Datenschutz­konformer Einsatz von Messengern und Videokonferenz-Tools

Wer im Büro arbeitet, kann den Arbeitsplatz zu großen Teilen recht unproblematisch nach Hause verlegen. E-Mails versenden, Angebote verfassen oder Ideen für ein neues Konzept sammeln, dazu braucht man nicht zwingend im Büro zu sein. Schwieriger wird es, wenn man sich mit Kollegen besprechen möchte oder größere Meetings und Kundengespräche anstehen, bei denen zugleich durch Präsentationen geführt werden soll. Für die Remote Arbeit kommen Messenger und Tools für Videokonferenzen ins Spiel – die aktuelle Nachfrage ist groß, aber es bestehen zugleich nicht unerhebliche Compliance-Herausforderungen. Denn Zugriffsmöglichkeiten Dritter auf ausgetauschte Informationen gibt es ungleich häufiger als im persönlichen Gespräch vor Ort. Digitale Kommunikation hinterlässt umfassende wie langlebige Spuren und vor allem bei Dritten gespeicherte Daten sind nur schwer zu kontrollieren. Entsprechenden Risiken sind die vertraulichen Informationen des eigenen Unternehmens genauso ausgesetzt wie die von Kunden oder Geschäftspartnern. Wer entsprechende Tools zur digitalen Kommunikation einsetzt, ist auch für die Einhaltung der Datenschutz- und Informationssicherheits-Compliance verantwortlich. Die unternehmensinternen und ggf. gesetzlichen Anforderungen sind daher ein entscheidender Teil bei der Wahl des richtigen Home-Office-Setups.

Messenger WhatsApp: Praktisch und weit verbreitet aber Zugeständnisse im Datenschutz

Der Marktführer im Bereich der Messenger ist noch immer eindeutig das zur Facebook-Gruppe gehörende WhatsApp. Die vielfach privat genutzte App kann auch für die Unternehmenskommunikation reizvoll sein, denn sie ist mit fast zwei Milliarden Nutzern sehr weit verbreitet und ein Großteil der Belegschaft wird ihre Bedienung gewohnt sein. Sie ist vermeintlich schnell und unkompliziert im Unternehmen eingeführt – doch die datenschutzrechtlichen Herausforderungen sollten im Vorfeld beachtet und bewertet werden.

WhatsApp als Teil des Facebook-Universums ist der kommerziellen Agenda des sozialen Netzwerks unterstellt. Um die Eintrittshürden abzusenken und schnell eine weite Verbreitung zu erreichen, setzte WhatsApp schon früh auf den Adressbuchabgleich per default. Bei der Initialisierung werden somit die im Adressbuch des Nutzers enthaltenen Kontaktadressen an die WhatsApp-Server und somit auch personenbezogene Daten Dritter übermittelt, die unter Umständen nicht WhatsApp-Nutzer sind und in eine entsprechende Datenverarbeitung nicht eingewilligt haben. Bei der Frage, wie damit umzugehen ist, muss unterschieden werden. Wird WhatsApp ausschließlich zur internen Kommunikation verwendet und besteht somit ein abgeschlossener Kreis von Nutzern, kommen rechtskonforme Lösungen in Betracht. Verwenden nicht alle Teilnehmer des Kreises Diensthandys, die ausschließlich zur internen Kommunikation verwendet werden, können Mobile-Device-Management-Lösungen eingesetzt werden, um private und betriebliche Adressbücher auf dem Endgerät zu trennen. Ein Adressbuchabgleich sollte dann nur mit den betrieblich genutzten Kontakten erfolgen. Zwar lässt sich der Adressbuchabgleich über die Systemberechtigungen sowohl bei iOS als auch bei Android verhindern, dies geht allerdings erheblich zu Lasten der Bedienbarkeit. Beide Lösungen sind umständlich oder zumindest aufwändig, weshalb auch Messenger-Alternativen wie Signal oder Threema bedacht werden sollten. Ist WhatsApp unumgänglich, etwa weil es zur Kundenkommunikation verwendet wird, sollte insbesondere der Adressbuchabgleich im Vorfeld sorgfältig bewertet werden. Die Verwendung privater Accounts für die betriebliche Kommunikation ist zudem keinesfalls zu empfehlen, da sich die betrieblichen Daten nahezu unwiederbringlich mit der privaten Kommunikation vermischen, was eine sachgerechte Sicherung und eine Herausgabe der betrieblichen Kommunikation an den Arbeitgeber nahezu unmöglich macht.

