> externer Datenschutzbeauftragter > Marketing Datenschutz

Gefahren im Internet – Wieso unverschlüsselte Kontaktformulare Datenschutz-Risiken verursachen

unverschlüsselte Kontaktformulare DatenschutzDie Verwendung unverschlüsselter Kontaktformulare auf Websites birgt erhebliche Gefahren – sowohl für die Nutzer als auch die Betreiber von Internetangeboten. Neben dem Interesse der Betroffenen am Schutz ihrer personenbezogenen Daten stellen sich zudem Fragen nach der Haftung des Anbieters.

Ihr externer Datenschutzbeauftragter erklärt, wieso unverschlüsselte Kontaktformulare Datenschutz-Risiken hervorrufen können und zeigt Ihnen sowohl Lösungen als auch Maßnahmen auf, die Sie zur Risikominimierung ergreifen können.

Die Funktionsweise der unverschlüsselten Datenübertragung im Internet

Die Übertragung von Informationen in Datennetzwerken wie dem Internet erfolgt mit Hilfe von Übertragungsprotokollen. Ein äußerst geläufiges Übertragungsprotokoll ist etwa http (Hypertext Transport Protocol), das im Wesentlichen dafür genutzt wird, Websites in Webbrowsern darzustellen. Dazu sendet der Webclient (Nutzer) mittels Browser eine Anfrage (bspw. in Form einer Web-Adresse) an den Webserver. Dieser verarbeitet die Anfrage und sendet eine Antwort als html-Datei zurück. Die html-Datei beinhaltet neben unterschiedlichen unsichtbaren Informationen (Header) auch die eigentlichen Inhalte (Body) der Website in codierter Textform. Diese werden durch den Webbrowser ausgelesen und dem Nutzer grafisch dargestellt. Eine umgekehrte Kommunikation, nämlich die Übertragung von Daten des Webclients an den Webserver ist ebenfalls über http möglich, wobei dazu serverseitig ein zusätzliches Programm oder Skript eingesetzt werden muss.

Problem http – Kontaktformulare ohne Verschlüsselung

Problematisch an der Datenübertragung mittels http ist, dass die übermittelten Informationen uneingeschränkt auslesbar sind. Die transportierten Inhalte können also von allen Rechnern oder sonstigen Netzwerkteilnehmern, die sich insbesondere im gleichen Netzwerk befinden, mitgelesen werden. Dies mag auf den ersten Blick unkritisch erscheinen, schließlich sind die vom Webserver abgerufenen Inhalte meist ohnehin jedem zugänglich. Die Möglichkeit der einfachen Überwachung der aufgerufenen Inhalte  durch Dritte führt allerdings dazu, dass ein systematisches Profil des Nutzers erzeugt werden kann. Darüber hinaus stellt sich aus datenschutzrechtlicher Sicht ein weiteres gravierendes Problem dar: Die Übermittlung von Daten des Webclients an den Webserver erfolgt bei der Verwendung http-basierter Kontaktformulare vollkommen unverschlüsselt. Somit können personenbezogene Daten, die der Nutzer über ein Kontaktformular eingibt, durch Unbefugte abgefangen und missbraucht werden.

Konsequenzen und Bedeutung unverschlüsselter Kontaktformulare 

Da die Übermittlung personenbezogener Daten mittels Kontaktformular einerseits sehr bedeutsam für die Funktionalität etlicher Internetangebote ist, der Schutzbedarf der betroffenen Personen jedoch ebenfalls sehr hoch zu gewichten ist, überrascht es nicht, dass der Gesetzgeber hier die Notwendigkeit einer Regelung entdeckt hat. Mit dem Inkrafttreten des IT-Sicherheitsgesetzes am 14. August 2016 wurde dem Telemediengesetz (TMG) eine Bestimmung hinzugefügt (§13 Abs. 7 TMG), die Websitebetreiber verpflichtet, ihre Dienste gegen die Verletzungen des Schutzes personenbezogener Daten zu sichern. Insbesondere und explizit nennt der Gesetzgeber, die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens, als entsprechend adäquate Sicherungsmaßnahme. Die Unterlassung der Vornahme ausreichender Schutzmaßnahmen ist als Ordnungswidrigkeit bußgeldbewährt.

