Gefahrenquelle Mitarbeiter-Handy

Auswege aus der WhatsApp-Falle

| Autor / Redakteur: Andreas Peter / Andreas Donner

Nicht nur in Sachen DSGVO ein Problem: unkontrollierte Nutzung von Firmenkontakten bspw. auf dem Handy.
Nicht nur in Sachen DSGVO ein Problem: unkontrollierte Nutzung von Firmenkontakten bspw. auf dem Handy. (Bild: C4B Com For Business)

Während die Angst vor einem Hacker-Angriff so manchem CIO schlaflose Nächte bereitet, spazieren zigtausend Datensätze jeden Tag ungerührt aus dem Unternehmen – auf den Smartphones der Mitarbeiter. Ein großes Risiko! Aber auch die bloße Synchronisation der Kontakte mit dem Handy bei gleichzeitiger Nutzung von WhatsApp oder Facebook ist ein massiver Verstoß gegen das Bundesdaten­schutzgesetz und damit ein enormes Problem für Unternehmen.

Jeder Bürger hat das Recht, selbst zu entscheiden, wer welche Informationen über ihn erhält. Dieser Grundsatz der informellen Selbstbestimmung ist zwar alles andere als neu. Aber wenn am 25. Mai 2018 die EU-Datenschutz-Grundverordnung in Kraft tritt, wird er stärker denn je in das öffentliche Bewusstsein rücken.

„Das Recht auf informelle Selbstbestimmung hat bislang oft einen eher theoretischen Charakter: Denn wie soll ein Bürger sein Recht einfordern, wenn er gar nicht wissen kann, welches Unternehmen Daten von ihm gespeichert hat?“, fragt Datenschutzspezialist René Rautenberg. Rautenberg ist bundesweit als Externer Datenschutzbeauftragter tätig und berät in dieser Funktion Unternehmen in allen Belangen rund um die Einhaltung der aktuellen Datenschutz-Vorgaben und -Richtlinien.

Genau hier setzt die EU-Datenschutz-Grundverordnung an. Neue Transparenz- und Informationspflichten für Unternehmen sollen zu einem deutlich besseren Schutz personenbezogener Daten führen. Ein Beispiel hierfür ist das Informationsrecht: Betroffene müssen demnach schon bei der Datenerhebung über Zweck, Rechtsgrundlage, Dauer der Speicherung und Beschwerde-Möglichkeiten informiert werden. Parallel zur Ausweitung der Unternehmens-Pflichten werden die Bußgelder und Sanktionen verschärft, mit denen mögliche Verstöße geahndet werden. Geldbußen können künftig bis zu 20 Millionen Euro oder – je nachdem, welches der höhere Wert ist – bis zu 4 Prozent des weltweit erzielten Jahresumsatzes betragen.

Sensibilität für Datenschutz-Verstöße steigt

Drohen also bald drakonische Strafen schon für kleinste Verstöße? „Keineswegs“, zeigt sich Rautenberg überzeugt. „Die Neuregelung soll sicherstellen, dass es auch gegen große Konzerne ein wirkungsvolles Sanktions-Instrument gibt, wenn wiederholt massive Verstöße festgestellt werden.“ Die Herausforderung, die die neue Regelung für Unternehmen bedeutet, sieht der Datenschutz-Spezialist an ganz anderer Stelle: „Es sind nicht die hohen Strafen, die für Unternehmen künftig zum Problem werden können. Es ist vielmehr die erhöhte Sensibilität seitens der Betroffenen.“ Wenn diese bald mit jeder Newsletter-Anmeldung über die Verarbeitung ihrer Daten in Kenntnis gesetzt und über die zuständige Beschwerdestelle informiert werden, wird das Bewusstsein für die eigenen Rechte – und die Möglichkeiten, diese einzufordern – aller Voraussicht nach deutlich geschärft.

