Auswahl & Nutzung datenschutzfreundlicher Messengerdienste im Unternehmen - ein Überblick - FZI ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Auswahl & Nutzung Angeheizt durch die Diskussionen in Bezug auf Kommunikations- und
Kollaborationswerkzeuge der Unternehmen im Home-Office während
datenschutzfreundlicher
der Corona-Pandemie, stehen viele Unternehmen vor der Frage, wie
sie ihren Beschäftigten eine datenschutzkonforme Nutzung von
Messengerdiensten im beruflichen Kontext ermöglichen können,
Messengerdienste im ohne auf die Bedürfnisse zur Geheimhaltung von Geschäftsgeheim-
nissen zu verzichten.
Unternehmen – ein Um Informationssuchende bei der strukturierten Entscheidungs-
findung zu unterstützen, veröffentlichte das FZI die Studie: Daten-
Überblick und Geheimnisschutz bei der Kommunikation im Unternehmens-
kontext. Die Ergebnisse der Studie fließen in diesen Leitfaden ein.
Für einen schnellen Einstieg bietet dieser Überblick Checklisten,
Infografiken sowie ein Entscheidungsdiagramm. Hier wird gezeigt,
worauf es im Wesentlichen bei der Auswahl eines geeigneten
Messengerdienstes ankommt. Ausgangspunkt ist eine typische
Situation im Unternehmen:
Antonia ist Managerin des mittelständischen
Unternehmens für intelligente Telekommunikations-
technologie IKT GmbH und benötigt für das mobile
Arbeiten eine einfach bedienbare Kommunikations-
lösung. Ihr ist jedoch aufgrund der Informationsfülle
unklar, worauf sie hierbei achten muss und welche
Punkte insbesondere bezüglich Daten- und
Geheimnisschutz wichtig sind.
Von anderen Unternehmen weiß sie, dass Sanktionen
wegen Datenschutzverstößen drohen, wenn die
Beschäftigten eigenmächtig Dienste für Teamkommu-
nikation nutzen, welche das EU-Datenschutzrecht nicht
erfüllen. Antonia fragt sich deshalb, worauf beim Einsatz
von Messengerdiensten geachtet werden muss, um keine
rechtlichen Sanktionen zu riskieren.
1
Der Einsatz eines Messengers hinterlässt Datenspuren: Antonia muss darauf Per Messenger werden die Beschäftigten auch Informationen
achten, dass sowohl die Kommunikationsinhalte (Chat-Nachrichten, Voice- austauschen, die nicht publik werden dürfen, da andernfalls dem
Calls, Video-Calls, etc.) als auch die Metadaten über beteiligte Personen, Unternehmen Schaden droht – Informationen, die Antonia als
Kontaktverzeichnisse, Zeitpunkte, Dauer und Häufigkeit der Kommuni- Geschäftsgeheimnis vor der Konkurrenz bzw. vor der Öffentlichkeit
kation, Standorte etc. ausreichend geschützt sind. schützen möchte.
Datenschutz: Geschäftsgeheimnis:
Findet Anwendung, sofern personenbezogene Daten einer betroffenen Liegt vor, sofern es sich handelt um eine
Regeln beziehen:
Worauf sich die
Person von einem Verantwortlichen verarbeitet werden - nicht ohne weiteres zugängliche Information (geheim),
- von kommerziellem Wert, weil sie geheim ist,
= alle Informationen, die sich auf eine identifizierte oder identifizierbare - mit berechtigtem Interesse an der Geheimhaltung und
natürliche Person beziehen - gesichert durch angemessene Geheimhaltungsmaßnahmen. (Diese
Gehen Sie davon aus, dass alle Daten bei der Kommunikation via können technischer, organisatorischer und / oder rechtlicher Natur sein.)
Messengerdienst personenbezogen sind
Dient dem Schutz der Menschen. Rechte stehen der betroffenen Dient dem Schutz der Unternehmensinteressen:
Person zu: die natürliche Person, auf die sich die Daten beziehen. Inhaber eines Geschäftsgeheimnisses ist die natürliche oder
Personenbezogene Daten können sich auf mehrere betroffene juristische Person, die die rechtmäßige Kontrolle über ein
Personen beziehen! IKT GmbH
Geschäftsgeheimnis hat
Der Verantwortliche muss datenschutzrechtliche Vorgaben einhalten. Das Unternehmen entscheidet selbst, dem
Geheimhaltungsbedürfnis entsprechende
„Verantwortlicher“ ist die Stelle (natürlich oder juristische Person), die Geheimhaltungsmaßnahmen zu treffen.
IKT GmbH - über den Zweck der Datenverarbeitung und
- die Mittel der Datenverarbeitung IKT GmbH
allein oder gemeinsam mit anderen entscheidet.
Betroffene Personen können bei Verletzung ihrer Rechte Schadensersatz- Rechtsinhaber und Rechtsinhaberinnen können ggü. rechtswidriger
und Unterlassungsansprüche geltend machen. Aufsichtsbehörden können Erlangung und Offenlegung Unterlassungs- und Schadensersatzansprüche
bei Datenschutzverstößen Geldbußen verhängen. geltend machen.
Das Unternehmen ist bei der Kommunikationsgestaltung rechtlich verpflichtet Bereits die Definition als Geschäftsgeheimnis setzt voraus, dass angemessene
ein angemessenes Datenschutzniveau umzusetzen. „Angemessen“ bezieht Geheimhaltungsmaßnahmen ergriffen wurden. Ein hohes Schutzniveau des
sich stets auf die mit der Verarbeitung personenbezogener Daten verbundenen Messengerdienstes wirkt sich somit nicht nur positiv im Hinblick auf die daten-
Folge
Risiken für die Rechte und Freiheiten der betroffenen Personen. schutzrechtliche Bewertung aus, sondern sichert Antonia gleichzeitig die
Möglichkeit, gegen Verletzungen ihrer Rechte als Inhaberin von Geschäftsge-
heimnissen rechtlich vorzugehen.
