Rechtfertigt die Notwendigkeit das Risiko? – WhatsApp & Co. im Unternehmen

13.09.2019

Eine SMS zu schreiben war, in Gedenken an die erstaunlich robusten Nokia-Mobiltelefone, ein mühseligen, lästiges und vor allem kostenpflichtiges Unterfangen, doch verflogen ist die Bürde der SMS und ersetzt durch Messengerdienste. Sie beherrschen unseren Alltag und haben die Welt der Kommunikation, nicht nur im privaten, sondern auch im betrieblichen Kontext, im Blitzmarsch eingenommen, schnell, einfach, unkompliziert und kostenlos.

Dass diese Wandlungen aus den Augen des Datenschützers eher kritisch und schwerlich duldend gesehen werden, ist allseits bekannt. Dennoch zeichnen sich auch hier neuere Entwicklungen ab, die einen Bericht über den aktuellen Stand wert sind.

Neben dem privaten und betrieblichen Kontext, scheinen Messengerdienste auch im politischen Umfeld eine erstarkende Stellung einzunehmen.

So veröffentlichten Online-Medien, Meldungen aus dem Europäischen Parlament, demzufolge zwei Abgeordnete der Linksfraktion bei der Haustechnik die Installation des Messengers „Signal“ als Desktop-Version beantragten, um binnen Sitzungen miteinander kommunizieren zu können. Signal arbeitet mit implementierten Algorithmen zur Verschlüsselung und der Ausgestaltung als Open-Source, wodurch es als besonders sicher eingestuft wird. Ferner flossen auch die Erkenntnis von Whistleblower Edward Snowden sowie WhatsApp-Gründer Brian Acton ins Signal Konzept ein.

Überraschenderweise wurde der Antrag jedoch abgelehnt, weil Signal keine Standardsoftware des EU-Parlaments sei und hierfür zuvörderst ausgiebige Tests notwendig wären. Hingegen seien die zwei Abgeordneten auf die Web-Applikation von WhatsApp verwiesen worden, was umso erstaunlicher ist.

Angesichts der nicht enden wollenden Skandale um Facebook und dessen Vernetzung mit anderen Messengern sowie der evidenten Gefahr des Zugriffs seitens US-Behörden, ist ein solcher Verweis wohl nicht nur verfehlt, sondern auch nicht zeitgemäß. Schließlich handelt es sich hier um sensible Daten aus dem politischen Bereich. Bei restriktiver, stringenter Auslegung, mutet derartige Kommunikation über einen Messenger gar fahrlässig an.

Die Annahme der Fahrlässigkeit liegt hier nicht fern. Erst Anfang des Jahres bestand bei WhatsApp eine gravierende Sicherheitslücke, die Schadsoftware aufs Endgerät aufspielen konnte. Eindringen konnte die Malware über ein Exploit der GIF-Bibliothek, sodass nach dem Empfangen des GIFs der Angreifer weitreichende Zugriffsrechte auf Daten des Nutzers hatte. Ein jüngeres Beispiel liefert tatsächlich Signal, dass Ende September ein schwerwiegendes Sicherheitsleck in der Anrufen-Funktion entdeckt hat, dass dem Angreifer ermöglichte, den Anruf ohne Kenntnis des Angerufenen entgegen zu nehmen, wodurch man anonym abgehört werden konnte.

Daher sollte, auch wenn sich die Bequemlichkeiten und die Simplifizierung anbieten, der Umgang mit Messengerdienste betreffend sensibler Daten um Betriebsumfeld wohl durchdacht sein. Nicht immer rechtfertigt die Notwendigkeit das Risiko und nicht immer ist das Bedürfnis an sich schon die Notwendigkeit. Letzten Endes überwiegen die Risiken, einmal bewusst geworden, deutlich. Denn neben der bekannten Möglichkeiten und Zugriffsrechte von US-Behörden, stellen sich noch weitere Hürden.

Im betrieblichen Kontext ist zum Beispiel auf das Recht auf informationelle Selbstbestimmung eines jeden Mitarbeiters zu achten. Dadurch kann niemand gezwungen werden, über personenbezogene Daten auf Messengern zu kommunizieren. Doch eine unternehmens- und teaminterne Verwendung eines Dienstes könnte dieses Recht nämlich auch dann verletzen, wenn die Verwendung des Dienstes freiwillig erfolgt. Denn, wenn das gesamte Team über einen Messenger kommuniziert liegt der Zwang aus schlichter Notwendigkeit nahe, sodass von einer Wahlmöglichkeit faktisch keine Rede mehr sein kann.

Davon abgesehen und in Anlehnung an § 87 Abs. 1 Nr. 6 BetrVG könnte durch die Online/Offline/schreibt-Anzeige des jeweiligen Mitarbeiter Accounts nicht ausgeschlossen werden, dass die dadurch eröffnete Kontrollmöglichkeit des Vorgesetzten erst vom Betriebsrat im Zuge seines Mitbestimmungsrechts abgesegnet werden muss.

Erschwerend hinzu käme, wenn ein Beteiligter des Gruppenchats ein älteres Gerät mit einem älteren Client hat, der die Ende-zu-Ende-Verschlüsselung noch nicht unterstützt, sodass die gesamten personenbezogenen Daten nun unverschlüsselt ausgetauscht werden würden.

Schlussendlich wird regelmäßig auch einer Verletzung von Art. 25 DS-GVO Gefahr gelaufen, wonach der Verantwortliche sowohl im Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z.B. Pseudonymisierung – zu treffen hat, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwas Datenminimierung wirksam umzusetzen.

Mittlerweile stellt sich jedoch schon gar nicht mehr die Frage des „Ob“, sondern nur noch die des „Wie“. Zu essentiell und manifestiert sind die weitreichenden Möglichkeiten und bereits lange vor der Debatte implementierten Kommunikationswege. Doch spätestens bei der Frage des „Wie“ ist eine datenschutzkonforme Risikoabwägung und entsprechende Transformation der Prozesse unerlässlich. Dabei sind für die Rechtfertigung unter anderem die Sensibilität und er Umfang der. Übermittelten Daten, die Unternehmensstruktur, die Branche, das Geschäftsfeld und die Intention notwendige Abwägungskriterien.

Bei Unsicherheiten oder einem mangelnden Datenschutzkonzept, was die Nutzung von unternehmensinternen Messengerdiensten trotz evidentem Vorliegen nicht abdeckt, sollte fachlicher Rat konsultiert werde, um schnellstmöglich datenschutzkonform und dennoch weiterhin effizient zu bleiben.