Eine Frage der Sicherheit
Aus Datenschutzgründen untersagen Unternehmen ihren Mitarbeitern den Austausch via Whatsapp auf dem Firmenhandy. Aber ist das Verbot tatsächlich zukunftstauglich?
Zurzeit verschickt eine ominöse „Datenschutzauskunft-Zentrale“ Schreiben an Gewerbetreibende und Freiberufler. Das Dokument sieht professionell aus, als komme es vom Amt – und so, als müsse man es schleunigst unterschreiben. Angeboten wird ein sogenanntes „Leistungspaket Basisdatenschutz“, das rund 500 € im Jahr kostet. In Wahrheit handelt es sich um eine Abofalle, die Absender kommen aus Malta.
Für Bauernfänger sind es gute Zeiten. Denn die Unsicherheit in den Firmen ist auch Monate nach Inkrafttreten der Datenschutzgrundverordnung (DSGVO) greifbar. Nach einer Umfrage des Bundesverbandes Digitale Wirtschaft (BVDW) haben 43 % der Unternehmen ihre digitalen Aktivitäten eingeschränkt. „Oft ist nicht klar, wie die neuen Bestimmungen angewendet werden müssen“, so BVDW-Vizepräsident Thomas Duhr.
Die Unsicherheit wirkt sich auch auf den Umgang mit Smartphones aus. Vor allem über den Messenger Whatsapp tauschen sich Kollegen gerne aus oder kommunizieren mit Kunden. Die DSGVO droht dieser Annehmlichkeit ein Ende zu bereiten. Immer mehr Firmen untersagen ihren Beschäftigten die Nutzung von Whatsapp & Co. auf dem Firmenhandy, auch wenn mit dem Dual-SIM-Handy die Trennung privater und dienstlicher Gespräche möglich wäre.
Reifenhersteller Continental ging direkt auf Nummer sicher. Im Juni gaben die Hannoveraner bekannt, dass die Nutzung von Whatsapp und Snapchat auf den Diensthandys der Mitarbeiter ab sofort untersagt sei. Die vermuteten Datenschutzrisiken wolle das Unternehmen nicht tragen. Das ist keine kleine Sache, immerhin betrifft die Regelung 36 000 Mobiltelefone im weltweiten Unternehmensnetzwerk. „Das Vorgehen von Continental hat die Diskussion über Sicherheits- und Datenschutzaspekte von Whatsapp neu belebt“, sagt Annette Karstedt-Meierrieks, Referatsleiterin Datenschutzrecht beim Deutschen Industrie- und Handelskammertag (DIHK).
Wie viele Unternehmen dem Beispiel von Continental seitdem gefolgt sind? Auf Anfrage der VDI nachrichten reagierten die meisten Unternehmen schmallippig. So wollten sich weder die Maschinenbauer Beumer, Windmöller & Hölscher, Beckhoff und Schunk, noch der frischgebackene DAX-Darling Wirecard äußern. Handelsriese Metro weist darauf hin, dass die Nutzung von Whatsapp als Kommunikationstool schon vor der DSGVO nicht freigegeben war. Das Gleiche gilt für Siemens, Volkswagen und Rheinmetall. Allzu freizügig möchte kaum ein Unternehmen Informationen herausgeben. Die 20 Mio. €, die das obere Ende des Strafrahmens bei Verstößen gegen die DSGVO bilden, sind Mahnung genug.
Rechtsanwalt Matthias Draheim sagt: „Nach der DSGVO ist es grundsätzlich sogar ein Muss für Unternehmen, die Nutzung von Whatsapp und anderen Programmen, die Zugriff auf das Telefonbuch nehmen, zu untersagen“. Der Jurist aus Aachen ist auf IT-Recht spezialisiert und weiß um die große Schwachstelle von Whatsapp: Der Messenger hat Zugriff auf das Telefonbuch der Nutzer. Ein Whatsapp-User gibt damit automatisch personenbezogene Daten an Dritte weiter. Dafür müsste er aber laut DSGVO vorher die Einwilligung einholen. In der Praxis hätte demnach ein Unternehmen dafür Sorge zu tragen, dass jeder Kontakt, der in einem Diensthandy gespeichert werden soll – sofern Whatsapp installiert ist –, darüber informiert wird und am besten schriftlich in die Datenverarbeitung einwilligt. Ein riesiger Mehraufwand und oft nicht praktikabel.
