Schutz beruflicher Kontakte vor WhatsApp & Co.

Wenn Mitarbeiter Messaging-Apps aus dem Consumer-Umfeld auf ihren beruflich genutzten Smartphones verwenden, drohen Unternehmen unter Umständen Abmahnungen und drakonische Strafen. Mehr zu den Risiken, aber auch Gegenmaßnahmen erfahren Sie hier. [...]

Spätestens seit der Diskussion um ByoD dürfte klar geworden sein, dass die häufig geduldete berufliche Nutzung von privaten Smartphones nicht ganz unproblematisch ist. Aber auch die gemäßigte Variante COPE (Corporate-owned, personally enabled), bei der Mitarbeiter Firmengeräte privat einsetzen dürfen, birgt unter Umständen rechtliche Fallstricke. Dies gilt unter anderem dann, wenn die Nutzer Social-Media- und Chat-Anwendungen aus dem Consumer-Umfeld, wie WhatsApp, auf den Geräten verwenden.
ABMAHNFALLE WHATSAPP?
Das Problem bei WhatsApp & Co.: Die Messenger-Lösung verlangt – wie übrigens zahlreiche andere Consumer-Apps auch – den Zugriff auf die Kontaktdaten und speichert sie zum Datenabgleich auf eigenen Servern in der Cloud.
Damit droht gleich in zweifacher Hinsicht Unheil: So entschied im Mai 2017 das Amtsgericht Bad Hersfeld (Az. F 111/17 EASO), dass allein die Nutzung von WhatsApp gegen das deutsche Datenschutzrecht verstößt. Begründet wurde das Urteil unter anderem damit, dass die App sämtliche Kontaktdaten aus den Smartphones der Nutzer an die WhatsApp Inc. weiterleitet, ohne jedoch die ausdrückliche Zustimmung der Betroffenen einzuholen:
„Wer durch seine Nutzung von „WhatsApp“ diese andauernde Datenweitergabe zulässt, ohne zuvor von seinen Kontaktpersonen aus dem eigenen Telefon-Adressbuch hierfür jeweils eine Erlaubnis eingeholt zu haben, begeht gegenüber diesen Personen eine deliktische Handlung und begibt sich in die Gefahr, von den betroffenen Personen kostenpflichtig abgemahnt zu werden.“
Zugegeben: Bei der zugrundeliegenden Klage vor dem Amtsgericht Hersfeld handelte es sich um einen Sorgerechtsprozess, in dessen Mittelpunkt die Kontrollpflichten von Eltern bei der WhatsApp-Nutzung von Kindern standen. Entsprechend schwer ist, das Urteil auf die Nutzung von WhatsApp ins Unternehmensumfeld zu übertragen. Die nach dem Urteil in den Medien prophezeite Abmahnwelle hat zumindest bislang noch nicht eingesetzt.
NICHT DSGVO-KONFORM
Eine größere Gefahr droht aber (womöglich) mit dem Inkrafttreten der DSGVO Ende Mai 2018: Mit der neuen Datenschutzgrundverordnung wird das Datenschutzrecht EU-weit vereinheitlicht, was unter anderem eine erweitere Haftung der Geschäftsleitung von Unternehmen nach sich zieht. Darüber hinaus erhöhen sich die Strafen für deutlich. Bei einem Verstoß droht ein Bußgeld von bis zu 4 Prozent des weltweiten Umsatzes (Konzernverbund als Maßstab) oder 20 Millionen Euro.
WhatsApp & Co. entsprechen gleich in mehrerlei Hinsicht nicht den Datenschutzbestimmungen der DSGVO. Wenn über das Smartphone eines Mitarbeiters so sensible Daten wie Mail-Adresse oder Mobilfunknummer von Kunden in die Cloud (und womöglich in die USA) übertragen werden, kann ein Unternehmen weder das von der DSGVO geforderte „Recht auf Information“ erfüllen noch die Daten auf Wunsch des Kunden komplett löschen (Recht auf Vergessen werden).
DATENVERLUST STOPPEN – WAS TUN?
Gerade in Hinblick auf die wirksam werdende EU-Datenschutz-Grundverordnung und den damit verbundenen drakonischen Strafen kann man nicht oft genug wiederholen, wie wichtig der Schutz personenbezogener Daten auf mobilen Endgeräten ist. Das Thema ist nicht zu unterschätzen: Einer aktuellen IDC-Umfrage zufolge können im Schnitt 30 Prozent der Belegschaft in deutschen Firmen mittels Smartphone oder Tablet auf Kundendaten zugreifen – und diese sind neben Mitarbeiter- oder Lieferanteninformationen nur ein Teilbereich personenbezogener Daten.
Dennoch gibt es nach wie vor Organisationen, die auf den Einsatz einer Mobile-Device-Management- oder Enterprise-Mobility-Management-Lösung scheuen. Laut IDC-Studie wird jedes dritte mobile Gerät mit Zugriff auf Kundendaten nicht verwaltet. IT-Entscheider müssten den Schutz personenbezogener Firmendaten insbesondere auf privaten Devices dringend in den Griff bekommen, mahnen die Marktforscher entsprechend, sonst werde die DSGVO-Compliance nicht zu halten sein.
Zumindest bei Firmengeräten war bislang der klassische Lösungsansatz, die Mitarbeiter nicht nur über die drohenden Risiken von WhatsApp & Co. zu informieren, sondern mit Hilfe einer einschlägigen MDM- oder EMM-Lösung (Holzhammer-Methode) die Installation von kritischen Apps zu verhindern. Dies ist möglich durch den Einsatz von Black- oder Whitelisting-Funktionen oder – rigoroser – gleich die öffentlichen App-Stores zu sperren. In der Praxis dürften beide Möglichkeiten allerdings bei Smartphones, die für die private Nutzung freigegeben wurden, nur bedingt umsetzbar sein.
SecurePIM Office richtet auf dem Smartphone oder Tablet einen geschützten Bereich für sensible Geschäftsdaten ein. (c) Virtual Solution
Anwenderfreundlicher und moderner ist die Option, die Kundendaten – ebenfalls über eine EMM-Lösung oder etwa die Container-App SecurePIM Office – in einem geschützten Bereich auf dem Mobilgerät einzuschließen. Die getrennte Verwaltung von dienstlichen und privaten Kontakten auf dem Smartphone ist in der Praxis allerdings nur unter Einbußen an Komfort und Bedienbarkeit möglich. Unter anderem geht in der Regel, wenn nicht wie bei SecurePIM unter iOS das CallKit-Framework integriert ist, die Rufnummernidentifizierung verloren.
Eine interessante – und mit 4.99 Euro auch sehr günstige – Lösung für das WhatsApp-Problem bietet die App SecureContact Pro von der Karlsruher Firma Mobile Box. Die für iOS verfügbare App (eine Android-Version ist in Arbeit) fungiert als sicherer Safe für private und berufliche Kontakte und soll eine datenschutzkonforme, sichere Nutzung von WhatsApp sowohl im privaten als auch im geschäftlichen Umfeld ermöglichen. In diesem Fall wird nur die Telefonnummer an das jeweilige Tool übergeben, ohne dass dabei der restliche Datensatz offengelegt wird. Als weiteres Feature bietet die App einen Urlaubsmodus, bei dem der Anwender an seinen freien Tagen für dienstliche Kontakte nicht erreichbar ist – es sei denn, er schaltet einzelne Kontakte frei.
Mit SecureContact Pro werden die geschäftlichen (und privaten) Kontakte vor allzu wissbegierigen Apps geschützt. (c) Mobile Box

