Die Datenschutz-Grundverordnung und das Whatsapp-Problem von Unternehmen

Die Europäische Datenschutz-Grundverordnung als neues Datenschutzgesetz betrifft alle Unternehmen, die in Europa tätig sind.

Teamwire, Mai 01 2020

Unternehmen müssen ihre Datenschutzpraktiken anpassen, um dem neuen Gesetz nachzukommen und hohe Geldbußen zu vermeiden. WhatsApp als Teil der Schatten-IT ist für viele Firmen ein kritisches Problem und Unternehmen müssen im Zuge der neuen Verordnung Datenschutz-konformes Enterprise Messaging (z.B. mit Teamwire) gewährleisten.

 

Wichtige Fakten der DSGVO

 

Die Europäische Datenschutz-Grundverordnung (DSGVO) trat am 25. Mai 2018 in allen Mitgliedsstaaten der Europäischen Union (EU) in Kraft. Die DSGVO ersetzt die Datenschutzrichtlinie 95/46/EG und wurde entwickelt, um die Datenschutzgesetze in ganz Europa zu harmonisieren. Das Ziel der DSGVO ist es, den Datenschutz von EU-Bürgern zu gewährleisten und die Art und Weise zu verbessern, wie Unternehmen in der EU den Datenschutz handhaben und persönliche Nutzerdaten schützen. Das Gesetz betrifft alle Unternehmen, die die personenbezogenen Daten von Nutzern in der EU verarbeiten oder speichern, und ist insofern unabhängig vom Standort eines Unternehmens. Das bedeutet, dass die DSGVO nicht nur für Unternehmen gilt, die sich innerhalb der EU befinden, sondern es gilt auch für Firmen außerhalb der EU, wenn sie Nutzern in der EU Waren oder Dienstleistungen anbieten. Es ist auch wichtig zu beachten, dass die DSGVO sowohl für die „Controller“ als auch für die „Prozessoren“ von Benutzerdaten gilt. Um dieses Ziel ab Mai 2018 durchzusetzen, werden Unternehmen bei der Nichteinhaltung mit hohen Geldstrafen konfrontiert. Für die Verletzung der DSGVO können Unternehmen mit Strafen bis zu 4% des Jahresumsatzes oder 20 Mio. € verurteilt werden.

 

Änderungen durch die DSGVO

 

Recht auf Information

Das ist eine starke Ermächtigung der Nutzer und wahrscheinlich die wichtigste Änderung: Das Recht der Nutzer von einem Unternehmen Informationen zu erhalten, ob personenbezogene Daten von ihnen verarbeitet werden, wo diese gespeichert werden und zu welchem ​​Zweck dies passiert. Darüber hinaus muss der Nutzer, falls erwünscht, eine Kopie der personenbezogenen Daten in elektronischer Form vom Unternehmen erhalten können.

 

Recht auf Vergessenwerden

Ein Nutzer kann von einem Unternehmen verlangen, seine personenbezogenen Daten zu löschen, seine Daten nicht weiter zu verbreiten und die Verarbeitung von Daten durch Dritte, mit denen das Unternehmen zusammenarbeitet, zu beenden. Das Recht auf Vergessenwerden ist auch als komplette Datenlöschung bekannt.

 

Datenschutz by Design

Grundsätzlich verlangt Datenschutz by Design die Einbeziehung von Datenschutz vom Beginn der Gestaltung und Entwicklung eines Systems. Das bedeutet, dass eine spätere Ergänzung oder juristische Klauseln des Unternehmen nicht mehr mit der DSGVO konform sind. Während Datenschutz by Design nichts wirklich neues ist (z.B. wurde Teamwire von Anfang an auf Basis dieses Konzeptes entworfen), wird es jetzt eine Kernvoraussetzung für Unternehmen mit der DSGVO.

 

Pseudonymisierung

Die DSGVO bezieht sich auf Pseudonymisierung als Prozess, der personenbezogene Daten so umwandelt, dass die daraus resultierenden Daten nicht ohne zusätzliche Informationen einem bestimmten Nutzer zugeordnet werden können. Die personenbezogenen Daten müssen mit angemessenen internen Richtlinien und Maßnahmen durch das Unternehmen pseudonymisiert werden.

 

Datenübertragung

Die DSGVO schränkt die Übertragung personenbezogener Daten außerhalb der EU, auf Drittländer oder internationale Unternehmen stark ein. Hierdurch soll sicherstellt werden, dass das Datenschutzniveau des DSGVO für Nutzer in der EU nicht im Ausland untergraben wird.

 

Zustimmung

Ein Unternehmen braucht eine klare, genaue und bejahende Zustimmung zur Verarbeitung personenbezogener Daten vom Nutzer. Unternehmen müssen in der Lage sein, die Zustimmung zu beweisen (Opt-in) und die Zustimmung kann vom Benutzer jederzeit zurückgezogen werden.

 

Datenschutzbeauftragter

Die Ernennung eines Datenschutzbeauftragten ist mit der DSGVO zwingend erforderlich. Der Datenschutzbeauftragte eines Unternehmens ist für die konforme Verarbeitung von Nutzerdaten bei Datenoperationen verantwortlich und muss die internen Anforderungen an die Aufbewahrung von Daten sicherstellen.

 

Datenportabilität

Dies soll einem Nutzer generell erlauben, seine Daten von einem Unternehmen in ein anderes zu übertragen. Der Benutzer kann von einem Unternehmen alle personenbezogenen Daten in einem „üblichen und maschinenlesbaren Format“ anfordern.

