Unternehmen setzen vermehrt auf den internen Einsatz von Messenger-Diensten. Dies bietet die Möglichkeit, schnell und unkompliziert mit einzelnen Mitarbeitern zu kommunizieren und erleichtert die Zusammenarbeit im Team durch gemeinsame Gruppenchats. Besonders für die immer mehr verbreitete Arbeit im Home- oder Mobiloffice bietet sich dies an. Das hierbei der Datenschutz nicht außer Acht gelassen werden darf, ist selbstverständlich. Wir stellen Ihnen heute aus unserer Sicht sichere und auch weniger sichere Messenger-Dienste vor und erklären Ihnen, auf was zu achten ist.

Welche Auswahlkriterien sind zu beachten?

Bei der Auswahl des richtigen Messenger-Dienstes sollte man verschiedene datenschutzrechtliche Vorgaben beachten. Denn als Unternehmen bleibt man Verantwortlicher und entscheidet daher über die Mittel und Zwecke der Verarbeitung. Der Anbieter des Messenger-Dienstes hingegen wird als weisungsgebundener Auftragsverarbeiter tätig, mit dem ein entsprechender Auftragsverarbeitungsvertrag bzw. die neuen Standardvertragsklauseln abgeschlossen werden muss. Die Verpflichtung zu einer sicheren Datenverarbeitung bleibt jedoch bei dem Verantwortlichen. Beim Einsatz eines Auftragsverarbeiters muss er daher die Technischen und Organisatorischen Maßnahmen von diesem genau unter die Lupe nehmen.

Besonderen Wert sollte der Verantwortliche auf eine starke Verschlüsselung im Sinne einer Ende-zu-Ende-Verschlüsselung legen. Daneben sollte er einen Anbieter mit Sitz und Serverstandort in der EU wählen. Bei Anbietern in den USA besteht ein hohes Risiko der Datenzugriffe durch US-Behörden aufgrund der dortigen Gesetzgebung. Besonders vor diesem Hintergrund sollte darauf geachtet werden, dass der Schlüssel für die Verschlüsselung ausschließlich bei dem Verantwortlichen und nicht softwareseitig beim Auftragsverarbeiter liegt. Ansonsten könnte eine Behörde zusammen mit den verschlüsselten Daten auch den entsprechenden Schlüssel verlangen und der Schutz wäre wirkungslos.

Welche Messenger-Dienste können denn dann überhaupt bedenkenlos genutzt werden?

Wir haben ein paar Messenger-Dienste unter die datenschutzrechtliche Lupe genommen und möchten Ihnen unsere Ergebnisse natürlich nicht vorenthalten. Bitte beachten Sie jedoch, dass nichtsdestotrotz jeder Dienst von dem Verantwortlichen selbst gesondert geprüft werden muss.

Von der betrieblichen Nutzung von WhatsApp bzw. WhatsApp Business raten wir nach wie vor dringend ab (lesen Sie dazu mehr in unserem Blogbeitrag). Diese Dienste bieten zwar eine Ende-zu-Ende-Verschlüsselung, allerdings übertragen diese personenbezogene Daten an ihren Mutterkonzern Meta Platforms Inc. (vormals Facebook Inc.). Daneben greift WhatsApp auf sämtliche gespeicherte Kontakte auf dem Handy zu, soweit dies technisch nicht unterbunden wird und überträgt diese an den Mutterkonzern in den USA.

Auch Telegram ist nicht bedenkenlos nutzbar. Abgesehen von den aktuellen Geschehnissen, sollte von der Nutzung des russischen Anbieters aus dem folgenden Grund abgesehen werden: Normale Nachrichten, die nicht in geheimen Chats versendet werden, sind nicht Ende-zu-Ende verschlüsselt.

Microsoft Teams wird ebenfalls oft für die betriebliche Kommunikation genutzt. Der Dienst bietet neuerdings eine Ende-zu-Ende-Verschlüsselung für Anrufe an. Chatnachrichten werden mit Hilfe von TLS und MTLS verschlüsselt. Ruhende Daten werden ebenfalls verschlüsselt. Allerdings liegt der Schlüssel für die Verschlüsselung regelmäßig nicht beim Verantwortlichen, sondern bei Microsoft. Dies birgt die Gefahr der Offenlegung gegenüber US-Behörden. Diese Gefahr kann man nur wirksam begegnen, indem man die sog. „Hold Your Own Key“ oder „Double Key Encryption“-Lösung nutzt. In diesen Fällen liegt der Schlüssel jeweils beim Verantwortlichen.

