> externer Datenschutzbeauftragter > Datenschutz Apps

Telegram und Threema – Mehr Datenschutz mit WhatsApp-Alternativen

Datenschutz WhatsApp-AlternativenSind Telegram und Threema Alternativen? Sowohl Datenschutzbeauftragte als auch die Benutzer selbst fragen sich seit Langem, ob Datenschutz mit WhatsApp möglich ist. Insbesondere Nach dem Aufkauf von WhatsApp durch Facebook im Jahre 2014 wechselten viele WhatsApp-Nutzer zu alternativen Instant-Messaging Dienstleistern. Die wohl am häufigsten in den Medien genannten WhatsApp-Alternativen sind Threema und Telegram.

Ihr externer Datenschutzbeauftragter informiert, ob Sie mehr Datenschutz mit den WhatsApp-Alternativen Telegram und Threema erreichen können und gibt ihnen Hinweise, auf was Sie bei der Auswahl eines Instant Messaging Dienstes achten sollten, damit eine ausreichende Datensicherheit sowie der möglichst nachhaltige Schutz Ihrer personenbezogenen Daten besteht.

Instant-Messaging-Dienste

Der wohl erste, den meisten Personen bekannte, Instant-Messaging-Dienst dürfte wohl ICQ sein. Ein Dienst der seit 1998 zu AOL gehörte. Auch nach dem Aufkommen von Smartphones sind die Nachfolger kaum wegzudenken. Nicht nur für Privatpersonen sind Instant-Messaging-Dienste interessant, sondern auch für Unternehmen, da diese eine schnelle und kostengünstige Übermittlung von Daten ermöglichen. Als diese Dienstleistungen aufkamen, waren sie nur für die schnelle Übermittlung von Textnachrichten und kleinen Bildern bekannt. Schnell wurden jedoch neue Funktionen integriert und gestatteten den heutigen Nutzern die Möglichkeit, Bilder wie auch Audio- und Video-Streams an andere Instant-Messaging-Nutzer zu übermitteln.

Datenschutzrechtliche Bewertung der WhatsApp-Übernahme durch Facebook

Besonders der Instant-Messaging-Dienst WhatsApp erfreute sich immer größerer Beliebtheit bei den Nutzern und verbreitete sich rasant. Vor allem in Erinnerung geblieben ist die Übernahme WhatsApp durch die Social-Network-Plattform Facebook im Februar 2014. Die Übernahme durch Facebook wurde hinreichend kritisch betrachtet, nicht zuletzt aufgrund des mangelhaften Umgangs von Facebook mit dem Datenschutz, der wohl bis heute bestehen dürfte. Grund für die Defizite im Bereich Datenschutz könnte sich aus dem Unternehmenssitz von Facebook, welcher sich in den Vereinigen Staaten befindet, erschließen, da derzeit noch keine hinreichenden Vereinbarungen mit den Vereinigten Staaten hergestellt werden konnten, um dem datenschutzrechtlichen Standard der EU zu genügen. Zumindest wird erhebliche Kritik am EU-US-Privacy-Shield durch Datenschützer geäußert. Besonders im Fokus stand bei der Übernahme die Anpassung der Datenschutzbestimmungen in WhatsApp durch Facebook. Diese erlaubt dem Betreiber (WhatsApp), Benutzermedien für kommerzielle Zwecke zu Nutzen. Viele Medien rieten, inspiriert durch Datenschützer und Datenschutzbeauftragte, daher zu alternativen Anbietern zu wechseln, um dem Risiko der unfreiwilligen Datenweitergabe zu entgehen. Häufig angepriesen wurden die Anbieter Threema und Telegram. Diese und WhatsApp sollen in den Punkten:

  • Standort des Servers (da nicht in jedem Land ein gleiches Datenschutzniveau besteht),
  • Verfahren,
  • Sicherheitsdefizite,
  • weitere Entwicklung

auf ihre datenschutzrechtliche Konformität überprüft werden, um Ihnen einen Überblick über die datenschutzrechtliche Sicherheit der genannten Dienste zu gestatten.

Datenschutz mit WhatsApp – Marktführer mit Datenschutzmängeln

WhatsApp ist derzeit der Markführer im Bereich der Instant-Messaging-Dienste. Im vergangenen Jahr 2016 knackte der Anbieter die Marke von einer Milliarde Nutzer und ist derzeit der Instant-Messaging-Dienst mit der höchsten Nutzerzahl.

  • Standort des Servers

Der Sitz des Anbieters befindet sich in den USA, wo sich auch der entsprechende Server befindet. Datenschutzrechtlich ist dies kritisch zu betrachten, da derzeit in den USA ein niedrigerer Datenschutzstandard bestehen dürfte als in der EU.

  • Verfahren

Für die Nutzung der App ist nach der Installation eine Registrierung mit Angabe der eigenen Telefonnummer vorgesehen. Die Nummer, die der Nutzer preisgibt wird von WhatsApp gespeichert, dabei wird die Nummer so spezifiziert, dass sie nur diesem Nutzer zugeschrieben werden kann. Mit dieser Methode ist es dem Nutzer nun möglich, mit der Eingabe von Telefonnummern andere WhatsApp-Nutzer ausfindig zu machen und mit diesen über die App / durch Push-Mitteilungen zu kommunizieren.

  • Sicherheit

Seit 5. April 2016 führte WhatsApp die End-to-End-Verschlüsselung ein, die dem Nutzer unter anderem nach dem Einscannen eines QR-Codes bestätigt wird. Die Nachrichten oder Telefonate werden beim Versenden verschlüsselt und können nur vom Empfänger und Versender der Nachricht eingesehen werden. Die Sicherheit des Verfahrens basiert auf den Aussagen von WhatsApp und kann nicht überprüft werden, da es sich um eine Software handelt, welche dem Nutzer und Dritten nur eingeschränkt zugänglich ist. Eine abschließende Bewertung, ob es sich tatsächlich um eine sichere Verschlüsselung handelt, ist daher nicht möglich. Wenn Sie mehr zu der End-to-End-Verschlüsselung von WhatsApp erfahren möchten, dann lesen Sie gerne unseren Beitrag „Eine Revolution: WhatsApp-Verschlüsselung – mehr Datenschutz bzw. Datensicherheit?“.

  • Sicherheitsdefizite

In die Schlagzeilen geriet WhatsApp, wie bereits erwähnt, mit dessen Aufkauf durch den Betreiber der Social Media Plattform Facebook. Anders als zunächst angekündigt, strebte Facebook mit dem Kauf die kommerzielle Nutzung der Benutzerdaten von WhatsApp an. Weiterhin wurde bekannt, dass

  • die Telefondaten der WhatsApp-Nutzer an Facebook unverschlüsselt übermittelt wurden.
  • Fremde sich leicht Zugang zu WhatsApp-Konten verschaffen konnten. Für den Zugang benötigten diese nur geringfügige Informationen (Handynummer oder Seriennummer des Handys) des Nutzers.
  • Weiterhin konnte sich eine Hackergruppe Zugang zu einer Mehrzahl von WhatsApp-Nutzerkonten verschaffen.
  • Ebenso wurde bekannt, dass das System mehrere Sicherheitslücken aufwies, die WhatsApp in gewissen Abständen behob.
  • Weitere Entwicklung

Im September 2016 hatte WhatsApp eine Änderung seiner Datenschutzerklärung verkündet. Diese gab WhatsApp das Recht, Kontaktdaten des Nutzers an Facebook weiterzuleiten. Mit diesem Vorgehen versprach sich Facebook, Werbung besser personalisieren zu können. Der Verbraucher konnte zwar der Zusendung personalisierter Werbung widersprechen, nicht jedoch der Datenübertragung. Eine Vielzahl von datenschutzrechtlichen Klagen gingen gegen dieses Verfahren ein und erreichten einen derzeitigen Datenweitergabe-Stopp (nähere Informationen erhalten Sie in unserem Beitrag: „Facebook stoppt Datenweitergabe – Hoffnung für den „ WhatsApp Datenschutz“?“)

Datenschutz mit Threema – Messenger mit Fokus auf Datensicherheit

Bei dem Instant-Messenger Dienst Threema steht besonders die Datensicherheit im Fokus der Dienstleistung. Die kostenpflichtige App ist dabei, wie andere Instant-Messaging-Dienste, auf Smartphones und auch auf Tablets nutzbar.

  • Standort des Servers

Der Standort des Unternehmens befindet sich in der Schweiz, wo sich nach Aussagen des Unternehmens auch der Server befindet.

Die europäische Kommission hat der Schweiz, welche als Drittstaat gilt, ein mit der EU vergleichbares Datenschutzniveau attestiert.

  • Verfahren

Mit Herunterladen der Threema-App auf das Handy ist der Registrierungsvorgang abgeschlossen. Es ist für die Anmeldung nicht nötig, personenbezogene Daten wie Name, Alter, etc. anzugeben. Das Hinzufügen von Kontakten kann über drei verschiede Verfahren erfolgen. Diese haben verschiede Sicherheitsstufen und bestimmen den Grad, wie „genau“ nach dem Kontakt gesucht werden soll. Threema erklärte dabei, dass bei der höchsten Stufe ein personifizierter QR-Code des gesuchten Kontaktes eingescannt wird und somit mit größter Wahrscheinlichkeit der gesuchte Kontakt ermittelt werden kann. Das Verfahren sei im Vergleich zu der Variante, bei der Telefonnummern abgeglichen werden, konkreter und sicherer, da mit einer höheren Wahrscheinlichkeit die gesuchte Person erreicht wird und nicht ein fremder Dritter.

  • Sicherheit

Threema nutzt mehrere Verschlüsselungsverfahren, darunter nach eigenen Angaben die quelloffene NaCl („salt“ ausgesprochen) Bibliothek — dabei werden längere Zeichenketten (Schlüssel) vom Versender an den Empfänger weitergeleitet. Diese Zeichenketten sind dem Empfänger und dem Versender zugewiesen, d.h. jeder sendet seine eigene Zeichenkette, ohne dass eine mögliche Zuweisung auf den anderen möglich wäre. Die Zeichenketten besitzen dabei jeweils zwei Teile, einen geheimen und einen nicht geheimen Teil. Mit dem nicht geheimen Teil können die verschlüsselten Daten entschlüsselt werden und eine digitale Signatur (einer bestimmten Person zugeschrieben) erzeugen oder die Person authentifizieren.

Außerdem wird bei der Kommunikation zwischen dem Server und der App das Verfahren PFS (Perfect Forward Secrecy) verwendet. Dieses soll einen umfangreichen Schutz beim Datentransfer ermöglichen, da dieses System die Nachricht so stark verschlüsselt, dass die eigentliche Nachricht nach einer Sitzung nicht mehr rekonstruiert werden kann.

Ebenso wie WhatsApp nutzt Threema die End-to-End-Verschlüsselung. Threema ließ verlauten, dass bei der End-to-End-Verschlüsselung von der Verwendung des PFS-Verfahrens abgesehen wurde, da dies zu erhöhter Komplexität beim Protokoll und Server führen würde und dadurch Sicherheitslücken auftauchen könnten.

  • Sicherheitsdefizite

Zum derzeitigen Stand sind keine Datenschutzmängel bekannt. Kritisiert wurde der Anbieter lediglich dafür, seine Quellcodes nicht offen zu legen. Daher ist nicht bekannt, ob Threema tatsächlich die genannten Methoden anwendet. Threema ermöglicht dem Nutzer einen Einblick in die Funktionen und die Sicherheit des Programmes per Reserve Engineering (Nachgestellter Quellcode), was wiederum keinen Nachweis bietet, dass genau diese Funktionen angewandt werden. Im November 2015 wurde jedoch ein Sicherheitsdienstleister aus der Schweiz (cnlab security AG) eingeschaltet, welcher das Programm auditierte und für sicher befand. Es ist allerdings unklar, ob der vom Sicherheitsdienstleister überprüfte Quellcode, der tatsächlich genutzte Code ist.

  • Weitere Entwicklung

Derzeit erwägt Threema einen Wegzug aus der Schweiz, da dort nach einer neuen Verordnung Messaging-Dienste in bestimmten Fällen unter die Pflicht der Vorratsdatenspeicherung fallen.

Datenschutz mit Telegram –  Sicherheit durch verschlüsselte Chats

Die Telegram-App erfreut sich derzeit großer Beliebtheit, was vor allem daran liegen könnte, dass diese App im Gegensatz zu Threema kostenlos heruntergeladen werden kann.

