Beruflicher Einsatz von Messengerdiensten: Der Daten­schutz als Spiel­ver­derber

von Tim Wybitul und Dr. Lukas Ströbel

11.08.2017

WhatsApp & Co. werden längst nicht mehr nur privat genutzt, Businessversionen sind in der Entwicklung. Wie die Nutzung von Messengerdiensten am Arbeitsplatz bis dahin rechtssicher möglich ist, erklären Tim Wybitul und Lukas Ströbel.

 

Weit über eine Milliarde Menschen nutzen täglich Messengerdienste. Schnelle Kommunikation zu zweit, aber auch die Einrichtung von Gruppenchats machen diese auch für Unternehmen interessant. Arbeitgeber können mit Messengerdiensten ihre Mitarbeiter während und außerhalb der Arbeitszeiten unkompliziert und schnell erreichen, auch im Kontakt mit Kunden oder Geschäftspartnern sind Messengerdienste wie WhatsApp, Threema oder Skype sinnvoll einsetzbar. Das haben die Dienste-Anbieter ebenfalls erkannt, laut Medienberichten plant beispielsweise WhatsApp aktuell eine Businessversion.

In der aktuell verfügbaren Grundversion verarbeiten die meisten angebotenen Messengerdienste aber umfassend Daten auf dem Smartphone. Neben dem Zugriff auf das Adressbuch, den der Nutzer bei der Installation erlauben muss, lesen die Dienste zahlreiche Metadaten aus, etwa solche zur Häufigkeit der Nutzung und zum Chat-Verhalten. Die eigentlichen Inhalte der Unterhaltungen bleiben dabei nach Angaben der Messengerdienste geheim und werden lediglich verschlüsselt versendet.

Messengerdienste auf dem Geschäftshandy?

Unternehmen, die Messenger einsetzen wollen, sollten hinsichtlich der Verarbeitung und Nutzung der Daten aus den Adressbüchern einen Blick in die Datenschutzrichtlinien des jeweiligen Anbieters werfen. Auf Diensthandys von Arbeitnehmern befinden sich im Adressbuch regelmäßig personenbezogene Daten über andere Mitarbeiter, Kunden des Unternehmens und sonstige Geschäftspartner.

Datenschutzrechtlich verantwortlich für diese Informationen ist der Arbeitgeber. Das heißt, er muss auch dafür Sorge tragen, dass diese Daten auf den Diensthandys seiner Mitarbeiter im Einklang mit dem geltenden Datenschutzrecht verarbeitet werden.

Eine Übermittlung aller auf den Diensthandys gespeicherten Geschäftskontakte an einen Messengerdienst ist aber mit dem geltenden Bundesdatenschutzgesetz (BDSG) oder der kommenden EU-Datenschutz-Grundverordnung (DSGVO) nur schwer in Einklang zu bringen. Zwar ließe sich diese Nutzung durch Einwilligungen sämtlicher  betroffenen Geschäftspartner und Mitarbeiter regeln. Eine solche Lösung ist jedoch logistisch für Unternehmen nur schwer durchführbar, zumal eine einmal erteilte Einwilligung jederzeit widerrufen werden kann.

Datensicherheit muss der Arbeitgeber gewährleisten

Auch wenn das Bundesdatenschutzgesetz die Datenverarbeitung aus anderen Gründen erlaubt – etwa, weil es um die eigenen Geschäftszwecke oder das Beschäftigungsverhältnis geht – dürfen Arbeitgeber Messengerdienste nur anwenden, wenn die Datensicherheit und der Schutz vor unberechtigten Datenzugriffen sichergestellt sind. Die Übermittlung von personenbezogenen Daten an einen Drittanbieter ohne Bezug zum Geschäftsverhältnis ist regelmäßig weder notwendig noch zumutbar. Entsprechend erklärte auch der Bayerische Landesdatenschutzbeauftragte bereits Anfang 2016, dass ein großer Messengerdienst aus seiner Sicht auf dienstlichen mobilen Geräten für die Kommunikation im Unternehmensbereich derzeit nicht datenschutzkonform eingesetzt werden kann. Das gilt umso mehr für Rechtsanwälte oder andere Geheimnisträger nach § 203 Abs. 1 StGB. Diese können sich beim unbedarften dienstlichen Einsatz von Messengerdiensten gegebenenfalls strafbar machen.

Plant ein Unternehmen Messengerdienste auf den Diensthandys der Mitarbeiter einzusetzen, muss es sicherstellen, dass dieser Dienst die Geschäftsdaten auf dem Handy nicht in unzulässiger Weise für eigene Zwecke verarbeitet. Außerdem muss der Messengerdienst sonstige Datenschutzanforderungen einhalten. Gerade in Bezug auf eine angemessene Verschlüsselung besteht auch hier bei einigen Messengerdiensten noch Nachbesserungsbedarf. An diesen Anforderungen der Wirtschaft sollten sich die Anbieter von Messengerdiensten bei der Entwicklung von Businessversionen orientieren.

