Kommunikation mittels Messenger-Diensten: Hinweise zum Risikomanagement nach DSGVO

Was liegt da näher, als diesen Weg der Kommunikation auch im geschäftlichen Bereich intern und extern zu verwenden. Der Einfachheit halber möchte man dort gerne auch die Nutzung der mobilen Geräte der Mitarbeiter zulassen („Bring your own device – BYOD“). Die DSGVO gebietet nun aber, dass auch dieser Kommunikationsweg unter Risikoaspekten bewertet wird, und dass die erforderlichen technischen und organisatorischen Maßnahmen ergriffen werden (Art. 32 Abs. 1 DSGVO).

Allgemeine Risiken bei der Nutzung von Messenger-Diensten

Bei jedem Kommunikationskanal ist zunächst das allgemeine Sende- und Empfangsrisiko zu bewerten. Wie kann ich sicherstellen, dass die Nachricht an den richtigen Empfänger gelangt? Sind die dafür verwendeten Kontaktdaten aktuell? Wie kann ich sichergehen, dass bei vertraulichen Nachrichten nur der vorgesehene Empfänger Zugang erhält? Ist mittels Verschlüsselung sichergestellt, dass die Nachricht nicht auf dem Transport abgefangen oder verändert werden kann? Und nicht zuletzt im geschäftlichen Umgang: Hat der Empfänger mir sein Einverständnis zum Kontakt auf diesem Weg gegeben?

Auch beim Empfang von Messenger-Nachrichten sind Risiken zu bewerten. Ist der Absender wirklich der, von dem ich es annehme? Dazu kommt das Risiko, schädliche Dateien zu empfangen. Darüber hinaus besteht dann noch das Risiko von Diebstahl, Abhandenkommen oder Zerstörung der mobilen Geräte.

Allgemeine Risiken von WhatsApp

Seit einigen Jahren bietet WhatsApp eine Ende-zu-Ende-Verschlüsselung an. Die genaue Systematik bleibt dabei jedoch intransparent. Ob und in welchem Maße Hintertüren eingebaut sind, ist nicht bekannt.

WhatsApp ist auch immer wieder durch Sicherheitslücken aufgefallen. So ist der Firma CheckPoint kürzlich der Nachweis gelungen, dass die Nachrichten auf dem Transport verfälscht werden können. Damit ist die Integrität der Nachrichten über WhatsApp nicht mehr gewahrt. Das alleine sollte schon als Argument reichen, die Nutzung dieses Dienstes im Unternehmen nicht mehr zuzulassen. Denn einer der häufigsten Cyber-Angriffe ist die Fälschung interner Unternehmenskommunikation (z. B. der „Fake-President-Fraud“).

WhatsApp und die Probleme mit den DSGVO-Pflichten

Eine der Pflichten des Verantwortlichen ist, vor der ersten Verarbeitung oder bei Bedarf den Betroffenen transparent zu informieren (Art. 13–15 DSGVO). Eine Weiterleitung an Dritte darf ohne Einwilligung nur im Rahmen des Verarbeitungszwecks erfolgen. Eine Weiterleitung in Drittländer nur, wenn dort ein anerkanntes Sicherheitsniveau vorliegt oder der Verantwortliche sehr anspruchsvolle Garantien vorweisen kann (Art. 45 und 46 DSGVO).

Nun werden aber von WhatsApp Daten über Nutzungsverhalten, Kontakte oder andere Informationen an Facebook übermittelt, ohne dass dies für den Nutzer nachvollziehbar oder überprüfbar ist. Der Verantwortliche kann so keine verlässliche und transparente Auskunft geben, welche Daten auf welche Weise und wie lange in diesem System verarbeitet werden.