WHATSAPP: KEINE KOMMERZIELLE NUTZUNG ERLAUBT
Im Zusammenhang mit WhatsApp und Facebook im Business ist noch ein weiteres Problem zu nennen. So hat sich grade WhatsApp wegen seiner weiten Verbreitung und der einfachen Bedienbarkeit als beliebtes Tool für die Organisation in Arbeitsgruppen, mit internen Kollegen, aber auch freien Mitarbeitern. Wie ein Blick in die jeweiligen AGB verrät, schließen WhatsApp und Facebook die kommerzielle Nutzung ihres Messengers jedoch aus, eigentlich dürften diese nur mit expliziter Zustimmung verwendet werden.
Auch wenn das Abmahn-Risiko von Rechtsexperten allgemein als gering eingestuft wird (WhatsApp droht bei missbräuchlicher Nutzung lediglich mit einer Sperrung des Accounts), kann es gerade mit Blick auf die DSGVO nicht schaden, auf Nummer Sicher zu gehen und den Mitarbeitern ein Enterprise Messaging Tool anzubieten – dieses sollte selbstverständlich nicht nur professionell und sicher sein, sondern auch eine vergleichbare Usability wie die beliebten Messaging-Apps aus dem Consumer-Umfeld bieten.
*Manfred Bremmer beschäftigt sich für die Computerwoche mit (fast) allem, was in die Bereiche Mobile Computing und Communications hineinfällt


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*