Über den Stellenwert den Facebooks Messengerdienst WhatsApp in Zeiten der DSGVO in der Arbeitswelt hat und die Alternativen, die der Markt hergibt.
I. Neue Verordnung, alte Gewohnheit
Jeder hat wohl schon von ihr gehört, die Verordnung (EU) 2016/679 des europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) oder kurz die DSGVO. Seit dem 25. Mai 2018 ist sie nun schon in Kraft und hat auch schon für reichlich Furore gesorgt (siehe unseren Artikel „Ein Jahr Datenschutz-Grundverordnung – Was bisher geschah.
In einem Bereich des Arbeitslebens scheint sie jedoch noch nicht angekommen zu sein. Denn wenn es um Messengerdienste auf dem Firmenhandy geht, scheint die Zeit still zu stehen. Dies lässt sich zumindest vermuten, wenn man sich zwei Studien anschaut, die die Brabbler AG unter dem Titel „Digitale Kommunikation & Datenschutz privat und im Beruf“ durchgeführt hat. In beiden Studien wurden rund 700 Berufstätige im Alter zwischen 20 und 60 Jahren, ungefähr zu gleichen Teilen Männer und Frauen und aus verschieden großen Unternehmen und Berufsgruppen, zu diesem Thema befragt. So weit, so gut. Das Interessante ist, dass die erste Studie durchgeführt wurde kurz bevor die DSGVO in Kraft getreten ist, nämlich Anfang Mai 2018 und die zweite Studie circa ein Jahr später, nämlich im Anfang Mai 2019. Somit ließen sich eingetretene Entwicklungen gut nachvollziehen – wenn es Veränderungen gegeben hätte, was allerdings nicht wirklich der Fall ist.
So nutzten 2019 circa 90% der Befragten privat mindestens einen Facebook-Dienst, zum Beispiel Facebook Messenger, Instagram oder auch WhatsApp. 2018 waren es mit 88% ähnlich viele Nutzer. Überraschend ist, dass von diesen Nutzern 82% (2018: 86%) finden, dass Facebook mit den Nutzerdaten zu sorglos umgeht. Der Nutzung schadet dies aber anscheinend nicht. Betrachtet man WhatsApp isoliert, nutzten 2019 83% der Befragten, was im Vergleich zu 2018 sogar 3% mehr sind und im Vergleich zu den anderen Facebook-Diensten der Verbreitetste ist. Da diese Zahlen die private Nutzung widerspiegeln, sind sie für Arbeitgeber zunächst uninteressant.
Spätestens wenn man die Situation auf den geschäftlich genutzten Handys betrachtet, sollten Arbeitgeber jedoch hellhörig werden. Denn während 2018 immerhin 49% WhatsApp auf ihrem geschäftlich genutzten Handy nutzten, stieg der Anteil, trotz DSGVO und verschiedener Datenschutzpannen bei Facebook, auf 53%. Ein Umstand, der jedoch nicht mit Unwissenheit entschuldigt werden kann, weil, ähnlich wie im Jahr 2018, 58% der Befragten von den datenschutzrechtlichen Problemen wissen, die WhatsApp für ihren Arbeitgeber mit sich bringt und von diesen 58% beinahe die Hälfte die App trotzdem auf ihrem Gerät installiert haben. Die Brabbler AG weist in ihrer Studie von 2019 daraufhin, dass „über 55% derer, die WhatsApp wider besseres Wissen auf dem beruflich genutzten Smartphone installiert haben und damit bewusst gegen Datenschutzauflagen verstoßen, […] sich gleichzeitig einen gewissenhafteren Umgang des Arbeitgebers mit ihren Daten [wünschen].“ (Studie 2019, S. 6) Wie im Privatleben zeige sich hier, dass viele zwar mehr Datenschutz wollen, selbst aber nichts dafür tun würden. Möglicherweise liege das am Pragmatismus der Arbeitnehmer, die Effektivität der Kommunikation und Arbeit dem Datenschutz vorziehen. Dieses Bedürfnis spielt wohl eine große Rolle. Doch angesichts der Tatsache, dass oder gerade, weil die Unternehmen Verantwortliche für die Verarbeitung personenbezogener Daten ihrer Kunden und Geschäftspartner und auf Ihren Diensthandys sind, sollte hier wohl kaum auf individuelles Datenschutzbewusstsein und Handeln der Mitarbeiter vertraut werden. Wie aus der Umfrage hervorgeht bieten dennoch 62% (2018: 65%) keine offizielle Messaging-Lösung an. Diejenigen Unternehmen, die bereits eine offizielle Messenger Lösung anbieten, nutzen vor allem Dienste von Microsoft (2019: 34%; 2018: 35%). Manche nutzten auch kleinere Dienste wie Slack (2019: 5%; 2018: 3%) oder Salesforce Chatter (2019: 4%; 2018: 5%).
