Persönliche Daten benötigen einen besonderen Schutz. Das hat die Europäische Union erkannt und die entsprechende Datenschutzverordnung erarbeitet. Da sie in erster Linie der Sicherung der persönlichen Daten natürlicher Personen dient, ergeben sich für Unternehmen einige rechtliche Problemstellungen.
So benötigt das Unternehmen für die Verarbeitung dieser persönlichen Informationen sowie deren Weitergabe eine eindeutige und bindende Willenserklärung des Betroffenen. Verstößt die Firma gegen die in der DSGVO festgelegten Regeln, folgen empfindliche Strafen. Ein sehr sensibler Bereich ist beispielsweise der kostenlos angebotene Messengerdienst WhatsApp.
Welcher Zusammenhang besteht zwischen der DSGVO und den kostenlosen Apps?
Persönliche Daten benötigen einen besonderen Schutz. Das hat die Europäische Union erkannt und die entsprechende Datenschutzverordnung erarbeitet. Seit 2018 wird sie von allen europäischen Ländern in die jeweilige nationale Judikative eingebunden. Da sie in erster Linie der Sicherung der persönlichen Daten natürlicher Personen dient, ergeben sich für Unternehmen einige rechtliche Problemstellungen. So benötigt das Unternehmen für die Verarbeitung dieser persönlichen Informationen sowie deren Weitergabe eine eindeutige und bindende Willenserklärung des Betroffenen.
Verstößt die Firma gegen die in der DSGVO festgelegten Regeln, folgen empfindliche Strafen. Sie reichen von einigen Hundert bis zu zwanzig Millionen Euro. Ein sehr sensibler Bereich ist beispielsweise die kostenlos angebotene WhatsApp. Während große Konzerne eigene Rechtsabteilungen mit den Prüfungen und Klärungen beauftragen können
, bleibt dem KMU nur der Berater, um gravierende Folgen vom eigenen Unternehmen abzuwehren. Unter den KMU lassen sich Kleinstunternehmen, Kleinunternehmen und Mittlere Unternehmen zusammenfassen. An dieser Stelle kommt der Datenschutz Nordost ins Spiel. Seine Berater in Mecklenburg-Vorpommern und Rostock sind versierte Juristen und IT-Spezialisten. Sie kennen die Apps, die auf Smartphones, Tablets und Computern eingesetzt werden. Besondere Gefahren und Risiken gehen von diesen Geräten und Anwendungen aus, wenn sie sowohl betrieblich als auch privat genutzt werden und die Datenbanken gemischte Datensätze enthalten. Um diesen ernstzunehmenden Risiken wirkungsvoll zu begegnen, entwickeln die IT-Profis Vorschläge und Abwehrstrategien. Das Ziel ihrer Arbeit besteht im rechtssicheren und digitalen Datenaustausch, der jederzeit mit den Verordnungen der DSGVO konform geht.
Grundliegendes zur Datenverarbeitung mit Messengerdiensten
Nachrichtendienste wie die WhatsApp Inc. bieten kostenlose Apps an. Mit ihnen können sowohl geschäftliche als auch private Informationen scheinbar problemlos ausgetauscht werden. Als Instrumente dienen Smartphones, Handys und Tablets. Gleichgültig, ob es sich um zwei Personen oder eine Gruppe handelt, der Datenaustausch verläuft jeweils über einen Dienst, der alle Telefonnummern, Namen und Mail-Adressen auf seinem eigenen Server sammelt. Seit der Einführung der DSGVO können auf diesen Gebieten zahlreiche Fehler gemacht werden. Betroffen sind sowohl die Telefon- als auch die Chatfunktionen.
Sobald der Arbeitgeber, seine Mitarbeiter und Geschäftspartner die App zur beruflichen Kontaktpflege nutzen, unterliegen sie dem Regelwerk der DSGVO. Die Verordnung legt fest, dass die persönlichen Daten von natürlichen Personen nicht ohne deren ausdrückliche Einwilligung weitergegeben werden dürfen.
