Vor kurzem haben wir einen Blogpost über die Europäische Datenschutz-Grundverordnung (DSGVO) und das WhatsApp-Problem von Unternehmen geschrieben. Auf der einen Seite haben wir die anspruchsvollen Anforderungen an den Datenschutz von Unternehmen und die hohen Strafen der DSGVO hervorgehoben. Auf der anderen Seite haben wir beschrieben, warum WhatsApp nicht mit der DSGVO rechtskonform ist und dass die Nutzung von WhatsApp für geschäftliche Zwecke ein sehr kritisches Thema im Rahmen der DSGVO ist.
Die wichtigsten Anforderungen an eine Business Messaging App
Um einen starken Datenschutz und die Einhaltung der DSGVO zu gewährleisten, sollten Unternehmen eine sichere Enterprise Messaging App einführen, bevor die DSGVO in Kraft tritt. Heute wollen wir die notwendigen Features einer sicheren Enterprise Messaging App (wie z.B. Teamwire) betrachten, die Unternehmen zur Erfüllung der Anforderungen der DSGVO benötigen:
1. Keine Speicherung des Adressbuchs
Eine Enterprise Messaging App sollte das Adressbuch eines Benutzers nicht speichern. Wenn ein Zugriff auf das Adressbuch erforderlich ist, sollten E-Mails oder Telefonnummern vor einer Synchronisation zu Einweg-verschlüsselten Werten (z. B. SHA256) konvertiert werden, die nicht wieder zurückverwandelt werden können. Diese pseudonymisierten Werte sollten verwendet werden, um potenzielle Kontakte zu synchronisieren und anzuzeigen. Es ist wichtig, dass die pseudonymisierten Werte nach der Synchronisation sofort von den Servern der Enterprise Messaging App gelöscht werden.
2. Minimierung und Pseudonymisierung von personenbezogenen Daten
Personbezogene Daten von Benutzern sollten idealerweise nicht genutzt und nicht gespeichert werden (Prinzip der Datensparsamkeit). Wenn personenbezogene Daten zur Bereitstellung des Messaging-Dienstes erforderlich sind, sollten die Daten so weit wie möglich pseudonymisiert und/oder verschlüsselt werden, um die DSGVO zu erfüllen. Die Daten sollten von der Enterprise Messaging App mit starken kryptographischen Algorithmen so geändert werden, dass die resultierenden Daten nicht ohne zusätzliche Informationen einem bestimmten Benutzer zugeschrieben werden können.
3. Keine Sammlung oder Analyse von Messaging-Metadaten
Die Metadaten der Messaging-Kommunikation können verwendet werden, um Benutzerprofile zu erstellen und Einblicke in das Benutzerverhalten zu bekommen. Im Allgemeinen sollte es keine unnötige Sammlung oder Analyse von Metadaten durch die Enterprise Messaging App geben. Daher sollten Metadaten nur gespeichert werden, wenn es für bestimmte Funktionen der Enterprise Messaging App erforderlich ist (z.B. Multi-Device-Synchronisation, Nachrichtenarchivierung).
4. „Private Messaging by Design“
Die DSGVO verlangt, dass die Enterprise Messaging App mit dem „Privacy by Design“-Konzept übereinstimmt. Die Enterprise Messaging App sollte von Anfang auf der Grundlage eines starken Datenschutzes entwickelt worden sein. Die App sollte speziell für die sichere Nachrichtenübermittlung und den privaten Austausch mit Kollegen und Teams gemacht worden sein und sollte einem Unternehmen volle Kontrolle über Datenschutz, Sicherheit und Compliance geben.
5. Data Loss Prevention
Eine Enterprise Messaging App sollte einem Unternehmen die Konfiguration von Richtlinien ermöglichen, um personenbezogene Daten und sensible Informationen auf Smartphones, Tablets und Desktops zu schützen und eine zufällige Offenlegung zu verhindern, die im Konflikt mit der DSGVO stehen könnte.
6. Einverständniserklärung zu Verwendung personenbezogener Daten
Ein Unternehmen und seine Mitarbeiter müssen der Enterprise Messaging App eine klare und bejahende Zustimmung zur Verarbeitung personenbezogener Daten geben.
7. Transparenz der verwendeten personenbezogenen Daten
Um in Übereinstimmung mit der DSGVO zu sein, muss die Enterprise Messaging App detaillierte Informationen zur Verfügung stellen, welche personenbezogenen Daten verwendet werden, warum die Nutzung erforderlich ist und was mit den Daten geschieht. Ein Unternehmen muss vollständige Transparenz über die persönlichen Daten haben, die von der Enterprise Messaging App verwendet werden.
