Heute stellen wir Ihnen analog zu unserem Beitrag vom 13. Januar datenschutzkonforme Messenger als Alternative zu WhatsApp vor. Diese sind mittlerweile recht häufig zu finden und kosten trotz hoher Usability nicht viel Geld. Mehrwert erhalten Sie teilweise bei der Verwendung von Mobile Device Management (MDM).

Unser Favorit unter den DSGVO-konformen Messengern ist „Threema“. In der „Work-Edition“ starten die Preise ab 1,23 EUR pro Gerät, pro Monat. In der Enterprise-Version können Sie zusätzlich App-Konfigurationen direkt aus dem Management-Cockpit steuern. 
Wem Threema Work zu kostspielig sein sollte, könnte nun auf die Privatanwender-Version dieses Unternehmens zurückgreifen wollen. Dabei sollten Sie allerdings stets prüfen, ob in diesem Fall auch eine Auftragsverarbeitungsvereinbarung (AVV) geschlossen werden kann. [1] [2]

Als weitere Alternative aus Deutschland – mit ausschließlichen Serverstandorten in Deutschland – wäre Hoccer zu nennen. Auch hier wird ein Augenmerk auf Datensparsamkeit gelegt: so ist es nicht notwendig Ihre Telefonnummer oder E-Mail-Adresse anzugeben.

Wie lässt sich nun aus der recht großen Auswahl einen Messenger ausfindig machen, der wirklich Datenschutz compliant ist? Sie sollten dabei eine Recherche unternehmen und bei der Bewertung der datenschutzrechtlichen Angemessenheit, folgende Punkte beachten:

  1. Geschieht ein automatisierter Upload des Adressbuches?
  2. In welchem Staat befinden sich die Server des Anbieters? 
    a. Als sichere Drittländer gelten z. B. die EWR-Staaten 
    b. (Momentan) sicher ist die Übertragung an Unternehmen im Privacy Shield
  3. Ist das Rechenzentrum / Serverstandort zertifiziert? 
    a. zum Beispiel ISO/IEC 27001
  4. Als juristische Person muss eine AVV mit dem Anbieter geschlossen werden. Ist dies möglich?
  5. Ist die Übertragung mittels einer Ende-zu-Ende-Verschlüsselung vorhanden?
  6. Besteht eine anderweitige Verschlüsselung (z. B. Speicherung der Nachrichten auf den Servern nur als „Hashwert“)?
  7. Ist eine Datenschutzfreundliche Voreinstellung vorhanden? 
    a. Wenn z. B. werkseitig GPS-Ortungen, Upload des Adressbuches, etc. nicht aktiviert ist
  8. Können Sie datenschutzrelevante Einstellung zentral (z. B. durch ein MDM) steuern, sodass Ihre Mitarbeiter nicht eigenhändig Einstellungen vornehmen bzw. umgehen können? 
    a. Auch Ihre Richtlinien sollten konkret angepasst werden, damit der Umgang mit dem Messenger organisatorisch bestimmt wird.
  9. Geschieht eine automatische Ortung mittels GPS?
  10. Legt der Anbieter Wert auf Datensparsamkeit? 
    a. Sind bei der Registrierung viele personenbezogene Daten Pflichtangaben (z. B. Rufnummer, E-Mail-Adresse, Name)?
  11. Unterscheiden Sie stets zwischen der Privat-Anwender-Variante und der für Unternehmen. Hier können unter Umständen Unterschiede herrschen

Wenn Sie die obengenannten Punkte vor Einführung eines Messengers prüfen, sind Sie sicher aufgestellt, was den Umgang mit Messengern angeht. Aber auch wenn ein Messenger-Anbieter viel Wert auf Datenschutz und IT-Sicherheit legt, entbindet dies nicht davon, dass niemals Kontakte freigegeben werden dürfen und vor der ersten Verarbeitung Verantwortliche eine AVV mit dem Anbieter schliessen müssen. [3]

Quellen:

[1] https://threema.ch/de/faq
[2] https://work.threema.ch/docs/_threema_avv.pdf
[3] http://blog.comdatis.de/whatsapp-im-unternehmen-und-verein/

Über den Autoren:

Sven Schüldink ist als IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte beschäftigt. Als ausgebildeter Datenschutzbeauftragter beschäftigt er sich mit Themen rund um den Datenschutz.

#comdatis #einfachmittelstaendischpragmatisch #ahaus #datenschutz #dsgvo