Besonders wichtig ist Art. 28 der aktuellen DSGVO. Er beschäftigt sich mit der Auftragsdatenverarbeitung oder AV. Erhält ein KMU die personenbezogenen Daten eines potenziellen oder aktuellen Kunden, so darf er diese nicht einfach im Rahmen von Marketingmaßnahmen verwerten oder an einen Datenbroker verkaufen. Meistens werden Adressen oder weiterführende Informationen des Kunden im Rahmen von Bestellungen oder Gewinnspielen eingeholt. Möchte das Unternehmen diese Daten für weitere werbewirksame Transaktionen einsetzen, benötigt es die einschlägige Zustimmung des Kunden. Für diesen Zweck erstellt das Unternehmen einen gesonderten elektronischen Vertrag, dem der Betreffende mit dem Setzen eines Hackens zustimmt. Das betreffende Feld ist wiederum mit einem Link zur Datenschutzerklärung verbunden.
Handelt es sich um einen Vertrag mit einem Geschäftspartner, benötigt das KMU eine eindeutige schriftliche Erklärung. In dieser unterschreibt der Partner, dass er über die Bedingungen der DSGVO aufgeklärt worden ist. Liegt die Einwilligung schriftlich vor, kann der Unternehmer die Daten auch per App nutzen.
Die Mitarbeiter der Datenschutz Nordost in Rostock und Mecklenburg-Vorpommern finden alle existenziell wichtigen Anwendungsfälle und bieten gezielte Lösungen an. Selbstverständlich nehmen sie auf Wunsch des Kunden die entsprechenden Änderungen vor.
Welche Risiken sind mit der Nutzung von WhatsApp verbunden?
Das Tochterunternehmen von Facebook stellt die App kostenlos zur Verfügung. Im Gegensatz zu den kostenpflichtigen Alternativen klingt das verlockend. Doch hier liegt auch das Problem. Es offenbart sich, wenn der Anwender das Kleingedruckte aufmerksam liest. Die App ist stets mit ihrem Nachrichtendienst verbunden. Der Konzern veräußert die so gesammelten Informationen an zahlungskräftige Unternehmen. Wann und wie diese Transaktionen erfolgen, behält sich die Gesellschaft vor. Die Werbung sowie die Verkaufserlöse sind Grundlagen für die kostenlose Verfügbarkeit der Apps. Internationale Abkommen ermöglichen dem Konzern jedoch die Weitergabe in Länder außerhalb der EU. Innerhalb der Europäischen Gemeinschaft verstoßen diese Verfahren jedoch meistens gegen die DSGVO.
Die App ist über das Internet mit ihrem Serverdienst verbunden. Werden auf dem Smartphone oder Tablet Daten im Adressbuch oder in einer anderen Datenbank gespeichert, gleicht die App diese Informationen zeitnah mit den Bestandsdaten ihres Hauptservers ab. Sollten diese Daten auf dem Hauptserver noch fehlen, dann werden sie ergänzt. Auf diesem Weg verfügt das Unternehmen, das die kostenlose App zur Verfügung stellt, über die gleichen Datenbestände wie der Nutzer des Smartphones.
“Damit widerspricht WhatsApp dem Anforderungsprofil der DSGVO, sofern es sich um geschäftliche Aktivitäten handelt.”
Beispiel aus Rostock
Am besten lässt sich dieser Vorgang an einem Beispiel aus Rostock verdeutlichen.
Hier hat die Firma Computer X GmbH ihren Sitz. Das Unternehmen setzt auf seinen Diensthandys die jeweiligen kostenlosen Apps ein. Sowohl der Geschäftsführer als auch seine Mitarbeiter speichern auf den Geräten unterschiedliche Kontaktdaten ab. Hierzu gehören auch die Kundendaten von Harry G, der nur einen Kostenvoranschlag brauchte, jedoch niemals bei der Computer X GmbH einen PC oder ein anderes Produkt bestellt hat.