1Möglicher Entscheidungsweg (schematisch):
Datensicherheit Drittstaatentransfer
Betriebsmodus
Transparenz
Rechtsgrundlage
Betroffenenrechte
On-Premise
SaaS
Einsatzzweck
Datenminimierung
Datenmanagement
intern
bedingungen
Nutzungs-
extern intern
Dauer der extern
Kosten Funktionen
Nutzung
Antonia steht vor dem dargestellten Entscheidungsprozess, der ihr bei der
Recherche und im Gespräch mit verschiedenen Anbietern als Antonia ist vor allem wichtig, einen Messengerdienst zu
Gedächtnisstütze hilft. Die einzelnen Aspekte werden im folgenden verwenden, der ihr Risiko bzgl. Sanktionen minimiert. Denn
erläutert. sie weiß, dass Bußgelder bis zu 4 % des weltweiten Jahres-
umsatzes oder 20 Mio. € verhängt werden können und es in
Die Art der Bereitstellung sowie der Einsatzzweck (Kommunikationswege) der Vergangenheit bereits zu Strafen in Millionenhöhe kam.
haben dabei unmittelbar Einfluss auf die datenschutzrechtlichen Sie sorgt sich zudem, dass ihrem Unternehmen Daten-
Anforderungen, die die IKT GmbH als datenschutzrechtlich schutzverstöße ihrer Beschäftigten zugerechnet werden,
Verantwortlicher entsprechend berücksichtigen muss. Ihre Möglichkeit wenn sie die Nutzung datenschutzwidriger Dienste erlau-
Datenschutzprinzipien effektiv umzusetzen, hängt entscheidend davon
ben oder dulden würde.
ab, welche Funktionen der gewählte Dienst bereitstellt.
3Die einzelnen
Kommunikation: intern (nur innerbetrieblich) intern & extern Bausteine sind
unterschiedlich
Fragen kombinierbar.
im Installationsumgebung: Private Endgeräte (App) Dienstgeräte (App) Client für Browser
Das kann die
Vorfeld Komplexität
erhöhen oder
Betriebsart: SaaS / Online-Dienst On-Premise
senken!
Es besteht die Pflicht einen
geeigneten Dienstanbieter
auszuwählen! Betriebsintern:
Was Unterstützung bei Datenschutzpflichten,
AV-Vertrag:
geregelt Datenverarbeitung nur zu Zwecken des Auftraggebers
werden ggf. individuelle oder
oder kollektive
muss
Gemeinsame Dienst verfolgt eigene Zwecke; erfordert Zuständigkeits- Betriebsvereinbarung/
1. Fragen im Vorfeld: Betriebsmodus
Verantwortlichkeit: regel, wer welche Datenschutzpflichten erfüllt interne Richtlinien
Technische
Kompetenz
Prüfung AV-
Vertrag
On-Premise SaaS Online-Dienste
Bei Erwerb einer Softwarelizenz Bei der Auftragsverarbeitung (AV) wird der Bei gemeinsam Verantwortlichen
zum Eigenbetrieb trifft den Dienst als „verlängerter Arm“ des für die gestaltet der Dienstanbieter seine Leistung
Umsetzung
Softwarehersteller keine Pflicht zur Verarbeitung Verantwortlichen tätig. sehr eigenständig und/oder verfolgt eigene
Einhaltung des Datenschutzrechts. Verarbeitungszwecke.
Funktionen zur Umsetzung der Der AV-Vertrag muss die Pflichten des Vereinbarung muss umfassende und
Datenschutzpflichten können aber in Auftragnehmers zur Unterstützung bei der genaue Regelung der jeweiligen
Garantien einem Lizenzvertrag vereinbart Umsetzung der Datenschutzpflichten sowie Verantwortlichkeiten beinhalten. Modell
werden. Kontroll- und Weisungsrechte des steht in Widerspruch zum Grundsatz der
Auftraggebers regeln. Datenminimierung.
Das Unternehmen ist allein Das Unternehmen bleibt allein Datenübermittlungen an den Messenger-
Verantwortlicher, sollte über Verantwortlicher, benötigt aber keine dienst bedürfen einer eigenen Rechts-
Folgen grundlage, zusätzlich ist das Tele-
ausreichend technische Expertise eigene Rechtsgrundlage für die AV. Sollte
verfügen. AV-Vertrag rechtlich genau prüfen. kommunikationsrecht zu beachten.
4AV-Musterverträge sollten sorgfältig geprüft werden!
Mit Anbieter A müsste statt einem AV-Vertrag eine Vereinbarung über die
Antonia tendiert dazu, eine SaaS-Lösung zu verwen- gemeinsame Verantwortung getroffen werden, deren wesentlicher Inhalt den
SaaS
SaaS den, da ihr keine eigene Infrastruktur zur Verfügung betroffenen Personen zur Verfügung zu stellen ist.
steht und sie davon ausgeht, dass ihre Beschäftigten
so eine niedrigere „Einstiegsschwelle“ haben, wenn Für den Messengerdienst kann zusätzlich als öffentlich zugänglicher
keine aufwendige Implementierung und Wartung elektronischer Kommunikationsdienst das Telekommunikationsrecht
(abgesehen von Updates) für den Dienst nötig sind. gelten. Dann müssen zusätzliche Aspekte zum Schutz des Fernmelde-
geheimnisses, der Verarbeitung zum Datenverkehr erforderlicher Daten
(Verkehrsdaten) sowie der Verarbeitung von Standortdaten beachtet
werden.