Mit der Nutzung von WhatsApp werden Daten zwangsläufig an ein Drittland, nämlich die USA, übermittelt. Dort ist zwar der  Dienst im Rahmen des Privacy-Shield zertifiziert. Dieses Abkommen zwischen den USA und der EU steht jedoch vor dem Hintergrund von Verzögerungen in der Umsetzung durch die Trump-Regierung sehr dicht vor einer Kündigung durch die EU. Geeignete Garantien als Ersatz kann aber ein kleines bis mittleres Unternehmen in Deutschland alleine aus Kostengründen nicht erbringen. Spätestens dann wäre also die Nutzung von WhatsApp wegen der Übermittlung in ein unsicheres Drittland nicht mehr zulässig.

Beide Aspekte machen deutlich, dass der Verantwortliche bei der Nutzung von WhatsApp in der Kommunikation sehr schnell gegen die DSGVO verstößt – mit den bekannten Folgen.

Dabei kann die Frage offenbleiben, ob das Urteil des EuGH zu Facebook-Fanpages nicht auch auf die WhatsApp-Nutzung anzuwenden ist; also ob es hier eine gemeinsame Verantwortlichkeit von Unternehmen und Messenger-Dienst gibt. Die Konsequenzen (Pflichten nach Art. 26 DSGVO) würden ebenfalls eine Nutzung dieses Dienstes von selbst verbieten.

Fazit: Die Nutzung von WhatsApp im geschäftlichen Kontext bietet für den Verantwortlichen unkalkulierbare Risiken, die auch nicht durch geeignete Maßnahmen einzudämmen sind. Jeder Versuch, die Nutzung dieses Dienstes zu rechtfertigen, folgt Argumenten des Marketings oder der einfachen Betriebsabläufe. Gute Gründe des Datenschutzes können jedenfalls nicht aufgeboten werden.

Gibt es sichere Alternativen?

Vorweg: Der Aufkleber „DSGVO-konform“, den man manchen Messenger-Alternativen gibt, ist irreführend. „DSGVO-Konformität“ ergibt sich immer nur aus der richtigen Anwendung, nie aus dem Produkt.

Nun gibt es eine große Anzahl von Messenger-Diensten.  Sehr viele davon haben in Teilen die gleichen oder ähnliche Schwachstellen wie WhatsApp, einige bieten deutlich mehr Sicherheitsaspekte.

Allen ist jedoch eines gemeinsam: Im Vergleich haben sie kaum Nutzer. So wünschenswert eine sichere Alternative aus der Sicht des Verantwortlichen zu WhatsApp ist – dem privaten Nutzer dürfte dies auf deutsch gesagt ziemlich „schnuppe“ sein. Den privaten Nutzer interessiert lediglich die weite Verbreitung des Dienstes. Daher wird sich vermutlich aktuell keine dieser Alternativen gegen WhatsApp durchsetzen können. Das gilt zumindest so lange, bis ein neuer Anbieter noch ungeahnte Möglichkeiten bietet. Ob dieser dann aus Datenschutz-Sicht vollkommen sein wird, darf prinzipienbedingt bezweifelt werden.

Aber wenigstens der „Signal“-Messenger ist doch sicher, oder?

Von all den möglichen Alternativen wird der Signal-Messenger besonders für die Datensicherheit gelobt. Und es gibt viele Gründe, die für diese Aussage sprechen. Der Quellcode und die Verschlüsselungsverfahren sind öffentlich („Open-Source“), also für jedermann nachvollziehbar und damit transparent. Beim Anbieter werden Daten nur verschlüsselt angelegt und nicht an Dritte weitergeleitet. Weitere Sicherheitsmaßnahmen sollen die Integrität der Nachrichten ermöglichen.

Ein Upload von Kontaktdaten findet nur mit bestimmten Verschlüsselungsverfahren statt. Insofern landen auf den Servern von Signal nur anonymisierte oder pseudonymisierte Daten, was die Regeln der DSGVO in weiten Teilen ausschließen würde.

Daher wäre es auch kein Problem, dass sich die Signal-Server in Drittländern befinden. Tatsächlich gibt es hierzu in der Literatur verschiedene Auffassungen.

