Zwischen Risiko und Notwendigkeit – Messengerdienste im Unternehmen

News

Aus unserem Alltag und auch im unternehmerischen Kontext sind sie kaum wegzudenken, sorgen sie doch für unkomplizierte und schnelle Kommunikation, ganz ohne Scherereien: Messengerdienste wie Signal und WhatsApp haben längst den Alltag erobert. Dass ihr Einsatz datenschutzrechtlich oftmals kritisch zu sehen ist, haben wir bereits in vergangenen Artikeln ausführlich betrachtet. Doch da in den letzten Tagen gleich mehrere Meldungen zu diesem Thema auf unseren Schreibtischen landeten, möchten wir diese Gelegenheit nutzen, über den aktuellen Stand zu berichten.

EU-Parlamentarier dürfen nicht per Messengerdienst „Signal“ kommunizieren

Dass auch im politischen Umfeld gerne mal zur unkomplizierten, schnellen Nachricht gegriffen wird, als sich mit umständlichen E-Mails oder – gottbewahre – einem persönlichen Gespräch aufzuhalten, dürfte heutzutage kaum verwundern.

Man sollte jedoch meinen, dass angesichts der teils vertraulichen Inhalte hier besonders auf die Sicherheit der verwendeten Systeme geachtet werden sollte. Umso mehr verwunderte uns eine kürzlich von netzpolitik.org veröffentlichte Meldung aus dem Europäischen Parlament.

Die Abgeordneten Martin Schirdewan und Manon Aubry, beide Teil der Linksfraktion im EU-Parlament, beantragten vergangene Woche bei der Haustechnik die Installation der Desktop-Version des Messengers „Signal“. Dieser gilt als recht sicher, insbesondere durch die implementierten Verschlüsselungsalgorithmen und die Ausgestaltung als Open-Source. Unterstützung erhielt der Messenger zudem durch Persönlichkeiten wie dem Whistleblower Edward Snowden und WhatsApp-Gründer Brian Acton. Der Wunsch der Abgeordneten erscheint demnach durchaus angebracht und sinnvoll.

Dem Anliegen wurde jedoch überraschenderweise eine Absage erteilt. Hintergrund sei, dass Signal keine Standardsoftware im EU-Parlament sei und zuvor ausgiebig getestet und freigegeben werden müsse. Die Haustechnik empfahl den Parlamentariern daraufhin, die Web-Applikation von WhatsApp zu verwenden.

Angesichts der zahllosen Skandale um Facebook, der zunehmenden Vernetzung der beteiligten Dienste und der nicht von der Hand zu weisenden Gefahr eines Zugriffs US-amerikanischer Behörden, erscheint ein solcher Hinweis als vieles, aber nicht als zeitgemäß. Verschärfend kommt hinzu, dass es sich bei der hier in Frage stehenden Kommunikation nicht etwa um Urlaubsbilder oder Einkaufslisten handelt, sondern um politische Interna direkt aus dem Europäischen Parlament. Die standardmäßige Abwicklung derartiger Kommunikation über einen solchen Messengerdienst mutet angesichts der vorgenannten Problemstellungen geradezu fahrlässig an.

Wie heise nach Veröffentlichung dieses Artikels berichtet, rückte die IT-Abteilung des Parlaments nun von der zuvor geäußerten Empfehlung ab. Man prüfe Signal derzeit. Da dies aber einige Zeit dauern könnte, wird auf „Jabber“ verwiesen. Auch unter dem Kürzel „XMPP“ bekannt, handelt es sich hierbei um ein Protokoll, welches quelloffen, plattformneutral und verschlüsselt ist. Lediglich die Einrichtung ist aufwändiger als bei den üblichen Messengern. Bei Wahl eines zuverlässigen Clients bestehen jedoch weitaus weniger datenschutzrechtliche Bedenken als beim geistigen Bruder von Facebook. Der Jabber-Client „Conversations“ etwa nutzt die GPLv3-Lizenz und enthält ebenfalls eine Ende-zu-Ende-Verschlüsselung. Trotz dieses Kurswechsels überrascht dennoch, dass die IT-Abteilung eines der zentralen Organe der Europäischen Union im Jahr 2019 derart hinter den digitalen Anforderungen der heutigen Zeit hinterher hinkt.

