05/2019 – Fachartikel Swiss Infosec AG
Datenschutzwissen über die korrekte Verwendung von DSGVO-konformen Messenger-Diensten in Ihrem Unternehmen
Nicht erst seit Geltung der Datenschutz-Grundverordnung (DSGVO) herrscht grosse Verunsicherung bezüglich des Einsatzes von Messenger-Diensten. Letztes Jahr hat etwa die Empfehlung des Zürcher Datenschutzbeauftragten hohe Wellen geworfen, wonach WhatsApp aus den Schulen zu verbannen sei. Nur wenige Kantone vertreten eine andere Position.
Wie steht es nun um den Gebrauch von WhatsApp in meinem Unternehmen? Bei der Beurteilung der Rechtmässigkeit fällt nüchtern betrachtet weniger ins Gewicht, ob WhatsApp, sondern wie genau WhatsApp eingesetzt wird. Aber zuerst der Reihe nach:
Kritisiert wird zunächst einmal der automatische Abgleich des Adressbuchs, damit WhatsApp erkennen kann, welche eigenen Kontakte WhatsApp bereits nutzen. Gerade diejenigen Kontakte, die WhatsApp bewusst nicht installiert haben, dürften mit einer Übertragung ihrer Daten aber längst nicht immer einverstanden sein. Kommt hinzu, dass sich WhatsApp seinen Nutzungsbedingungen nach vorbehält, Informationen wie Protokoll- und Nutzungsdaten an Facebook, deren Tochterfirma WhatsApp ist, weiterzuleiten. Gerade deswegen kann Begehren betroffener Personen auf Auskunft und Löschung nicht wie erforderlich nachgekommen werden. Aber nicht alles an WhatsApp ist schlecht: Datenschutzrechtlich wünschenswert ist auf jeden Fall die gebotene Ende-zu-Ende-Verschlüsselung für die mit WhatsApp versendeten Inhalte.
Worauf muss ich aber nun achten, um in meinem Unternehmen WhatsApp rechtskonform zu nutzen?
- Das Adressbuch sollte möglichst ausschliesslich Kontakte enthalten, die WhatsApp bereits nutzen.
- Es sollten per WhatsApp keine besonders schützenswerten Personendaten (Rückschlüsse möglich auf religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten, Gesundheit, Intimsphäre oder Rassenzugehörigkeit, Massnahmen der sozialen Hilfe, administrative oder strafrechtliche Verfolgungen und Sanktionen) oder Persönlichkeitsprofile ausgetauscht werden (Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt).
- Auf die Kommunikation mit WhatsApp sollte generell verzichtet werden, wenn aus dem konkreten Zusammenhang heraus bereits die Tatsache einer Kommunikation sensibel sein kann (z.B. Kontakt mit Berufsgeheimnisträgern oder vertrauliche Übernahmeverhandlungen).
Das Bayerische Landesamt für Datenschutzaufsicht schlägt ausserdem vor (was auch auf das Schweizerische Datenschutzrecht passt):
- Nachrichtenverläufe über WhatsApp sollten nicht archiviert werden.
- Automatische Speicherung der Nachrichten im internen Speicher, insbesondere der Anhänge, sollte vermieden werden, wenn weitere Apps auf dem mobilen Gerät installiert sind, denen Zugriff auf den internen Speicher gestattet wird (Gefahr eines unberechtigten Zugriffs und Fehlversand von Anhängen).
- WhatsApp sollte von einem separaten Smartphone oder über eine Container-Lösung (Mobile Device Management) betrieben werden.
Die Hürden für einen datenschutzrechtskonformen Einsatz von WhatsApp sind also ziemlich hoch. Im Anwendungsbereich der DSGVO gelten zusätzlich noch strengere Vorgaben (vgl. z.B. Stellungnahmen der deutschen Datenschutzaufsichtsbehörden Bayern und Niedersachsen). Es könnte sich daher unter Umständen lohnen, als Alternative zu WhatsApp Messenger-Dienste wie das Schweizerische Threema oder Signal in Betracht zu ziehen.
Fragen Sie sich, ob die DSGVO für Ihr Unternehmen relevant ist und wie Sie mit Messenger-Diensten umgehen sollten? Die Spezialisten von der Swiss Infosec AG helfen Ihnen gerne weiter. www.infosec.ch/dsgvo