Datenschutz: So kommunizieren Sie sicher über Messenger und Videokonferenz-Tools

Digitale Kommunikation ist in der Arbeitswelt nicht erst seit Corona ein Thema. Die entsprechenden Tools haben aber doch noch einmal einen Schub erhalten, der mit größter Wahrscheinlichkeit auch für die Zeit danach viel von seiner Wirkung behalten wird. Schnell eine Nachricht mit dem Messenger verschicken, statt den Gang ins Nachbarbüro zum Kollegen anzutreten, oder der Kundenkontakt per Messenger-App: Daran haben sich viele längst gewöhnt. Außerdem liegen die Vorteile auf der Hand. Schneller, effizienter und trotzdem persönlich, jedenfalls mehr oder weniger.

Aber was ist mit dem Thema (Daten-)Sicherheit? Immerhin birgt jede Verlagerung des Informationsaustauschs auf digitale Wege neue, eigene Risiken, dass die Daten an irgendwelchen unerwünschten Stellen gespeichert oder weitergegeben werden. Insbesondere, wenn Unternehmen mit digitalen Tools in den Außenkontakt treten, sollten daher die wichtigsten Fragen im Vorfeld beantwortet werden.

1. Die Entscheidung für das richtige Tool

Ob Messenger oder Videokonferenz, für die digitale Kommunikation sind inzwischen unzählige Apps und Programme auf dem Markt. Für die interne Unternehmenskommunikation ist die Flexibilität bei der Auswahl natürlich höher, als wenn auf die Bedürfnisse von Kunden oder Geschäftspartnern Rücksicht genommen werden muss. Doch auch in diesem Fall sollte wenigstens auf einige Mindestanforderungen geachtet werden - und wer vertrauliche Informationen austauscht, sollte immer auf die sicheren Alternativen zurückgreifen. Schließlich geht auch Funktionalität nicht über alles: Der Schutz der ausgetauschten Informationen dürfte im Interesse aller Beteiligten liegen.

2. Kein Austausch ohne Verschlüsselung

Dass die Kommunikation nicht einfach frei und ungeschützt von Server zu Server geschickt wird, sollte eigentlich selbstverständlich sein. Dennoch gibt es von Anbieter zu Anbieter einige Unterschiede bei der Praxis, was die Verschlüsselung angeht. Auf Tools, die keine Transportverschlüsselung (TLS) oder Ende-zu-Ende-Verschlüsselung anbieten, sollte man verzichten. Wenn möglich, ist die Letztere der TLS vorzuziehen, da die Informationen bei TLS während des Versands, aber nicht unbedingt auch während der Weiterleitung über Knotenpunkte wie Server, über die die Daten auf der Strecke zum Empfänger gelangen, verschlüsselt sind. Das ist für Angriffe weit anfälliger als die Ende-zu-Ende-Verschlüsselung, bei der die Inhalte über den gesamten Weg hinweg bis zur Entschlüsselung beim Empfänger nicht eingesehen werden können.

3. Server-Standort prüfen

Bei digitaler Kommunikation fallen nicht nur inhaltliche Informationen, die bestenfalls verschlüsselt werden, sondern auch Metadaten an, die zeigen, wer mit wem zu welchen Zeitpunkten kommuniziert hat. Der Sitz des Anbieters und der Standort der Server sind wichtig, um zu wissen, wohin all diese Daten gelangen. Da Unternehmen datenschutzrechtlich verantwortlich sind, wenn sie etwa in der Kundenkommunikation eine App einsetzen, müssen sie die datenschutzrechtlichen Vorgaben beachten. DSGVO-konform sind alle Datenflüsse in Staaten der EU oder des EWR. Staaten mit einem vergleichbaren Datenschutzniveau (sogenannte sichere Drittstaaten) sind in der Liste der EU-Kommission zu finden. Auch hier kann ein DSGVO-konformer Datenfluss einfach gewährleistet werden.
Für alle anderen Staaten sind zusätzliche Garantien für die Einhaltung eines vergleichbaren des Datenschutzniveaus sicherzustellen. Für US-Unternehmen kann dies über das sogenannte EU-US Privacy Shield-Abkommen erfolgen, sofern das Unternehmen entsprechend zertifiziert ist. Hier ist bei einem Austausch (auch) von Personaldaten zu beachten, dass ebenfalls die gesondert erforderliche Zertifizierung für HR-Daten erforderlich ist. Für alle übrigen Länder gilt, dass der Abschluss von sogenannten EU-Standardvertragsklauseln notwendig ist - und vergessen werden sollte keinesfalls die genaue Prüfung, wem man seine Unternehmensgeheimnisse anvertrauen will.