Besonders hoch im Kurs steht ebenfalls der Messenger-Dienst Slack. Europäische Kunden schließen Ihren Vertrag mit der Slack Technologies Limited mit Sitz in Irland. Da jedoch nicht vollständig ausgeschlossen werden kann, dass auch Daten an den Mutterkonzern in den USA übermittelt werden, insbesondere da sich Slack das Recht offenhält, personenbezogene Daten auch in Drittländer zu übermitteln, empfehlen wir die angebotenen Standardvertragsklauseln abzuschließen. Slack nutzt für die Datenverarbeitung die Infrastruktur von Amazon Web Services, Inc. („AWS“). Sowohl während der Übermittlung als auch im Ruhezustand werden die Daten verschlüsselt. Auch hier besteht jedoch die Gefahr der Datenoffenlegung gegenüber US-Behörden, soweit der Schlüssel für die Verschlüsselung bei AWS oder Slack liegt.

Eine klare Empfehlung ist Stackfield. Bei dem deutschen Anbieter ist Transparenz und DSGVO-Konformität großgeschrieben. Er verarbeitet Daten ausschließlich auf deutschen Servern und arbeitet nur mit deutschen Unterauftragsverarbeitern zusammen. Daneben bietet Stackfield eine Ende-zu-Ende-Verschlüsselung an, bei der der Schlüssel beim Verantwortlichen liegt.

Die Messenger-Dienste Threema und Signal stellen ebenfalls eine datenschutzkonforme Alternative dar. Neben einer Ende-zu-Ende-Verschlüsselung bieten diese jeweils weitere Vorteile. Der schweizerische Anbieter Threema erhält die Kontaktdaten aus dem Adressbuch des Smartphones nach eigenen Angaben ausschließlich anonymisiert und speichert diese zu keinem Zeitpunkt. Bei Signal erfolgt der Zugriff auf die Kontakte im Adressbuch über einen „Hash“. Nachdem das Tool abgeglichen hat, welche Kontakte auch Signal nutzen, wird die Information nach eigenen Angaben sofort verworfen.

Discord – der Messenger-Newcomer im Unternehmen?

Hoch im Trend steht daneben die kostenlose US-amerikanische Chatplattform Discord. Diese wurde ursprünglichfür die „Gaming Community“ entwickelt und wird mittlerweile immer öfter zum sozialen Austausch genutzt.

Wir raten jedoch dringend vom betrieblichen Gebrauch ab. Neben der Tatsache, dass es sich um einen US-amerikanischen Anbieter handelt, bei dem die Gefahr von behördlichen Datenzugriffen besteht, ist Discord nicht für den betrieblichen Gebrauch konzipiert. Sollte man Discord betrieblich einsetzen wollen, müsste man mit dem Anbieter die neuen Standardvertragsklauseln abschließen. Allerdings werden weder in der Nutzungsvereinbarung noch in der Datenschutzerklärung eine Auftragsdatenverarbeitung bzw. die hierfür erforderlichen neuen Standardvertragsklauseln erwähnt oder angeboten. Ob auf Nachfrage diese Dokumente erhältlich sind, ist fraglich. Daneben bietet Discord keine Datenverschlüsselung oder gar Ende-zu-Ende-Verschlüsselung an. Die übertragenen Daten sind somit vollkommen ungeschützt. Höchst datenschutzrechtlich problematisch ist daneben, dass sich Discord im Rahmen der Datenschutzerklärung das Recht einräumt, gesammelte Informationen der Nutzer (also sämtliche bereitgestellten Informationen im Rahmen der Registrierung und Nutzung) zusammenzustellen, zu analysieren und in Datenbanken von Tochtergesellschaften, Agenturen und Dienstleistern mit aufzunehmen. Wir raten daher aus datenschutzrechtlicher Sicht dringend von der betrieblichen Nutzung von Discord ab.

Sie sehen also, es nicht leicht, einen datenschutzkonformen Messenger-Dienst zu finden. Beachtet man jedoch ein paar wichtige Dinge und bindet seinen Datenschutzbeauftragten frühzeitig in die Auswahl mit ein, so steht einer sicheren Kommunikation nichts im Wege.

Sie haben noch Fragen in diesem Bereich, benötigen einen Datenschutzbeauftragten oder datenschutzrechtliche Beratung, kontaktieren Sie uns gerne unter 0931-780 877-0 oder info@sidit.de.

Melden Sie sich an, um regelmäßig tolle Inhalte in Ihrem Postfach zu erhalten!

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

Kein Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.