Anbieter A Anbieter B
! Dienst behält sich vor das Angebot nach eigenem Ermessen ☐ Dienst verfolgt keine eigenen Verarbeitungszwecke /
1. Fragen im Vorfeld: Betriebsmodus
zu erweitern / einzuschränken Zwecke Dritter
! Verarbeitung personenbezogener Daten erfolgt zu ☐ Die Datenverarbeitung geht nicht über das zur Erfüllung der
rechtmäßigen Geschäftsvorgängen im Zusammenhang mit der AV-Pflichten notwendige Maß hinaus
Bereitstellung der Dienste (z. B. zur Verbesserung des eigenen ☐ Dienst unterwirft sich Weisungen des Auftraggebers
Angebots)
☐ Einbindung von Subunternehmen nur mit Zustimmung des
! Dienst informiert nur, sofern weitere Unterauftragnehmer Auftraggebers
eingebunden werden (keine Zustimmungspflicht)
☐ Keine ungenehmigte Offenlegung von personenbezogenen
! Der Anbieter weist auf potenzielle Datenherausgabe- Daten ggü. Dritten
pflichten ggü. Behörden eines Drittlands hin, welche im
Widerspruch zu EU-Recht stehen könnten ☐ Verschwiegenheitsvereinbarung liegt vor
! Pflichten unter Vorbehalten z. B. anderer Sonderregelungen ☐ Dienst bietet Garantien / Zusagen für technische und
(mit intransparentem / widersprüchlichem Inhalt) organisatorische Schutzmaßnahmen
Keine Auftragsverarbeitung Auftragsverarbeitung
! Wird im Fall einer gemeinsamen Verantwortlichkeit
ein AV-Vertrag geschlossen, liegt hierin bereits der ! In jedem Fall muss der für die Verarbeitung
Verantwortliche (das Unternehmen) für die Einhaltung
erste Datenschutzverstoß! der Datenschutzpflichten Sorge tragen!
5Um das erforderliche Datenschutz- und Geheimhaltungsniveau zu bestimmen,
Antonia möchte, dass ihre Beschäftigten den teilt sie alle potenziell betroffenen Daten in Schutzklassen ein. Sollen rechts-
Messengerdienst sowohl intern als auch extern verbindliche Dokumente wie Geschäfts- und Handelsbriefe (z. B. Aufträge, Rech-
nutzen können. Eine Nutzung des Dienstes soll nungen etc.) mit externen Geschäftskontakten ausgetauscht werden? Dann
sowohl auf privaten Smartphones möglich sein, könnte ein professionelles Datenmanagement erforderlich werden, was sich im
aber auch auf dem Dienstlaptop. Funktionsumfang widerspiegelt. Fokussiert sie hingegen auf den informellen
und/oder privaten Austausch, steht eher die Vertraulichkeit im Vordergrund.
Besondere Kategorien personenbezogener Daten
personenbezogene Daten
Für Existenz / Ansehen (gesellschaftliche Stellung, wirtschaft-
liche Verhältnisse) relevante personenbezogene Daten
intern extern
Frei zugängliche personenbezogene Daten
Beschäftigtendaten
Pseudonymisierte Daten
Schutzbedarf
2. Fragen im Vorfeld: Einsatzzweck
Daten Dritter Anonymisierte Daten
geheimnisse
Geschäftsgeheimnisse?
Geschäfts-
„Kronjuwelen“:
Geheimnisse, deren Strategisch
Sonstige
Offenlegung existenz- wichtige
Besondere Kategorien? schützenswerte,
bedrohend ist Informationen
sensible Daten
Private
Dienstgeräte
Endgeräte Risiken
Anordnung der
Messengerdienstnutzung Bei den Kosten eines Diensts
ist zu beachten: Maßgeblich
Bereitstellung für freiwillige ist der Stand der Technik, Implementierungs- Umfang
Nutzung Unterschreitungen werden kosten Datenverarbeitung
kaum allein mit dem Verweis
Duldung Messengerdienst-
auf höhere Kosten begründ-
Nutzung im Betrieb
bar sein!
Hoher Schutzbedarf
Stand der Technik
6Nachdem sie sich entschieden hat, den Dienst sowohl für die Einwilligungen müssen freiwillig erfolgen, d. h. jederzeit ohne Nachteil
interne als auch externe Kommunikation einzusetzen, braucht verweigert oder widerrufen werden können. Werden Personen von
sie eine Rechtsgrundlage für die mit dem Dienst verbundene Kommunikationsforen ausgeschlossen („Gruppenzwang“) oder besteht
Verarbeitung personenbezogener Daten. unmittelbarer Druck durch den Arbeitgeber (Weisungen), wäre eine
Einwilligung kaum freiwillig. Zudem sollte die Nutzungsmöglichkeit
Antonia weiß, dass Einwilligungen im Beschäftigtenkontext
kritisch sein können. Die wichtigsten Punkte, die sie beachten eines Dienstes keinesfalls an die Erteilung einer Einwilligung geknüpft
muss, sind Freiwilligkeit, Informiertheit, Bestimmtheit, werden („Kopplungsverbot“). Daraus folgt, dass Einwilligungen im
Widerrufbarkeit sowie Nachweisbarkeit der Messenger- und Unternehmenskontext zwar möglich sind, sich aber nur
Einwilligungserklärung. auf optional bereitzustellende Daten oder optionale Funktionen
beziehen sollten.
DSGVO / BDSG TTDSG
Beschäftigte
Verkehrsdaten
Beschäftigungsverhältnis
Entgeltberechnung
Einwilligung Kollektivvereinbarung
3. Rechtsgrundlage
Abwendung Störungen /
Missbrauch
Beispiele für Sanktionen bei
Vertrag
Verstößen:
Rechtliche Verpflichtung
Standortdaten 10 Mio € Bußgeld für
unzulässige
Berechtigtes Interesse Videoüberwachung von
Einwilligung Beschäftigen [1]
Externe
35 Mio € Bußgeld für
DSGVO: Datenschutz-Grundverordnung Ausspähen von
BDSG: Bundesdatenschutzgesetz (hier: § 26 BDSG zur Datenverarbeitung im Beschäftigungsverhältnis) Beschäftigten [2]
TTDSG: Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien
7Jede Verarbeitung personenbezogener Daten muss auf eine Beispiel-Sonderfälle: besondere
Rechtsgrundlage gestützt werden – wobei auch mehrere Kategorien personenbezogener Daten,
nebeneinander bestehen/verwendet werden können: Telekommunikationsdaten nach
TTDSG (bei öffentlich zugänglichen
Zu bedenken: Ist die Lösung Telekommunikationsdiensten)
geeignet, Beschäftigte zu
überwachen, muss der
intern Betriebsrat zustimmen! extern
Zweck Beschäftigungsverhältnis Vertrag
☐ Die Datenverarbeitung ist für die Begründung, Durchführung oder Bei externen Kommunikationskontakten kann es sich um Beschäftigte
Beendigung des Beschäftigungsverhältnisses erforderlich, wenn anderer Unternehmen oder Privatpersonen handeln. Ein Vertrag /
☐ Funktionen geeignet sind, beschriebene Zwecke zu erfüllen, vorvertragliche Maßnahmen legitimieren die Datenverarbeitung, sofern
☐ keine datenschutzfreundlicheren Alternativen bestehen, ☐ der Vertrag mit der betroffenen Person selbst geschlossen wird
☐ und Risiken in angemessenem Verhältnis zum verfolgten ☐ und die Verarbeitung personenbezogener Daten zur
Zweck stehen. Vertragserfüllung erforderlich ist.
