Während die Angst vor einem Hacker-Angriff und dem Verlust sensibler Firmendaten so manchem CIO schlaflose Nächte bereitet, spazieren Zigtausend Datensätze jeden Tag ungerührt aus dem Unternehmen – und zwar nicht durch die Firewall, sondern auf den Smartphones der Mitarbeiter.

Jeder Bürger hat das Recht, selbst zu entscheiden, wer welche Informationen über ihn erhält. Dieser Grundsatz der informellen Selbstbestimmung ist zwar alles andere als neu. Aber wenn am 25. Mai 2018 die EU-Datenschutzgrundverordnung in Kraft tritt, wird er stärker denn je in das öffentliche Bewusstsein rücken. „Das Recht auf informelle Selbstbestimmung hat bislang oft einen eher theoretischen Charakter: Denn wie soll ein Bürger sein Recht einfordern, wenn er gar nicht wissen kann, welches Unternehmen Daten von ihm gespeichert hat?“, fragt Datenschutzspezialist René Rautenberg. Rautenberg ist bundesweit als externer Datenschutzbeauftragter tätig und berät in dieser Funktion Unternehmen in allen Belangen rund um die Einhaltung der aktuellen Datenschutzvorgaben und -richtlinien.

Genau hier setzt die EU-Datenschutzgrundverordnung an. Neue Transparenz- und Informationspflichten für Unternehmen sollen zu einem deutlich besseren Schutz personenbezogener Daten führen. Ein Beispiel hierfür ist das Informationsrecht: Betroffene müssen demnach schon bei der Datenerhebung über Zweck, Rechtsgrundlage, Dauer der Speicherung und Beschwerdemöglichkeiten informiert werden. Parallel zur Ausweitung der Unternehmenspflichten verschärft die Datenschutzverordnung die Bußgelder und Sanktionen, mit denen sie mögliche Verstöße ahndet. Geldbußen können künftig bis zu 20 Millionen Euro oder – je nachdem, welches der höhere Wert ist – bis zu vier Prozent des weltweit erzielten Jahresumsatzes betragen.

Sensibilität für Datenschutzverstöße steigt

Drohen also bald drakonische Strafen schon für kleinste Verstöße? Rautenberg glaubt das nicht. Seiner Meinung nach soll die Neuregelung sicherstellen, dass es bei wiederholt massiven Verstößen auch gegen große Konzerne ein wirkungsvolles Sanktionsinstrument gibt. Die Herausforderung, die diese neue Regelung für Unternehmen bedeutet, sieht der Datenschutzspezialist nicht in den hohen Strafen für Unternehmen, sondern in der erhöhten Sensibilität seitens der Betroffenen. Wenn Firmen die Nutzer bald bei jeder Newsletter-Anmeldung über die Verarbeitung ihrer Daten in Kenntnis setzen und über die zuständige Beschwerdestelle informieren müssen, wird das Bewusstsein der Anwender für die eigenen Rechte – und die Möglichkeiten, diese einzufordern – aller Voraussicht nach deutlich geschärft.

Unternehmen tun also gut daran, sich zu rüsten und ihre IT-Infrastruktur, Prozesse und Datenschutzrichtlinien penibel auf etwaige Verstöße zu prüfen. Denn Gefahr droht von vielen Seiten, zum Beispiel von den unzähligen Smartphones der Mitarbeiter. So sind auf nahezu jedem Smartphone diverse Apps installiert, die Zugriff auf das vollständige Adressbuch verlangen. Wo im privaten Umfeld schon Vorsicht geboten ist, wird es gefährlich, wenn Unternehmenskontakte auf dem Mobiltelefon des Mitarbeiters gespeichert sind. Angestellte, die zum Beispiel ihre Outlook-Kontakte synchronisieren oder auch einzelne Kontakte manuell übertragen, begehen einen massiven Verstoß gegen das Datenschutzgesetz, wenn sie gleichzeitig einen Messenger wie Whatsapp auf ihrem Telefon installiert haben.

So kommt das Bayerische Landesamt für Datenschutzaufsicht zu dem Schluss, dass man Whatsapp auf dienstlichen Geräten gleich aus mehreren Gründen nicht datenschutzkonform einsetzen kann. „Die Datenschutzbehörde beanstandet nicht nur, dass das komplette Adressbuch hochgeladen wird, sondern auch, dass der Server in den USA steht“, erläutert Rautenberg. So sei grundsätzlich von einer unbefugten Erhebung und Verarbeitung personenbezogener Daten auszugehen.

Risikofaktoren BYOD und Bluetooth

Kann das Unternehmen bei dienstlichen Telefonen noch direkten Einfluss auf die installierbaren Apps nehmen, gibt es bei Konzepten wie Bring Your Own Device praktisch keine Möglichkeit, den fremden Zugriff auf Unternehmenskontakte durch Apps von Drittanbietern zu unterbinden. „Sogar wenn es einem Unternehmen gelänge, alle Apps, die das Adressbuch des Nutzers auslesen, konsequent zu blocken, droht mit dem Auto direkt die nächste Ausspähgefahr“, hebt Rautenberg hervor. Denn Autos entwickeln sich mit Bluetooth, WLAN und NFC zwar immer mehr zur digitalen Schnittstelle – aber in die Sicherheit dieser Schnittstellen investieren die Hersteller bislang kaum.