Unternehmen tun also gut daran sich zu rüsten – und ihre IT-Infrastruktur, Prozesse und Datenschutz-Richtlinien penibel auf etwaige Verstöße zu prüfen. Denn Gefahr droht von vielen Seiten. Zum Beispiel von den unzähligen Smartphones der Mitarbeiter. So sind auf nahezu jedem Smartphone diverse Apps installiert, die Zugriff auf das vollständige Adressbuch verlangen. Wo im privaten Umfeld schon Vorsicht geboten ist, wird es gefährlich, wenn Unternehmenskontakte auf dem Mobil-Telefon des Mitarbeiters gespeichert sind. Mitarbeiter, die zum Beispiel ihre Outlook-Kontakte synchronisieren oder auch einzelne Kontakte manuell übertragen, begehen einen massiven Verstoß gegen das Datenschutz-Gesetz, wenn sie gleichzeitig einen Messenger wie WhatsApp auf ihrem Telefon installiert haben.

So kommt das Bayerische Landesamt für Datenschutzaufsicht zu dem Schluss, dass WhatsApp auf dienstlichen Geräten gleich aus mehreren Gründen nicht datenschutzkonform eingesetzt werden kann: „Die Datenschutz-Behörde beanstandet nicht nur, dass das komplette Adressbuch hochgeladen wird, sondern auch, dass der Server in den USA steht“, erläutert Rautenberg. So sei grundsätzlich von einer unbefugten Erhebung und Verarbeitung personenbezogener Daten auszugehen.

Risiko-Faktoren „BYOD“ & Bluetooth

Kann das Unternehmen bei dienstlichen Telefonen noch direkten Einfluss auf die installierbaren Apps nehmen, gibt es bei Konzepten wie „Bring your own Device“ praktisch keine Möglichkeit, den fremden Zugriff auf Unternehmens-Kontakte durch Apps von Drittanbietern zu unterbinden. „Sogar wenn es einem Unternehmen gelänge, alle Apps, die das Adressbuch des Nutzers auslesen, konsequent zu blocken, droht direkt die nächste Ausspäh-Gefahr: das Auto“, hebt Rautenberg hervor. Denn Autos werden mit Bluetooth, WLAN und NFC zwar immer mehr zur digitalen Schnittstelle – aber in die Sicherheit dieser Schnittstellen investieren die Hersteller bislang kaum.

Macht man sich bewusst, dass alle Daten, die sich erst einmal auf dem Telefon befinden, praktisch nicht mehr wirkungsvoll geschützt werden können, dann ist die logische Konsequenz, die Daten erst gar nicht auf das Smartphone zu übertragen. Die Crux: Natürlich ist es im Interesse der Unternehmen, dass Mitarbeiter auch mobil – ob auf dem Weg zur Arbeit oder beim Kunden – auf Firmenkontakte zugreifen können.

Diese „Quadratur des Kreises“ – Kontaktdaten verfügbar zu machen, ohne sie auf dem Endgerät zu speichern – gelingt über einen zentralen Verzeichnisdienst. Über diesen lassen sich die Kontaktdaten aus verschiedensten Anwendungen wie z.B. Outlook/Notes, ERP-, CRM- oder Buchhaltungs-System bündeln. Optimal geeignet hierfür ist ein LDAP-Server, vergleichbar dem Active Directory (AD). Da das AD allerdings ausschließlich Mitarbeiter-Informationen beinhaltet und keine Daten aus externen Quellen indizieren kann, muss ein zusätzlicher Verzeichnisdienst aufgebaut werden. Zugriffssteuerung und Berechtigungen für diesen zentralen Dienst lassen sich im Weiteren dennoch über das Active Directory steuern.

Der Vorteil von LDAP: Praktisch alle Anwendungen und Clients können auf LDAP zugreifen. Die Kontaktdaten können also nicht nur von unterschiedlichsten PC-Clients wie Skype for Business, Jabber oder XPhone aufgerufen werden, sondern ebenso vom Festnetz- oder Mobiltelefon. Dabei übernimmt der LDAP-Server als zwischengeschaltete Instanz die Funktion eines „Gatekeepers“, weil er den direkten Zugriff auf die sensiblen Originaldaten verhindert. So können Unternehmen gewährleisten, dass Mitarbeiter jederzeit Zugriff auf die aktuellsten Kontaktdaten haben, und gleichzeitig sicherstellen, dass diese Daten weder von einer App noch über eine Bluetooth-Anbindung ausgelesen werden.