8. Keine Datenspeicherung oder Datentransfer außerhalb der Europäischen Union
Die DSGVO verlangt, dass der starke Datenschutz nicht durch einen Datentransfer aus der Europäischen Union (EU) heraus gefährdet oder eingeschränkt wird. Ausser wenn es starke Garantien und Gewährleistungen von Anbietern gibt, sollten keine Daten außerhalb der EU gespeichert oder in andere Länder übertragen werden. Die Enterprise Messaging App sollte komplett in der EU betrieben werden und alle Daten sollten nur in Ländern der EU gespeichert und verarbeitet werden.
9. Sichere Integrationen und APIs
Integrationen und APIs sind potenzielle Datenlecks für personenbezogene Daten. Integrationen und APIs könnten Daten unkontrolliert an andere Organisationen weitergeben oder an andere Dienste außerhalb der EU transferieren, ohne dass das Unternehmen informiert wird. Eine Enterprise Messaging App muss alle APIs basierend auf einem starken Datenschutzkonzept selbst entwickelt haben (z.B. keine Nutzung von unsicheren Drittanbieter-Integrationen, die personenbezogene Daten über Cloud-Services in den USA transferieren könnten). Die verwendeten Integrationen und APIs müssen transparent und unter voller Kontrolle eines Unternehmens sein.
10. Datenschutzbeauftragter für rechtskonforme Datenverarbeitung
Die Enterprise Messaging App muss einen Datenschutzbeauftragten benannt haben, der für die rechtskonforme Verarbeitung von Benutzerdaten und personenbezogenen Daten verantwortlich ist. Der Datenschutzbeauftragte muss die Anforderungen an die Aufbewahrung und Verarbeitung von Daten gemäß der DSGVO sicherstellen.
11. Audit-Logs für Dokumentations- und Aufzeichnungspflichten
Besonders wichtig für die Aufzeichnungsanforderungen von Unternehmen sind Prüfprotokolle. Die Audit-Logs einer Enterprise-Messaging-App sollten eine chronologische Aufzeichnung vom Betrieb geben und alle Administrator-Aktivitäten sowie wichtige User-Events dokumentieren.
12. Durchsuchbares Archiv
Ein Archiv der Messaging-Kommunikation eines Unternehmens ist nicht nur aus Compliance-Gründen und für Revisionssicherheit erforderlich, sondern wird auch für die DSGVO sehr wichtig sein. Wenn ein Unternehmen herausfinden muss, wo personenbezogene Daten ausgetauscht worden sind, könnte es für ein Unternehmen notwendig sein, das Messaging-Archiv zu durchsuchen. Eine Enterprise Messaging App muss ein durchsuchbares Archiv bereitstellen, das nur von ausgewählten Datenschutzbeauftragten abgerufen werden kann, um die personenbezogenen Daten zu schützen und der DSGVO zu entsprechen.
13. Optionen für vollständige Datenlöschung
Für die DSGVO muss eine Enterprise Messaging App Unternehmen auf der einen Seite erlauben, einzelne Benutzer und alle damit verbundenen personenbezogenen Daten zu löschen. Auf der anderen Seite muss die Enterprise Messaging App Unternehmen in die Lage versetzen, ältere Daten von den Servern zu löschen und – z.B. wenn ein Unternehmen seinen Vertrag auflösen will – alle Daten, die mit diesem Unternehmen zusammenhängen, von den Servern vollständig zu löschen.
14. Portabilität von Messaging-Daten
Unternehmen müssen die Messaging-Daten auf andere Dienste übertragen können. Die Enterprise Messaging App sollte die Kommunikationsdaten in einem häufig verwendeten maschinenlesbaren Format (z. B. XML, PDF) auf Anfrage zur Verfügung stellen.
15. Überwachung von Sicherheitsverletzungen
24/7 Monitoring war schon immer wichtig für Enterprise Messaging Apps, um eine hohe Serviceverfügbarkeit zu gewährleisten und vor Sicherheitsverletzungen zu schützen. Mit der DSGVO wird die Überwachung von Sicherheitsverletzungen besonders kritisch, denn die Enterprise Messaging App muss ihre Kunden und Anwender unverzüglich und innerhalb von 72 Stunden über Datenverletzungen informieren.
Kontaktieren Sie uns
Wenn Sie Fragen zu diesen Features haben, sicherstellen wollen, dass eine Enterprise Messaging App rechtskonform mit der DSGVO ist oder verstehen wollen, wie Teamwire die Datenschutzanforderungen der DSGVO komplett erfüllt, kontaktieren Sie uns.