Update vom 21.12.22: Aufnahme des Bußgeldes der französischen Aufsichtsbehörde CNIL gegen Discord.
Update vom 07.12.22: Bei den Diensten Microsoft Teams und Slack wurden die Prüfdaten hinzugefügt.
Unternehmen setzen vermehrt auf den internen Einsatz von Messenger-Diensten. Dies bietet die Möglichkeit, schnell und unkompliziert mit einzelnen Mitarbeitern zu kommunizieren und erleichtert die Zusammenarbeit im Team durch gemeinsame Gruppenchats. Besonders für die immer mehr verbreitete Arbeit im Home- oder Mobiloffice bietet sich dies an. Das hierbei der Datenschutz nicht außer Acht gelassen werden darf, ist selbstverständlich. Wir stellen Ihnen heute aus unserer Sicht sichere und auch weniger sichere Messenger-Dienste vor und erklären Ihnen, auf was zu achten ist.
Welche Auswahlkriterien sind zu beachten?
Bei der Auswahl des richtigen Messenger-Dienstes sollte man verschiedene datenschutzrechtliche Vorgaben beachten. Denn als Unternehmen bleibt man Verantwortlicher und entscheidet daher über die Mittel und Zwecke der Verarbeitung. Der Anbieter des Messenger-Dienstes hingegen wird als weisungsgebundener Auftragsverarbeiter tätig, mit dem ein entsprechender Auftragsverarbeitungsvertrag bzw. die neuen Standardvertragsklauseln abgeschlossen werden muss. Die Verpflichtung zu einer sicheren Datenverarbeitung bleibt jedoch bei dem Verantwortlichen. Beim Einsatz eines Auftragsverarbeiters muss er daher die Technischen und Organisatorischen Maßnahmen von diesem genau unter die Lupe nehmen.
Besonderen Wert sollte der Verantwortliche auf eine starke Verschlüsselung im Sinne einer Ende-zu-Ende-Verschlüsselung legen. Daneben sollte er einen Anbieter mit Sitz und Serverstandort in der EU wählen. Bei Anbietern in den USA besteht ein hohes Risiko der Datenzugriffe durch US-Behörden aufgrund der dortigen Gesetzgebung. Besonders vor diesem Hintergrund sollte man darauf achten, dass der Schlüssel für die Verschlüsselung ausschließlich bei dem Verantwortlichen und nicht softwareseitig beim Auftragsverarbeiter liegt. Ansonsten könnte eine Behörde zusammen mit den verschlüsselten Daten auch den entsprechenden Schlüssel verlangen und der Schutz wäre wirkungslos.
Welche Messenger-Dienste kann man dann überhaupt bedenkenlos nutzen?
Wir haben ein paar Messenger-Dienste unter die datenschutzrechtliche Lupe genommen und möchten Ihnen unsere Ergebnisse natürlich nicht vorenthalten. Bitte beachten Sie jedoch, dass nichtsdestotrotz jeder Dienst von dem Verantwortlichen selbst gesondert geprüft werden muss.
Von der betrieblichen Nutzung von WhatsApp bzw. WhatsApp Business raten wir nach wie vor dringend ab (lesen Sie dazu mehr in unserem Blogbeitrag). Diese Dienste bieten zwar eine Ende-zu-Ende-Verschlüsselung, allerdings übertragen diese personenbezogene Daten an ihren Mutterkonzern Meta Platforms Inc. (vormals Facebook Inc.). Daneben greift WhatsApp auf sämtliche gespeicherte Kontakte auf dem Handy zu, soweit dies technisch nicht unterbunden wird und überträgt diese an den Mutterkonzern in den USA.
Auch Telegram ist nicht bedenkenlos nutzbar. Abgesehen von den aktuellen Geschehnissen, sollte man von der Nutzung des russischen Anbieters absehen. Denn normale Nachrichten, die man nicht in geheimen Chats versendet, sind nicht Ende-zu-Ende verschlüsselt.
Microsoft Teams wird ebenfalls oft für die betriebliche Kommunikation genutzt. Der Dienst bietet neuerdings eine Ende-zu-Ende-Verschlüsselung für Anrufe an. Chatnachrichten werden mit Hilfe von TLS und MTLS verschlüsselt. Ruhende Daten werden ebenfalls verschlüsselt. Allerdings liegt der Schlüssel für die Verschlüsselung regelmäßig nicht beim Verantwortlichen, sondern bei Microsoft. Dies birgt die Gefahr der Offenlegung gegenüber US-Behörden. Diese Gefahr kann man nur wirksam begegnen, indem man die sog. „Hold Your Own Key“ oder „Double Key Encryption“-Lösung nutzt. In diesen Fällen liegt der Schlüssel jeweils beim Verantwortlichen. (Zuletzt haben wir den AVV dieses Anbieters am 13.06.22 geprüft. Dieser erfüllte die Mindestanforderungen nach Art. 28 DSGVO und wurden freigegeben. Allerdings blieben datenschutzrechtlich problematische Punkte offen.)