Einwilligung Einwilligung
☐ Die Beschäftigten können in die Datenverarbeitung einwilligen, sofern ☐ Es gelten die gleichen Wirksamkeitsvoraussetzungen (siehe Kasten
die wie folgt geschieht: links), aber betroffene Personen können in die Datenverarbeitung
☐ informiert, für einen oder mehrere Verarbeitungszwecke, formfrei einwilligen. Der Verantwortliche muss die Einwilligung aber
☐ freiwillig (praktisch nur bei optionalen Daten/Vorgängen), nachweisen können.
☐ jederzeit ohne Nachteile widerrufbar,
☐ durch eine aktive Handlung, sowie
Rechtliche Verpflichtung
☐ elektronisch oder schriftlich.
☐ Eine rechtliche Verpflichtung kann eine Datenverarbeitung zwingend
3. Rechtsgrundlage
erforderlich machen, siehe Kasten links.
Rechtliche Verpflichtung
☐ Eine rechtliche Verpflichtung im Unionsrecht oder deutschen Recht
Berechtigtes Interesse
kann eine Datenverarbeitung zwingend erforderlich machen.
Im Unternehmenskontext sind oftmals einschlägig: ☐ Gerade bei Beschäftigten anderer Unternehmen besteht keine direkte
☐ Aufbewahrungspflichten von Handels- und Vertragsbeziehung mit der betroffenen Person, sodass auf die
Geschäftsbriefen (sowie vergleichbaren Dokumenten), Interessenabwägung zurückgegriffen werden muss:
☐ steuerrechtliche Nachweispflichten. ☐ Es besteht ein berechtigtes Interesse des Verantwortlichen
oder eines Dritten,
Kollektivvereinbarung ☐ die Datenverarbeitung ist erforderlich zur Umsetzung des
Interesses und
☐ Es wurde eine Betriebsvereinbarung mit dem Betriebsrat geschlossen. ☐ es überwiegenden keine schutzwürdigen Belange der
betroffenen Person. 8Die private Kommunikation soll zwar nicht über den Messengerdienst
erfolgen, Antonia geht aber davon aus, dass die Beschäftigten sich
trotzdem auch zu privaten Zwecken austauschen werden. Muss sie ein
Verbot verhängen und dies auch kontrollieren? Antonia entschließt sich, mehrere Kanäle
(Gruppen) mit unterschiedlichen
Vertraulichkeitsleveln einzurichten:
Bisher wurde Unternehmen oft empfohlen, die private Kommunikation über
Unternehmensinfrastruktur zu verbieten, da das Unternehmen sonst als
Telekommunikationsdienst eingeordnet werden könnte, womit zusätzliche
Pflichten verbunden wären*. Insbesondere wäre ein arbeitgeberseitiger Privatkommunikation:
Zugriff auf Kommunikationsinhalte der Beschäftigten ausgeschlossen. Arbeitgeberseitige
Datenzugriffe
Aus datenschutzrechtlicher Sicht hat die DSGVO Vorrang vor ausgeschlossen
telekommunikationsrechtlichen Spezialregeln, sofern es sich nicht um
öffentlich zugängliche elektronische Kommunikationsdienste handelt
(worunter mittlerweile auch Messenger fallen sollen). Für innerbetriebliche,
geschlossene Systeme gilt somit die DSGVO.
Kommunikation mit
externen Kunden:
Kontrollmöglichkeiten
durch leitende Angestellte
Sollte die private Nutzung vorsorglich
ausgeschlossen werden?
Informationsbereitstellung
gegenüber Privatpersonen
(ohne Antwortmöglichkeit
3. Rechtsgrundlage
Besteht Kenntnis über private Kommunikation und wird diese
und ohne Personenbezug)
geduldet, kann eine betriebliche Übung entstehen, dann muss sich
der Arbeitgeber so behandeln lassen, als wäre die Privatnutzung
erlaubt worden.
Besser ist klar zu regeln, bezüglich welcher Kanäle Vertraulichkeit
erwartet werden kann und auf welcher der Arbeitgeber bspw. aus
Compliance-Gründen zugreifen muss. Die Gestattung privater
Kommunikation kann hier ggf. an eine Einwilligung in klar
kommunizierte Zugriffsrechte geknüpft werden.
*Ab dem 01.12.2021 gilt in Deutschland das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG). 9Wer auf Transparenz nicht achtet, riskiert Sanktionen.
Um das mit der Datenverarbeitung durch den Messengerdienst verbundene
Außerdem benötigt Antonia als Verantwortliche ausrei-
Risiko korrekt einschätzen zu können, muss der Verantwortliche zudem
chend Informationen über Dienste, um Risikobewertungen
über so viel Informationen wie möglich zur technischen Funktionsweise
durchführen zu können. Hier sieht sie, welche Aspekte ihr
und dabei den technischen und organisatorischen Schutzmaßnahmen
behilflich sein können.
(TOMs) verfügen. Einige Anbieter beschreiben diese ausführlich. Zudem
geben Sicherheitsaudits und Prüfungen von dritter Seite Gewissheit, dass
Werbeversprechen tatsächlich umgesetzt werden. Sofern Außenstehende
Datenschutzerklärung
ungehinderten Zugriff auf den Quellcode haben, wenn dieser Open Source
und veröffentlicht ist, können diese jederzeit Sicherheitsüberprüfungen
Messenger-Apps sollten über Datenschutzerklärungen verfügen, die: durchführen.