  • Standort des Servers

Laut Telegram sind deren genutzte Server weltweit ansässig. Telegram spezifizierte diese Angabe auf dessen Twitter-Account, wonach für Europa ein in London befindlicher Server genutzt wird. Derzeit bestehen zwar noch keine Bedenken bezüglich des Datenschutzniveaus in Großbritannien, jedoch könnte sich dies in Zukunft ändern, sobald der Brexit vollzogen ist. Bedenklich wiederum sind, die von Telegram verwendeten Cloud-basierten Chats, wodurch Daten auf mehreren verschieden Servern weltweit gespeichert werden. Nach Angaben von Telegram besitzt das Unternehmen ebenso Server in Drittstaaten, die kein angemessenes Datenschutzniveau besitzen.

  • Verfahren

Telegram agiert im Bereich der Kontaktsuche, wie auch WhatsApp, mit der Personalisierung der Telefonnummer, die durch eine SMS bestätigt wird. Der Dienst ist nicht an ein Gerät gebunden, sondern kann mit der eingegebenen Telefonnummer, die der „Zugangscode“ ist, auch mit anderen Geräten genutzt werden. Die Kontaktsuche erfolgt, ebenso wie bei WhatsApp, per Eingabe der Telefonnummer oder per Synchronisation mit dem Handy-Adressbuch.

Durch eine offene Programmierschnittstelle (API) können auch unabhängige Entwickler eigene Clients entwickeln, weshalb auch inoffizielle Versionen von Telegram existieren.

  • Sicherheit

Telegram verwendet mehrere Verschlüsselungssysteme, u.a. die End-to-End-Verschlüsselung. Diese bestehen zum Teil aus bestehenden Verfahren und aus eigens entwickelten Verfahren, wie beispielsweise Cloud-basierte Chats.  Daten zwischen dem Endgerät (Handy) und den Servern, die auf der ganzen Welt verteilt sind, werden verschlüsselt. Die verschlüsselten Daten und der Schlüssel werden dabei auf unterschiedlichen Servern gespeichert.

  • Sicherheitsdefizite

Telegram-Kritiker bemängeln, dass der Anbieter teilweise quelloffene Verfahren und teils veraltete Algorithmen sowie nicht häufig verwendete Verfahren nutzt. Telegram reagierte prompt auf diese Kritik und schaltete einen Wettbewerb, der die Sicherheit des Programmes nachweisen sollte. Herausgefundene Sicherheitslücken wurden dabei behoben, jedoch verebbten die Kritikerstimmen nicht. Zu kurz sei die Zeit und zu gering die Informationen, die Telegram den Wettbewerbsteilnehmern gewährte, wodurch diesen keine hinreichende Möglichkeit gegeben wurde, einen geeigneten Hackerangriff zu simulieren.

Weiterhin wird bemängelt, dass die App Adressdaten der Nutzer ohne Benachrichtigung der Nutzer speichert. Dieses Verfahren ist aber in den AGB des Dienstleisters angegeben.

  • Weitere Entwicklung

Im Herbst 2016 wurde bekannt, dass iranische Hacker sich Zugang zu einer Vielzahl von Telegram-Accounts verschafften und Nutzer identifiziert wurden. Der Telegram-Gründer gab dabei an, dass ihm das Risiko bekannt sei und Nutzer in bestimmten Ländern zunehmend davor gewarnt wurden. Er rät Nutzern zu einer Zwei-Wege-Authentifizierung, die neben der SMS-Verifizierung durch ein Passwort bestätigt werden muss.

Anfang 2017 führte Telegram eine neue Funktion ein, die dem Nutzer die Möglichkeit gibt, bereits gesendete Nachrichten zu löschen. Weiterhin soll im Verlauf des Jahres eine Funktion eingeführt werde, die dem Nutzer ermöglicht, via Telegram zu telefonieren.

Datenschutz mit WhatsApp-Alternativen – Fazit

Threema und Telegram bieten im Vergleich zu WhatsApp in bestimmten Bereichen eine datenschutzrechtlich adäquatere Handhabe, dennoch sollten Sie sich bewusst machen, dass kein Programm der Welt Ihnen 100% Sicherheit garantieren kann. Die ständige Weiterentwicklung der technischen Möglichkeiten bietet sowohl Erleichterungen als auch Risiken. Hackerangriffe können jedes Programm treffen. Genauso können erst nach längerer Zeit Sicherheitslücken auftreten, da neue Verfahren alte Verschlüsselungstechniken hinfällig machen können. Jede Anwendung, die personenbezogene Daten verarbeitet, beinhaltet einen Risikofaktor, welcher nicht beseitigt, jedoch minimiert werden kann. Sofern Sie beabsichtigen, neue Verfahren oder Programme in Ihr Unternehmen einzuführen, sollten Sie stets die Meinung Ihres Datenschutzbeauftragten einholen und das Verfahren durch eine Vorabkontrolle von diesem prüfen lassen. Daneben müssen sich Nutzer darüber bewusst sein, dass derartige Tools einer Finanzierung bedürfen. Ist für den Nutzer keine dauerhafte Einnahmequelle des Betreibers ersichtlich, so könnte dies ein Indiz für eine Zweckentfremdung der eigenen Daten sein.

Möchten Sie mehr zum Datenschutz mit WhatsApp, Threema, Telegram oder anderer Instant-Messaging-Dienste erfahren oder sich im Datenschutz dauerhaft besser positionieren? Brands-Consulting steht Ihnen als Ansprechperson gerne zur Seite. Nehmen Sie gerne Kontakt zu uns auf oder holen Sie sich ein unverbindliches Datenschutz-Angebot ein

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen

Skype, WhatsApp, Facebook Messenger, iMessage & Co. – Datenschutz-Risiken bei Instant Messaging-Diensten

Instant-Messaging-Dienste DatenschutzDas Aufkommen neuer Messaging-Dienstleister geht Hand in Hand mit der Verbreitung sowie dem beruflichen und gemischten (privat / beruflich) Einsatz von Handys und sonstigen meist mobilen Endgeräten. Insbesondere in Unternehmen, aber auch in anderen Organisationen (Behörden, Vereine, der Kirche …), ist der Gebrauch
von Instant-Messaging-Dienstleistungen attraktiv, da diese eine schnelle Nachrichtenübermittlung garantieren und eine günstige Alternative zur SMS bilden. Es sollte dabei aber nicht außer Acht gelassen werden, dass solche Instant-Messaging-Dienste Datenschutz-Risiken mit sich bringen können. Daher ist es ratsam, zu wissen, wie solche Dienste mit personenbezogenen Daten, Geschäfts- und Betriebsgeheimnissen verfahren.

Ihr externer Datenschutzbeauftragter informiert, worauf verantwortliche Stellen bei der Nutzung von Instant-Messaging-Dienstleistungen achten sollten und wieso Instant-Messaging-Dienste Datenschutz-Risiken verursachen können.

Instant-Messaging-Dienstleistungen

Instant Messaging ist, wie der Name sagt, ein Nachrichtensofortversand und stellt eine Kommunikationsmöglichkeit dar. Diese erfolgt durch das Versenden von Kurzmitteilungen, welche der Absender durch das sogenannte Push-Verfahren auslöst. Die versendete Nachricht erhält der Empfänger dabei unmittelbar auf seinem Handy, Computer oder sonstigem mobilen Endgerät. Um diesen Dienst nutzen zu können, müssen die Nutzer über ein Programm (Client) verfügen. Eine wichtige Gruppe der Clients bzw. hierfür erforderlichen Programme sind neben klassischen Apps die Webbrowser. Ein Einsatz ist daher regelmäßig mit nur sehr geringen Hürden möglich.  Die eingesetzten Clients verbinden die Nutzer über ein Netz direkt mit dem Server. In der Regel ist es auch möglich, Nachrichten an Teilnehmer zu senden, welche derzeit gar nicht online sind. Diese erhalten ihre Nachrichten, sobald sie wieder mit dem Internet verbunden sind. Hierbei ist es offensichtlich, dass Datensätze zumindest zwischengespeichert werden müssen.

Mit der Updateinformation zum WhatsApp Messenger der Version 2.17.2 vom 26.01.2017 informiert  Whatsapp wie folgt „Du kannst jetzt bei Nachrichten auf Senden tippen, auch wenn du keine Verbindung hast. Diese Nachrichten werden dann automatisch gesendet, sobald dein Telefon wieder mit dem Internet verbunden ist.“ Hat der Versender Internet, wird die Nachricht somit versendet. Hat zu diesem Zeitpunkt der Empfänger allerdings keinen Netzzugang, so wird die Nachricht gespeichert, bis der Nutzer wieder erreichbar ist. Zwischen Versand und Empfang kann hierdurch eine längere Zeitperiode entstehen, in der die Daten / Informationen zumindest zwischengespeichert werden.

Instant-Messaging-Systeme innerhalb von IT-Richtlinien/-Betriebsvereinbarungen/-Dienstvereinbarungen

Häufig werden Instant-Messaging-Systeme innerhalb der IT-Sicherheitsrichtlinien, Betriebsvereinbarungen oder Dienstvereinbarungen von Organisationen nicht ausreichend eingebunden bzw. berücksichtigt. Messaging Systeme werden zu pauschal ohne individuelle Betrachtung und Berücksichtigung den Telekommunikationsdiensten zugeordnet, worunter auch die E-Mail fällt. Organisationen sollten nicht nur klare Regelungen für die Nutzung des dienstlichen E-Mail-Postfachs treffen, sondern Differenzieren und auch die Nutzung von Instant-Massaging-Diensten, wie zum Beispiel von WhatsApp oder Apples iMessage, klar regeln.

Neben WhatsApp und iMessage findet unter anderem Skype for Business, früher Microsoft Lync, Verwendung. Dieser Message-Dienst ermöglicht den Mitarbeitern, Sofortnachrichten sowie Daten auszutauschen. Gleichzeitig können mit Skype for Business verschiedenste Messaging-Systeme verbunden werden, womit ebenso Kunden und Dienstleister, welche ein anderes System nutzen, erreicht werden können.

Die Problematik liegt hierbei nicht nur bei der rechtlichen Zuordnung des Systems, sondern vielmehr auch bei der Bewertung, ob damit Kontroll- und Überwachungsmaßnahmen durch den Arbeitgeber erfolgen könnten.

Verwendung von Instant-Messaging-Systemen für eine Verhaltens- und Leistungskontrolle

Die Möglichkeit einer dauerhaften, technisch gestützten Leistungs- und Verhaltenskontrolle könnte sich theoretisch bereits durch die Statusmeldungen (verfügbar, beschäftigt, abwesend) des Mitarbeiters ergeben. Daraus kann der Arbeitgeber beispielsweise auf mögliche Fehlzeiten, Aktivität und Arbeitszeiteinteilungen des Arbeitnehmers schließen. Ein berechtigtes Interesse des Arbeitgebers auf Chatverläufe zu zugreifen kann unter anderem dann vorliegen, wenn die Inhalte eines Chats archivierungspflichtige Geschäftsbriefe bzw. Geschäftskommunikation betreffen. Derartige relevante Kommunikation mag derzeit vielleicht nur in Einzelfällen vorkommen, gerade bei technischen Arbeitsmitteln ist ein schneller, regelmäßig auch zeitgemäßer Wandel, allerdings nichts Verwunderliches.

Grundsätzlich kann der Arbeitgeber eine Kontrolle ansetzen, sofern ein konkreter Missbrauchsverdacht gegenüber den Arbeitnehmern vorliegt, wobei es eine große Rolle spielt, ob eine Privatnutzung erlaubt ist. Darf der Arbeitnehmer die Instant-Message-Dienste zu privaten Zwecken nutzen, so tritt der Arbeitgeber als Telekommunikationsanbieter auf und ist den Vorschriften des Telekommunikationsgesetztes (TKG) unterworfen. Laut § 88 TKG gilt das Fernmeldegeheimnis, wodurch die Zugriffsrechte des Arbeitsgebers auf die Chatverläufe erheblich eingeschränkt werden. Selbst bei einem Verdacht auf eine Straftat könnte sogar die Strafanzeige als milderes Mittel gelten. Bei einem Verbot der Privatnutzung dürfte der Arbeitgeber auf die Chatverläufe zugreifen, allerdings sollte dies ebenfalls stichprobenartig und in angemessenen Zeiträumen bzw. im Missbrauchsverdachtsfall erfolgen (anlassbezogen).