Erforderlich: Ende-zu-Ende-Verschlüsselung

Wie die meisten Alternativen wirbt auch WhatsApp damit, dass die Inhalte der Nachrichten Ende-zu-Ende-verschlüsselt und sie daher nur von Absender und Empfänger einsehbar seien. Die Daten, die WhatsApp sammelt – und im Übrigen mit denen anderer Dienste der Facebook Inc. wie Facebook und Instagram zusammenführt – und auf US-Servern verarbeitet, sind laut den Datenschutzbestimmungen des Unternehmens „nur“ Metadaten, die Aufschluss darüber geben, wer mit wem zu welchen Zeitpunkten kommuniziert hat. WhatsApp ist proprietäre Software und setzt nicht auf einen Open-Source-Verschlüsselungsalgorithmus, sodass eine unabhängige Prüfung der Sicherheit und Effizienz der Verschlüsselung nicht erfolgt. Es bestehen daher einige Vorbehalte gegen die Wirksamkeit der eingesetzten Verschlüsselung und es kann nicht empfohlen werden, vertrauliche Informationen darüber zu teilen. In Bezug auf datenschutzrechtliche Vorgaben ist eine Übermittlung in die USA aufgrund der EU-US-Privacy Shields rechtlich möglich, sofern das jeweilige Unternehmen danach zertifiziert ist. Bei der Wahl eines Messengers sollte auf Ende-zu-Ende-Verschlüsselung aber in jedem Fall geachtet werden. Hinzu kommen Herausforderungen für den Umgang mit Informationen, die § 203 StGB unterfallen und für Berufsgeheimnisträger gelten meist noch zusätzliche Anforderungen in den jeweiligen Berufsordnungen.

Die richtigen Maßnahmen beim Messenger-Einsatz

Je nach Einsatzgebiet müssen Unternehmen darauf achten, dass sie die Apps entsprechend der Lizenzbedingungen in zulässiger Weise einsetzen. Bei WhatsApp war beispielsweise die gewerbliche Nutzung nach außen in den Nutzungsbedingungen ausgeschlossen, bis eine spezielle Version für den Unternehmenseinsatz „WhatsApp Business“ vorgestellt wurde. Gibt es eine Business-Version eines Messengers, sollte deren Einsatz vorrangig geprüft werden. Kommt ein rechtskonformer Einsatz in Betracht, sollte sodann die eigene Datenschutzerklärung in Bezug auf den App-Einsatz ergänzt werden und Mitarbeiter bzw. Kunden entsprechend informiert werden. Schließlich muss auf die richtige Rechtsgrundlage geachtet werden, besonders wenn eine Einwilligung erforderlich ist. Für die werbliche Kundenkommunikation sind zudem die Vorgaben des UWG zu beachten. Je nach Konstellation sollte mit dem Anbieter ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden und die Anwendung in das Verzeichnis der Verarbeitungstätigkeiten (VVT) aufgenommen werden.

Bei Wahl und Nutzung von Messengern sollte also auf die folgenden Aspekte geachtet werden:

  • Art und Umfang der erhobenen Daten, Speicherungsort und Verschlüsselung
  • Trennung von privatem und beruflichem Gebrauch
  • Ggf. Business-Version des Messengers
  • Erforderliche vertragliche Vereinbarungen
  • Verpflichtungen wie Information oder Einwilligung

Wir haben neben WhatsApp noch weitere Messenger-Dienste analysiert und für Sie in einer Übersicht zusammengestellt.

Videokonferenzen: Andere Funktionen, ähnliche Herausforderungen

Viele Fragestellungen, die sich beim Messenger-Einsatz ergeben, gelten in ähnlicher Form auch bei der Auswahl und Nutzung des richtigen Tools für Videokonferenzen. Genauso gibt es viele Anbieter auf dem Markt – ob Microsoft Teams, Google Hangouts, Apple FaceTime oder Zoom, welches sich insbesondere auch aufgrund technischer Features und guter Performance derzeit großer Beliebtheit erfreut. Die geschäftliche Nutzung des Tools muss in den jeweiligen Vertragsbedingungen erlaubt sein, was bei den großen Anbietern aber der Regelfall ist.

Die populäreren Anbieter haben zudem meist ihren Sitz in den USA. Hier muss wie bei Messengern geprüft werden, ob das Unternehmen zumindest nach dem Privacy Shield zertifiziert ist oder andere Garantien zur rechtskonformen Verarbeitung von personenbezogenen Daten in Drittstaaten bietet. Hier gilt es auch, in den Bestimmungen des Anbieters nachzusehen, ob und wie der Datenverkehr verschlüsselt wird. Mindestens sollte eine Transportverschlüsselung (TLS), wie sie etwa Zoom verwendet, im besten Fall aber eine Ende-zu-Ende-Verschlüsselung sichergestellt werden, die zwar auch bei Audio- und Videoaufnahmen technisch möglich ist, jedoch hohe Ressourcen zwischen den einzelnen Teilnehmern beansprucht  und daher nicht der Normalfall ist. Üblicherweise werden daher nur die Übertragungen zum Anbieter verschlüsselt oder aber die Zahl der Nutzer ist stark begrenzt.