☐ vor Installation der App und innerhalb der App jederzeit einsehbar ist,
☐ verständlich, vollständig, in deutscher Sprache ist,
☐ idealerweise nur den Messenger betreffend (nicht gleichzeitig Neben der Datenschutzerklärung sollten Interessenten wie Antonia auch
Webseite, Kontaktformulare etc.) und einen Blick in die Nutzungsbedingungen werfen. Diese machen meistens
☐ möglichst keine technischen Begriffe und rechtlichen Fachtermini deutlich, ob eine berufliche Nutzung möglich ist, oder das Dienstdesign
verwendet sowie kurz und prägnant gehalten ist. ausschließlich auf die Privatnutzung fokussiert. Bei Messengerdiensten für
den Privatgebrauch wird eine Nutzung zu Geschäfts- und Berufszwecken
oftmals sogar explizit ausgeschlossen. Wird ein Dienst trotzdem geschäftlich
genutzt, kann hierin ein Vertrags- und Urheberrechtsverstoß liegen, da die
Dokumentation TOMs Quellcode offen Einräumung der Softwarenutzungslizenzen zumeist an die Erfüllung der
Nutzungsbedingungen geknüpft ist.
Transparenzfördernd sind zudem:
☐ Dokumentation der Sicherheitseigenschaften und technischen
Schutzmaßnahmen (TOM),
☐ Sicherheitsaudits, Prüfungen von dritter Seite (ggf. Zertifikate,
Sicherheitsmeldungen wurden veröffentlicht),
☐ Quellcode ist öffentlich, aktuell und für Dritte reproduzierbar.
4. Transparenz
Risikobewertung (DSFA, Zertifikate)
Sofern ein hohes Risiko mit der Datenverarbeitung verbunden ist (z. B.
bei Standorttracking, Verarbeitung von Gesundheitsdaten etc.) muss eine
Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden, hier
können Dienstanbieter mit Muster-DSFA unterstützen. Beispiele für Sanktionen bei Verstößen:
50 Mio € wegen Intransparenz bei personalisierter Werbung [3]
Bei normalem/geringen Risiko ist keine DSFA erforderlich Folge: Pflicht
zur regelmäßig wiederholten Einschätzung des Risikos. 225 Mio € wegen Intransparenz zur Datenweitergabe an
Konzernmutter [4]
10Ausnahmen / Nicht anwendbar: Die DSGVO gewährt den betroffenen Personen bestimmte Rechte, über die diese
zunächst in der Regel im Rahmen der Datenschutzerklärung aufzuklären ist.
Urheberrechte, Geschäftsgeheimnisse)
Betroffene Person ist tatsächlich nicht
☐ Es muss eine Kontaktmöglichkeit zur Wahrnehmung dieser Rechte
Rechte Dritter (z. B. Persönlichkeits-,
Auskunft
bereitgestellt werden.
☐ Der Messengerdienstanbieter sollte dabei unterstützen.
Berichtigung
identifizierbar
Eine fehlende Unterstützung durch Dienstanbieter kann kritisch sein, wenn
das Unternehmen selbst keinen Zugriff auf die Server hat. Daher sollte ein
Verarbeitung bleibt Dienstleister gewählt werden, der Serviceleistungen mit anbietet.
Vergessenwerden/ erforderlich bspw.
Löschung/Sperrung für rechtliche
Verpflichtung ☐ Es ist möglich fristgerecht Auskunft zu erteilen über:
- die verarbeiteten personenbezogenen Daten und
Datenübertrag- Keine Einwilligung / - die Kontextinformationen (Zweck, Kategorien, Empfänger, etc.)
barkeit kein Vertrag sowie eine Kopie bereitzustellen,
☐ ohne Rechte Dritter zu verletzen (ggf. mittels Schwärzungen).
Widerruf / Datenverarbeitung beruht nicht auf
Die Tatsache, dass die per Messengerdienst ausgetauschten Daten den
Widerspruch Einwilligung / Interessenabwägung
Kommunikationsbeteiligten bekannt sind, beschränkt nicht deren Recht
auf Auskunft, wozu grundsätzlich auch eine Kopie der personenbezo-
Entscheidung entfaltet gegenüber genen Daten zählt.
Automatisierte
betroffener Person keine rechtliche
Einzelfall-
Wirkung oder beeinträchtigt sie nicht in ☐ Unrichtige Daten werden berichtigt, indem:
entscheidung
ähnlicher Weise erheblich ☐ die betroffene Person selbstständig unrichtige /
unvollständige Daten berichtigen kann oder
☐ es ist sichergestellt, dass Berichtigungsersuchen fristgerecht
Werden beim Dienstanbieter selbst Daten nur flüchtig verarbeitet
umgesetzt werden.
und unmittelbar gelöscht, wird der Aufwand zur Umsetzung der
5. Betroffenenrechte
Betroffenenrechte regelmäßig geringer ausfallen.
Das Berichtigungsrecht dürfte sich vornehmlich auf die Profildaten
Im Hinblick auf die lokal archivierten Daten bzw. Daten auf beschränken, da es sich bei ausgetauschter Kommunikation regelmäßig
eigenen Endgeräten (welche der Arbeitgeberseite um historische und damit nicht „unrichtige“ Daten handelt.
zuzuordnen sind) muss Antonia allerdings ebenfalls die
Rechte der Betroffenen berücksichtigen. ☐ Individuelle Löschanfragen werden fristgerecht beantwortet.
☐ Eine Sperrung der Daten erfolgt, sofern bspw. über ein Lösch- /
Ein Recht auf Datenübertragbarkeit dürfte ggü. dem Arbeitgeber
Berichtigungsersuchen entschieden werden muss oder die betroffene
nicht bestehen. Bei automatisierten Entscheidungen im Einzelfall Person die Sperrung beantragt.
hat die betroffene Person mindestens das Recht auf eine ☐ Sofern Speicherfristen definiert sind, können Daten (ggf. automatisch)
menschliche Intervention. Bei gewöhnlicher Kommunikation via nach Ablauf gelöscht werden
Messenger dürfte dies nicht anwendbar sein.