Mögliche Lösung – Verschlüsselung des Kontaktformulars mit https

Eine Möglichkeit der verschlüsselten Übertragung der Daten beim Einsatz von Kontaktformularen bietet die Verwendung von http in Verbindung mit TLS (Transport Layer Security), deren kombinierte Anwendung https (http Secure) bezeichnet wird. TLS ist als Fortentwicklung des bekannteren SSL Protokolls (Secure Socket Layer) zu verstehen. Die Anwendung der älteren SSL-basierten Verschlüsselung ist mittlerweile nicht mehr empfehlenswert, da sie als unsicher gilt. Allerdings werden TLS und SSL häufig synonym verwendet, sodass im Zweifelsfalle stets zu klären ist, welche Technologie tatsächlich zum Einsatz kommt.

Mit Hilfe des kryptographischen Protokolls TLS kann die Datenübertragung verschlüsselt und damit ungleich sicherer gestaltet werden. Ein wesentlicher Bestandteil des TLS-Protokolls ist der sog. Handshake: Vor der Übertragung von Daten zwischen Webclient und Webserver muss zwischen den beiden Kommunikationsteilnehmern eine gesicherte Verbindung aufgebaut werden. Der Server übersendet dabei dem Client auf dessen Anfrage (Eingabe der https-Adresse) ein Zertifikat, wodurch die tatsächliche Identität des Servers bestätigt werden soll. Nach der Prüfung der Gültigkeit des Zertifikats durch den Client wird ein gemeinsamer Sitzungsschlüssel erzeugt, der beidseitig für die Ver- und Entschlüsselung benötigt wird. Die Informationen, die über die entstandene gesicherte Verbindung übermittelt werden, können zwar ausgelesen aber nicht dekodiert werden, da nur Client und Server über diesen individuellen Sitzungsschlüssel verfügen. Eine verschlüsselte und somit gesicherte ÜbertrVerschlüsselung Datenschutzagung von personenbezogenen Daten des Webclients an den Webserver, unter Zuhilfenahme eines Kontaktformulars, ist nun also möglich. Zu erkennen ist die sichere Verbindung an dem grünen Schlosssymbol in der Adressleiste des Browsers.

Voraussetzung für die Implementierung von TLS ist der Erwerb eines Zertifikates für den Webserver. Die eigentliche Implementierung des Zertifikates und des TLS-Protokolls erfolgt in der Regel recht unkompliziert durch den Hosting-Dienstleister. Gleichwohl sollte bei der Umstellung auf TLS und https einiges beachtet werden. Ihr externer Datenschutzbeauftragter berät Sie gerne zum näheren Vorgehen.

Weitere Vorteile der Implementierung von https für Kontaktformulare

Die Erreichbarkeit einer Website über https dient zuvorderst der Sicherheit der übermittelten Daten und damit auch dem Datenschutz. Zudem kann die Implementierung der Verschlüsselung, in Abhängigkeit zu den Möglichkeiten des konkreten Webauftrittes, gesetzlich vorgeschrieben sein. Daneben gibt es aber noch mehr gute Gründe für die Umstellung Ihrer Website auf https. Die Außenwirkung Ihres Internetauftritts gewinnt durch die gewissenhafte Einbindung von Verschlüsselungsmöglichkeiten an Seriosität. Ein weiterer nicht zu vernachlässigender Effekt ist, dass Websites in https von Suchmaschinen wie Google gegenüber Websites in http bevorzugt und damit besser gerankt und prominenter aufgelistet werden.