Der Abschluss eines Auftragsverarbeitungsvertrags (AVV) sollte auch hier erfolgen, wenn man beispielsweise Webinare über das jeweilige Tool ausrichtet. Die eigene Datenschutzerklärung muss ebenfalls entsprechend angepasst und das Tool in das Verzeichnis der Verarbeitungstätigkeiten (VVT) aufgenommen werden.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Abmeldelink in jedem Newsletter. Mehr in der Datenschutzerklärung.

Funktionen datenschutzfreundlich einstellen

Was bei Messengern meist nicht oder nicht so umfangreich möglich ist, bei Tools für Videokonferenzen aber umgesetzt werden sollte, ist die Ausschöpfung der (Datenschutz-)Einstellungen, die man als Verwender selbst vornehmen kann. Aufzeichnungen, die Speicherung von Chatverläufen oder Tracking-Funktionen sollten so weit wie möglich abgestellt sein. Gibt es Funktionen zu Profiling, sollten diese ausgeschaltet werden. Risiken wie dem sog. „Zoom-Bombing“, bei dem verstörende oder provokante Inhalte überraschend allen Konferenzteilnehmern gezeigt wurden, indem unerwünschte Dritte sich in die Konferenz eingeschlichen und ihren Bildschirm geteilt haben, kann ebenso vorgebeugt werden: Bei Zoom können Konferenzen nun passwortgeschützt werden, sodass man für die Teilnahme sowohl eine Meeting ID als auch ein Passwort benötigt. Für die sicherste Variante, die sich bei großen und öffentlichen Konferenzen empfiehlt, werden Zugangsdaten bestenfalls getrennt vom Einladungslink versendet. Zudem sollte man über die Einstellungen sicherstellen, dass nicht jeder Teilnehmer jederzeit seinen Bildschirm teilen kann. Insbesondere Zoom hat zuletzt für einige negative Schlagzeilen gesorgt. Viele der Probleme sind allerdings bereits behoben oder sie werden von Zoom adressiert. Andererseits ist der Zugriff von Schadsoftware auf Kamera und Mikrofon über Zoom noch ein akutes Risiko bei der Anwendung dieses Tools. Näheres finden Sie detailliert in dem Artikel der ISiCO Datenschutz GmbH speziell über den datenschutzkonformen Einsatz von Zoom.

Es lohnt sich daher, sich auch in Europa nach Videokonferenz-Tools umzusehen, da es neben den großen US-Anbietern immer mehr Alternativen gibt, die mit erhöhten Sicherheits- und Datenschutzstandards sowie starker Privatsphäre werben. So etwa das norwegische Unternehmen Whereby oder der deutsche Anbieter edudip. Allerdings sollten alle genannten Punkte nicht nur bei den US-Anbietern, sondern auch bei europäischen Tools geprüft werden. Edudip etwa bietet keinen Passwortschutz für Meetings an. Daher ist es auch bei europäischen Anbietern empfehlenswert, sich die jeweiligen Sicherheitseinstellungen genau anzusehen.

Bei Wahl und Nutzung des richtigen Tools sollte also auf die folgenden Aspekte geachtet werden:

  • Art und Umfang der erhobenen Daten, Speicherungsort und Verschlüsselung
  • Business-Version prüfen
  • Erforderliche vertragliche Vereinbarungen
  • Verpflichtungen wie Information oder Einwilligung
  • Nutzung sachgerechter Datenschutz- und Privatsphäre-Einstellungen

Eine Übersicht zu verschiedenen Videokonferenz-Tools haben wir ebenfalls für Sie zusammengestellt.

Fazit

Wenn in Unternehmen über Messenger kommuniziert werden soll oder Videokonferenzen abgehalten werden, stellen sich ganz ähnliche Herausforderungen. Meist wird auf große US-Anbieter zurückgegriffen, da sie weit verbreitet und in der Regel auch einfach zu handhaben sind. Für ihre Nutzung sollen aber die hier dargestellten rechtlichen und technischen Maßnahmen getroffen werden, um das Datenschutzrisiko möglichst gering zu halten. Ein datenschutzkonformer Einsatz ist im Regelfall möglich. Der Austausch besonders sensibler oder vertraulicher Informationen ist allerdings grundsätzlich nicht empfehlenswert. Darüber hinaus lohnt der Blick auf den europäischen Markt. Ob die Praktikabilität der europäischen Tools den eigenen Ansprüchen genügt, muss aber jeweils ausgetestet werden.

Kontakt

office@srd-rechtsanwaelte.de

Berlin

+49 (0)30 21 30 028-0

Düsseldorf

+49 (0)211 41 55 868-0

München

+49 (0)89 61 42 412-70

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Abmeldelink in jedem Newsletter. Mehr in der Datenschutzerklärung.