Instant-Message-Dienste können eine Verhaltens- und Leistungskontrolle der Mitarbeiter erleichtern. Beispiel: Nutzt eine Firma ein Chatprogramm, um zeitnah auf Supportanfragen von Kunden einzugehen, so könnte der Arbeitgeber mittels Protokollierung der Chatverläufe prüfen, wie lange ein Mitarbeiter für die Beantwortung benötigt oder wie viele Anfragen der Mitarbeiter am Tag beantwortet. Um eine Verhaltens- und Leistungskontrolle durch den Arbeitgeber zu vermeiden, ist von einer grundlosen Protokollierung der Chatverläufe abzuraten. Eine konkete Protokollierung mit Zweckbindung könnte hingegen denkbar sein. Zudem sollten klare Regelungen geschaffen werden. Mit diesen soll zum einen geregelt werden, ob eine Privatnutzung erlaubt oder verboten ist. Des Weiteren soll klar formuliert werden, wann der Arbeitgeber bzw. andere Vorgesetzte unter Einbeziehung des Datenschutzbeauftragten und – sofern vorhanden – eines Betriebsratsmitglieds auf die Daten zugreifen dürfen. Um gesetzliche Aufbewahrungsfristen nicht zu verletzen, sollte zudem festgelegt werden, dass keine Dateien versendet werden dürfen, die gesetzlichen Archivierungspflichten unterliegen oder bei denen Löschfristen einzuhalten sind, die auf diesem Wege überschritten würden.

Wieso Instant-Messaging-Dienste Datenschutz-Risiken hervorrufen

Besonders kritisch ist die Nutzung von extern betriebenen Instant-Messaging-Dienstleistungen, wie WhatsApp oder auch iMessage. Besonders dann, wenn iPhones oder sonstige Smartphones dienstlich vom Unternehmen zur Verfügung gestellt werden, sollte ausdrücklich darauf hingewiesen werden, dass die Instant Messaging Funktionen untersagt sind. Eine derartige Vorgabe erteilte eine der großen deutschen Banken zur Umsetzung im Jahr 2017.

Sofern dies nicht gewünscht ist und den Mitarbeitern eine Privatnutzung der Smartphones erlaubt werden soll, wäre zu prüfen, ob die Einführung eines Mobile-Device-Management-Systems einschließlich Containersystem notwendig ist, wobei die Verhältnismäßigkeit nicht außer Acht gelassen werden sollte. Bei einem Unternehmen mit fünf Smartphones dürfte regelmäßig anders vorzugehen sein als bei 500 oder mehr Endgeräten und der erlaubten Privatnutzung. Grundsätzlich gilt jedoch, dass Organisationen klare Regelungen schaffen sollten, da der Einsatz von Instant-Messaging-Diensten Datenschutz-Risiken verursacht. Dies ergibt sich unter anderem daraus, dass der Arbeitnehmer meist über seinen privaten WhatsApp- oder iTunes-Account kommuniziert. Dabei scannen beide Programme das Adressbuch und führen die gesammelten Informationen in eine Datenbank. Diese befinden sich auf den Servern der Anbieter. Problematisch wird es insbesondere dann, wenn der Server sich in einem Land befindet, welches sich außerhalb der EU/des EWR befindet und über kein angemessenes Datenschutzniveau verfügt. Darunter fallen mitunter die USA. In unserem Beitrag zu „Cloud Computing – Durchblicken Sie vor lauter Wolken den Datenschutz?“ finden Sie mehr Informationen dazu.

Ebenso bedenklich ist die kommerzielle Nutzung der persönlichen Daten durch einige Anbieter von Instant-Messaging-Systemen. Sie sollten sich daher erkundigen, inwiefern der Anbieter Ihre Daten verwertet.

Weiterhin wurde durch zahlreiche Meldungen verkündet, dass einige externe Instant-Messaging-Dienstleistungen gewisse Sicherheitslücken aufweisen. So hatte beispielsweise Microsoft bei seinem Windows Live Messenger sowie auch MSN einige Sicherheitsprobleme, welche sich unter anderem bei deren integrierten Webcam-Sitzungen und Video-Chats befanden. Das Problem bestand darin, dass der Instant-Messaging-Client die Webcam-Sitzung und Video-Chats nicht korrekt verarbeitet und damit möglichen Angreifern (Hackern) die Chance bietet, beliebige Codes ausführen zu können. Um dies zu ermöglichen, müsste das potenzielle Opfer lediglich zu einer Webcam- oder Video-Chat-Sitzung durch den Angreifer eingeladen werden. Die Opfer werden dabei von vermeintlichen Bekannten auf interessante Webseiten gelockt, wo Schadprogramme (Malware) auf sie warten.

Es ist daher unerlässlich, einen Datenschutzbeauftragten und IT-Sicherheitsbeauftragten zur Seite zu haben, damit datenschutzrechtliche Probleme und IT-Sicherheitsrisiken optimal behandelt oder umgangen werden können.

Falls Sie sich für die Risiken bei der Nutzung von Instant-Messaging-Diensten in Organisationen interessieren, könnten die Beiträge

von uns für Sie interessant sein.

Sicherheitskriterien bei Instant-Messaging-Diensten

Eine gewisse Sicherheit bei einigen Instant-Messaging-Diensten bietet die End-to-End-Verschlüsselung, die die gesendeten Daten so verfremdet, dass diese ohne Datenschlüssel nicht mehr nachvollziehbar sind. Erst wenn die Nachricht bei dem Empfänger ankommt, wird die Nachricht entschlüsselt. Grundsätzlich bietet dieses Verfahren eine gewisse Sicherheit, jedoch sollte beispielsweise bei WhatsApp darauf geachtet werden, dass die aktuelle Version installiert ist. 2016 führte WhatsApp offiziell mit Kennzeichnung im Chatverlauf die End-to-End-Verschlüsselung ein, bei älteren Versionen gilt diese jedoch nicht. Sie sollten daher möglichst die neueste Version besitzen.

Wie bereits erwähnt, besitzen nicht alle Länder ein angemessenes Datenschutzniveau. Auch sind je nach Sitz des Anbieters unterschiedliche Maßnahmen zu ergreifen, dabei ist es entscheidend, ob der Anbieter seinen Sitz innerhalb der EU/des EWR hat oder eine Datenübermittlung an einen Dienstleister außerhalb der EU/des EWR (Drittland) stattfindet. Kann oder möchte eine Organisation nicht auf den Einsatz von Instant-Message Diensten verzichten, so sollten Anbieter gewählt werden, die Ihren Sitz innerhalb der EU/des EWR haben. Zudem sollten klare Regelungen mittels Richtlinien/Betriebsvereinbarungen/Dienstvereinbarungen geschaffen und Mitarbeiter – mittels Datenschutz-Schulungen – ausreichend sensibilisiert werden.

Fazit

Instant-Messaging-Dienste stellen eine Erleichterung der Kommunikation dar, da diese die Nachrichten sofort übermitteln und der Empfänger diese ebenso ohne Zeitverzug einsehen kann. Jedoch bieten die angebotenen Dienste keine vollkommene Sicherheit der Datenübertragung und vor ungewolltem Zugriff oder missbräuchlicher Verwendung. Besonders problematisch sind unter anderem:

  • Anbieter außerhalb der EU/des EWR,
  • mögliche kommerzielle Nutzung der privaten Daten durch Instant-Messaging-Dienste,
  • Sicherheitslücken innerhalb der Software.

Es ist daher unerlässlich, kompetente Unterstützung bei dieser Thematik zu haben.

Brands Consulting steht Ihnen dabei gerne zur Seite. Wir bieten Ihnen optimal Unterstützung in Sachen Datenschutz. Holen Sie sich ein unverbindliches und kostenloses Angebot zum Datenschutz bei uns ein oder nehmen Sie mit uns Kontakt auf und profitieren Sie von unserer Erfahrung.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Facebook stoppt Datenweitergabe – Hoffnung für den „ WhatsApp Datenschutz “?

WhatsApp DatenschutzDie Thematik „ WhatsApp Datenschutz “ reißt seit Einführung der neuen Nutzungsvereinbarung von WhatsApp nicht ab, dabei stehen sowohl Facebook als auch WhatsApp unter erheblicher Kritik. Die geänderte Nutzungsvereinbarung und die damit verbundene Datenweitergabe an Facebook besorgt nicht nur Experten, sondern auch viele WhatsApp-Nutzer. Nun verbuchen europäische Datenschützer und Datenschutzbeauftragte den ersten Erfolg. Facebook stoppt vorerst die Datenweitergabe.

Ihr externer Datenschutzbeauftragter informiert im Folgenden über den aktuellen Status und welche Auswirkungen der vorrübergehende Stopp auf das Thema „ WhatsApp Datenschutz “ hat.

Was Sie bezüglich „ WhatsApp Datenschutz “ wissen sollten

Wie wir bereits in dem Beitrag „Datenweitergabe an „Datenkrake“ Facebook – Wie WhatsApp Datenschutz-Risiken erhöht“ berichteten, teilt WhatsApp seit September Account-Informationen mit Facebook. Dies führte in den vergangenen Wochen allerdings zu viel Kritik und schlug wohl größere Wellen als zunächst von Facebook erwartet oder erhofft. Europäische Datenschützer und Datenschutzbeauftragte wurden jetzt mit einem ersten Teilerfolg für ihre Hartnäckigkeit belohnt und auch WhatsApp-Nutzer können, zumindest vorrübergehend, aufatmen, denn die Datenweitergabe wurde vorerst gestoppt.

Wie die britische Datenschutzbeauftragte, Elizabeth Denham, am 07.11.2016 berichtet, hat die britische Datenschutzbehörde einen Durchbruch erreicht und die Datenweitergabe wurde vorerst für Großbritannien gestoppt, allerdings hat Facebook nun verkündet, dass dies auf ganz Europa ausgeweitet wird. Ziel sei es, dass Behördenvertreter ihre Bedenken benennen können und Facebook diese abwägen kann.

Zuvor musste Facebook viel Kritik einstecken. Die britische Datenschutzbeauftragte kritisierte unter anderem, dass WhatsApp-Nutzer nur unzureichend darüber informiert werden, was mit ihren Daten geschieht. Zudem sieht Sie die „eingeholte“ Einwilligung zur Datenweitergabe als ungültig an. Mit dieser Meinung steht Sie nicht alleine, denn auch in Deutschland sehen sowohl Datenschutzbeauftragte als auch Verbraucherschützer die Datenweitergabe als kritisch bzw. unzulässig. Neben der Verbraucherzentrale Bundesverband (vzbv) ging vor allem der Hamburger Datenschützer, Johannes Caspar, gegen Facebook vor. Zwar war Facebook der Meinung, dass die Zuständigkeit nicht beim Hamburger Datenschützer, sondern bei der irischen Datenschutzbehörde liegt, allerdings prüft auch diese derzeit die Zulässigkeit der Weitergabe.

Zudem stellt auch die Artikel-29-Datenschutzgruppe die Wirksamkeit der Einwilligung infrage. Bei der Artikel-29-Datenschutzgruppe handelt es sich um ein Beratungsgremium der EU-Kommission, das sich aus

  • Vertretern der nationalen Datenschutzbehörden,
  • dem europäischen Datenschutzbeauftragten
  • und einem Vertreter der europäischen Kommission

zusammensetzt.

Fazit

Alles in allem scheint es so, als wäre der Druck auf Facebook zu groß geworden. Zwar wurde die Datenweitergabe nur vorläufig gestoppt, allerdings ist nicht auszuschließen, dass Facebook aufgrund der großen Kritik vielleicht doch und ggf. dauerhaft einknickt und die Datenweitergabe auch in anderen Ländern – zunächst vorläufig und im nächsten Schritt hoffentlich dauerhaft – stoppt und Anpassungen an der Nutzungsvereinbarung sowie am generellen Vorgehen für „informierte Einwilligungen“ vornimmt. Es bleibt daher abzuwarten, wie Facebook auf die Thematik rund um den „ WhatsApp Datenschutz “ weiterhin reagiert.

Wenn Sie wissen wollen, wieso WhatsApp Datenschutz-Risiken, insbesondere für „verantwortliche Stellen“, hervorruft, dann lesen Sie unseren Beitrag „WhatsApp in Unternehmen – Kommunikationskanal, Marketing-Instrument oder eine Datenschutz-Katastrophe?“ oder nehmen Sie direkt Kontakt mit uns auf. Möchten Sie sich im Datenschutz dauerhaft besser positionieren? Dann holen Sie sich gerne ein unverbindliches Angebot zum Datenschutz ein

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen

Datenweitergabe an „Datenkrake“ Facebook – Wie WhatsApp Datenschutz-Risiken erhöht

WhatsApp DatenschutzDas Thema „ WhatsApp Datenschutz “ sehen Datenschützer und Datenschutzbeauftragte schon seit Jahren sehr kritisch, insbesondere die Übernahme durch Facebook vor etwa zwei Jahren besorgte viele Experten sowie Nutzer. „Es wird keinen Datenaustausch von Kundendaten zwischen WhatsApp und Facebook geben.“, so oder so ähnlich beruhigte WhatsApp-Gründer Jan Koum besorgte WhatsApp-Nutzer nach der Übernahme. Er berichte von seiner Kindheit, die er in der damaligen UdSSR verbrachte und erinnerte sich an die Worte seiner Mutter am Telefon: „Das erzähle ich dir nur von Angesicht zu Angesicht, nicht jetzt.“.