An einem Freitag schreibt die Mitarbeiterin Frau Birgit C ihren Mann eine SMS, um noch einige Einkäufe für das Wochenende anzuregen. Die Daten der Anrufe oder SMS von Harry G und Birgit C
, die eigentlich nichts mit dem Unternehmen zu tun haben, werden an den Server der App gesandt. Der Transfer findet ohne die Einwilligung zur Verarbeitung der persönlichen Daten statt.
Nun benötigt der Geschäftsführer der Computer X GmbH von allen auf den Handys gespeicherten Ansprechpartnern zeitnah ihre schriftlichen Einwilligungen. Dazu kommt ein schriftlicher Vertrag mit dem Anbieter der App, der die Konformität zur DSGVO rechtssicher regelt. Diese Aufgabe stellt den Geschäftsführer vor ein fast unüberschaubares finanzielles Risiko, dem er nur mit erfahrenen Experten begegnen kann.
Um die passenden Lösungen und Alternativen kümmern sich die Mitarbeiter des Netzwerks Datenschutz Nordost. Sie sitzen in Mecklenburg–Vorpommern in Güstrow, Rostock und Neubrandenburg und verfügen über individuelle und maßgeschneiderte Apps, Verträge und Softwarelösungen, die sie an die Bedürfnisse des Unternehmens anpassen.
Threema – die kostenpflichtig und zuverlässig Alternative
Während die App von Facebook als fleißige Datensammlerin unkontrolliert persönliche Informationen an ihren Nachrichtendienst weitergibt, bietet die Konkurrenz schon die sichere und kostenpflichtige Alternative. Diese verschlüsselt und anonymisiert die personenbezogenen Datensätze in einem eigenen Verzeichnis, das keinen Abgleich mit dem Hauptserver vorsieht. Threema ist hierfür ein überzeugendes Beispiel. Da die Schweizer Firma ihre Threema-App ohne Werbung finanziert, ist sie auch kostenpflichtig.
Ihr Name leitet sich aus der Verschlüsselung des benutzten Systems ab. Dabei liegen ihre Schwerpunkte auf den Gebieten Sicherheit und Privatsphäre. Besonderes Lob haben die Programmierer verdient, die die Vorschriften und rechtlichen Bestimmungen der DSGVO in ihre App integrieren. Der Funktionsumfang ist dementsprechend umfangreich. Dazu gehören neben den Standards weitere interessante Optionen. Mit ihren können Unternehmen Umfragen erstellen, telefonieren und über den Chat ihren Bekanntheitsgrad steigern.
Außerdem entfallen die Eingaben der Handynummer und E-Mail-Adresse. Stattdessen wird gleich bei der Anmeldung eine zufällige Identifikationsnummer vergeben. Ein wesentlicher Vorteil besteht in der direkten Verwaltung der Kontaktdaten. Threema greift nur auf die Datensätze innerhalb der Kontaktdatenbank des Smartphones zu. Nach dem Ende des jeweiligen Kontaktes werden alle Datenspuren unverzüglich gelöscht. Es bleiben nur die Informationen erhalten, die gezielt ins Adressbuch eingetragen werden soll.
Fazit
Der Einsatz der von Facebook kostenlos bereitgestellten App ist bei geschäftlichen Transaktionen meistens nicht konform zur DSGVO. Auch im privaten Bereich gibt es jedoch Einschränkungen. Um die innerhalb der Firma eingesetzten Handy an die Richtlinie der Datenschutzbehörde anzupassen, bedarf es IT-Spezialisten und rechtskundige Berater. Mittlerweile etablieren sich kostenpflichtige Konkurrenten auf dem Markt, deren Apps mit datenschutzkonformen Verschlüsselungsvarianten ausgestattet sind. Für eine geringe Gebühr lassen sich so strafrechtliche Probleme umgehen, die sowohl kostenintensiv als auch existenzbedrohend sein können.