Fazit

Die Umstellung Ihrer Website von http auf https kann viele positive Effekte mit sich bringen. In erster Linie dient sie der (gesetzlich angezeigten) Sicherung von personenbezogenen Daten. Ob Sie von der gesetzlichen Pflicht zur Einbindung von Verschlüsselungsverfahren betroffen sind, kann Ihnen Ihr externer Datenschutzbeauftragter erläutern. Ebenso unterstützen wir Sie gerne bei der Umsetzung und erklären Ihnen, worauf Sie bei der Umstellung achten müssen und welches Vorgehen sich bei der Übermittlung personenbezogener Daten im Internet generell empfiehlt. Die Verwendung von Kontaktformularen ohne Verschlüsselung ist in jedem Fall als äußerst kritisch zu betrachten, da unverschlüsselte Kontaktformulare Datenschutz-Risiken verursachen können. Sollten Sie nach wie vor unverschlüsselte Kontaktformulare auf Ihrer Website anbieten, empfehlen wir Ihnen dringend tätig zu werden.

Sofern Sie weitere Fragen zur datenschutzkonformen Verschlüsselung von Kontaktformularen, zur Implementierung von https oder anderen datenschutzrechtlichen Bereichen haben, holen Sie sich gerne ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

 

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Datenschutz im Call-Center – Arbeitnehmerschutz für Call-Center-Mitarbeiter

Datenschutz im Call-CenterAllgemein beliebt und praktikabel für Unternehmen ist die Nutzung von Call-Center-Diensten, egal ob als interne Abteilung oder externer Dienstleister. Diese bieten dem Unternehmen nicht nur gewisse Kostenerleichterungen, da dadurch eine weitere Möglichkeit erschlossen wird, Waren zu veräußern. Sie bieten regelmäßig die zumindest technische Möglichkeit, die aufgenommenen Telefondaten auszuwerten und damit ein Qualitätsmanagement zu entwickeln, das eingesetzt wird, um entsprechende Servicequalitäten zu verbessern.

Datenschutzrechtlich und -organisatorisch zu beachten ist dabei nicht nur die Beziehung zwischen Kunden und Call-Center, sondern auch der zumeist übersehene Arbeitnehmerdatenschutz, der beim Mithören und Aufzeichnen des Telefonats eine besonders große Rolle spielt.

Ihr externer Datenschutzbeauftragter klärt Sie über die möglichen Probleme auf und zeigt Ihnen Lösungswege, wie Sie diese Probleme umgehen können, die rund um Datenschutz im Call-Center auftreten können.

Abhörmöglichkeit durch den Arbeitgeber

Aufgrund der fortschreitenden technischen Möglichkeiten und des Einsatzes des Telefons zur Ausführung der Call-Center-Dienstleistungen ist es für den Arbeitgeber vermeintlich einfach, aus Gründen der Qualitätskontrolle oder auch, um Schulungszwecke durchzuführen, die Gespräche der Call-Center-Mitarbeiter zu überwachen oder diese aufzuzeichnen. Dabei wird einerseits in die Persönlichkeitsrechte des Arbeitnehmers und andererseits in die des Kunden (Anrufers) eingegriffen.

Datenschutzbeauftragter – Interessensabwägung der Parteien

Neben dem Interesse des Arbeitgebers, die Arbeitsqualität zu steigern, steht das Interesse des Call-Center-Mitarbeiters und des Kunden, sich einer ständigen Überwachung entziehen zu wollen. Um eine Kollision der Interessen zu vermeiden, ist es die Aufgabe des Datenschutzbeauftragten, entsprechende Lösungswege zu entwickeln, um einerseits das legitime Interesse des Arbeitgebers zu gewährleisten, beispielsweise durch die Auswertung von Kundengesprächen Rückschlüsse auf die Unternehmensleistung zu ziehen, andererseits aber dafür zu sorgen, dass die Persönlichkeitsrechte des Mitarbeiters und des jeweiligen Kunden beachtet werden.