Ein wesentliches Augenmerk sollte auf die Frage der Datenspeicherung
Beispiel für Sanktionen bei Verstößen: bzw. -löschung gelegt werden: diese ist von den Einsatzkontexten
14.5 Mio € wegen unzureichender Löschmöglichkeiten [5] abhängig. 11Datensicherheit Datenminimierung ☐ Ende-zu-Ende-Verschlüsselung Standardeinstellung
☐ Transportverschlüsselung (TLS 1.2 / TLS 1.3)
Verschlüsselung Einstellungen ☐ Verschlüsselung gespeicherter Daten Durchgängig ohne „Lücken“
Ende-zu-Ende
Schutz der Mit durchgängiger Verschlüsselung sind die Kommunikationsinhalte zumeist
Transport Metadaten bereits gut geschützt, bei der Nutzung von Messengerdiensten fallen allerdings
zahlreiche Metadaten an. Der beste Schutz der Metadaten besteht darin, diese
6. Datensicherheit, -minimierung und -management
Speicher Registrierungs-/ erst gar nicht zu erheben. Je nach Einsatzzweck kann es im unternehmerischen
Nutzungsdaten Kontext allerdings notwendig sein bspw. unter Klarnamen aufzutreten.
Speicherort,
Berechtigungen Eine einfache, nutzer-
Datenübermittlung ☐ Nutzung von IDs, Pseudonyme möglich freundliche Bedienbarkeit
(soweit im Unternehmenskontext sinnvoll)? von Privatsphäreneinstel-
Identität ! Klarname, E-Mail, Mobilnummer optional? lungen sichert zudem, dass
Standortdaten
diese auch von technischen
☐ Profilbilder optional, Blurring-Funktion
Laien umgesetzt werden
Verifikation !
Tracking ☐ Aktivitäts- / Anwesenheitsanzeigen, können. Insgesamt sollten
Kontakte
Tippstatus, Lesebestätigungen optional, alle relevanten Sicherheits-
mindestens deaktivierbar und Schutzmechanismen
Datenmanagement aber bereits voreingestellt
☐ Kein Adressbuchabgleich oder nur optional sein.
Endgeräte-
management als Hash mit unmittelbarer Löschung
Speicherung Vertraulichkeit
☐ Keine Form des Nutzertrackings Erfasst der Anbieter Standortdaten
oder führt Nutzertracking durch,
! erhöht sich das Risiko der
☐ Speicherung verschlüsselt / getrennt von anderen Sachverhalten
Datenverarbeitung!
☐ Verschlüsselte Backups auf internen Servern oder lokalen
Endgeräten?
☐ Datenzugriffsberechtigungen für Verarbeitungszwecke erforderlich?
Zur Sicherheit ist die lokale Speicherung einer Cloud-Lösung ☐ Ggf. Mobile-Device-Management
vorzuziehen. Insgesamt sollten alle Datenübertragungsvorgänge
transparent offengelegt und dem Sicherheitsbedürfnis
Werden App-Berechtigungen angefordert, sollte stets klar sein, zu welchem
entsprechend abgesichert sein.
Zweck und auf welche personenbezogene Daten zugegriffen werden kann.
☐ Identifikation Kontakte: Authentifizierung und Authentisierung Fordert eine App mehr Berechtigungen ein, als notwendig erscheinen, sollte
dies stets hellhörig machen.
Für eine sichere Kommunikation relevant ist zudem: Welche
Mechanismen bietet das System zum Nachweisen einer Identität
Beispiele für Sanktionen bei Verstößen:
ggü. Kommunikationskontakten? Erfolgt eine Prüfung dieses
Identitätsnachweises auf seine Authentizität? Welche Zugangsdaten 100.000 € gegen KMU wegen unzureichendem Schutz vor unbefugtem Zugriff [6]
erfordert die App und wie werden diese abgesichert?
35 Mio € wegen unerlaubtem Tracking [7] 12Als Drittstaat / Drittland werden Länder bezeichnet, die außerhalb der EU bzw. des
Antonia hat eine Liste mit für sie in Frage EWR liegen. Hierzu zählt bspw. auch die Schweiz, für diese – wie auch einige weitere
kommenden Messengerdiensten erstellt. Hierbei fällt Staaten – hat die EU-Kommission festgestellt, dass das Datenschutzniveau
ihr auf, dass viele Anbieter aus den USA kommen oder vergleichbar mit dem der EU ist. Somit bestehen hier derzeit keine Bedenken bei
mit US-amerikanischen Dienstleistern kooperieren. Datenübermittlungen in die Schweiz, und somit sind keine zusätzlichen
Teilweise wird auf die Einhaltung des „Privacy Bedingungen zu erfüllen. Anders ist dies mit den USA: Da insofern gern genutzte,
Shield“ bzw. „Datenschutzschildes“ verwiesen. rein rechtlich wirkende „Transfergarantien“ wie Standardvertragsklauseln nach
Dieser wurde allerdings vom EuGH für unwirksam US-amerikanischen Recht nicht durchsetzbar sind, bedarf es weiterer technischer
erklärt, daher ist sie verunsichert, ob sie diese Dienste Schutzmechanismen. Der Einsatz solcher Dienste ist daher durchaus komplex. Die
nun noch in ihrem Betrieb einsetzen darf. Verlagerung des Standorts der Datenverarbeitung in die EU löst kaum das Problem,
da US-Unternehmen nach amerikanischem Recht (vgl. Cloud Act) zu einem nach EU-
Recht rechtswidrigen Datentransfer in die USA verpflichtet sein können.
7. Datentransfer in Drittsaaten
EU / EWR Angemessenheitsbeschluss Rechtliche und technische Transfergarantien Ausnahmen?