Auch der Signal-Messenger ist jedoch nicht immun gegen Angriffe. So wurde zuletzt gezeigt, dass in Nachrichten unerwünschter, schädlicher Code eingeschleust werden kann. Mit einem der nächsten Updates wurde diese Lücke offenbar geschlossen. Dennoch: Es vergeht zum einen Zeit zwischen Entdeckung der Sicherheitslücke und der Behebung. Zum anderen erfordert die Behebung ein konsequentes Update-Management. Erfahrungsgemäß ist das in der Praxis eine der Schwachstellen in der Unternehmens-IT-Infrastruktur. Nicht jedes Update wird zeitnah registriert und umgesetzt, nicht jedes Update lässt sich ohne Testphase sofort ausrollen.

Und wie oben gezeigt: Auch die perfekte Verschlüsselung entbindet den Verantwortlichen nicht von den Pflichten des Risikomanagements und der transparenten Informationen nach der DSGVO. Dazu kommen die angemessenen technischen und organisatorischen Maßnahmen, die im Umgang mit Messenger-Diensten zu beachten sind.

In jedem Fall setzt eine Kommunikation via Signal mit dem Kunden unabhängig von der DSGVO eine Einwilligung zur Kontaktaufnahme voraus (§ 7 UWG).

Zusammengefasst können die Risiken im Rahmen der unternehmensinternen Kommunikation mit dem Signal-Messenger gut kalkuliert und beschränkt werden. Für die externe Kommunikation sollte die Übermittlung sensibler Daten aus den genannten Gründen vermieden werden.

BYOD und LYOD

So wie die Nutzung von Messenger-Diensten scheint auch die Nutzung der mobilen Geräte der Mitarbeiter naheliegend und modern. „Bring your own device“ (BYOD) ist die Zauberformel. An das Management der IT-Infrastruktur stellt dies jedoch hohe Herausforderungen. Mit Citrix und anderen Anbietern gibt es zwar Lösungen für einen geschützten Arbeitsbereich im mobilen Endgerät. Dennoch ist zunächst zu prüfen, ob die erhöhten Kosten für Software und Administration in einem sinnvollen Verhältnis zum möglichen Ertrag stehen.

Trotz eines hohen Aufwands an Sicherheitsmaßnahmen kann bei der Nutzung der privaten Geräte nie ganz verhindert werden, dass entweder Schadenssoftware in das Firmennetz gelangt oder geschäftliche Daten in unberechtigte Hände geraten.

Aufgrund dieser Risiken ist es sehr wahrscheinlich, dass die Nutzung von BYOD eine Datenschutzfolgeabschätzung nach Art. 35 DSGVO erforderlich macht. Spätestens dann ist im Übrigen auch die Benennung eines Datenschutzbeauftragten zwingend (§ 38 Abs. 1 BDSG).

Bei der Alternative LYOD („Leave your own device“), bei der das Unternehmen den Arbeitnehmern mobile Geräte auch zur privaten Nutzung zur Verfügung stellt, sind die Risiken sicher leichter zu managen. Doch auch hier gilt ein höheres Datenschutzrisiko durch möglichen Verlust oder Zerstörung des mobilen Endgeräts. Zu beachten ist dabei auch, dass der Arbeitgeber durch die private Nutzung der Firmengeräte Gefahr läuft, als Telekommunikationsanbieter gem. § 3 Nr. 6 Telekommunikationsgesetz (TKG) zu gelten. Damit müssen neben dem Datenschutz auch die Besonderheiten des Fernmeldegeheimnisses (§ 88 TKG) beachtet werden.

Zusammenfassung

Mobile Endgeräte und Messenger-Dienste bergen ein hohes Datenschutz-Risiko für das verantwortliche Unternehmen. Obwohl die unbedarfte Nutzung aus Marketing-Gesichtspunkten verführerisch erscheint, ist jedem Unternehmen dringend zu empfehlen, im Risikomanagement äußerst umsichtig zu sein.