 

Data Breach

Wenn eine Datenverletzung eingetreten ist und es evtl. „ein Risiko für die Rechte und Freiheiten von Einzelpersonen“ gibt, müssen Unternehmen ihre Nutzer unverzüglich informieren. Dies wird mit der DSGVO in allen Mitgliedsstaaten zwingend vorgeschrieben und muss von Unternehmen innerhalb von 72 Stunden nach der ersten Kenntnis einer Datenverletzung durchgeführt werden.

 

Das WhatsApp-Problem von Unternehmen

 

Wir haben über die Probleme der Verwendung von WhatsApp für Unternehmen bereits mehrmals geschrieben (z.B. lesen Sie unseren Blog-Artikel über die begrenzte Sicherheit und Datenschutz von WhatsApp. Aufgrund der DSGVO und der damit verbundenen Datenschutzanforderungen für Unternehmen führt die Nutzung von WhatsApp für geschäftliche Zwecke zu verschiedenen kritischen Problemen:

 

1. Das Adressbuch eines Nutzers mit allen Kontakten einschließlich E-Mails und Telefonnummern wird an WhatsApp und damit an Facebook übertragen. Es ist völlig unklar, wohin und zu welchem ​​Zweck diese Daten übertragen und verarbeitet werden. Ein Unternehmen, welches WhatsApp für geschäftliche Zwecke einsetzt, kann seinen Kunden nicht mitteilen, wie und wo diese Daten verarbeitet werden. Das „Recht auf Information“ der DSGVO kann insofern von Unternehmen nicht erfüllt werden. Darüber hinaus, wenn ein Kunde von dem „Recht auf Vergessenwerden“ Gebrauch machen will und alle damit zusammenhängenden Daten löschen möchte, kann dies bei WhatsApp nicht erzwungen werden.

 

2. Ein Unternehmen hat keine ausdrückliche Zustimmung zur Übermittlung der persönlichen Daten der Kunden an WhatsApp. Zum Beispiel überträgt das Unternehmen aber durch die Verwendung von WhatsApp das Adressbuch und damit die Kontaktdaten der Kunden an WhatsApp. Dies ist nicht konform mit der DSGVO.

 

3. Während die Nachrichten angeblich „end-to-end“ verschlüsselt werden, sammelt WhatsApp Metadaten von Nutzern. Damit sind verschiedene persönliche Daten verbunden: WhatsApp hat nicht nur Zugriff auf persönliche Identifikatoren, sondern mit welchen Nutzern man kommuniziert, wie oft sich die Nutzer mit bestimmten Kontakten verbinden, wie lange die Nutzer einander Nachrichten schreiben und so weiter. Diese Daten sind perfekt, um persönliche Benutzerprofile zu erstellen und soziale Beziehungen zu verstehen. Auch hier ist es völlig intransparent, welche Metadaten Whatsapp sammelt, wie diese verarbeitet werden und wem diese übertragen werden. Wenn ein Unternehmen WhatsApp verwendet um mit Kunden zu kommunizieren, kann es auch bei diesen Themen nicht das „Recht auf Information“ oder „Recht auf Vergessenwerden“ der DSGVO erfüllen.

 

4. Durch die Verwendung von WhatsApp für geschäftliche Zwecke überträgt ein Unternehmen Kundendaten in die USA. Dies steht im Widerspruch zu der Verpflichtung der DSGVO, personenbezogene Daten nicht außerhalb der EU zu übertragen oder zu speichern. Ein ausreichender Schutz von Kundendaten kann in den USA mit seinen schwächeren Datenschutzgesetzen nicht gewährleistet werden.

 

5. Es ist unwahrscheinlich, dass „Datenschutz by Design“ und „Pseudonymisierungs“-Prinzipien der DSGVO von WhatsApp erfüllt werden. Die Verbindung der Nutzer durch das Hochladen und Speichern des Adressbuchs entspricht nicht dem Konzept des „Datenschutz by Design“. Aufgrund des Werbegeschäftsmodells von Facebook ist es ebenfalls unwahrscheinlich, dass die Pseudonymisierung bei Whatsapp weit verbreitet ist.

 

6. Wenn ein Unternehmen alle Daten eines Kunden auf einen anderen Dienst übertragen muss, ist dies mit WhatsApp nicht möglich. Die personenbezogenen Daten eines Kunden sind grundsätzlich nicht aus WhatsApp raus zu bekommen. Im Hinblick auf die „Datenportabilität“ der DSGVO sind Unternehmen also nicht konform, wenn sie WhatsApp verwenden.

 

Kontaktieren Sie uns

 

Zusammenfassend ist klar, dass WhatsApp nicht den Datenschutzbestimmungen der DSGVO entspricht und ein Unternehmen nicht konform ist, wenn es WhatsApp für geschäftliche Zwecke nutzt. Unternehmen sollten eine professionelle und sichere Enterprise Messaging App wie Teamwire einsetzen, die maximalen Datenschutz gewährleistet und die DSGVO vollständig erfüllt. Die hierfür erforderlichen Features einer sicheren Enterprise Messaging App werden in diesem Blog-Post beschrieben. Weitere Informationen, was Sie bei der Auswahl eines sicheren Messengers beachten sollten, finden Sie in unserem kostenlosen Whitepaper.

Für eine umfassende Betrachtung von Kommunikationssicherheit in Unternehmen empfehlen wir Ihnen weitere Ressourcen. Informieren Sie sich über sichere Videokonferenz-Lösungen, die Risiken bei der Nutzung von WhatsApp im Geschäftsumfeld und wesentliche Aspekte der DSGVO in Unternehmen.