SLACK & CO.: SO GEHT DATENSCHUTZ BEI CHAT-APPS

Chatdienste im Unternehmen – das müssen Sie wissen
#Workflow #Datenschutz #DSGVO #Arbeitswelt

Messenger-Dienste werden auch bei Unternehmen immer beliebter. Was dabei oft vergessen wird: Nicht alle sind DSGVO-konform. Mal kurz eine Nachricht über WhatsApp oder Facebook-Messenger an die Kollegen schicken? So einfach geht das nicht mehr. Unsere tabellarische Übersicht der zahlreichen Dienste und ihrer Eigenschaften sorgt für Klarheit und zeigt, welche Messenger unbedenklich sind und von welchen Sie lieber die Finger lassen sollten. 

Seit dem 25. Mai 2018 gilt die Datenschutzgrundverordnung (DSGVO). Folglich sollte kein Unternehmen mehr das Thema Datenschutz auf die leichte Schulter nehmen. Denn waren die Strafen für Verstöße gegen Datenschutzgesetze bislang eher moderat, ändert sich dies nun mit der europaweit geltenden DSGVO deutlich. Bei Nichteinhaltung der Verordnung drohen Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Unternehmens-Jahresumsatzes.

In Unternehmen durch Mitarbeiter genutzte Kommunikationsdienste wie WhatsApp oder Slack werden nun zu einem unkalkulierbaren Risiko. Der Grund dafür ist vor allem, dass diese Dienste keinen ausreichenden Schutz personenbezogener Daten vor fremden Zugriffen bieten. Außerdem werden teilweise die Adressbücher der Mitarbeiter mit Kontaktdaten von Kollegen, Kunden und Partnern ungefragt ausgelesen und zu dem Dienstanbieter hochgeladen. Zusätzlich erfassen einige Anbieter das Nutzungsverhalten basierend auf den Metadaten der Nutzer und erstellen persönliche Nutzerprofile, um diese kommerziell zu vermarkten. 

Darüber hinaus sind viele Dienste meist US-amerikanischen Ursprungs, womit eine Datenhaltung bzw. -speicherung in den USA einhergeht. Zumindest dann, wenn der Dienstanbieter keine Rechenzentren in der EU betreibt bzw. die Datenverarbeitung und Speicherung nachweislich innerhalb der EU durchführt. Der europäische Gesetzgeber verlangt jedoch, dass personenbezogene Daten nicht in Drittländern gespeichert bzw. verarbeitet werden, in welchen ein zu niedriges Datenschutzniveau herrscht. Das ist derzeit mutmaßlich in den meisten Ländern außerhalb der EU der Fall. Es gibt jedoch Abkommen mit Ländern wie den USA, zum Beispiel der EU-US Privacy Shield, die diese Einhaltung des Datenschutzniveaus nach Zertifizierung von US-Unternehmen garantieren sollen. Da jedoch bereits eine höchstrichterliche Klage gegen das EU-US Privacy Shield am Europäischen Gerichtshof (EuGH) anhängig ist und eine vorangegangene Klage bereits erfolgreich war, ist davon auszugehen, dass dieses Abkommen in den kommenden Monaten gestoppt wird. Damit entfallen die Grundlagen der Verarbeitung bei Dienstanbietern, deren Rechenzentren in den USA sitzen.

Mit diesen acht Messengern sind Sie laut unserem Test auf der sicheren Seite: 

(dunkelgrün = uneingeschränkt empfehlenswert, hellgrün = empfehlenswert)

Welche Anforderungen ein sicherer Messenger mit Gruppenchatfunktion sowie eine sichere Kollaborationssoftware nach Inkrafttreten der DSGVO erfüllen muss, zeigen die folgenden Punkte. Gegeben sein muss:

  • Transparenz in den Datenschutzrichtlinien und AGB, wie personenbezogene Daten verwendet, verarbeitet und gespeichert werden.
  • Datenspeicherung innerhalb der Europäischen Union, nur nach individueller Einzelfallprüfung in Drittländern oder bei Unternehmen, welche nach den EU Standardvertragsklauseln bzw. dem EU-US Privacy Shield verpflichtet sind.
  • Es werden keine Daten durch den Dienstanbieter gespeichert oder verwendet, es sei denn, sie werden für die Bereitstellung des Dienstes benötigt (Prinzip der Datensparsamkeit und Datenreduktion).
  • Es wurde ein Datenschutzbeauftragter benannt.
  • Es werden umfassende Einstellungen und Richtlinien zum Schutz von personenbezogenen Daten sowie von Unternehmensdaten angeboten.
  • Das komplette Löschen von Benutzern mit allen damit verbundenen personenbezogenen Daten muss möglich sein.
  • Das Adressbuch des Benutzers wird nicht zum Dienstanbieter transferiert.
  • Verfügbarkeit von Audit-Logs und Protokollierung aller wesentlichen Vorgänge.
  • Möglichkeit des Abschlusses einer Auftragsdatenverarbeitungserklärung.

 

FAZIT: Messenger sind auch in Unternehmen zunehmend verbreitet. Durch Inkrafttreten der DSGVO wird es wichtig, die Eigenschaften der Dienste in Bezug auf den Datenschutz genau unter die Lupe zu nehmen. Dabei ist die Materie so komplex, dass es schwierig ist, alle Elemente im Blick zu haben: Wir haben deshalb die wichtigsten Dienste analysiert und das Ergebnis in einer übersichtlichen Grafik zusammengefasst, um die Auswahl zu vereinfachen – die Grafik ist hier als PDF zum Download verfügbar.



Disclaimer: Die Informationen in diesem Beitrag haben wir mit größter Sorgfalt recherchiert. Dennoch übernehmen wir keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereitgestellten Informationen. Diese sind insbesondere allgemeiner Art und stellen keine Rechtsberatung dar. Zur Lösung von konkreten Rechtsfällen konsultieren Sie bitte unbedingt einen Rechtsanwalt.