Abhören von Telefonaten – Wann erlaubt und wann nicht?

Will der Arbeitgeber bei Telefonaten von Call-Center-Mitarbeitern mithören, ist es Aufgabe des Datenschutzbeauftragten, zu ermitteln, wann eine solche Abhöraktion gestattet ist und wann nicht. Dabei stellen sich die Fragen:

  • Reicht eine Einwilligung des Betroffenen?
  • Kann eine solche Einwilligung nachträglich eingeholt werden?
  • Gibt es Ausnahmen?

Einschlägige Norm – TMG oder BDSG?

Um die Rechte des Betroffenen und die Möglichkeiten des Arbeitgebers zu ermitteln, ist es notwendig die richtigen Normen hinzuzuziehen.

Der Datenschutz in Call-Centern richtet sich grundsätzlich nach den Bestimmungen des Bundesdatenschutzgesetzes (BDSG). Das Telemediengesetz hingegen ist in diesem Bereich meist nicht relevant, da bei der Einschaltung eines Call-Centers ein sogenannter Medienbruch bewirkt wird. Ein Medienbruch kommt zustande, wenn die Vorrausetzungen des § 1 Abs. 1 Telemediengesetz (TMG) nicht gegeben sind. Nach diesem ist das TMG dann einschlägig, wenn es sich um elektronische Informations- und Kommunikationsdienstleistungen handelt. Die Call-Center-Aktivität geht hingegen darüber hinaus, da beispielsweise Bestellungen von Waren vorgenommen werden können und hierbei ein menschlicher Kontakt erfolgt.

Agentenstellung der Call-Center-Mitarbeiter – Anwendung des Mitarbeiterdatenschutzes?

Häufig ist ein Großteil der Call-Center-Mitarbeiter als sogenannte Agenten tätig. Agenten sind dafür zuständig, Kundenanrufe anzunehmen („inbound-Tätigkeit“) oder Kunden von sich aus zu kontaktieren („outbound-Tätigkeit“). Trotz dieser Agenten-Stellung unterliegt der Call-Center-Mitarbeiter ebenso wie andere Arbeitnehmer dem Mitarbeiterdatenschutz.

Datenschutz im Call-Center – Vorrang des Persönlichkeitsrechts

Nach dem Grundsatz des Rechts auf informelle Selbstbestimmung obliegt es grundsätzlich jeder einzelnen Person, über die Erhebung und Verarbeitung ihrer personenbezogenen Daten selbst bestimmen zu dürfen (Art. 2 Abs. 1 i.V.m Art. 1 Abs. 1 Grundgesetz). Das Abhören oder auch Aufzeichnen von personenbezogenen Daten greift folglich erheblich in dieses Recht ein. Die Eingriffsintensität in das Selbstbestimmungsrecht des Einzelnen durch das Abhören oder Aufzeichnen von Telefongesprächen variiert jedoch und bedarf einer Einzelfallabwägung. Ebenso ist zu differenzieren, ob der Abhör- oder Aufzeichnungsvorgang heimlich oder offen erfolgte, um ein Fehlverhalten festzustellen.

Heimliches Aufzeichnen und Mithören – Allgemein Rechtwidrig

Das heimliche Mithören von Telefonaten durch den Arbeitgeber ist in den meisten Fällen rechtswidrig und wird nach § 201 Strafgesetzbuch (StGB) strafrechtlich sanktioniert. Demnach wird

(1) mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft, wer unbefugt

1. das nichtöffentlich gesprochene Wort eines anderen auf einen Tonträger aufnimmt oder
2. eine so hergestellte Aufnahme gebraucht oder einem Dritten zugänglich macht.