Soll ein Transfer in ein unsicheres Drittland vermieden werden, gilt Trifft einer der links aufgeführten Punkte nicht zu, so muss mindestens eines
Folgendes zu beachten: der folgenden Kriterien erfüllt sein:
☐ Sitz des Anbieters in EU/EWR oder Land mit ☐ Transfergarantien, wie Standardvertragsklauseln, Binding Corporate
Angemessenheitsbeschluss der EU-Kommission Rules, etc. sofern im Drittland durchsetzbar (erfordert Analyse
Drittstaatenrecht) oder
☐ Serverstandorte, Ort der Datenverarbeitung sind in EU/EWR
oder Land mit Angemessenheitsbeschluss ☐ Transfergarantien mit technischen Zusatzmaßnahmen, z. B.:
☐ Datenzugriffe ausschließende Verschlüsselung
☐ Anbieter bindet keine Sub-Dienstleister aus Drittstaat ein ☐ Pseudonymisierung (ohne singling-out-Möglichkeit)
☐ Split / multi-party processing
☐ Anbieter und Dienstleister unterliegen keinen drittstaatlichen
Regeln, die Datentransfer in Drittstaat erfordern (z. B. Cloud Act) ☐ Ausnahmen, die Transfer rechtfertigen, z. B. ausdrückliche Einwilligung
(enge Voraussetzungen, kaum in Beschäftigungskontext realisierbar).
Liste mit Angemessenheitsbeschlüssen unter: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en) 13Antonia beschäftigt weniger als 250 Beschäftigte. Diese
befassen sich nur sehr gelegentlich mit der Die gezeigten Transparenz sowie Datensicherheits- und Datenmini-
Verarbeitung personenbezogener Daten. Jedoch sind mierungsmechanismen des gewählten Dienstes haben direkten
die Mitarbeiter hochspezialisiert und ihr Wissen Teil Einfluss auf den Umfang der Pflichten, die das Unternehmen nun bei
8. Dokumentation und unternehmensinterne Organisation
des Wertes des Unternehmens. der praktischen Einführung des Messengerdienstes treffen. Je mehr
Punkte erfüllt wurden, desto niedriger ist das Risiko und desto leichter
fallen Dokumentations-, Kontroll- und Organisationsanforderungen.
Das Datenschutzniveau des Das Datenschutzniveau
Dienstes ist bereits sehr des Dienstes ist sehr Antonia hat einen betrieblichen Datenschutzbeauftragten,
hoch, Risiken für gering, Risiken für IT-Beauftragten und einen Betriebsrat in ihrem Unternehmen.
Betroffene gering Betroffene hoch Diese Rollen sind gegebenenfalls alle mit einzubeziehen!
Je mehr risikominimierende Aspekte bei der Entscheidungsfindung
nicht berücksichtigt werden, umso aufwändiger wird die interne
☐ Antonia muss aufgrund der ☐ Antonia benötigt ausreichend Organisation: Schulungen, Aufstellen interner Richtlinien
geringen Anzahl an Beschäftigten Information zur Erstellung eines zur Messengernutzung, ggfs. Betriebsvereinbarung und umso mehr
kein Verzeichnis von Verzeichnisses von Parteien müssen mit einbezogen werden. Zusätzlich müssen
Verarbeitungstätigkeiten Verarbeitungstätigkeiten. Aspekte bzgl. des Geheimnisschutzes berücksichtigt werden. Auch
erstellen. ☐ Sie benötigt zudem ausreichend hierfür sind interne Regelungen notwendig.
Information zur Durchführung
☐ Sie benötigt aber ausreichend einer Risikobewertung, diese
Information zur Durchführung der sollte sie dokumentieren und Rollen Instrumente
Risikobewertung, diese sollte sie regelmäßig wiederholen.
dokumentieren und regelmäßig ☐ Zudem muss sie eine
wiederholen. Datenschutz-Folgenabschätzung
durchführen. IT-Beauftragter Schulungen
☐ Sofern sie Einwilligungen ☐ Sofern sie Einwilligungen
einholt, stellt sie sicher, dass sie einholt, stellt sie sicher, dass sie
die Erklärungen nachweisen kann. die Erklärungen nachweisen kann.
Datenschutz-
Richtlinien
beauftragter
Der Messenger ermöglicht keine Der Messenger ermöglicht die
Überwachung der Beschäftigten. Überwachung der Beschäftigten
Eine Verhaltensregelung ist nicht und / oder es muss eine Betriebs-
Betriebsrat
erforderlich. Verhaltensregelung aufgestellt vereinbarung
werden.
Ob ein Messengerdienst zur Überwachung geeignet ist, hängt
davon ab, welche Zugriffsmöglichkeiten der Arbeitgeber hat und
ob diese eine Leistungs- und Verhaltenskontrolle ermöglichen.
Kein Mitbestimmungsrecht Mitbestimmungsrecht des So können bspw. Aktivitäts-/Anwesenheitsanzeigen, Lesebestä-
des Betriebsrats Betriebsrats tigungen oder Tippstatus zeigen, wann jemand welcher Arbeit
nachgeht und wie lange hierfür benötigt wird.
14Um ihr Risiko zu minimieren, entscheidet sich Antonia für eine datenschutzfreundliche Alternative, die so wenig Daten verarbeitet
wie möglich, um alle relevanten Funktionen für die Kommunikation im bzw. mit dem Unternehmen zu erfüllen, und zudem
personenbezogene Daten auf Dienstservern nur für kurze Zeit zwischenspeichert.
9. Auf einen Blick: Die acht Kardinalfehler im Datenschutz
Folgende wichtige Aspekte hat sie sich für die Umsetzung ihres Projekts gemerkt, welche sie auch beim Abschluss des AV-
Vertrags bedenken sollte.
Checkliste: Achtung, wenn beim geplanten Einsatz eines Messengerdienstes … es kann auf Sie als Verantwortlichen
einer der folgenden Punkte nicht erfüllt werden kann … negativ zurückfallen!
Rechenschaftspflicht: AV- Rechtmäßigkeit:
Keine Dokumentation zur Vertrag Unklar, auf welcher Rechtsgrundlage
Nachweiserbringung Datenverarbeitung beruht, keine
!