Die Planer der DSGVO hätten „die Digitalisierung konsequent ausgeblendet“, findet Anwalt Draheim. Denn Whatsapp ist längst zum Massenmedium geworden. 81 % der Internetnutzer in Deutschland schicken sich nach Bitkom-Angaben über Whatsapp zwinkernde Emojis und lustige Bilder hin und her, das sind rund 50 Mio. Menschen. Arbeitnehmer übernehmen und tauschen Schichten via Whatsapp, machen Fotos von Kunden und Kollegen.
Whatsapp ist auch ein Business-Tool. Die Verbraucherzentrale NRW sieht in einer aktuellen Studie ebenfalls noch immer „wesentliche Probleme in Bezug auf den Umgang von Anbietern sozialer Medien mit Vorschriften der DSGVO“. Die Voreinstellungen seien nicht immer datenschutzfreundlich gestaltet, obwohl die Datenschutzgrundverordnung das bindend vorschreibe. Neben Whatsapp kritisierten die Verbraucherschützer auch Facebook, Instagram, Twitter, Snapchat und LinkedIn.
Bei Dataguard hat man sich umgestellt. Das Münchner Unternehmen, das als externer Datenschutzbeauftragter kleine Betriebe berät, nutzt zur Kommunikation die Whatsapp-Variante Threema. Die Schweizer gelten als regelrechte Datenschutz-Streber. Nutzer können die App ohne Angabe personenbezogener Daten verwenden. Auch die Daimler AG zählt laut Threema zu den Kunden, setzt die App als internen Messenger ein. Doch Threema ist ein Nischenangebot, kein Kanal, über den man jedermann erreicht.
Die perfekte Lösung haben weder die Datenschutzexperten noch Dataguard gefunden. „Was sehr zu empfehlen ist, ist das Betriebshandy mit einem Verbot der privaten Nutzung zu belegen“, rät Kivanc Semen, Gründer und IT-Leiter von Dataguard. Private Handys sollten für den Dienstgebrauch ebenfalls tabu sein. „Unternehmen haben kein Interesse daran, dass Betriebsgeheimnisse auf privaten Handys gespeichert werden.“
Eine andere Möglichkeit sind sogenannte Container-Apps. Dabei werden sämtliche Unternehmensdaten hochgradig verschlüsselt in einem geschützten Sicherheitscontainer abgelegt, getrennt von den privaten Daten. IT-Dienstleister bieten diesen Service an. Doch die Container verursachen Kosten, sind mitunter schwierig in der Handhabung. Manchmal treten sogar Sicherheitslücken und Kompatibilitätsprobleme auf.
Und dann gibt es da ja noch den Faktor Mensch. Denn wer ein Firmenhandy in die Hand gedrückt bekommt, dieses aber nur mit starken Einschränkungen nutzen darf, der reagiert bisweilen mit Unverständnis. Es bestehe sogar „manchmal eine emotionale Explosionsgefahr“, weiß Kivanc Semen. Dann kann es schon mal passieren, dass sich ein Mitarbeiter über die Anweisungen hinwegsetzt und doch Whatsapp auf dem Diensthandy installiert. Das werfe dann wieder ganz neue Fragen auf, nach der Haftung, der Loyalität des Mitarbeiters und einem möglichen Autoritätsverlust des Vorgesetzten zum Beispiel.
Manchmal entscheiden sich Unternehmen aber auch aktiv gegen den Datenschutz. So berichtet Kivanc Semen von einem Kunden, dessen Hauptauftraggeber rund 80 % der Umsätze ausmacht. Dieser habe die Angewohnheit, Dienstanweisungen bevorzugt über Whatsapp zu verschicken. Eine Maßregelung darüber, dass das nun nicht mehr ginge, könne und wolle sich der Kunde nicht erlauben. Die Existenz der Firma steht schließlich auf dem Spiel. Also spielt er das – datenschutzrechtlich bedenkliche – Spiel weiter mit.
Das könnte trotz allem die richtige Entscheidung sein. Denn der gesetzliche Rahmen ist das eine, die Rechtsprechung das andere. „Ob und inwieweit man Whatsapp gänzlich verbieten muss oder sollte, wird sich erst in den nächsten Jahren zeigen“, meint Jurist Draheim. „Ein Datenschutz zu 100 % dürfte faktisch nicht umsetzbar sein und kann auch nach der DSGVO nicht gefordert werden.“ Bis dahin heißt es: maximale Vorsicht – oder freie Fahrt auf eigene Faust.