Ein Sicherheitsleck kommt selten allein

Diese Skepsis ist angesichts der geradezu regelmäßig eintreffenden Meldungen über Sicherheitslücken und mehr oder minder großen Skandalen auch durchaus begründet.

GIF als Einfallstor für Malware

So bestand seit Anfang dieses Jahres ein signifikantes Sicherheitsleck beim Messengerdienst WhatsApp, welches dafür sorgte, dass Schadsoftware auf das Endgerät gespielt werden konnte. Einfallstor für die Malware war in diesem Fall ein Exploit der GIF-Bibliothek des Messengerdienstes. Nach Empfang eines infizierten Bewegtbildes erlangt der Angreifer umfassende Zugriffsrechte, sobald der Nutzer das nächste Mal auf die Bibliothek zum Versand eines eigenen Bildes zugreift. Eine detaillierte Beschreibung und ein aufschlussreiches Beweisvideo veröffentlichte TheHackerNews.

Die Sicherheitslücke wurde zwischenzeitlich durch ein Update behoben.

Auch Signal hört zuweilen mit

Doch auch Signal ist nicht gänzlich frei von Skandalen und Sicherheitslecks. Ein Ende September entdeckter Fehler in der „Anrufen“-Funktion in der Android-Version ermöglichte es einem potenziellen Angreifer, den Anruf ohne Kenntnis des Angerufenen selbst anzunehmen. Hierdurch bestand für den so Angerufenen die Gefahr, unerkannt abgehört zu werden.

Auch dieser Fehler wurde mittlerweile behoben.

WhatsApp: Riskante Bequemlichkeit

Angesichts der zahlreichen Unwägbarkeiten und der fortlaufend auftretenden Sicherheitslücken wird deutlich, dass der Einsatz von WhatsApp genau durchdacht werden sollte. Insbesondere im unternehmerischen Kontext liegen die Vorteile einer weit verbreiteten und unkomplizierten Möglichkeit der Kommunikation auf der Hand. Auch für die Korrespondenz mit Kunden bietet sich die unkomplizierte Kontaktaufnahme mehr als an.

Oftmals werden die Risiken die Vorteile jedoch bei weitem überwiegen. Neben den bekannten Problemen wie den bislang unklaren Zugriffsmöglichkeiten seitens US-Behörden und der Übermittlung von Metadaten an Facebook stellen sich weitere Hürden.

  • Eine unternehmens-, bzw. teaminterne Verwendung des Dienstes – selbst wenn diese Nutzung freiwillig erfolgt – kann leicht dazu führen, dass Mitarbeiter den Dienst aus schlichter Notwendigkeit nutzen müssen. Eine Wahlmöglichkeit besteht nämlich faktisch kaum, wenn das gesamte Team mittels dieses Dienstes kommuniziert. Eine Verletzung des Rechts auf informationelle Selbstbestimmung des Mitarbeiters liegt hier nicht fern, da in diesem Fall eine Verarbeitung personenbezogener Daten nicht nur durch den Arbeitgeber, sondern auch durch Dritte erfolgt.
  • Darüber hinaus kann nicht ausgeschlossen werden, dass durch die „Online/Offline“-Anzeige eines Mitarbeiter-Accounts und die dadurch eröffnete Möglichkeit der Kontrolle eine Mitbestimmungspflicht des Betriebsrates gem. § 87 Abs. 1 Nr. 6 BetrVG begründet wird.
  • Verwendet bei einem Gruppenchat jedenfalls einer der Teilnehmer noch einen älteren Client, der die relativ neu eingeführte Ende-zu-Ende-Verschlüsselung nicht unterstützt, so erfolgt auch hier die gesamte Konversation unverschlüsselt.
  • Letztlich steht regelmäßig eine Verletzung von Art. 25 DSGVO im Raume, wonach der Verantwortliche „sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z. B. Pseudonymisierung – [trifft], die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen“.

Dass die Wahl eines Dienstes wie WhatsApp zumindest den Grundsatz der Datenminimierung nicht wahren dürfte, liegt hierbei auf der Hand.