Macht sich ein Unternehmen bewusst, dass alle Daten, die sich erst einmal auf dem Telefon befinden, praktisch nicht mehr wirkungsvoll schützen lassen, dann ist die logische Konsequenz, die Daten erst gar nicht auf das Smartphone zu übertragen. Die Crux: Natürlich ist es im Interesse der Unternehmen, dass Mitarbeiter auch mobil – ob auf dem Weg zur Arbeit oder beim Kunden – auf Firmenkontakte zugreifen können.

Für die dienstliche Kommunikation sollten Unternehmen einen sicheren Chat-Kanal für die Mitarbeiter schaffen. Bild: C4B

Diese Quadratur des Kreises – Kontaktdaten verfügbar zu machen, ohne sie auf dem Endgerät zu speichern – gelingt über einen zentralen Verzeichnisdienst. Über diesen lassen sich die Kontaktdaten aus verschiedensten Anwendungen wie beispielsweise Outlook/Notes, ERP-, CRM- oder Buchhaltungssystemen bündeln. Optimal geeignet hierfür ist ein LDAP-Server, vergleichbar dem Active Directory (AD). Da das AD allerdings ausschließlich Mitarbeiterinformationen beinhaltet und keine Daten aus externen Quellen indizieren kann, muss man einen zusätzlichen Verzeichnisdienst aufbauen. Zugriffssteuerung und Berechtigungen für diesen zentralen Dienst lassen sich im Weiteren dennoch über das Active Directory steuern.

Der Vorteil von LDAP: Praktisch alle Anwendungen und Clients können auf LDAP zugreifen. Die Kontaktdaten lassen sich also nicht nur von unterschiedlichsten PC-Clients wie Skype for Business, Jabber oder Xphone abrufen, sondern ebenso vom Festnetz- oder Mobiltelefon. Dabei übernimmt der LDAP-Server als zwischengeschaltete Instanz die Funktion eines Gatekeepers, weil er den direkten Zugriff auf die sensiblen Originaldaten verhindert. So können Unternehmen gewährleisten, dass Mitarbeiter jederzeit Zugriff auf die aktuellsten Kontaktdaten haben, und gleichzeitig sicherstellen, dass diese Daten weder von einer App noch über eine Bluetooth-Anbindung ausgelesen werden.

Sichere Chat-Alternative schaffen

Ein zentrales Verzeichnis aller Kontakte, das auf dem Unternehmens-Server gespeichert und durch mehrere Firewalls solide geschützt ist, löst einen wichtigen Teil des Problems, aber dennoch nur einen Teil. „Aus datenschutzrechtlicher Perspektive sind nicht nur die Kontaktdaten problematisch“, erklärt Rautenberg, „sondern vor allem natürlich auch die Inhalte, die man über Messenger wie Whatsapp verschickt.“ Als Beispiel nennt Rautenberg Krankenpflegedienste: „Hier haben wir durchaus schon erlebt, dass Mitarbeiter in der mobilen Pflege Patienteninformationen via Whatsapp an die Zentrale senden, die diese Daten dann ins System einpflegt.“ Auch medizinische Unterlagen versenden Anwender regelmäßig via Whatsapp.

Natürlich können Unternehmen in ihren Richtlinien verbieten, dass Mitarbeiter Betriebsinterna oder Informationen, die dem Datenschutz unterliegen, via Whatsapp verschicken. Aber was, wenn genau dieser Austausch zwischen Mitarbeitern im Büro und Mitarbeitern im Außendienst seitens des Unternehmens gewollt ist? In diesem Fall sollte das Unternehmen einen sicheren Chat-Kanal schaffen, der ausschließlich für die dienstliche Kommunikation gedacht ist. Eine entsprechende Alternative bieten Unified-Communications-Lösungen, deren Funktionsumfang sowohl das Feature Chat als auch eine Smartphone-App beinhalten. Vorausgesetzt, die Kommunikation wird gemäß aktuellen Verschlüsselungsverfahren ge-schützt, kann so ein sicherer Austausch zwischen Zentrale und mobilen Mitarbeitern stattfinden. Gleichzeitig kann das Unternehmen dadurch gewährleisten, dass die vertraulichen Inhalte ausschließlich auf heimischen Servern gespeichert sind, die den deutschen beziehungsweise europäischen Datenschutzrichtlinien unterliegen.

Im Idealfall lassen sich beide datenschutzrelevanten Faktoren – die Sicherheit des Chat-Contents ebenso wie die Integrität der Kontaktdaten – verbinden. Zum Beispiel über eine Kommunikations-App, die sowohl eine Chat-Funktion bereitstellt als auch einen Zugriff auf die Server-seitig gespeicherten Unternehmens-Kontakte ermöglicht.

Andreas Peter ist Business Development Manager und Datenschutz-Koordinator bei C4B (Com For Business) ().