Besonders hoch im Kurs steht ebenfalls der Messenger-Dienst Slack. Europäische Kunden schließen Ihren Vertrag mit der Slack Technologies Limited mit Sitz in Irland. Da jedoch nicht vollständig ausgeschlossen werden kann, dass keine Datenübermittlung an den Mutterkonzern in den USA stattfindet, insbesondere da sich Slack das Recht offenhält, personenbezogene Daten auch in Drittländer zu übermitteln, empfehlen wir die angebotenen Standardvertragsklauseln abzuschließen. Slack nutzt für die Datenverarbeitung die Infrastruktur von Amazon Web Services, Inc. („AWS“). Sowohl während der Übermittlung als auch im Ruhezustand sind die Daten verschlüsselt. Auch hier besteht jedoch die Gefahr der Datenoffenlegung gegenüber US-Behörden, soweit der Schlüssel für die Verschlüsselung bei AWS oder Slack liegt. (Zuletzt haben wir die SCCs dieses Anbieters am 21.07.22 geprüft. Diese erfüllten die Mindestanforderungen nach Art. 44 DSGVO und wurden freigegeben.)
Eine klare Empfehlung ist Stackfield. Bei dem deutschen Anbieter ist Transparenz und DSGVO-Konformität großgeschrieben. Er verarbeitet Daten ausschließlich auf deutschen Servern und arbeitet nur mit deutschen Unterauftragsverarbeitern zusammen. Daneben bietet Stackfield eine Ende-zu-Ende-Verschlüsselung an, bei der der Schlüssel beim Verantwortlichen liegt.
Die Messenger-Dienste Threema und Signal stellen ebenfalls eine datenschutzkonforme Alternative dar. Neben einer Ende-zu-Ende-Verschlüsselung bieten diese jeweils weitere Vorteile. Kontaktdaten aus dem Adressnuch des Smartphones gelangen nach eigenen Angaben ausschließlich anonymisiert an den schweizerischen Anbieter Threema, welcher diese zu keinem Zeitpunkt speichert. Bei Signal erfolgt der Zugriff auf die Kontakte im Adressbuch über einen „Hash“. Nachdem das Tool abgeglichen hat, welche Kontakte auch Signal nutzen, wird die Information nach eigenen Angaben sofort verworfen.
Discord – der Messenger-Newcomer im Unternehmen?
Hoch im Trend steht daneben die kostenlose US-amerikanische Chatplattform Discord. Diese wurde ursprünglich für die „Gaming Community“ entwickelt und wird mittlerweile immer öfter zum sozialen Austausch genutzt.
Wir raten jedoch dringend vom betrieblichen Gebrauch ab. Neben der Tatsache, dass es sich um einen US-amerikanischen Anbieter handelt, bei dem die Gefahr von behördlichen Datenzugriffen besteht, ist Discord nicht für den betrieblichen Gebrauch konzipiert. Sollte man Discord dort einsetzen wollen, müsste man mit dem Anbieter die neuen Standardvertragsklauseln abschließen. Allerdings werden weder in der Nutzungsvereinbarung noch in der Datenschutzerklärung eine Auftragsdatenverarbeitung bzw. die hierfür erforderlichen neuen Standardvertragsklauseln erwähnt oder angeboten. Ob auf Nachfrage diese Dokumente erhältlich sind, ist fraglich. Daneben bietet Discord keine Datenverschlüsselung oder gar Ende-zu-Ende-Verschlüsselung an. Die übertragenen Daten sind somit vollkommen ungeschützt. Besonders problematisch ist, dass sich Discord im Rahmen der Datenschutzerklärung das Recht einräumt, gesammelte Informationen der Nutzer (also sämtliche bereitgestellten Informationen im Rahmen der Registrierung und Nutzung) zusammenzustellen, zu analysieren und in Datenbanken von Tochtergesellschaften, Agenturen und Dienstleistern mit aufzunehmen.
Die französische Datenschutz-Aufsichtsbehörde hat am 10.11.22 ein Bußgeld in Höhe von 800.000 € gegen Discord verhängt, u. a. weil Discord Accounts nicht gelöscht hatte, obwohl diese nicht mehr genutzt wurden und es auch kein Löschkonzept gab. Zudem war z. B. problematisch, dass die Nutzer dachten, wenn sie in der App auf das „x“ klickten, die App zu schließen. Allerdings wurde die App meist lediglich minimiert, was dazu führte, dass der Nutzer noch zu hören bzw. sehen war. Wir raten aus datenschutzrechtlicher Sicht dringend von der betrieblichen Nutzung von Discord ab.
Sie sehen also, es nicht leicht, datenschutzkonformen Messenger-Dienste zu finden. Beachtet man jedoch ein paar wichtige Dinge und bindet seinen Datenschutzbeauftragten frühzeitig in die Auswahl mit ein, so steht einer sicheren Kommunikation nichts im Wege.
Sie haben noch Fragen in diesem Bereich, benötigen einen Datenschutzbeauftragten oder datenschutzrechtliche Beratung, kontaktieren Sie uns gerne unter 0931-780 877-0 oder info@sidit.de.
Kein Kommentar