Sichere Chat-Alternative schaffen

Ein zentrales Verzeichnis aller Kontakte, das auf dem Unternehmens-Server gespeichert und durch mehrere Firewalls solide geschützt ist, löst einen wichtigen Teil des Problems, aber dennoch nur einen Teil. „Aus Datenschutz-rechtlicher Perspektive sind nicht nur die Kontaktdaten problematisch“, erklärt Rautenberg. „Sondern vor allem natürlich auch die Inhalte, die über Messenger wie WhatsApp verschickt werden.“

Als Beispiel nennt Rautenberg Krankenpflegedienste: „Hier haben wir durchaus schon erlebt, dass Mitarbeiter in der mobilen Pflege Patienten-Informationen via WhatsApp an die Zentrale senden, wo die Daten dann ins System eingepflegt werden.“ Auch medizinische Unterlagen würden regelmäßig via WhatsApp versandt: Verschickt aber z.B. ein Zahnarzt Röntgenaufnahmen eines Patienten an die Zahntechnik geht dies weit über einen Datenschutz-Verstoß hinaus: Da hier die ärztliche Verschwiegenheitspflicht verletzt wird, droht nicht nur ein empfindliches Bußgeld, sondern sogar der Verlust der Approbation.

Natürlich können Unternehmen in ihren Richtlinien verbieten, dass Betriebs-Interna oder Informationen, die dem Datenschutz unterliegen, via WhatsApp verschickt werden. Aber was, wenn genau dieser Austausch zwischen Mitarbeitern im Büro und Mitarbeitern im Außendienst seitens des Unternehmens gewollt ist? In diesem Fall sollte das Unternehmen einen sicheren Chat-Kanal schaffen, der ausschließlich für die dienstliche Kommunikation gedacht ist.

Eine entsprechende Alternative bieten Unified Communications-Lösungen, deren Funktionsumfang sowohl das Feature Chat als auch eine Smartphone-App beinhalten. Vorausgesetzt die Kommunikation wird gemäß aktuellen Verschlüsselungsverfahren geschützt, kann so ein sicherer Austausch zwischen Zentrale und mobilen Mitarbeitern stattfinden. Gleichzeitig kann so gewährleistet werden, dass die vertraulichen Inhalte ausschließlich auf heimischen Servern gespeichert werden, die den deutschen bzw. europäischen Datenschutz-Richtlinien unterliegen. Optimalerweise lassen sich beide Datenschutz-relevanten Faktoren – die Sicherheit des Chat-Contents ebenso wie die Integrität der Kontaktdaten – verbinden. Zum Beispiel über eine Kommunikations-App, die sowohl eine Chat-Funktion bereitstellt als auch einen Zugriff auf die Server-seitig gespeicherten Unternehmens-Kontakte ermöglicht.

Andreas Peter.
Andreas Peter. (Bild: C4B Com For Business)

„Man mag in den letzten Jahren den Eindruck gewonnen haben, die Kunden hätten sich daran gewöhnt, dass ihre Daten oft großzügig genutzt und selten in erforderlichem Maße geschützt werden“, konstatiert Rautenberg. „Diese Laissez-faire-Haltung dürfte sich mit dem neuen Datenschutzgesetz sukzessive ändern. Schlussendlich muss es nicht einmal ein Kunde sein, der sich beschwert. Ein Unternehmen, das seine Pflichten nicht ernst nimmt, gibt auch einem verärgerten Ex-Mitarbeiter ein mächtiges Schwert in die Hand.“

Über den Autor

Andreas Peter ist Business Development Manager & Datenschutz-Koordinator beim Unified-Communications-Hersteller C4B Com For Business.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44965169 / Networking)