Diese Worte sind allerdings Vergangenheit, denn spätestens gestern ist gezwungenermaßen genau das eingetroffen, wovor so viele Nutzer Angst hatten. WhatsApp teilt Account-Informationen mit Facebook und den anderen Unternehmen in der Facebook-Unternehmensgruppe, wie Instagram. In der Datenschutz-Richtlinie steht: „Als Teil der Facebook-Unternehmensgruppe erhält WhatsApp Informationen von den Unternehmen dieser Unternehmensgruppe und teilt Informationen mit ihnen.“ Ein Austausch von Kundendaten zwischen WhatsApp und Facebook und die Berührung datenschutzrechtlicher Bestimmungen scheint klar.

Ihr externer Datenschutzbeauftragter informiert, wieso Privatpersonen und „verantwortliche Stellen“ (Unternehmen, Behörden, Vereine usw.) das Thema „ WhatsApp Datenschutz “ nicht außer Acht lassen sollten.

WhatsApp Datenschutz – Facebook-Unternehmensgruppe als „Datenkrake“

Machte WhatsApp mittels Ende-zu-Ende-Verschlüsselung vor einigen Monaten noch einen großen Schritt nach vorne in Richtung Datenschutz und Datensicherheit, so ist die beliebte App mit der Datenweitergabe von Kundendaten sehr weit zurückgefallen. Die geänderte Nutzungsvereinbarung war für viele Nutzer ein Schock.

Welche Informationen werden mit Facebook geteilt?

WhatsApp soll Informationen, wie die Telefonnummer an Facebook weitergeben. Zudem soll WhatsApp mitteilen, wann der Nutzer auf WhatsApp aktiv war. Andere Account-Informationen, wie das Profilfoto oder die Statusmeldungen möchte man im Moment nicht teilen, wobei sich die Nutzer fragen sollten, wie schnell sich dies ändern könnte.

Können sich WhatsApp-Nutzer schützen?

Bestehenden Nutzern räumte man bis zum 25.09.2016 die Möglichkeit ein, sich vor der personalisierten Werbung und den Freundschaftsempfehlungen, mittels WhatsApp-Account-Informationen, zu schützen, wobei dies auf zwei Wegen funktionierte. Hatten bestehende Benutzer der neuen Nutzungsvereinbarung noch nicht zugestimmt, so konnten sie über „Lies“ das Häkchen in der Vereinbarung, das die Verwendung erlaubt, entfernen. Hatte man der Nutzungsvereinbarung bereits zugestimmt, so konnte man in WhatsApp unter Einstellungen -> Account -> Meine Account-Info teilen – je nach Gerätetyp –  das Häkchen entfernen oder den Schieberegler umschalten. Neuen WhatsApp-Nutzern wurde diese Möglichkeit allerdings nicht gewährt.

Achtung! WhatsApp-Nutzer sollten allerdings beachten, dass sie zwar der Werbung widersprochen haben, allerdings die Daten trotzdem an Facebook weitergegeben werden. WhatsApp schreibt auf der Homepage: „Die Facebook-Unternehmensgruppe wird diese Information trotzdem erhalten und für andere Zwecke, wie Verbesserung von Infrastruktur und Zustellsystemen, des Verstehens der Art der Nutzung unserer bzw. ihrer Dienste, der Absicherung der Systeme und der Bekämpfung von Spam, Missbrauch bzw. Verletzungshandlungen.“

Die neue Nutzungsvereinbarung und die Tatsache, dass sich Nutzer letztendlich nicht gegen die Weitergabe schützen können, alarmiert nicht nur die Benutzer selbst, sondern zahlreiche Datenschutzbeauftragte, Datenschützer und die EU-Kommission. Auch ging bereits eine Klage bei der Federal Trade Commission (Verbraucherschutzbehörde) von US-Datenschützern ein.

„ WhatsApp Datenschutz “ – Was sollten „verantwortliche Stelle“ beachten?

WhatsApp FacebookImmer häufiger findet WhatsApp Verwendung innerhalb der sogenannten „verantwortlichen Stellen“, als Kommunikationskanal oder als Marketing-Instrument. Allerdings sind die Risiken für die Unternehmen, Behörden, Vereine, Stiftungen bzw. sonstige verantwortliche Stellen um ein Vielfaches höher als die bei reinen Privatpersonen der Fall sind. Auf der Hand liegt, dass Organisationen über deutlich mehr sensible Daten, wie Betriebsgeheimnisse und personenbezogene Daten von Kunden, Mitarbeitern und sonstigen Betroffenen verfügen dürften.

Das erhöhte Risiko für „verantwortliche Stellen“ existierte allerdings bereits vor der Weitergabe der Daten an Facebook, da bereits die Übermittlung an WhatsApp problematisch ist.

Im Installationsprozess von WhatsApp, spätestens aber mit dem Einsatz der App, greift diese auf die gespeicherten Telefonnummern in Smartphones bzw. die Inhalte der Kontakte bzw. Visitenkarten zu. Diese (personenbezogenen) Daten werden dann nicht legitimiert an die WhatsApp-Server in Kalifornien (USA) weitergegeben. Nicht legitimiert, weil eine Datenübermittlung durch das Bundesdatenschutzgesetz (BDSG) nur auf Basis einer Rechtsgrundlage oder auf informierten Einwilligungen der Betroffenen erfolgen darf. Zudem handelt es sich um eine Datenübermittlung in ein Drittland (außerhalb der europäischen Union (EU) und des europäischen Wirtschaftsraums (EWR)) ohne angemessenes Datenschutzniveau.

Eine datenschutzkonforme Übermittlung wäre deshalb nur möglich, wenn zum einen das Datenschutzniveau, beispielsweise durch Abschluss von EU-Standardvertragsklauseln, hergestellt wird oder informierte und freiwillige Einwilligungen eines jeden Kontakts im Telefonbuch eingeholt werden. Die Tatsache, dass WhatsApp nun erste Informationen mit Facebook austauscht, könnte zudem zu weiteren Risiken führen, da –wie bereits angedeutet  – regelmäßig deutlich mehr Informationen  innerhalb eines Kontakts hinterlegt sind. Vor zwei Jahren war von einer Datenweitergabe keine Rede, daher muss sich gefragt werden, in welche Richtung sich der Konzern weiter bewegen wird.

Insbesondere für „verantwortliche Stellen“, die eine Privatnutzung von dienstlichen Smartphones oder den dienstlichen Einsatz von privaten Endgeräten erlauben, besteht ein erhöhtes Risiko. Mitarbeiter könnten Apps, unter anderem WhatsApp oder Facebook, installiert haben und personenbezogene Daten nicht legitimiert an Unternehmen in Drittländern übermitteln. Aus diesem Grund sollten klare Regelungen innerhalb einer Organisation respektive verantwortlichen Stelle getroffen werden.

Fazit

Grundsätzlich ist sowohl Privatpersonen als auch „verantwortlichen Stellen“ anzuraten, auf den Einsatz von WhatsApp zu verzichten und auf Messenger zurückzugreifen, deren Anbieter ihren Sitz innerhalb der EU/der EWR haben.

Der Grund ist zum einen, dass das Datenschutzrecht innerhalb der EU/des EWR, mittels EU-Richtlinie, harmonisiert ist. Ein weiterer Grund für „verantwortliche Stellen“ ist, dass per BDSG eine Ausnahmeregelung für Auftragsdatenverarbeitungen, gemäß § 11 BDSG, existiert, die als „Nicht-Übermittlung“ eingestuft wird und das Einholen von informierten Einwilligungen nicht erfordert. Hat der Anbieter seinen Sitz innerhalb der EU/EWR, so können in dem meisten Fällen – nach einer Prüfung durch den Datenschutzbeauftragten extern / intern – Verträge zur Auftragsdatenverarbeitung abgeschlossen werden. Bei einer Übermittlung personenbezogener Daten an einen Anbieter außerhalb der EU- / EWR-Staaten, wie WhatsApp, ist die Vorgehensweise schwieriger sowie mit mehr Aufwand und mit vielen Risiken verbunden.

Haben Sie weitere Fragen zu dem Thema “ WhatsApp Datenschutz ” oder allgemein zu „Datenschutz bei Apps“? Möchten Sie sich im Datenschutz dauerhaft besser positionieren?  Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Gläserner Mensch – Mittels Amazon Dash Button Datenschutz-Risiken auf Knopfdruck

Gläserne MenschAmazon ermöglicht von nun an künftig das Bestellen von Waren mittels sogenannter Amazon Dash Buttons, allerdings sollten Prime-Kunden neben dem Komfort das Thema „Dash Button Datenschutz“ nicht außer Acht lassen. Das Angebot von Amazon hört sich zunächst sehr praktisch an, da Alltagswaren, wie Waschmittel, Rasierer und Shampoo, per Betätigung eines Knopfes auf dem Dash Button bestellt werden können und am nächsten Tag versandkostenfrei nach Hause geliefert werden.

Die Nutzung dieser Dash Buttons kann zwar für Verbraucher sehr praktisch sein, da ihnen der Weg zum Supermarkt erspart bleibt, allerdings sollten Verbrauchen sich vor der Nutzung mit dem Thema „Dash Button Datenschutz“ auseinandersetzen und sich fragen, ob sie für den Komfort einen Teil ihrer Privatsphäre auf Knopfdruck aufgeben.

Wie funktionieren die Dash Buttons?

Um die Dash Buttons zu verwenden, benötigt der Endverbraucher nicht viel IT-Know-how, denn das Einrichten und Bestellen ist kinderleicht. Zunächst benötigt der Verbraucher, einen Dash Button, die Amazon App, Bluetooth und WLAN. Für die Einrichtung des Dash Buttons verbindet sich dieser per Bluetooth mit dem Smartphone. Weitere Schritte erfolgen in der Amazon App, die Ihnen das Einrichten der Dash Buttons ermöglicht, allerdings sollte beachtet werden das pro Dash Button nur ein Produkt bestellt werden kann, was Sie bei der Einrichtung auswählen sollten. Zudem sollten Sie den bzw. die Dash Buttons mit dem WLAN verbinden. Haben Sie den Dash Button eingerichtet, kann er mittels Haken oder Klebefolie an die gewünschte Stelle angebracht werden und schon lassen sich die ersten Produkte bestellen.

Zu beachten ist allerdings, dass die Dash Buttons derzeit nur von Prime-Kunden bestellt werden können. Zudem stellt Amazon nur eine kleine Auswahl an Produkten zur Verfügung, wobei zu erwarten ist, dass die Produkt-Palette, wenn die Dash Buttons bei den deutschen Verbrauchern gut ankommen, erweitert wird. Ist die Bestellung an Amazon übermittelt, leuchtet ein grünes Lämpchen auf und sie erhalten eine Benachrichtigung auf dem Handy. Eine weitere Funktion, die Amazon zum Schutz der Kunden implementiert hat, ist der „Bestellschutz“. Haben Sie mit einem Dash Button einen Artikel bestellt, so können Sie mit dem gleichen Dash Button erst wieder bestellen, wenn der Artikel geliefert wurde. Mit dem Bestellschutz möchte Amazon verhindern, dass durch versehentliches Mehrfach-Klicken, insbesondere durch Kinder, die Ware mehrfach zu Ihnen nach Hause kommt. Was Datenschützer und Datenschutzbeauftragte allerdings noch mehr interessiert ist, ob Amazon neben dem Bestellschutz auch an den Datenschutz gedacht hat.

Wieso der Amazon Dash Button Datenschutz-Risiken für Verbraucher birgt

Dash Button DatenschutzGrundsätzlich sollten Dash Buttons nicht verteufelt werden, da Verbraucher selbst entscheiden können, welche Artikel sie mit Hilfe der „kleinen Helfer“ bestellen wollen, allerdings ist es wichtig, dass sich Verbraucher darüber bewusst sind, dass sie mit jedem Knopfdruck ein Stückchen Privatsphäre aufgeben könnten.

Je häufiger der Verbraucher seine Dash Buttons verwendet, desto dichter werden die Informationen über ihn, bis Amazon ein ganzes Benutzerprofil erhält und genau weiß, in welchen Zeiträumen der Verbraucher kein Toilettenpapier oder kein Shampoo mehr hat. Mit diesen Benutzerprofilen wäre es Amazon theoretisch möglich, die Ware zukünftig ohne Dash Button zu verschicken, da es sich nun mal um Alltagsware handelt, die in den meisten Haushalten regelmäßig verwendet wird und in ähnlichen Intervallen aufgebraucht ist.

Zwar war es Amazon bisher auch möglich Benutzerprofile zu erstellen, allerdings haben die meisten Verbraucher Alltagswaren, wie Waschmittel, eher im Supermarkt oder im Drogeriemarkt gekauft und nicht online bestellt. Ob durch Einführung dieser Geräte eine Änderung erfolgt, bleibt abzuwarten. Verbrauchern ist jedenfalls vor der Nutzung von Amazon Dash Buttons anzuraten, sich intensiver mit dem Thema „Dash Button Datenschutz“ auseinanderzusetzen und zu überlegen, welche Daten man über sich preisgeben möchte.

Wieso der Amazon Dash Button Datenschutz-Risiken für „verantwortliche Stellen“ hervorruft

Grundsätzlich betreffen Amazons Dash Buttons kaum direkt „verantwortliche Stellen“, allerdings kann mittelbar das Installieren von Apps – unabhängig davon um welche App es sich handelt – zu Problemen und Risiken für „verantwortliche Stellen“ führen. Das Problem liegt zumeist darin, dass Apps auf viele Funktionen/Informationen auf den Smartphones zugreifen wollen. Dürfen Mitarbeiter ihre dienstlichen Smartphones auch zu privaten Zwecken verwenden, dann installieren sich Mitarbeiter gewöhnlich zahlreiche Apps und beachten zumeist nicht die Zugriffsberechtigungen. Können Apps auf Kontakte oder auf andere Dateien auf den dienstlichen Smartphones zugreifen, kann dies insbesondere wegen der Datenübermittlung – häufig an Anbieter aus dem Drittland – zu Problemen führen.

Möchten Sie mehr zum Thema „Datenschutz bei Apps“ erfahren, dann lesen Sie doch unseren Beitrag „Datenschutz Apps – Trends der Gamescom mal aus Datenschutzsicht“ oder nehmen Sie direkt Kontakt mit uns auf. Gerne informieren wir Sie auch zum Thema „Dash Button Datenschutz“.

Möchten Sie sich im Datenschutz dauerhaft besser positionieren?  Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Datenschutz Apps – Trends der Gamescom mal aus Datenschutzsicht

Datenschutz AppsZu den Trends der diesjährigen Gamescom gehört das „Mobile Gaming“, doch die Begriffskombination „Datenschutz Apps“ wird auf der Computer-Messe sicherlich keine für Besucher spürbare Rolle spielen.

Jedes Jahr strömen Hunderttausende nach Köln, um sich die neusten Trends der Computer- und Videospiele-Welt anzuschauen. An diesem Wochenende wird sich alles um Virtual-Reality-Brillen, E-Sport ( zu deutsch „elektronischer Sport“) und um Mobility Gaming, insbesondere Pokémon-Go, drehen. Letzteres beschäftigt uns bereits seit Wochen und zeigt, welchen Einfluss und welche Bedeutung Applikation (kurz Apps) auf bzw. inzwischen für uns haben.

Jeder, der ein Smartphone besitzt, verwendet eine Vielzahl an Apps, dabei sind die Einsatzmöglichkeiten völlig unterschiedlich. Applikation werden unter anderem verwendet, um Nachrichten zu versenden, das Wetter zu erfragen, Spiele zu spielen, „lustige“ Fotos zu erstellen und zu versenden, Leute kennenzulernen, Musik zu hören, die gelaufenen Schritte zu zählen sowie die dadurch verbrannten Kalorien zu errechnen. Eine Frage, die sich allerdings kaum ein Nutzer stellt ist: „Was geschieht mit meinen Daten?“ Worauf hat die App Zugriff und wer erfährt möglicherweise, dass ich heute nur 5000 anstatt meiner gewohnten 15000 Schritte geschafft habe? Was machen die App-Anbieter mit meinen Daten? Alles in allem, spielt Datenschutz bei Apps überhaupt eine Rolle?

Ihr externer Datenschutzbeauftragter berät, welche Datenschutz-Gefahren und -Risiken Apps hervorrufen und welche Rolle „Datenschutz Apps“ dabei spielt. Zudem erfahren Sie mit welchen einfachen Maßnahmen Privatpersonen sowie „verantwortliche Stellen“, wie Unternehmen / Behörden und Vereine, ihre eigenen Daten und die Daten von anderen Personen schützen können.

Zugriffe der Apps auf Daten der Smartphones

Bildschirmfoto 2016-08-18 um 11.48.56

Die Gefahren für den Datenschutz beginnen zumeist bereits bei der Installation. Möchte man eine App installieren, erhält man – je nach Gerätetyp – vor oder nach der Installation den Hinweis, dass die App auf Kontakte, auf die Kamera, auf die gespeicherten Fotos oder ähnliches zugreifen möchte. Haben Sie sich auch schon gefragt, wieso eine App, die Ihnen lediglich das Wetter für die nächsten Tage anzeigen soll, auf Ihre Kontakte oder auf Ihre Medien zugreifen möchte? Man könnte dieses Vorgehen schon fast in die Schublade „unternehmerische Vorratsdatenspeicherung“ stecken!

Bildschirmfoto 2016-08-18 um 12.13.13Diese Zugriffsrechte lassen sich allerdings ganz einfach einschränken. Abhängig vom Gerätetyp kann unter den Einstellungen -> Datenschutz der Zugriff auf die Funktionen / Informationen wie: Kamera, Kalender, Kontakte, Mikrofon, Standort, … eingeschränkt werden. Zu beachten ist allerdings, dass die Benutzerfreundlichkeit und der Komfort für den Nutzer dadurch abnehmen könnten.

Unsichere Apps

Neben den Zugriffsrechten sollte bereits vor der Installation geprüft werden, ob es sich um eine „sichere App“ handelt, wobei vor allem Apps mit unbekannter Herkunft eine große Gefahr darstellen. Nicht selten handelt es sich bei diesen Apps um sogenannte Trojaner-Apps. Für den Nutzer als vermeintliches Spiel oder irgendeine andere „total geniale“ Anwendung getarnt, kann die App nach der Installation eine Vielzahl an Informationen ausspähen. Sie kann nicht nur die Kamera oder das Mikrofon anzapfen, sondern Eingaben mitschneiden, wodurch das Ausspähen von sensiblen Daten, wie Passwörtern oder Kreditkarteninformationen, zum Klacks wird.

pokemon-1574647_640Um sich gegen „gefährliche Apps“ zu schützen empfiehlt es sich ein Anti-Viren-Programm auf dem Smartphones zu installieren. Vernünftige Anti-Viren-Programme sind aus heutiger Sicht selbst für Apple-Produkte durchaus empfehlenswert. Zudem sollten lediglich Apps aus offiziellen App-Stores installiert werden, da diese vorher auf ihre Sicherheit überprüft werden. Hierdurch lässt sich zwar kein hundertprozentiger Schutz erzielen, aber dafür werden die Datenschutz-Risiken zumindest minimiert. Das Lesen von Rezessionen ist sicherlich ebenfalls nicht nachteilig. Des Weiteren sollte darauf geachtet werden, dass die originale Version eine App installiert wird, da Kriminelle immer wieder den Hype um eine App ausnutzen und eigene, oftmals mit einem Trojaner infizierte Apps, anbieten, wie zuletzt bei der App „Pokémon Go“.

Apps als „Datenkraken“

App-Nutzer sollten darauf achten, dass sie nicht nur die Zugriffsrechte begrenzen, sondern Apps nicht dauerhaft mit Informationen füttern.

boot-1015415_640

Das beste Beispiel hierfür sind Fitness-Uhren oder auch Gesundheits-Uhren genannt. Diese Fitness-Uhren können unter anderem die Herzfrequenz, körperliche Betätigungen, Schlaf- und Ruhezeiten aufnehmen, wobei sich die Uhren automatisch mit der dazugehörigen App verbinden. Nutzer dieser Uhren können auf ihrem Smartphone sehen, wie viele Schritte sie an einem Tag gelaufen sind, wie viele Kalorien sie verbrannt haben oder wie viele Stunden sie unruhig geschlafen haben.  Man sollte sich allerdings die Frage stellen, wer diese Informationen noch sehen kann? Wem werden ggf. Rechte an den „eigenen Daten“ respektive personenbezogenen Daten eingeräumt und möchte man dies als Nutzer? Welche Folgen kann das haben?

Ein weiteres Risiko sind Apps, insbesondere Spiele, bei denen man sich mit anderen Nutzerkonten, wie seinem Facebook-Account, anmelden kann, da dadurch eine Vielzahl an Daten mit dem Nutzerprofil verknüpft werden kann. Zudem haben Hacker ein einfaches Spiel, da sie sich über die App auch Zugriff auf das Profil und in der Kette damit ggf. auch auf weitere Apps verschaffen können. Daraus folgt: Nutzen Sie unbedingt sichere und unterschiedliche Passwörter für unterschiedliche Programme, Apps, Anwendungen, Webseiten und sonstige Dienste. Im Hause Ihres Arbeitgebers kann Sie z. B. Ihre IT-Abteilung oder Ihr externer Datenschutzbeauftragter bei einer sinnvollen Passwortzusammensetzung unterstützen.

Besondere Gefahren für „verantwortliche Stellen“ bei „Datenschutz Apps“

Uneingeschränkte Zugriffe und unsichere Applikationen können für „verantwortliche Stellen“ zu viel höheren Risiken und Gefahren führen als bei Privatpersonen, da sie gewöhnlich über mehr sensible Daten, wie Betriebsgeheimnisse und personenbezogene Daten von Kunden, Mitarbeitern und sonstigen Betroffenen verfügen. Es handelt sich daher um einen evtl. geringeren Umfang, dafür aber um tausende, hunderttausende oder gar einige Millionen an betroffenen Personen und Informationen.

Sind auf dem dienstlichen Smartphone Apps installiert, die auf Kontakte zugreifen können, so führt es bereits zu ersten Schwierigkeiten, da es sich schnell um eine Datenübermittlung handelt. Als „verantwortliche Stelle“ sollte mit Hilfe des Datenschutzbeauftragten geprüft werden, wo der Sitz des (potenziellen) Anbieters ist.

Hat der Anbieter seinen Sitz innerhalb der EU/EWR, so können in dem meisten Fällen – nach einer Prüfung durch den Datenschutzbeauftragten (extern / intern) – Verträge zur Auftragsdatenverarbeitung abgeschlossen werden. Bei einer Übermittlung personenbezogener Daten an einen Anbieter außerhalb der EU- / EWR-Staaten ist die Vorgehensweise schwieriger sowie mit mehr Aufwand und mit vielen Risiken verbunden.

Neben den Gefahren durch uneingeschränkte App-Zugriffe stellen Viren, Trojaner und andere Schadprogramme eine große Gefahr für „verantwortliche Stellen“ dar. Stellt man einen derartigen Angriff fest, sollte der Datenschutzbeauftragte umgehend eingeschaltet werden, da geprüft werden muss, welche Daten verloren gegangen sind. Datenpannen, die personenbezogene Kreditkartendaten oder besondere Angaben personenbezogener Daten betreffen, müssen Betroffenen und der Aufsichtsbehörde von der „verantwortliche Stellen“, gemäß § 42 a Bundesdatenschutzgesetz, gemeldet werden. Dies führt neben hohen Bußgeldern zu einem erheblichen Imageverlust.

Um solche Risiken und Gefahren zu minimieren, sollten „verantwortliche Stellen“ Maßnahmen ergreifen und klare Regelungen treffen. Die „sicherste“ Maßnahme wäre die Privatnutzung von dienstlichen Endgeräten zu verbieten. Möchte oder kann eine „verantwortliche Stelle“ die Privatnutzung nicht verbieten, so ist der Einsatz eines Mobile-Device-Management-Systems (MDM) ausdrücklich anzuraten, da die Risiken durch geeignete Maßnahmen, bei denen Sie Ihr Datenschutzbeauftragter fachkundig unterstützt, wie Container-Lösungen oder die Verwendung von White- und Blacklists zumindest reduziert werden können.

Das Thema Datenschutz sollte allerdings nicht nur bei „verantwortlichen Stellen“, die durch die Nutzung von Apps betroffen sind, sondern auch bei App-Entwicklern ganz oben auf der Agenda stehen. Geeignete Datenschutz-Nutzungsbedingungen und definierte Zugriffsberechtigungen, die auf die entwickelte App angepasst sind, wären sowohl aus datenschutzrechtlichen Aspekten als auch aus Imagegründen anzuraten und ein guter erster Ansatz. An fachkundige Unterstützung, in der Form der Datenschutzberatung oder durch einen versierten Datenschutzbeauftragten, sollte keinesfalls gespart werden. In Abhängigkeit zur Art der App und der Daten könnte dies schlimme finanzielle Folgen nach sich ziehen.

Haben Sie weitere Fragen zu „Datenschutz Apps“ bzw. zu konkreten Apps oder benötigen Sie Hilfe bei der Umsetzung von klaren Richtlinien / Betriebsvereinbarungen? Möchten Sie sich im Datenschutz dauerhaft besser positionieren?  Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

BYOD, CYOD und COPE – Der Weg über das Mobile-Device-Management zum Datenschutz

Mobile Device Management für den DatenschutzZahlreiche Unternehmen sehen sich heutzutage mit dem Problem der ausufernden Verwendung privater Endgeräte innerhalb des Unternehmens konfrontiert. Es handelt sich dabei allerdings nicht um ein Problem, dem sich ausschließlich große Firmen oder Konzerne stellen müssen. Auch in Behörden und Körperschaften (sogenannte „öffentliche Stellen“) wird immer mehr „externe Technik“ zum Einsatz gebracht. Am ersten Twitter-Posting des Bundesministerium des Inneren (BMI): „Wir sind etwas spät hier. Wir mussten noch unsere Zuständigkeit prüfen“ aus 05/2016 lässt sich erkennen, dass behördliche Organe vielfach „ein wenig mehr Zeit“ benötigen, damit der Fortschritt Einzug erhält. Aber auch diese öffentlichen Stellen sehen sich vor und nach der Entscheidung über Neuerung mit ähnlichen Barrieren konfrontiert, wie die Privatwirtschaft.

Gerade bei Führungskräften oder beim Social Media Marketing (SMM) z. B. mittels:

  • Facebook
  • Flickr
  • Google Plus
  • LinkedIn
  • Pinterest
  • Tumblr
  • Twitter
  • Vimeo
  • YouTube
  • Xing

wird eine ständige Erreichbarkeit immer wichtiger. Dies wird nicht zuletzt durch aufkommende Hassrede über Einzelpersonen, aber auch behördliche Organisationen und Wirtschaftsunternehmen erkennbar. Mit Hashtags wie #NoHateSpeech oder #HateSpeech wird in ganzen Kampagnen zwar gegen die Hassrede gekämpft, dennoch ist auch hier eine schnelle Erreichbarkeit wichtig, um ggf. auftretende Gefahr frühzeitig von den Betroffenen abwenden zu können.

Mitarbeiter möchten meist ungerne mehrere Smartphones mit sich führen. Ein dienstliches Smartphone spart mit einer Alltnet-Flat nicht nur direkt private Kosten des Mitarbeiters, sondern dient regelmäßig auch noch der Mitarbeitermotivation. Denn das „brandneue Teil“ hätten sich viele vielleicht selbst nicht gekauft und lieber ihre „alte Möhre“ weiter genutzt.

Es ist somit mehr als nachvollziehbar Überlegungen anzustellen, wie IT-Geräte gesetzeskonform sowohl für die dienstliche als auch für die private Nutzung ausgegeben und genutzt werden können.

Durch diese zunehmende Verschmelzung der Grenzen zwischen beruflicher und privater IT-Nutzung ist zu klären, welche und ob sich Möglichkeiten bieten, um die Sicherheit für unternehmensinterne Daten (Betriebsgeheimnisse / personenbezogene Daten) zu gewährleisten. Gleichzeitig sollen auch die Interessen der Mitarbeiter gewahrt werden (Stichwörter: Beschäftigtendatenschutz, Mitarbeiterdatenschutz, Personaldatenschutz).

Im Weiteren soll dargestellt werden, was überhaupt hinter Abkürzungen wie BYOD, CYOD und COPE zu verstehen ist.

BYOD – Bring Your Own Device

 

monitor-66618_640Bei dem Konzept Bring Your Own Device, kurz BYOD, erlaubt der Arbeitgeber seinen Mitarbeitern das berufliche Arbeiten mit privaten Endgeräten. Der Einsatz ist, anderes als bei der Schatten-IT, mit der Geschäftsführung oder sonstigen Entscheidungsträgern (z. B. IT-Leitung oder IT-Abteilung) abgesprochen, wodurch die Datenschutz-Risiken im Vergleich zur Schatten-IT geringer sein können. Dennoch lauern bei BYOD Gefahren, die von den „verantwortlichen Stellen“ nicht ignoriert werden sollten.

Dürfen Arbeitnehmer ihre eigenen mobilen Endgeräte verwenden, auch bekannt unter „Consumerization“, zu deutsch „Konsumerisierung“, dann ist eine Trennung zwischen privaten und dienstlichen Daten kaum möglich. Durch die fehlende Unterscheidung haben „verantwortlichen Stellen“ zum einen das Problem, dass sie die technischen und organisatorischen Maßnahmen, gemäß § 9 Satz 1 Bundesdatenschutzgesetz (BDSG), gar nicht bzw. mit einem erheblichen Aufwand erfüllen können. Zudem darf der Arbeitgeber i. d. R. nicht auf die Endgeräte zugreifen, wodurch weder der Umgang mit personenbezogenen Daten noch die Einhaltung anderer rechtlicher oder unternehmensinterner Vorschriften geprüft werden darf.

BYOD kann nicht zu Verletzungen des Datenschutzrechts führen, sondern auch das Risiko vor Urheberrechtsverletzungen erhöhen. Verwendet ein Mitarbeiter eine nicht ordnungsgemäß lizensierte Software zur Erfüllung der dienstlichen bzw. arbeitsvertraglichen Aufgaben und kommt dies dem Unternehmen zu Gute, so könnten Ansprüche gegen das Unternehmen und damit die Geschäftsleitung gemäß § 99 Urhebergesetz bestehen. Diese und weitere Risiken erfordern deshalb klare Regelungen, um BYOD möglichst rechtkonform zu gestalten.

Ein weiteres Problem ist, dass die privaten Endgeräte nicht ausreichend geschützt sein könnten und das Risiko vor Datenpannen, durch Verlust eines unverschlüsselten Gerätes oder eines Hackerangriffs, steigt. Aus diesem Grund ist der Einsatz einer Mobile-Device-Management-Software dringendst anzuraten.

Vorteile Nachteile
  • Flexibles Arbeiten (auch von Zuhause) möglich
  • Höhere Mitarbeiterzufriedenheit
  • Kostenersparnis für den Arbeitgeber
  • Der Arbeitgeber darf nicht auf die Geräte zugreifen
  • Datenschutzrechtliche und andere rechtliche Risiken
  • Höheres Risiko vor Datenverlust
  • Hoher Aufwand und hohe Kosten für Mobile-Device-Management-System (MDM), Richtlinien, Regelungen etc.
  • Viele Geräte von unterschiedlichen Herstellern

CYOD – Choose Your Own Device

selection-443127_640Bei Choose Your Own Device, kurz CYOD, stellt der Arbeitgeber eine Auswahl an Geräten, zwischen denen der Arbeitnehmer wählen darf, zur Verfügung. Anders als bei Bring Your Own Device gehören die Geräte somit dem Arbeitgeber, wodurch dieser, wenn er eine Privatnutzung verbietet, auf die Endgeräte zugreifen darf. Eine dauerhafte Überwachung der mobilen Endgeräte, zum Beispiel mittels Spyware, ist allerdings trotz Verbot untersagt. Eine erlaubte Privatnutzung führt zur Vermischung von privaten und dienstlichen Daten, die einige Risiken, wie bereits im Rahmen von BYOD erläutert, mit sich bringt. Macht eine „verantwortliche Stelle“ von diesem Konzept Gebrauch oder strebt CYOD an, so ist das Aufstellen von klaren Regelungen und das Einführen eines MDM-Systems zu empfehlen.

Vorteile Nachteile
  • Die Geräte gehören der „verantwortlichen Stelle“
  • Flexibles Arbeiten (auch von Zuhause) möglich
  • Mitarbeiter können sich ein Gerät aussuchen
  • Bei erlaubter Privatnutzung darf der Arbeitgeber nicht auf die Geräte zugreifen
  • „Verantwortliche Stelle“ trägt die Kosten für die Anschaffung

COPE – Corporate-Owned, Personally Enabled

questions-1014060_640Bei dem dritten Konzept Corporate-Owned, Personally Enabled, kurz COPE, stellt ebenfalls die „verantwortliche Stelle“ eine Auswahl an Endgeräten zur Verfügung. Eine Privatnutzung der vorkonfigurierten Geräte ist grundsätzlich gestattet, wobei der Mitarbeiter die Einrichtung und die Wartung des Gerätes zum Teil eigenverantwortlich durchführt.

Vorteile Nachteile
  • Die Geräte gehören der „verantwortlichen Stelle“
  • Flexibles Arbeiten (auch von Zuhause) möglich
  • Mitarbeiter können sich ein Gerät aussuchen
  • Höhere Mitarbeiterzufriedenheit, da Privatnutzung erlaubt
  • Kostenersparnis der „verantwortlichen Stelle“ durch eigenverantwortliche Wartung durch den Mitarbeiter
  • Bei erlaubter Privatnutzung darf der Arbeitgeber nicht auf die Geräte zugreifen
  • „Verantwortliche Stelle“ trägt die Kosten für die Anschaffung
  • Erhöhtes Risiko vor Datenverlust bzw. –pannen, da kein Support und keine Wartung durch die IT-Abteilung erfolgt

Fazit

Eine heimliche Nutzung privater Geräte kann erhebliche Sicherheitsrisiken mit sich bringen und die Sicherheit des Unternehmensnetzwerks gefährden. Möchten Sie mehr über die Auswirkungen einer ungeregelten Nutzung privater Endgeräte erfahren, dann lesen Sie doch unseren Beitrag „Schatten-IT – Steht der Datenschutz im Schatten der Fachabteilungen?“.

Ist die Nutzung der Endgeräte gestattet, allerdings nicht ausreichend geregelt, führt dies ebenfalls zu Problemen und Risiken. Der Integrationsaufwand für eine Vielzahl von Gerätetypen, wie bei BYOD üblich, kann schnell unüberschaubar werden – vom laufenden Support und Updates ganz zu schweigen. Hier sind COPE oder auch CYOD im Zweifel die bessere Wahl, da sich von vornherein ein Durcheinander in der Endgeräte- und Betriebssystemlandschaft ausschließen oder zumindest einschränken lässt. Ein Problem, das alle drei Konzepte teilen, ist die zunehmend verschwimmende Grenze zwischen privater und geschäftlicher Verwendung der Endgeräte. Aus diesem Grund sollte das Unternehmen den Umfang der privaten Nutzung vorab genau festlegen, um späteren Problemen aus dem Weg zu gehen.

Bei der Konfiguration der Geräte sollten „verantwortliche Stellen“ die Installation einer MDM-Software in Betracht ziehen. Mit dem MDM-Programm sind zwar zusätzliche Kosten verbunden, allerdings können zahlreiche Risiken, die zu einem späteren Zeitpunkt zu wesentlich höheren Kosten führen können, minimiert werden. Die Software ermöglicht zum Beispiel den Einsatz von White- und Backlists, wodurch die Mitarbeiter keine Software, die verboten ist (Blacklist) oder die nicht explizit erlaubt ist (Whitelist), installieren können, oder die Fernlöschung bei Verlust des Gerätes. Bei einer erlaubten Privatnutzung sollte die IT-Abteilung bei der Konfiguration zudem auf eine Container-Lösung zurückgreifen, damit die Vermischung von privaten und dienstlichen Daten vermieden wird.

Sind auch Sie auf der Suche nach einem neuen Konzept für Ihr Unternehmen, um die Verwendung von mobilen Endgeräten zu verbessern oder möchten Sie sich im Datenschutz dauerhaft besser positionieren? Holen Sie sich Unterstützung durch einen versierten externen Datenschutzbeauftragten. Nehmen Sie bequem Kontakt zu uns auf oder fordern Sie direkt ein kostenloses Angebot zum Datenschutz an.

Nützliche weitere Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Apples Optimized Storage und der Datenschutz – Einsatz in Behörden, Unternehmen und sonstigen verantwortlichen Stellen

Optimized Storage, zu deutsch optimierte Speicherung, ist eine von Apple in macOS Sierra angekündigte Funktion, die das Löschen und Auslagern von nicht bzw. selten benötigten Daten automatisieren soll. Mit Hilfe von Optimized Storage sollen die Nutzer bei der Organisation des Speicherplatzes auf der Festplatte unterstützt werden. Nicht mehr benötigte Daten sollen automatisiert in den Papierkorb wandern und nach 30 Tagen, sofern vom Nutzer gewünscht, gelöscht werden. Selten genutzte Daten sollen hingegen gar nicht gelöscht, allerdings automatisch in die iCloud ausgelagert werden. Zunächst erscheint die Funktion als sehr nützlich, da der begrenzte Speicherplatz auf der Festplatte regelmäßig zum Problem wird. Das automatisierte Löschen und Auslagern von Daten kann allerdings zu datenschutzrechtlichen Risiken führen.

Wieso Optimized-Storage Datenschutz-Probleme hervorruft?

Auslagerung personenbezogener Daten in die Cloud (Optimized Storage Datenschutz)Bei der beruflich veranlassten Erhebung, Verarbeitung und Nutzung personenbezogener Daten sollte stets das Datenschutzrecht befolgt werden. Laut § 3 Abs. 4 BDSG fällt das Speichern, Auslagern (Übermitteln) sowie das Löschen personenbezogener Daten unter die Verarbeitung. Die Verarbeitung darf wiederrum nur erfolgen, wenn eine gesetzliche Grundlage dies erlaubt oder der Betroffene eine informierte Einwilligung abgibt. Das beschriebene Erfordernis einer Rechtsgrundlage oder einer informierten (freiwilligen) Einwilligung kann, insbesondere in Hinblick auf die Auslagerung in die iCloud, zu rechtlichen Schwierigkeiten führen.

Möchte eine „verantwortliche Stelle“ personenbezogene Daten in die iCloud auslagern, so erfordert die Übermittlung eine gesetzliche Grundlage oder die informierte Einwilligung des Betroffenen. Das Speichern in einer Cloud wird regelmäßig als Auftragsdatenverarbeitung (ADV), gemäß § 11 BDSG, eingestuft, die eine Ausnahme darstellt. Der Gesetzgeber betrachtet den Auftraggeber („verantwortliche Stelle“) und den Auftragnehmer (Cloud-Anbieter) als eine Einheit. Die Weitergabe der Daten wird deshalb als „Nicht-Übermittlung“ eingestuft wird. Handelt es sich um eine Auftragsdatenverarbeitung, sollten Auftraggeber und –nehmer einen ADV-Vertrag abschließen. Dieser sollte unter anderem die Weisungsbefugnis des Auftraggebers regeln. Das Einholen einer informierten Einwilligung der Betroffenen ist in diesen Fällen nicht notwendig. Die Fiktion der „Nicht-Übermittlung“ gilt allerdings nur für Auftragsdatenverarbeitungen innerhalb der europäischen Union (EU) und des europäischen Wirtschaftsraums (EWR).

Hat der Auftragnehmer (Cloud-Anbieter) seinen Sitz in einem Drittland (außerhalb der EU / EWR) greift diese Sonderregelung nicht. Das Auslagern in die iCloud, Sitz in den USA, wird als eine Übermittlung, die eine Rechtsgrundlage oder eine informierte Einwilligung erfordert, angesehen. Des Weiteren sollten „verantwortliche Stellen“, wie Unternehmen und Behörden, ein angemessenes Datenschutzniveau herstellen. Der Gesetzgeber geht bis auf wenige Ausnahmen, wie Kanada, davon aus, dass in Drittländern kein angemessenes Datenschutzniveau herrscht. Neben dem erheblichen Aufwand, den ein „verantwortliche Stelle“ mit der Beschaffung der informierten Einwilligungen hätte, müsste sie sich mit Verträgen, wie EU-Standardvertragsklauseln oder Binding Corporate Rules (BCR), beschäftigen. Mit Hilfe dieser Verträge kann die „verantwortliche Stelle“ ein angemessenes Datenschutzniveau herstellen.

Das automatisierte Löschen sollte ebenfalls als sehr kritisch angesehen werden, da die Löschung, ohne angepasstes Backup-Konzept, zu weiteren rechtlichen Problemen führen könnte. Das automatisierte Löschen von Daten, denen gesetzlichen Aufbewahrungsfristen  entgegenstehen, wäre als klares Beispiel für ein zu lösendes Problem zu sehen.

Wo dürften Probleme bei Optimized-Storage verstärkt zu erwarten sein?

Handlungsbedarf dürfte natürlich insbesondere dort auftreten, wo verstärkt Apple-Hardware eingesetzt wird bzw. in der Zukunft Hardware anderer Hersteller, die ähnliche Funktionen ermöglicht. Eine überaus typische Branchenbeispiel sind Agenturen, da Apple-Geräte einfach „schick“ aussehen,  „trendy“ sind und zudem für Grafiker sehr gute Möglichkeiten bieten.

Daneben ist in den letzten Jahren ein klarer Trend zu Gerätewildwuchs rund um den Einsatz von Bring Your Own Device (BYOD) oder Abwandlungen wie Choose Your Own Device (CYOD) zu verzeichnen. Die Entwicklung rund um BYOD / CYOD aber auch Corporate Owned Personally (COPE) ist sowohl in Unternehmen als auch Behörden und natürlich ganz besonders in Vereinen oder bei ehrenamtlich Tätigen zu beobachten. Hier heißt es anzuknüpfen, klare und gesetzlich zulässige Strukturen zu schaffen. Dies geht zumeist nur mit professioneller Unterstützung, z. B. durch einen Datenschutzberater oder Datenschutzbeauftragten.

Fazit

Unternehmen, Vereinen sowie anderen „verantwortlichen Stellen“ ist aus Datenschutzsicht von der Nutzung der Funktion abzuraten. Die Verwendung von Optimized Storage bezweckt einen erheblichen Mehraufwand, der sich mit dem Nutzen zumeist nicht decken lässt. Die Nutzung dieser Funktion, insbesondere das Auslagern der personenbezogenen Daten in die iCloud, führt zu neuen Datenschutz-Risiken. Kann oder möchte eine „verantwortliche Stelle“ nicht auf Cloud-Storage-Lösungen verzichten, so wäre ein deutscher Cloud-Anbieter bzw. ein Anbieter mit dem Sitz innerhalb der EU/EWR anzuraten.

Des Weiteren sollten „verantwortliche Stellen“ die Löschung von Daten „selbst in die Hände nehmen“ und geeignete Löschkonzepte mit Ihrer IT-Abteilung sowie der Unterstützung eines externen (betrieblichen) Datenschutzbeauftragten erarbeiten.

Eine weitere wichtige Maßnahme wäre die Schulung der Mitarbeiter, da diese häufig, vor allem im Rahmen von BYOD / CYOD / COPE auf Cloud-Lösungen, wie iCloud oder Dropbox, zurückgreifen.

Möchten Sie mehr über Optimized Storage, Cloud-Storage, Cloud-Lösungen oder Bring Your Own Device erfahren? Wünschen Sie Datenschutz-Schulungen für Ihre Mitarbeiter? Nehmen Sie bequem Kontakt zu uns auf – wir helfen Ihnen gerne weiter.

Möchten Sie sich im Datenschutz dauerhaft besser aufstellen und suchen noch einen geeigneten Datenschutzbeauftragten? Fordern Sie ein kostenloses Angebot zum Datenschutz an.

Nützliche weitere Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

 

Pokémon Go vs. Sicherheit – Gratis-Apps gefährden Ihren Datenschutz (Bezahlung durch personenbezogene Daten) und Menschen im Straßenverkehr

PokéballDas Software-Unternehmen „Niantic“ verwandelte unsere Straßen, durch die Veröffentlichung der kostenlosen Applikation (App) „Pokémon Go“, über Nacht in große Spielflächen.  „Pokémon Go“ hat zu einem regelrechten Hype geführt, da das Spiel, anderes als in den 90-er Jahren, die Monsterjagd im „Real Life“ (echte Welt) ermöglicht und zudem sowohl für Android als auch Apples iOS-Geräte kostenlos erscheint. Das Spiel lässt die Herzen vieler Gamer auf der ganzen Welt höherschlagen, wobei der Blick durch die rosarote Brille zahlreiche Risiken, insbesondere aus Datenschutzsicht, nicht erkennen lässt. Selten wurde der Eingriff in die Privatsphäre in solch einer Form ignoriert und bejubelt, wie dies derzeit durch die zahlreichen Pokémon-Fans erfolgt. Ihr externer Datenschutzbeauftragter / Datenschutzberater informiert über die Risiken und Gefahren, die von vermeintlich „kostenlosen“ Apps ausgehen.

Wie funktioniert „Pokémon Go“?

Um „Pokémon Go“ spielen zu können, sind nur wenige Schritte erforderlich. Hat man die Applikation im App-Store (iTunes / Google Play Store)  heruntergeladen, so muss man sPikachu mit Hundich lediglich mit seinem Google-Konto anmelden und schon kann der Nutzer auf Monsterjagd gehen. Alternativ besteht die Möglichkeit, dass sich der Nutzer ein Trainer-Club-Konto anlegt, indem er sich auf der Pokémon-Webseite mit seiner E-Mail-Adresse anmeldet. Die Verschmelzung zwischen der realen und der virtuellen Welt gelingt, indem der Nutzer der App den Zugriff auf seinen Standort und die Kamera gewährt. Mittels „Pokémon-Go“ können nicht nur Pokémon gesucht und gefangen werden, sondern Kämpfe zwischen Pokémon-Jägern ausgetragen, Pokémon-Eier ausgebrütet und Items an sogenannten Pokéstops gesammelt werden.

Neben moralischen Fragen, ob beispielsweise das Gelände des Konzentrationslagers Auschwitz-Birkenau als „Spielwiese“ angemessen ist, ereigneten sich auch einige Verkehrsunfälle. Mitten in das Spielgeschehen vertieft, kletterten bereits Gamer über fremde Gartenzäune, was zur Vermutung von Überfällen führte, bei deren vermeintlicher Abwehr sogar Baseballschläger zum Einsatz kamen. Somit könnte die Applikation zu erheblichen (Datenschutz-)Risiken führen.

Gefahren für den Datenschutz bei Pokemon Go?

Die Frage, ob „Pokémon Go“ Risiken für den Datenschutz darstellt, sollte bejaht werden, da die Nutzer dem Hersteller der Software zahlreiche Zugriffsrechte einräumen. Verlangte das Software-Unternehmen „Niantic“ bei der Anmeldung der iPhone-Nutzer zunächst den vollen Zugriff auf die Google-Konten (einschließlich z. B: Google Drive, E-Mail-Account „Gmail“), so räumten sie nach steigender Kritik einen Fehler ein und begrenzten den Zugriff auf die Google-Accounts.

Schenkt man der Aussage des Herstellers, dass es sich um ein Versehen gehandelt hat und die Zugriffsrechte eingeschränkt wurden, Vertrauen, so verbleiben nichtsdestotrotz weitere Risiken. Die Hersteller versuchen sich neben der, für die Funktion der App, notwendigen Zugriffsrechte auf den Standort und die Kamera, weiteren Zugriff auf Medien, Fotos, Dateien und Kontakte zu verschaffen.

Mit jeder Nutzung der App werden die Informationen, die mit dem Google-Konto oder der E-Mail-Adresse verknüpft werden, nach und nach verdichtet, wodurch ganze Benutzerprofile erstellt werden könnten. Der Gamer gibt somit durch die Nutzung von „Pokémon Go“ mit jedem Schritt ein Stück von seiner Privatsphäre auf und trägt aktiv zum „gläsernen Menschen“ bei.

Eine weitere Problematik ist, dass die gesammelten personenbezogenen Daten nicht in Deutschland bzw. in der europäischen Union oder des europäischen Wirtschaftsraums verarbeitet werden, sondern eine Übermittlung an die Server in den USA erfolgt. Laut Gesetzgeber handelt es sich um ein Drittland, dass kein angemessenes Datenschutzniveau besitzt, wobei das Safe-Harbor-Abkommen, auf das sich „Niantic“ in der Datenschutzverpflichtung bei der alternativen Anmeldung mit dem Pokémon-Club-Konto bezieht, ungültig ist.  An dieser Stelle der kleine ergänzende und entscheidende Hinweis für alle, die etwas tiefer in der Materie sind: Das Safe-Harbor-Abkommen wurde bereits im Oktober durch den Europäischen Gerichtshof (EuGH) gekippt.  Gestützt auf dieses Abkommen darf keine Übermittlung mehr stattfinden. Derartige Entwicklungen gelten auch für App-Entwickler / Spiele-Entwickler und dürfen nicht außer Acht gelassen werden.

Zudem wird in der „Pokémon Go“-Datenschutzrichtlinie erläutert, dass sich „Niantic“ das Recht einräumt, personenbezogene Daten ggf. an die „The Pokémon Company“ und die „The Pokémon Company International“ sowie an die Regierung und an die Strafverfolgungsbehörden zu übermitteln.

Können Privatpersonen noch selbst über die Weitergabe ihrer Daten entscheiden, liegt in Unternehmen, Vereinen, Behörden etc., die (Haupt-)Verantwortung für den gesetzeskonformen Umgang mit personenbezogenen Daten bei der “verantwortlichen Stelle“. Stellt eine „verantwortliche Stelle“ dienstliche Mobiltelefone zur privaten Nutzung zur Verfügung oder erlaubt im Rahmen von Bring Your Own Device, kurz BYOD, das Arbeiten mit privaten Smartphones, so könnte diese ebenfalls mit „Pokémon Go“ oder anderen (kostenlosen) Apps konfrontiert werden.