Fast immer ist eine Risikoabwägung erforderlich

In vielen Unternehmen stellt sich die Frage, „ob“ ein Messenger dienstlich Verwendung findet, oftmals nicht mehr. Zu wichtig und zu etabliert sind bereits gefundene Lösungen. Vielmehr geht es um die Frage, „wie welcher“ Dienst eingesetzt wird. Bei der Entscheidung sind insbesondere die Sensibilität der übermittelten Daten, die Unternehmensstruktur und das Geschäftsfeld in die erforderliche Abwägung einzubeziehen.

Flankiert werden sollte ein Einsatz auch immer durch entsprechende Richtlinien und Dienstanweisungen, um bestehenden Risiken bestmöglich entgegenwirken zu können. Dies gilt umso mehr, da viele Sicherheitslücken durch regelmäßige Updates eingedämmt werden können.

Das Thema ist für Sie oder in Ihrem Unternehmen relevant und Sie möchten Ihre Kompetenzen erweitern? Informieren Sie sich hier über unser Seminarangebot. Mit dem Code „DR. DATENSCHUTZ“ erhalten Blogleser 15% Rabatt auf die Seminare, vorerst gültig bis zum 31.12.2019

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

3 Kommentare zu diesem Beitrag

  1. Hallo Dr. Datenschutz, wäre bei einem Einsatz von Messengern durch ein Unternehmen nicht sogar auch das Thema AV-Vertrag/gemeinsame Verarbeitung relevant? Soweit der Einsatz zu dienstlichen Zwecken erfolgt dürfte doch wohl mindestens eine Verantwortlichkeit des einsetzenden Unternehmens vorliegen. Kann ein Unternehmen das überhaupt tun, da viele Anbieter der Messenger sogar eine reine Privatnutzung in den Nutzungsbedingungen verankert haben.

    Vielen Dank!

    • Vielen Dank für diesen Kommentar. In der Tat ist der Aspekt der datenschutzrechtlichen Verantwortlichkeit hier insbesondere aus Gründen des Umfangs nicht angesprochen worden. Dieses Thema eignet sich tatsächlich eher als alleiniger Aufhänger eines Artikels. Wenn der Einsatz des Messengers tatsächlich durch das jeweilige Unternehmen erfolgt (beispielsweise zur Kundenbindung) oder intern ggf. zur Koordinierung im Team angeordnet wird, ist hier sicherlich auch eine Verantwortlichkeit des Unternehmens zu prüfen. Je nach Messenger würde dann wohl – wie Sie richtig feststellen – ein AV-Verhältnis oder eine gemeinsame Verantwortlichkeit bestehen.

      Beispielsweise sieht sich WhatsApp Business als Auftragsverarbeiter, wie aus den „Datenverarbeitungsbedingungen“ hervorgeht: https://www.whatsapp.com/legal/business-data-processing-terms
      Ob dies auch den Tatsachen entspricht, oder ob durch die eigenständige Nutzung der entstehenden Daten durch Facebook nicht viel eher eine gemeinsame Verantwortlichkeit begründet wird, müsste zu einer anderen Zeit intensiver betrachtet werden. Vielen Dank für diesen Anstoß.

      Auch der Hinweis auf mögliche Verstöße gegen die Nutzungsbedigungen sind richtig. So verbietet WhatsApp beispielsweise die nicht-private Nutzung, „es sei denn, dies wurde von uns genehmigt.“. Dies ist beispielsweise bei einer Verwendung von „WhatsApp Business“ aber der Fall.

      In Betracht kommt allerdings auch eine unternehmensweite Nutzung, die nicht durch das Unternehmen initiiert oder gefordert wird. Man denke zum Vergleich nur an privat organisierte WhatsApp-Gruppen in Kitas oder Schulen. Hier müsste bei Kenntnis von einer Nutzung zu diesen Zwecken geprüft werden, ob man dies nicht in internen Richtlinien untersagt oder zumindest einschränkt.

  2. In diesem Fall wäre doch Delta Chat delta.chat/de/ der Messenger der Wahl. Es sieht aus wie ein Messenger, funktioniert wie ein Messenger, ist Plattform unabhängig.

    Aber defacto ist es E-Mail die mit Hilfe von Autocrypt un PGP unauffällig im Hintergrund verschlüsselt.

    Genau das wollen die Parlamentatier doch. E-Mail so einfach wie Signal oder WhatsApp.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.