Von der Brisanz der Zahlen einmal abgesehen, scheint sich im Vergleich zu 2018 also kaum etwas getan zu haben.
II. Der Platzhirsch und seine datenschutzkonformen Nebenbuhler
Lässt man diese Studie einmal auf sich wirken, so drängen sich zwei Fragen auf: Warum ist WhatsApp denn so problematisch und welche Alternativen gibt es, wenn man das Problem im eigenen Unternehmen anpacken möchte?
1. Der Platzhirsch und seine Probleme
Im Großen und Ganzen lässt sich die datenschutzrechtliche Problematik der betrieblichen WhatsApp-Nutzung auf eine einzelne Vorgehensweise der App herunterbrechen – WhatsApp liest das Adressbuch des Handys inklusive sämtlicher darin gespeicherter (personenbezogener) Daten von anderen Mitarbeitern, Kunden oder Geschäftspartnern aus und erstellt eine eigene Kontaktliste.
Dies geschieht unabhängig davon, ob die Personen WhatsApp selbst nutzen oder nicht. Hinzukommt, dass diese anschließend an Server in der USA übermittelt wird. Außerdem ist nicht klar, ob und inwieweit WhatsApp personenbezogene Daten mit Facebook austauscht (siehe Artikel bei Deutschlandfunk).
Sollte ein Unternehmen WhatsApp für geschäftliche Kontakte nutzen wollen, so bedürfe es hierzu deren Einwilligung zur Speicherung ihrer Daten im Adressbuch. Dass dies unpraktisch ist, ist wohl offensichtlich. Zwar sind sowohl WhatsApp als auch Facebook im Rahmen des EU-US Privacy Shield Framework zertifiziert. Dennoch bestehen noch einige Unklarheiten zur Datennutzung der in die USA übermittelten Daten, was zu der unsicheren Lage beiträgt.
Zumindest um den privaten Gebrauch WhatsApps durch die Mitarbeiter auf dem Firmenhandy zu ermöglichen, gäbe es die Möglichkeit ein Mobile-Device-Management-System (MDM) einzurichten, welches verhindert, dass die private App auf die geschäftlichen Kontakte zugreift.
Doch welche Messenger-Alternativen gibt es, die die datenschutzrechtlichen Probleme WhatsApps nicht aufweisen, trotzdem aber eine effektive und noch dazu sichere Kommunikation der Unternehmen bieten?
2. Die datenschutzkonformen Nebenbuhler
Für manche mag es vielleicht überraschend erscheinen, doch heutzutage gibt es verschiedene Messenger, die diese Anforderungen erfüllen und die sogar aus Deutschland oder der EU kommen. Anders als WhatsApp, stellt bei diesen Unternehmen nicht das Datensammeln zwecks Profitgenerierung ihr Geschäftsmodell dar, sondern die sichere und datenschutzkonforme Kommunikation und Datenübermittlung. Für Unternehmen sind die meisten Messenger daher nicht kostenlos nutzbar. Während diese Attribute gerade in Zeiten der DSGVO mit Blick auf personenbezogene Daten attraktiver werden, darf hierbei auch nicht außer Acht gelassen werden, dass Unternehmen andere wertvolle Informationen besitzen, bei denen es auch von Interesse sein kann, diese nicht achtlos hin und her zu schicken. Hinzukommt, dass man bei genauerer Betrachtung sagen könnte, dass auch WhatsApp nicht „kostenlos“ nutzbar ist, da die Nutzer hier quasi mit den Daten bezahlen.