Ein Apparat, dienstlich und privat genutzt

Eine private Nutzung der aktuell angebotenen Messengerdienste auf dem Diensthandy kann hingegen unter Umständen rechtlich zulässig sein. Der Arbeitgeber muss dazu durch technische Mittel und durch Anweisungen an den Arbeitnehmer sicherstellen, dass der Sofortnachrichtendienst eben nicht flächendeckend auf berufliche Daten zugreifen kann.

So kann das Unternehmen die Geschäftsdaten auf dem Diensthandy in einem sogenannten Container strikt von den privaten Daten des Arbeitnehmers trennen. Nachteilig ist daran, dass andere gängige Anwendungen des Geräts dann nicht auf die getrennten Geschäftsdaten zugreifen können. Dies kann beispielsweise dazu führen, dass das dienstliche Handy beim Anruf eines Geschäftskontakts oder eines Kollegen den Namen nicht anzeigen kann.

Gleiches gilt, wenn ein Arbeitgeber den Mitarbeitern gestattet, Dienstliches auf ihren privaten Mobiltelefonen zu regeln (bring your own device – BYOD). Dann können Anbieter von Messengerdiensten gegebenenfalls auf dienstliche Daten zugreifen, die der Mitarbeiter auf seinem privaten Gerät speichert. Entsprechend muss der Mitarbeiter die geschäftlichen und die privaten Daten technisch trennen, um den Messengerdienst datenschutzrechtlich rechtmäßig nutzen zu können.

Zitiervorschlag

Tim Wybitul und Dr. Lukas Ströbel, Beruflicher Einsatz von Messengerdiensten: Der Datenschutz als Spielverderber. In: Legal Tribune Online, 11.08.2017, https://www.lto.de/persistent/a_id/23923/ (abgerufen am: 24.10.2017)

Infos zum Zitiervorschlag
Kommentare
  • 11.08.2017 15:57, McMac

    Warum so kompliziert`? Bei aktuellen Android-Versionen kann man Apps den Zugriffauf Adressbücher und andere Berechtigungen nachträglich entziehen. Und aktuelle Software ist im Businessbereich unumgänglich, weil sonst auch ohne Messenger Datenschutzprobleme entstehen.

    Auf diesen Kommentar antworten
  • 12.08.2017 12:05, DF

    Whatsapp ist eine Datenkrake. Niemand, der bei lichtem Verstande ist, sollte es benutzen. Man übersendet mit Installation dem dahinterstehenden Unternehmen alle seine Telefonkontakte, indem man bestätigt "man habe die Erlaubnis dafür".

    Einzige Alternative ist der Signal-Messenger, der letztlich open-source-basiert ist.

    Für weitere Infos verweise ich auf www.privacytools.io (hier werden noch fälschlicherweise auf Firefox und Whatsapp verwiesen. Mit ein bisschen Verstand kann man aber aus dieser Liste noch Einiges ziehen.

    Beste Grüße

    Auf diesen Kommentar antworten
    • 13.08.2017 11:11, Mehr als Eine Alternative

      Signal ist EINE Alternative.

      Derer gibt es viele.
      Zu nennen wären da z.B. nahezu alle XMPP Clients.

      Im speziellen sehe ich da z.B Kontalk (www.kontalk.org)

      Mann könnte sogar einen eigen Server im Firmennetzwerk betreiben.

      Somit wäre das Datenschutzproblem schon dadurch nachweislich gelöst da die Daten innerhalb des kontrollierbaren Netzwerk bleiben.

      Desweitern wäre es sogar möglich den Client und den Server an das eigene Unternehmen anzupassen da alles Free Opensource ist....

  • 13.08.2017 19:32, Tristan H.

    Beruflich einen Dienst wie Skype oder gar WhatsApp zu nutzen, sollte sich jede Firma zehnmal überlegen. Es mag einige kleine Dienste geben, die mit entsprechendem Aufwand nutzbar sind, ohne gleich Gesetze zu brechen. Die Frage ist, ob kleine Messenger-Dienste mit geringer Verbreitung einen praktischen Nutzen bringen, der den Aufwand rechtfertigt.
    Selbst wenn eines Tages Business-Versionen angeboten werden, dürften jene von Firmen wie Facebook (WhatsApp) oder Microsoft (Skype) kaum für Berufsgeheimnisträger geeignet sein.
    Es ist halt alles etwas komplizierter als einen Haken in Betriebssystem-Optionen zu setzen. Die heutige Hardware von Smartphones ist nur auf 1,5-2jährigen Gebrauch ausgelegt und die Lage bei den Betriebssystemen ist gekeinnzeichnet von komplizierten Strukturen, die es dem Normaluser kaum erlauben, sein Gerät zu kontrollieren, technischen Rahmenbedingungen, die Schadsoftware auf den meisten Smartphones vermuten lässt und mangelhafter Support der aufs Gerät angepassten Betriebssysteme durch die Hardwarehersteller. Obenauf kommen zahlreiche Apps, die eher Schadsoftware gleichen als nützlichen Programmen und die sich jede Freiheit nehmen, den User und seine Daten für die Zwecke der Entwicklerfirma zu [miss]brauchen. Als Anwalt ist das alles hochproblematisch.