4. Messenger-Einsatz: Gefahrenquelle Adressbuch

Nicht zuletzt durch seine Business-Version hat der Messenger-Dienst WhatsApp   auch für die Kundenkommunikation große Bedeutung gewonnen. Die weite Verbreitung der App unter privaten Nutzern macht sie ideal für Werbung, Kundensupport und weitere Services. Nicht nur, aber eben auch WhatsApp birgt datenschutzrechtlich eine besondere Problematik: Um zu erkennen, welche der gespeicherten Kontakte des Nutzers die App ebenfalls installiert haben, wird ein Adressbuchabgleich durchgeführt, bei dem Daten wie Name und E-Mail-Adresse dann auch von Personen verarbeitet werden, die die App gar nicht verwenden. Wenn auf die App oder einen anderen Messenger, der auf gleiche Weise vorgeht, nicht verzichtet werden kann, sollte eine sorgfältige Bewertung im Vorfeld erfolgen. Wichtig ist, private und betriebliche Accounts nicht auf einem Gerät zu vermischen. Entweder werden unterschiedliche Endgeräte verwendet oder mehrere Adressbücher mit Mobile-Device-Management-Lösungen getrennt. So kann - beispielsweise, wenn der Erstkontakt über die App immer vom Kunden ausgeht - ein Adressbuchabgleich bei Dritten ausgeschlossen werden. Wenn möglich, gibt es inzwischen auch einige Alternativen wie Threema   oder Signal   , bei denen das Problem nicht besteht.

5. Sicher mit den richtigen Einstellungen

Bei vielen Apps und Programmen - ganz besonders bei Tools für Videokonferenzen - lässt sich ein hohes Datenschutzniveau bereits damit erreichen, indem die Einstellungsmöglichkeiten, die die Anwendung zulässt, so weit wie möglich ausgeschöpft werden. Video-Meetings können etwa mit Passwörtern geschützt werden, die, um ganz sicher zu gehen, getrennt vom entsprechenden Link versendet werden. Auf "Aus" gestellt sein sollten Funktionen wie Aufzeichnungen, Speicherung von Chatverläufen, Tracking oder Profiling. Auf diese Weise lassen sich auch unerwünschte Nebeneffekte wie das "Zoom-Bombing", das viel Aufsehen erregte und bei dem in öffentlichen Zoom-Meetings unbekannte Dritte ihren Bildschirm und damit verstörende Inhalte für alle Teilnehmer sichtbar geteilt haben, vermeiden.

6. Die letzten Schritte zum rechtskonformen Einsatz

Je nachdem, wofür die Tools eingesetzt werden, müssen noch einige Vorgaben beachtet werden. In aller Regel dürfte ein Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter-Unternehmen abzuschließen sein. Hier kann oft auf Muster der Anbieter zurückgegriffen werden. Zudem müssen die eigene Datenschutzerklärung sowie das Verzeichnis der Verarbeitungstätigkeiten (VVT) in Bezug auf den App-Einsatz angepasst werden. Wichtig ist auch, die Lizenzbedingungen der Anbieter zu überprüfen und mit der eigenen, geplanten Praxis zu vergleichen, um keine Verstöße gegen die Lizenzbedingungen zu riskieren.

Damit ist dann eine gute Grundlage geschaffen, um jede Art der digitalen Unternehmenskommunikation rechtssicher umzusetzen. Zusammenfassend gilt: Für die datenschutzrechtlich sicherste Variante sollte immer auf die entsprechenden Apps mit hohem Datenschutzniveau zurückgegriffen werden. Wenn mit besonders vertraulichen Informationen umgegangen wird, ist das auch die klare Empfehlung. Falls das nicht zutrifft oder bestimmte Tools eingesetzt werden müssen, gilt es zu prüfen, welche Abstriche hier gemacht werden können. Zu weit sollten Unternehmen zwar nicht gehen - müssen es in den allermeisten Fällen aber auch nicht, da ein ausreichendes Datenschutzniveau mit dem Großteil der verfügbaren Tools erreichbar ist.

Zur Autorin: Kathrin Schürmann ist Rechtsanwältin und Partnerin bei der Tech-Kanzlei Schürmann Rosenthal Dreyer   und spezialisiert auf das digitale Business. Ihre Schwerpunkte sind Datenschutz & Wettbewerbsrecht, ihr Fokus unter anderem KI, Big Data und Kundenbindung.