Blog, Datenschutz & Informationssicherheit, Sven Schüldink

Wir berichteten bereits häufiger über den datenschutzkonformen Einsatz von WhatsApp in Unternehmen. Und über die Problematiken, die entstehen, wenn WhatsApp auf Firmen Smartphones eingesetzt werden soll und den fehlenden Lösungsansatz zum datenschutzkonformen Einsatz.
Ein Problem bei WhatsApp ist die benötigte Freigabe der Kontaktliste. Dabei werden personenbezogene Daten an WhatsApp übermittelt. Diese Übermittlung ist für Firmenkontakte lediglich möglich, wenn eine Einwilligung vorliegt. Dabei ist zu beachten, dass für jeden einzelnen Kontakt der Kontaktliste eine gültige Einwilligung für die WhatsApp-Nutzung vorliegt. Sobald ein Kontakt nicht zustimmt, ist eine datenschutzkonforme Nutzung nicht ohne weiteres möglich.
Für Unternehmen und Mitarbeiter, die das Smartphone lediglich im beruflichen Umfeld nutzen gibt es zur Kommunikation einige Alternativen zu WhatsApp. Diese haben wir bereits im Blogbeitrag vom 26.02.19 näher beschrieben. Die Kommunikation mit Kunden / Geschäftspartnern sollte immer unter Beachtung der Datenschutzkonformität ablaufen.
Im privaten Umfeld ist die Nutzung von WhatsApp an der Tagesordnung. Somit tritt bei erlaubter Privatnutzung des Firmen Smartphones eher der Wunsch auf, WhatsApp nutzen zu können. Da WhatsApp lediglich die Freigabe der gesamten Kontaktliste (private wie betriebliche Kontakte) erlaubt, entsteht hier ein Konflikt. Ebenso entsteht bei BYOD (Bring your own Device) ein Konflikt zwischen Unternehmens- und Privatdaten.
Für diese Problematik existiert ein Lösungsansatz, den wir folgend kurz vorstellen wollen. Der Einsatz eines EMM (Enterprise-Mobility-Management-Systems) kann dabei helfen, die Zugriffe der geschäftlichen Apps auf die Kontakte und Daten auf den Mitarbeiter-Smartphones zentral zu verwalten.
Bei iOS (ab Version 11.3) läuft dieser kontrollierte Zugriff wie folgt ab:

  • Es wird zwischen gemanagten Apps und nicht-gemanagten Apps unterschieden.
  • Zudem können gemanagte Accounts angelegt werden.
  • Die Definition von Regeln erfolgt zentral im EMM-System.
  • Der geschäftliche Account sollte als gemanagt definiert werden.
  • Vornehmen der Einstellung, dass ein Austausch von Daten zwischen den gemanagten und nicht-gemanagten Apps und Accounts nicht stattfinden soll.
  • Nicht-gemanagte (private) Apps haben somit lediglich Zugriff auf den nicht-gemanagten Account mit den privaten Kontakten.
  • Gemanagte Apps haben sowohl Zugriff auf gemanagte (geschäftliche) als auch auf nicht-gemanagte (private) Accounts mit sämtlichen Kontakten.

Android Enterprise / for Work verfolgt eine etwas andere Vorgehensweise. Es wird ab Android 5.0 ermöglicht eine Container-Technologie einzusetzen, wodurch das Betriebssystem persönliche und geschäftliche Daten trennt. Kurz gesagt wird ein zweites Betriebssystem mit eigenen Apps und Kontaktlisten verwendet. Dieses kann durch ein EMM über das Unternehmen verwaltet werden, es können spezielle Richtlinien und Regeln erstellt werden und somit können die geschäftlichen Zugriffe kontrolliert werden. Dadurch entsteht ein Schutz sowohl der geschäftlichen als auch der privaten Daten, da eine Übertragung zwischen den „Betriebssystemen“ nicht zulässig ist.
Wie Sie sehen, gibt es verschiedene Möglichkeiten, die EMM-Technologie umzusetzen. Eine konkrete Empfehlung zum Einsatz sprechen wir an dieser Stelle nicht aus. Schlussendlich müsste die Einsatzfähigkeit für Ihr Unternehmen ausgiebig durch die IT Verantwortlichen geprüft werden und die Umsetzung auf den Mitarbeiter-Smartphones überwacht und geregelt werden. Zudem sind die Anforderungen der DS-GVO gesondert zu beachten und ein, dem Stand der Technik entsprechendes, Sicherheitsniveau eingehalten werden. Hierfür ist eine Absprache mit Ihrem Datenschutzbeauftragten zu empfehlen.

Quellen: