Gastkommentar von Dr. Niels Beisinghoff, DataGuard
Messenger im Datenschutzvergleich
WhatsApp mag zwar der meistgenutzte Messenger sein – zur Kommunikation im Unternehmen sollte er aber keinesfalls Verwendung finden. Auch die beliebte Alternative Telegram weist deutliche Schwachstellen im Datenschutz auf. Doch es gibt auch datenschutzkonforme Messenger-Dienste. Unternehmen können und sollten die Belegschaft per Dienstanweisung zur Verwendung sicherer Messenger verpflichten, wie Jurist Dr. Niels Beisinghoff von DataGuard im nachfolgenden Gastbeitrag erörtert.
Arbeitgeber in Deutschland und der gesamten Europäischen Union müssen ein angemessenes Niveau an Datenschutz gewährleisten, wie es die seit 2018 geltende Datenschutz-Grundverordnung (DSGVO) vorschreibt. Da bei der Kommunikation mit Instant Messengern fortwährend personenbezogene Daten ausgetauscht werden, muss man auch hier auf den Datenschutz achten. Das ist gar nicht immer leicht – vor allem dann nicht, wenn die Daten auf Servern weltweit gespeichert sind.
Ein Beispiel aus der Praxis: Ein Arbeitgeber möchte WhatsApp als Kommunikationskanal für Krankmeldungen nutzen. Dabei werden persönliche Daten – hier über die krankheitsbedingte Abwesenheit von Angestellten – gesendet und auf Servern von WhatsApp gespeichert, über die der Arbeitgeber keinerlei Kontrolle hat. Er kann also beim besten Willen nicht mehr seinen Verpflichtungen zum Datenschutz nachkommen.
Vor diesem Hintergrund überrascht es nicht, dass deutsche Gerichte und auch Datenschutzbehörden bereits seit 2017 den Einsatz von WhatsApp zur vertraulichen Kommunikation als äußerst kritisch einstufen. Das Festnetztelefon mit Kupferkabel bot seinerzeit ein hohes Maß an Vertraulichkeit. Doch der moderne Büroalltag sieht anders aus. Am ehesten ist die Chat-Nachricht wohl mit der E-Mail zu vergleichen. Und hier zeigt sich: Ein guter Messenger ist einer unverschlüsselten E-Mail beim Datenschutz überlegen. Es gibt also keinen Grund, generell auf den Einsatz von Messengern als vertrauliches Kommunikationsmittel zu verzichten.
Aus Sicht des Datenschützers sind die wichtigsten Kriterien für einen guten Messenger schnell formuliert:
1. Standort des Servers: Der Server sollte sich in der EU oder einem anderen Staat des Europäischen Wirtschaftsraums (EWR) – also Norwegen, Island oder Liechtenstein – befinden. Wichtig: Großbritannien ist nicht mehr Teil der EU und damit nicht mehr an die DSGVO gebunden.
2. Geschäftsmodell: Der Messenger sollte nicht über Werbung finanziert sein, die die versendeten Daten nutzt.
3. Verschlüsselung: Eine gute Ende-zu-Ende-Verschlüsselung sollte bei einem datenschutzkonformen Messenger Standard sein.
4. Adressdaten: Der Messenger sollte das lokale Adressbuch nicht auslesen.
5. Protokoll: Das verwendete Instant-Messaging-Protokoll sollte offen standardisiert sein.
6. Backup-Möglichkeit: Der Anwender sollte die Daten auf Wunsch auch lokal ohne Einschränkung speichern können, nicht nur in der Cloud.
Diese sechs Kriterien sind aus Sicht des Datenschutzes wichtig. Wir haben sie deshalb in unserem Test auch stark gewichtet. Daneben gibt es aber auch weitere Kriterien, die mit Blick auf eine vertrauliche Kommunikation von Bedeutung sind:
1. Abschaltung des Accounts: Das Konto sollte sich über die App löschen lassen.
2. Anzeige von Aktivitäten: Der Hinweis „Tippt gerade“ sollte sich abschalten lassen. Gleiches gilt für die Anzeige „Empfangen/Gelesen“.
- Messenger im Datenschutzvergleich
- Die Messenger-Apps im Detail
- Wechsel zu einem sicheren Messenger
Lesen Sie mehr zum Thema