Im Folgenden werden drei Messenger-Alternativen kurz vorgestellt, die die zuvor genannten Attribute besitzen und sich aktuell DSGVO-konform für die Unternehmenskommunikation einsetzen lassen. Für weitere, tiefergehende und speziellere Informationen über die Funktionsweisen und Einsatzmöglichkeiten der Messenger, sei auf die jeweiligen Webseiten verwiesen.
a. ginlo Business
Zunächst gäbe es dort ginlo Business, ehemals SIMSme Business, die Messenger-Lösung der Brabbler AG. Diese Anwendung kommt aus Deutschland und wird auch in Deutschland gehostet. Hierfür werden ISO-zertifizierte Rechenzentren genutzt. Laut der Webseite werden keine personenbezogenen Daten außerhalb der EU gespeichert und finden keine Datentransfers außerhalb der EU statt. Die Kommunikation wird Ende-zu-Ende verschlüsselt. Darüber hinaus werden die Daten sowohl auf dem Endgerät als auch auf dem ginlo-Server verschlüsselt gespeichert und wird ein sogenanntes Provider Shielding eingesetzt, dass verhindert, dass die Brabbler AG auf den Klartext der gesendeten Inhalte zugreifen kann. An Funktionen bietet die App alles, was man von WhatsApp kennt und von einem Messenger erwartet. Nutzen lässt sich der Messenger nicht nur auf dem Handy, sondern auch auf dem Desktop. Für Unternehmen mit weniger als 500 Mitarbeitern kostet die Nutzung von ginlo Business 3,00€ pro User und Monat.
Mehr Informationen lassen sich auf der Webseite des Unternehmens finden: https://www.ginlo.net/de/.
b. Threema Work
Threema Work ist eine Messenger-Lösung aus der Schweiz, die ebenfalls DSGVO-konform nutzbar ist und momentan zum Beispiel von Bosch oder der Daimler AG genutzt wird. Man kann Threema ohne Zugriff auf das eigene Adressbuch nutzen. Statt der Telefonnummer bekommt nämlich jeder Nutzer bei Threema eine eigene zufällig generierte Threema-ID, ob er diese mit einer Telefonnummer oder E-Mailadresse verknüpft ist ihm überlassen. Man kann Threema allerdings auch den Zugriff auf das Adressbuch gestatten. In diesem Falle werden die darin gespeicherten Telefonnummern zwar an die Threema Server übertragen – dies geschieht aber keineswegs im Klartext, sondern nur einen sogenannten Hash, also ein zufällige Nummernfolge, mit der sich dann ermitteln lässt, ob jemand aus der Kontaktliste ebenfalls Threema nutzt. Die Kommunikation ist auch bei Threema Ende-zu-Ende verschlüsselt. Hinzu kommt, dass keine personenbezogenen Daten, wie Chats, Kontaktlisten oder Gruppen auf den Servern gespeichert werden, sondern lediglich dezentral auf den Handys, wo diese auch verschlüsselt werden. Nutzen lässt sich Threema Work auch am Desktop und sogar abhörsichere Anrufe sind nach eigenen Angaben über die App möglich, ohne dass es hierzu einer Telefonnummer bedürfte.
Ebenso wie ginlo Business bietet Threema Work alles, was man von WhatsApp kennt und von einem Messenger erwartet.
Der Umstand, dass Threema Work aus der Schweiz stammt, spielt hinsichtlich der DSGVO-Konformität insofern keine Rolle, als dass die Schweiz von der Europäischen Kommission als sicheres Drittland eingestuft wurde, so dass eine Datenübermittlung gemäß Art. 45 DSGVO keiner besonderen Genehmigung bedarf. Im Gegensatz zu dem EU-US-Privacy Shield wird das Schutzniveau der personenbezogenen Daten in der Schweiz insgesamt als angemessen angesehen und nicht nur hinsichtlich der Vorgehensweisen einzelner Unternehmen. Je nach Paket kostet Threema Work 1,26€ oder 1,71€ pro Gerät pro Monat.