    Auf diesen Kommentar antworten
Neuer Kommentar
TopJOBS
Wis­sen­schaft­li­che Mit­ar­bei­ter (m/w) / Re­fe­ren­da­re (m/w) für den Be­reich Im­mo­bi­li­en­wirt­schafts­recht

Görg, Frank­furt/M.

LE­GAL COUN­SEL / SYN­DI­KUS

eKomi Ltd., Ber­lin

Voll­ju­ris­ten (m/w)

Stiftung Ordnungspolitik - Centrum für Europäische Politik, Frei­burg im Breis­gau

Wis­sen­schaft­li­che Mit­ar­bei­te­rin / wis­sen­schaft­li­cher Mit­ar­bei­ter

FernUniversität in Hagen, Ha­gen

Rechts­an­walt (m/w) für den Be­reich Com­mer­cial (Da­ten­schutz/IT)

Bird & Bird LLP, Düs­sel­dorf und 2 wei­te­re

Voll­ju­ris­ten (m/w) Do­cu­ment Re­view

PERCONEX, Stutt­gart

Re­fe­rent/-in in Teil­zeit (20 Stun­den)

Rechtsanwaltskammer Köln, Köln

Rechts­an­walt (m/w) Ar­beits­recht

ESCHE SCHÜMANN COMMICHAU, Ham­burg

Rechts­an­wäl­te (m/w) Pa­tent­recht/ Ge­werb­li­cher Rechts­schutz

Noerr LLP, Mün­chen

Rechts­an­wäl­tin­nen/Rechts­an­wäl­te

CMS Hasche Sigle, Stutt­gart

Rechts­an­walt w/m Ge­sell­schafts­recht / M&A

Heuking Kühn Lüer Wojtek, Köln

Rechts­an­walt (m/w) für den Be­reich Ge­sel­l­­schafts­­­recht/M&A

Osborne Clarke Rechtsanwälte Steuerberater, Mün­chen

Voll­ju­rist als HR Ma­na­ger (m/w) im Ar­beits­recht

KfW Bankengruppe, Frank­furt/M.

Rechts­an­walt (w/m)

Commeo LLP, Frank­furt/M.

Rechts­an­walt (m/w) für den Be­reich Ar­beits­recht

Osborne Clarke Rechtsanwälte Steuerberater, Ber­lin

Rechts­an­walt (m/w) für den Be­reich Ar­beits­recht

Wurll + Kollegen, Düs­sel­dorf

Rechts­an­walt/Voll­ju­rist/Wirt­schafts­ju­rist (m/w) als frei­er Mit­ar­bei­ter im Ar­beits­recht

Wolters Kluwer Deutschland GmbH, Köln und 2 wei­te­re

Un­ter­neh­mens­ju­rist/Se­nior Le­gal Coun­sel (m/w)

regiocom GmbH, Mag­de­burg

Rechts­an­walt (m/w) Fach­be­reich Ver­kehrs­recht

Rechtsanwaltskanzlei Wulf & Collegen, Mag­de­burg und 1 wei­te­re

Neueste Stellenangebote
Sach­be­ar­bei­ter (m/w)
Se­nior Con­sul­tant (m/w) Cor­po­ra­te Da­ta Pro­tec­ti­on
Fach­kraft für Buch­hal­tung und Fi­nan­zen (m/w)
Eu­ro­pe­an Pa­tent At­tor­ney / Pa­ten­t­an­walt / Part­ner­op­ti­on in Kanz­lei / Elek­tro­tech­nik, Phy­sik (m/w)
Spe­zia­list (m/w) für die Bi­lanz­buch­hal­tung
Tax Spe­cia­list Trans­fer Pri­cing / Steu­er­re­fe­rent Ver­rech­nung­s­p­rei­se (m/w)
Fach­funk­ti­on als Voll­ju­rist/in für Connec­ted Car & Di­gi­tal Car in Böb­lin­gen
(As­si­s­tant) Ma­na­ger (m/w) Fo­ren­sic In­ves­ti­ga­ti­ons & Da­ten­schutz