Unterscheidung erforderlicher und
optionaler Daten (Einwilligung)
Richtigkeit:
Keine Möglichkeit inkorrekte Daten zu Transparenz:
berichtigen (Betroffenenrechte) fehlende oder unzureichende
Datenschutzerklärung, fehlende
Mitwirkung des Dienstanbieters bei
Auskunftsersuchen
Integrität und Vertraulichkeit:
(Datensicherheit)
Keine lückenlose Verschlüsselung Zweckbindung:
Keine Möglichkeit zur Verifikation von Verfolgung eigener Zwecke durch
Kontakten Messengerdienstanbieter
Weiterverarbeitung zu anderen Zwecken
Speicherbegrenzung: Datenminimierung:
Keine Löschung nach Nutzungsende
Anfrage von nicht notwendigen Daten (z. B. Kontaktbuch), nicht notwendigen
Löschregeln nicht umsetzbar (unter Berücksichtigung
Datenzugriffsberechtigungen sowie fehlende Schutzmaßnahmen (z. B.
der geschäftlichen Aufbewahrungspflichten)
Datenübermittlung von Adressdaten in Klartext, Speicherung länger als erforderlich)
15Der Entscheidungsprozess (Zusammenfassung)
Betriebsmodus Rechtsgrundlage Transparenz Betroffenenrechte Datensicherheit Drittstaatentransfer
Verschlüsselung
Auskunft EU / EWR
Garantien? Speicherort,
On-Premise
Prüfung AV-Vertrag
Kompetenz
Technische
intern Datenübermittlung
Umsetzung? Zweck Angemessenheits-
Beschäftigungs- Berichtigung
Datenschutz- Authentisierung
verhältnis erklärung Mbeschluss
Folgen? Löschung /
Einwilligung Dokumentation Verifikation Rechtliche und
SaaS TOMs Sperrung Kontakte technische
Rechtliche (Vergessen- Transfergarantien
Verpflichtung Risikobewertung werden)
(ggf. DSFA,
Kollektiv- Zertifikate) Datenminimierung Ausnahmen?
Einsatzzweck vereinbarung Datenübertrag-
Beschäftigten-
daten barkeit? Einstellungen
Quellcode offen
Registrierungs-/
Daten Dritter Widerruf / Datenmanagement
Nutzungsdaten
Widerspruch?
extern extern
Geschäfts- Nutzungsbedingungen
geheimnisse Schutz der
Vertrag Menschliche Metadaten Speicherung
Besondere Intervention bei
Kategorien automatisierter
Einwilligung Berechtigungen
Einzelfall- Vertraulichkeit
Dienst- Private entscheidung
intern Rechtliche
geräte Endgeräte Verpflichtung Standortdaten
AGB / Lizenz-
Endgeräte-
Berechtigtes bestimmungen
Dauer der Interesse management
Kosten Funktionen Tracking
Nutzung
Antonia wählt einen Dienst
Für die zur Kommunikationsübermittlung Da der von ihr gewählte Dienst personenbezogene
aus Europa, welcher auch
erforderlichen Daten beruft sich Antonia v.a. Daten nur lokal speichert, muss Antonia Auskunfts-
keine Subunternehmer /
auf die Arbeits-/Verträge; für das Zeigen eines und Löschrechte im Hinblick auf die in Endgeräten
Dienstleister aus Drittstaaten
Profilbilds ihrer Beschäftigten holt sie gespeicherten Daten umsetzen. Die Definition
einsetzt.
zusätzlich Einwilligungen ein. bestimmter Gruppen unterstützt sie dabei.
Unrichtige Daten können die Dienstnutzenden selb- Zum Datenmanagement hat
ständig berichtigen sowie ihr Profilbild löschen. sie interne Richtlinien
Antonia muss als für die Verarbeitung Verantwort- erlassen, die sie mit Hilfe des
liche eine eigene Datenschutzerklärung mit den Der von Antonia gewählte Dienst übertrifft die Dienstes umsetzen kann.
Kontaktdaten der IKT GmbH und ihrem Sicherheitsgarantien aller anderen Dienste. Diese hat sie zuvor mit ihrem
Datenschutzbeauftragten erstellen und zugänglich Damit ist Antonia auf der sicheren Seite und Betriebsrat abgestimmt.
machen. Inhaltlich freut sie sich darüber, dass sie muss sich keine Gedanken über eigene
weitgehend die Erklärung des von ihr gewählten Sicherheitsvorkehrungen machen. Das hilft ihr
Messengerdienstes übernehmen kann. auch beim Schutz ihrer Geschäftsgeheimnisse.
16[1] Herausgeber
https://lfd.niedersachsen.de/startseite/infothek/press FZI Forschungszentrum Informatik
einformationen/lfd-niedersachsen-verhangt-bussgeld- Stiftung des bürgerlichen Rechts
uber-10-4-millionen-euro-gegen-notebooksbilliger-de-
Themenfeld Recht
196019.html
Haid-und-Neu-Str. 10−14
[2] 76131 Karlsruhe
https://datenschutz- Tel: +49 721 9654-0
hamburg.de/pressemitteilungen/2020/10/2020-10-01- Fax: +49 721 9654-909
h-m-verfahren
www.fzi.de
[3]
https://www.cnil.fr/en/cnils-restricted-committee- Veröffentlichung: November 2021
imposes-financial-penalty-50-million-euros-against- Version 1.0
google-llc
[4] Bilder
https://www.dataprotection.ie/en/news-media/press- Adobe Stock/ Jane Kelly (Titel)
releases/data-protection-commission-announces- Adobe Stock/ Imillian (Seite 10)
decision-whatsapp-inquiry
[5]
https://www.datenschutz-berlin.de/infothek-und-
service/pressemitteilungen
[6]
https://www.baden-
wuerttemberg.datenschutz.de/wp-
content/uploads/2020/01/35.-
T%C3%A4tigkeitsbericht-f%C3%BCr-den-
Datenschutz-Web.pdf
Diese Informationsbroschüre wurde von der Threema GmbH,
[7]
Schweiz, finanziell unterstützt, wobei die Verantwortung über
https://www.dsgvo-portal.de/dsgvo-bussgeld-gegen-
die Inhalte allein beim FZI lag. Sie gibt die Sichtweise der
Quellen
amazon-europe-core-2020-12-09-FR-772.php
Autor*innen wieder; eine Einflussnahme auf die Ergebnisse
durch den Auftraggeber erfolgte nicht.
17Sie können auch lesen