Mehr Informationen, sowohl zu technischen Spezifikationen als auch weiteren Features, lassen sich auf der Webseite des Unternehmens finden: https://work.threema.ch/de.
c. Teamwire
Die dritte Messenger-Alternative, die sich aktuell DSGVO-konform für die Unternehmenskommunikation einsetzen lässt, ist die Messenger-Lösung Teamwire der grouptime GmbH und kommt wie ginlo Business aus Deutschland. Diese wird zum Beispiel von der bayrischen Polizei, dem Bundesministerium für Arbeit und Soziales oder von der Krankenkasse BARMER eingesetzt. Auch hier werden die Daten lediglich verschlüsselt übertragen und gespeichert. Teamwire greift zwar, sofern vom IT-Administrator so eingestellt, auf das Adressbuch zu, verwendet zur Verbindung mit den Kollegen nach eigenen Angaben nur mit Hashfunktionen anonymisierte Kontaktdaten und löscht diese anschließend sofort. Das Adressbuch des Nutzers wird nicht auf den Teamwire Servern gespeichert. Auch das Hosting findet in Deutschland statt und sämtliche Rechenzentren sind ISO-zertifiziert. Die Messenger-Lösung bietet alle gängigen Messenger-Funktionen und lässt sich auf dem Desktop nutzen. Dazu ermöglicht Teamwire unter anderem auch eine Alarmierungs- und Krisenkommunikation und die Möglichkeit den Messenger auch optisch an das Unternehmen anzupassen.
Je nach Tarif kostet Teamwire zwischen 1,50€ und 4,00€ pro User und Monat. Allerdings ist hierbei zu beachten, dass Teamwire nur auf die unternehmensinterne Kommunikation ausgerichtet ist.
Auch bei Teamwire lassen sich weitere Informationen der Webseite des Unternehmens entnehmen: https://teamwire.eu/home-de-de.
Es zeigt sich, dass Unternehmen, wenn sie den Aufwand und die Kosten für die Einrichtung solcher datenschutzkonformen Messengerdienste, wie die drei Vorgestellten, auf sich nehmen, nicht „nur“ eine DSGVO-konforme Alternative zu WhatsApp bekommen, sondern weit über WhatsApp hinausgehende Funktionen und neben dem Schutz personenbezogener Daten auch Sicherheit für Betriebsgeheimnisse. Und falls es nicht möglich ist mit einigen Geschäftspartner oder Kunden darüber zu kommunizieren, gibt es immer noch die traditionellen Kommunikationswege.
III. Neue Verordnung, neue Möglichkeiten
Abschließend lässt sich sagen, dass die WhatsApp-Nutzung im betrieblichen Kontext zurzeit aus datenschutzrechtlicher Sicht zwar halt-, aber nicht alternativlos ist. Dennoch wird WhatsApp, wie die Studie gezeigt hat, noch sehr häufig auf geschäftlichen Handys genutzt. Angesichts der aktuellen Rechtslage sollten ambitionierte Unternehmen, die Wert auf Datenschutz und personenbezogene sowie unternehmensbezogene Daten legen, daher Maßnahmen treffen und die neue Verordnung als Anlass nehmen alte Gewohnheiten abzulegen. Wie sich anhand der drei vorgestellten Alternativen erkennen lässt, muss dies aber keineswegs zulasten der Vorteile eines Messengers, wie der schnellen Reaktionszeiten, geschehen. Wir empfehlen, dass Unternehmen zunächst ihre aktuelle Situation und ihren Bedarf an einer sicheren Messenger-Lösung ermitteln sollten.
Sofern der Bedarf für eine Messenger-Lösung gegeben ist, sollten sie sich dann für eine passende, datenschutzkonforme Alternative entscheiden und diese im Unternehmen implementieren. Auf Grundlage der gewonnenen Erkenntnisse sollten im Zuge dessen Regelungen und Klarheit bezüglich der Nutzung von Messengerdiensten auf Betriebshandys sowie der geschäftlichen Nutzung von privaten Geräten bei den Mitarbeitern geschaffen werden.
Der Aufwand und die Kosten im Vergleich zur Nutzung von WhatsApp mögen zunächst vielleicht abschreckend wirken. Doch mit einer datenschutzkonformen Messenger-Lösung sendet ein Unternehmen ein deutliches Signal an Mitarbeiter, Geschäftspartner und Kunden und sorgt für mehr Sicherheit wertvoller Unternehmensinformationen. Dadurch kommt es im Endeffekt vor allem dem Unternehmen selbst zugute.