Inhaltsdaten und KommunikationsvorgĂ€nge
  8. Technischer Datenschutz durch Konfigurationseinstellungen
  9. Einhaltung des Grundsatzes der datenschutzgerechten Voreinstellungen
  10. Möglichkeit von halb-automatisierten Update-Verfahren
  11. Erkennbarkeit und Auszeichnung von Diensten Dritter zur Fehleranalyse

Auch definiert die DSK Anforderungen an die Kommunikation als solche:

  1. GewÀhrleistung von Vertraulichkeit und IntegritÀt der Kommunikation
  2. Kryptografische Funktionen zur Eingangskontrolle der Nachrichten (z.B. PrĂŒfnummern)
  3. Aufzeichnungen und Protokollierung der Verbindungsdaten zu der ĂŒber den Messengerdienst gefĂŒhrten Kommunikation (u.a. Teilnehmer, Zeitpunkt, GerĂ€te- und Standortdaten)
  4. Einsatz offener Kommunikationsprotokolle (Möglichkeit zur Kommunikation mit anderen Messenger-Diensten)

Ebenso ist die Sicherheit der EndgerÀte von enormer Bedeutung. Hier fallen die folgenden Punkte ins Gewicht:

  1. Mobile Device Management fĂŒr EndgerĂ€te, inklusive sicherer Konfiguration der GerĂ€te
  2. wirksamer Zugriffschutz (interner Speicher der GerĂ€te muss durch VerschlĂŒsselung geschĂŒtzt werden, EntschlĂŒsselung nur mit Kenntnis der Anmeldedaten)
  3. ausschließliche Nutzung von GerĂ€ten deren Betriebssystemversion durch den Hersteller mit Sicherheitspatches versorgt werden

Last but not least muss auch die Plattform und ihr Betrieb als solche betrachtet werden:

  1. Zentrales IdentitĂ€tsmanagamentsystem und abgesicherter Registrierungsprozess (nur zugelassene Nutzer dĂŒrfen am Nachrichtenaustausch teilnehmen, geschlossene Nutzergruppen mĂŒssen realisiert werden)
  2. Datenschutz-FolgenabschĂ€tzung ist fĂŒr die Nutzung eines Messenger-Dienstes in Kombination mit personenbezogenen Daten immer notwendig
  3. GewĂ€hrleistung von regelmĂ€ĂŸiger ÜberprĂŒfung, Bewertung und Evaluierung der Wirksamkeit der getroffenen TOMs zur Sicherheit der Verarbeitung
  4. Sicherstellung der regelmĂ€ĂŸige Löschung (wenn möglich temporĂ€re Speicherfristen nutzen)
  5. DurchfĂŒhrung von sicherheitsrelevante Updates in regelmĂ€ĂŸigem Turnus

Wichtig ist fĂŒr Sie als Unternehmen: Entscheiden Sie sich dennoch fĂŒr eine Nutzung des Dienstes sollten Sie sich bewusst machen, dass Sie sich angreifbar machen und zudem ihre eigenen DatensĂ€tze gefĂ€hrden. Es lohnt sich wirklich sich die Frage nach dem Mehrwert von WhatsApp und Co. im Vergleich zu eventuellen GefĂ€hrdungen wie Datenverlust oder Haftungsfragen zu stellen.

Und es gibt durchaus „Licht am Ende des Tunnels“: Schon jetzt sind einige Alternativen auf dem Markt, wie z.B. die App „Threema“, die datenschutzrechtlich weit weniger bedenklich als WhatsApp ist.

Quelle: „Whitepaper“ der DSK zu technischen Datenschutzanforderungen an Messenger-Dienste im Krankenhausbereich, abgerufen am 15.02.2020 unter https://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DSKBeschluessePositionspapiere/98DSK_Whitepaper-Messenger-Krankenhausbereich.html