Fachbeiträge

Ausgabe 12 / 2017
FachbeitragGesetzgebung

Whatsapp & Co.: Unternehmerischer Einsatz trotz Datenschutzkritik?

von Simone Rosenthal

Inhaltsübersicht:


Anzeige

Datenschützer sehen im Massenabgleich von Facebook- und WhatsApp-Nutzerdaten eine unberechtigte Datenübermittlung, Facebook führt Geschäftsinteressen an, um die Nutzererfahrung weiter zu verbessern. Alternativen gibt es wie Sand am Meer, doch nur die Snowden-Empfehlung Signal und das europäische Threema haben überhaupt noch eine Chance gegen die hohe Marktdurchsetzung der Silicon Valley-Schöpfung WhatsApp. Was gilt es bei einer dienstlichen Nutzung zu beachten? Ist der Abgleich mit Firmentelefonbüchern möglich? Simone Rosenthal, Rechtsanwältin und Geschäftsführerin bei ISiCO Datenschutz GmbH klärt auf, was Unternehmen bei einer diesntlichen Nutzung der App beachten müssen.

Ist ein datenschutzkonformer Einsatz von WhatsApp und Co. überhaupt möglich?

Ein erstes mögliches Hindernis für den rechtskonformen Einsatz im Unternehmen stellt die bei allen Messengern stattfindende Datenübermittlung zwischen Anbieter und Endgerät dar, um etwa Telefonnummern oder E-Mail-Adressen aus dem Adressbuch mit Daten auf den Servern abzugleichen. Sowohl bei der Telefonnummer als auch der IP-Adresse handelt es sich um personenbezogene Daten. Im Zuge einer professionellen, dienstlichen Nutzung wäre nach § 11 Abs. 1 BDSG hier wohl ein Auftragsdatenverarbeitungsvertrag zwischen dem Anbieter des Dienstes und dem betroffenen Unternehmen erforderlich. WhatsApp wird hier nicht kooperieren, ebenso wenig Signal und Threema; alle drei stellen in ihren Nutzungsbedingungen die private Nutzung als Anwendungsbereich heraus.

Mit „Threema Work“ bietet der Anbieter als einziger eine offizielle, kommerzielle Lösung für den Unternehmenseinsatz an. Gerade bei WhatsApp muss zudem davon ausgegangen werden, dass die zu synchronisierenden Daten (z.B. Telefonnummer) an US-Server übermittelt werden. Da der USA kein angemessenes Datenschutzniveau attestiert wird, bleiben also nur die Standardvertragsklauseln und eine Privacy-Shield-Selbstzertifizierung. Selbst wenn diese Voraussetzungen theoretisch erfüllt wären, ergeben sich weitere Nutzungsvorbehalte einer dienstlichen Nutzung, die auch andere Messenger betreffen: Wie kann der Nutzer (oder in diesem Fall der Arbeitgeber) sicherstellen, dass alle abzugleichenden Kontakte mit dieser Übermittlung einverstanden sind? Der datenschutzrechtliche Grundsatz der Direkterhebung (§ 4 Abs. 2 BDSG) wird sich nicht umgehen lassen. Threema bietet hier zumindest eine sog. Ausschlussliste, womit einzelne Kontakte explizit vom Datenabgleich ausgeschlossen werden können.

Weiß WhatsApp zu viel?

Signal, Threema und WhatsApp bieten Lesebestätigungen einzelner Nachrichten. Eine Funktion, die auf Wunsch abgeschaltet werden kann. WhatsApp bietet zudem – ähnlich den bekannten VoIP-Diensten – eine Statusanzeige, die verrät, ob ein Nutzer online ist. Eine Studie des Fachbereichs Informatik der FAU machte bereits 2014 deutlich, dass sich aus diesem unscheinbaren Datenpunkt allerlei Schlüsse über das individuelle Nutzungsverhalten ziehen lassen. Der Betriebsrat könnte hier also auf sein Mitbestimmungsrecht (§ 87 BetrVG) pochen, um sich zu versichern, dass keine Leistungs- und Verhaltenskontrolle seitens der Vorgesetzten durchgeführt wird.

Fazit

Im Ergebnis gestaltet sich der professionelle Einsatz schwierig, was den datenschutzrechtlichen Rahmen angeht. Auch aus Gesichtspunkten der Daten- und IT-Sicherheit sieht man den Diensten an, dass diese nicht für den professionellen Einsatz im Unternehmen entwickelt wurden. Weder Signal, Threema noch WhatsApp bieten Optionen für Mobile Device Management (MDM) oder Schnittstellen für entsprechende Integrationslösungen. Lediglich Threema Work stellt solche Optionen zur Verfügung. Zu Gute halten kann man allen hier genannten Diensten, dass diese jeweils Verschlüsselungsstandards nach dem Stand der Technik einsetzen. Vorausgesetzt, die Sicherheitsfunktionen der Anwendungen (Code-Scan/ID-Abgleich) werden genutzt und eine Man-in-the-Middle-Attack wird ausgeschlossen, basiert der Nachrichtenaustausch auf einem deutlich höheren Sicherheitsniveau als der klassische (unverschlüsselte) E-Mailversand.

Mehr Info

Diese Artikel könnten Sie auch interessieren

Online Fachbeiträge Ausgabe 12 / 2017
Fachbeitrag       IT-Sicherheit

So klappt’s mit der Informationssicherheit

Artikel lesen


Online Fachbeiträge Ausgabe 10 / 2017
Fachbeitrag       IT-Sicherheit

Ein Klick genügt: Sensible Daten in Gefahr!

Artikel lesen


Online Fachbeiträge Ausgabe 7 / 2017
Fachbeitrag       Gesetzgebung

Sind Sie bereit für die Datenschutz-Grundverordnung?

Artikel lesen


wissensmanagement Heft 7 / 2014
Titelthema       IT-Sicherheit

End-of-Life-Management: Sensible Daten zuverlässig & revisionssicher löschen

von Thomas Wirth

Artikel lesen


wissensmanagement Heft 7 / 2015
Titelthema       IT-Sicherheit

IT-Sicherheit beginnt im Web

von Jürgen Metko

Artikel lesen