Welche Risiken ergeben sich für „verantwortliche Stellen“?

Erhebt, verarbeitet oder nutzt eine „verantwortliche Stelle“ personenbezogene Daten, so sollte sie sich an das Datenschutzrecht halten. Laut § 4 Abs. 1 BDSG ist eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur dann zulässig, wenn eine Rechtsgrundlage oder eine informierte Einwilligung der Betroffenen dies erlauben.

Erlaubt der Arbeitgeber seinen Mitarbeitern die private Nutzung von dienstlichen Mobiltelefonen, so neigen Mitarbeiter häufiger zur Installation von Apps, wie „Pokémon-Go“ oder „WhatsApp“, die sie privat nutzen möchten. Bei einer erlaubten Verwendung von privaten Endgräten zu dienstlichen Zwecken kann ebenfalls nicht ausgeschlossen werden, dass sich „risikobehaftete“ Applikationen auf den Mobiltelefonen befinden. Die Vermischung zwischen Daten und Programmen, die sowohl dienstlicher als auch privater Natur sind, kann zu vielen Problemen und Risiken für „verantwortliche Stellen“ führen.

Befinden sich auf den Endgeräten dienstliche Informationen, wie Kontaktdaten von Kunden und Ansprechpartnern der „verantwortlichen Stelle“, und ein Mitarbeiter erlaubt einer App, wie „Pokémon Go“ den Zugriff auf die Kontaktdaten, so dürfte bereits von einer Datenübermittlung ausgegangen werden. Diese Übermittlung benötigt, wie bereits erläutert, eine Rechtsgrundlage oder eine (freiwillige) informierte Einwilligung, die die Übermittlung erlauben. Zudem müsste im Fall von „Pokémon Go“ sowie im Rahmen von „WhatsApp“ ein angemessenes Datenschutzniveau hergestellt werden, da in beiden Fällen eine Übermittlung an Server in den USA (Drittland) erfolgt. Möchten Sie mehr über die Risiken von „WhatsApp“ erfahren, dann lesen Sie doch unsere Beiträge „Eine Revolution: WhatsApp-Verschlüsselung – mehr Datenschutz bzw. Datensicherheit?“ oder „WhatsApp in Unternehmen – Kommunikationskanal, Marketing-Instrument oder eine Datenschutz-Katastrophe?“.

Wie können sich Privatpersonen und „verantwortliche Stelle“ schützen?

Privatpersonen und „verantwortlichen Stellen“ sollte klar sein, dass insbesondere kostenlose Apps in den meisten Fällen „Datenkraken“ sind, die zwar kein Geld kosten, allerdings bezahlen Nutzer häufig mit ihrer Privatsphäre und ihren persönlichen Daten (sogenannte personenbezogene Daten). Aus diesem Pokémon Go DatenschutzGrund sollte bewusster mit der Installation von Applikationen und mit der Vergabe von Zugriffsrechten umgegangen werden.

Im Fall von „Pokémon Go“ hat der Nutzer die Möglichkeit bereits im Anmeldeverfahren den Zugriff auf Kontakte, Medien und Dateien zu verweigern. Nutzen Sie diese Möglichkeit also!Datenschutz bei Pokemon Go

Zudem können Pokémon-Fans sowohl mit einem Android-Gerät als auch mit einem iPhone Pokémon Go Datenschutzdie Zugriffsrechte derPokemon Go Datenschutz Applikation unter den Datenschutz-Einstellungen einsehen und einschränken. In vielen Fällen verlieren die Apps durch die Einschränkung der Zugriffsrechte allerdings an Komfort und Benutzerfreundlichkeit, wie im Fall von „WhatsApp“. Wird der Zugriff auf die Kontakte verweigert, so können die Rufnummern nicht synchronisiert werden und der „WhatsApp“-Nutzer muss diese gesondert eintragen.

„Verantwortlichen Stellen“ ist dringendst anzuraten, eine Privatnutzung von dienstlichen Mobiltelefonen zu untersagen. Möchte oder kann die „verantwortliche Stelle“ dies nicht, so sollten die Mitarbeiter zum richtigen Umgang mit personenbezogenen Daten geschult und zudem sollten klare Vereinbarungen, mittels Richtlinie oder Betriebsvereinbarung, geschlossen werden. Des Weiteren ist der Einsatz eines Mobile-Device-Management-Systems (MDM), um dienstliche Mobiltelefone besser verwalten zu können und Datenschutz-Risiken –auch bei privater Nutzung- zu minimieren, zu empfehlen.

Wie es mit „Pokémon Go“ weitergeht, bleibt abzuwarten, wobei die Hysterie zur Gamescom im August 2016 nochmals zunehmen könnte.  Viele Pokémon-Fans spekulieren bereits, ob zur Gamescom eine große Bombe in Form von „legendären Pokémon“, die man in „freier Wildbahn“ nicht findet, platzen soll. Sollten sich diese Gerüchte bestätigen, dann würde dies den Kampf der „Pokémon-Trainer“ auf ein neues Level katapultieren und das Thema Datenschutz weiter zurückdrängen.

Möchten Sie mehr zu diesem Thema erfahren? Setzen Sie bereits private Mobiltelefone ein oder erlauben Sie eine dienstliche Nutzung der privaten Endgeräte? Planen Sie sich im Datenschutz dauerhaft besser zu positionieren? Holen Sie sich Unterstützung durch einen versierten externen Datenschutzbeauftragten? Nehmen Sie bequem Kontakt zu uns auf oder fordern Sie direkt ein kostenloses Angebot zum Datenschutz an.

Nützliche weitere Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Eine Revolution: WhatsApp-Verschlüsselung – mehr Datenschutz bzw. Datensicherheit?

twitter-292993_640Wie WhatsApp am 05.04.2016 verkündete, wären nun alle Nachrichten, Bilder und Dateien, die über den Nachrichtendienst verschickt werden, auf dem kompletten Weg vom Absender bis zum Empfänger zu schützen.

Die End-to-End-Encryption (E2EE) oder zu deutsch Ende-zu-Ende-Verschlüsselung werde aktiv, wenn beide WhatsApp-Nutzer die neueste Version der App verwenden. Diese Verschlüsselungstechnik war bisher nur für Android-Nutzer verfügbar. Nach Aussagen des Unternehmens haben dadurch weder Dritte noch WhatsApp selbst Möglichkeiten die Nachrichten zu lesen.

Funktionsweise der E2E-Technik?

Einfach gesagt können bei einer End-to-End-Verschlüsselung nur Sender und Empfänger den Inhalt einer Datei entziffern, da lediglich sie die Informationen (Schlüssel) zum Entschlüsseln besitzen. Dritte, die einen Dateiverlauf  „hacken“, sind prinzipiell nur in der Lage zu erkennen, wer mit wem kommuniziert. Einen Schlüssel zum Entschlüsseln des Inhalts aber müsste ein Überwacher errechnen. Heutige kryptografische Systeme sind so konzipiert, dass dies so gut wie unmöglich ist beziehungsweise sehr lange Zeit in Anspruch nehmen würde.

Wie ist zu erkennen, ob die Verschlüsselung aktiv ist?

Schloss - Verschluesselung Whatsapp - Ende zu EndeDer Aufbau der verschlüsselten Verbindung und des notwendigen Schlüsselaustauschs erfolgt komplett im Hintergrund. Ob ein Chat verschlüsselt ist oder nicht, können Nutzer allerdings erkennen. WhatsApp weist in der Übergangsphase  mit dem Text „Nachrichten, die Sie in diesem Chat senden, sowie Anrufe, sind jetzt mit Ende-zu-Ende-Verschlüsselung geschützt.“ auf den Beginn von verschlüsselten Chats hin. Zudem zeigt ein Schloss-Symbol in den Einstellungen jedes Chats, ob dieser verschlüsselt ist oder nicht.keine Verschluesselung Whatsapp

Letzteres kann passieren, wenn „die Person am anderen Ende“ noch eine ältere WhatsApp-Version verwendet. In Gruppenchats ist es bereits ausreichend, dass ein Mitglied über eine ältere („veraltete“) Version verfügt, damit die Ende-zu-Ende-Verschlüsselung für den gesamten Chat nicht möglich. WhatsApp-Nutzer werden daher auf diesem Wege dazu angehalten immer ein Update auf die aktuelle Version durchzuführen. Dies kann sich positiv, aber auch negativ für Nutzer auswirken.Sicherheitscode Whatsapp Verschluesselung-Android

Des Weiteren können WhatsApp-Nutzer bestätigen, ob sie wirklich mit dem gewünschten Gegenüber kommunizieren. Dazu haben beide einen sogenannten einmaligen Sicherheitscode, in der Form eines QR-Codes, der durch den Chatpartner gescannt werden kann. Alternativ existiert eine 60-stellige Nummer, die verglichen werden kann, sollte das Scannen des Codes nicht möglich sein. Das Bestätigen des Chatpartners soll den Nutzern zusätzliche Sicherheit, z. B. bei Diebstahl der SIM-Karte, geben. Passiert dies einem Chatpartner und ein Fremder verifiziert sich mit der Nummer in WhatsApp, so sind die alten Inhalte zum einen nicht ersichtlich, zum anderen kann man sich anzeigen lassen, ob sich die Sicherheitsnummer geändert hat.

Verschlüsselung nur eine Geste?

Das Programm das WhatsApp zur Verschlüsselung nutzt ist ein Open-Source-Tool, d. h. der Quellcode ist theoretisch für JEDEN offen lesbar und kann somit von externen Spezialisten auf versteckte Hintertüren überprüft werden.

Zum Schutz der WhatsApp-Nutzer vor Hackerangriffen verwendet das Open Source-Protokoll Forward Secrecy. Hierdurch werden kurzlebige Schlüssel zum Absichern jeder einzelnen Nachricht verwendet. Ein Überwacher, der WhatsApp-Nachrichten irgendwie mitschneidet, speichert und dann auch noch in den Besitz des Schlüssels eines Teilnehmers gelangt, soll damit weder alte Chats nachträglich, noch künftige Chats entschlüsseln können.

Trotz Verschlüsselung bleiben Datenschutzlücken

Kritische Stimmen bleiben. Hierbei geht es um die Natur des Programms selbst. Mit Installation des Programms wird der Zugriff auf die gespeicherten Telefonnummern in Smartphones ermöglicht und diese werden unverschlüsselt an die WhatsApp-Server in Californien (USA) weitergegeben. Auch wenn niemand die Inhalte der Nachrichten einsehen kann, ist es möglich Nutzungsprofile zu erstellen und auszuwerten.

Weiterhin ist zu bemängeln, dass beim Nutzen zunächst die Handynummer unverschlüsselt an die Server übermittelt wird, während WhatsApp die Identität abrufen kann. Für eine Weitergabe der Daten wäre nach EU-Datenschutzrecht -streng genommen- die Zustimmung jedes Kontakts des jeweiligen Nutzers notwendig, ehe auch dessen Daten an WhatsApp weitergegeben werden. Das Problem besteht hier weniger bei angemeldete WhatsApp-Nutzern, sondern liegt vielmehr bei den Rufnummern (sog. personenbezogenes Datum) und damit verknüpft den dadurch identifizierbaren Personen, die WhatsApp NICHT NUTZEN (möchten).

Ebenfalls ließe sich argumentieren, dass nach der Abschaffung des Safe-Harbor-Abkommens für die Weitergabe der Daten in die USA eine Vorabgenehmigung der zuständigen nationalen Datenschutzbehörde nötig sei.

Die Alternative sind Messenger, die europäische Server mit schärferem Datenschutzrecht nutzen oder solche Messenger, die nicht auf Telefonnummern angewiesen sind.

Inwiefern nutzen Sie innerhalb Ihrer Verantwortlichen Stelle/n (Unternehmen, Firma, Konzern, Verein, Körperschaft des öffentlichen Rechts …) WhatsApp zur Kommunikation mit oder durch Angestellte, Mitarbeiter, Beamte, … oder auch Praktikanten oder können dies zumindest nicht ausschließen?

Falls Sie bereits einen Datenschutzbeauftragten haben, lassen sie sich hierzu von diesem beraten…

…ansonsten nehmen Sie Kontakt, fordern Sie ein kostenloses Angebot zum Datenschutz an und klären Sie durch professionelle Beratung alle Fragen rund um das Thema Datenschutz, z. B. um die WhatsApp-Verschlüsselung oder den Einsatz sonstiger Messanger.