(2) Ebenso wird bestraft, wer unbefugt

1. das nicht zu seiner Kenntnis bestimmte nichtöffentlich gesprochene Wort eines anderen mit einem Abhörgerät abhört oder
2. das nach Absatz 1 Nr. 1 aufgenommene oder nach Absatz 2 Nr. 1 abgehörte nichtöffentlich gesprochene Wort eines anderen im Wortlaut oder seinem wesentlichen Inhalt nach öffentlich mitteilt.

Die Tat nach Satz 1 Nr. 2 ist nur strafbar, wenn die öffentliche Mitteilung geeignet ist, berechtigte Interessen eines anderen zu beeinträchtigen. Sie ist nicht rechtswidrig, wenn die öffentliche Mitteilung zur Wahrnehmung überragender öffentlicher Interessen gemacht wird.

Daraus lässt sich schlussfolgern, dass ein Abhören und Aufzeichnen ohne Kenntnis des Betroffen unzulässig ist. So hat auch das Bundesverfassungsgericht in seinem Urteil vom 19.12.1991 – 1 BvR 382/85 entschieden und den Vorrang des Persönlichkeitsrechtschutzes des Betroffenen vor dem Interesse des Arbeitnehmers festgestellt.

Ausnahme – bei Aufklärung schwerer Straftaten

Das heimliche Abhören ist nur dann zulässig, wenn diese nach § 201 Abs. 2 Satz 3 Strafgesetzbuch ein überragendes öffentliches Interesse verfolgt. Das Bundesverfassungsgericht hat in mehreren Entscheidungen die entsprechenden Ausnahmen konkretisiert. Demnach wird heimliches Abhören gestattet, sofern dies zur Aufklärung schwerer Straftaten, wie etwa Erpressung, geeignet ist. Das heimliche Mithören zur Beweissicherung von zivilrechtlichen Streitigkeiten ist hingegen im Regelfall kein ausreichender Rechtfertigungsgrund.

Einholung einer Einwilligung

Gemäß des § 4 Abs. 1 Bundesdatenschutzgesetz ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, sofern der Betroffene dem zustimmt oder eine Rechtvorschrift dies erlaubt. Mögliche Rechtsgrundlage für das Abhören und Aufzeichnen von Telefongesprächen könnte der § 28 Abs. 1 Nr. 1 und Nr. 2 Bundesdatenschutzgesetz darstellen.  Diese Regelung ist jedoch in Anbetracht der Abwägung zwischen dem Geschäftsinteresse des Unternehmens und dem Schutzinteresse des Kunden sowie Mitarbeiter abzulehnen, da solche Telefonate umfangreicher sein können, als für die Erfüllung des Geschäftszeckes erforderlich ist. Da wie bereits erwähnt das heimliche Abhören nach § 201 StGB untersagt ist, sofern kein überragendes öffentliches Interesse besteht, ist eine Einwilligung der Betroffenen einzuholen.

Einholung der Einwilligung des Kunden

Nach § 4a Abs.1 Satz 3 Bundesdatenschutzgesetz ist eine Einwilligung grundsätzlich schriftlich einzuholen. Auf die Schriftform kann jedoch verzichtet werden, wenn besondere Umstände vorliegen, welche eine andere Form angemessener erscheinen lassen. Gerade bei einem einmaligen Telefonkontakt läuft die schriftliche Einwilligung dem Interesse des Anrufers, seine Angelegenheit so schnell wie möglich zu erledigen, zuwider, was eine mündliche Einwilligung rechtfertigen würde.

Einholung der Einwilligung des Arbeitnehmers

Selbst, wenn eine vertragliche Reglung im Arbeitsvertrag besteht, welche besagt, dass der Arbeitnehmer der Abhörung und Aufzeichnung von Gesprächen zustimmt, liegt keine konkrete Einwilligung des Betroffenen vor. Der Mitarbeiter muss ebenso wie der Kunde eine freiwillige Einwilligung abgeben, wobei in diesem Fall das Schriftformerfordernis grundsätzlich bestehen bleibt. Eine Regelung wäre auch über eine geeignete Betriebsvereinbarung denkbar, hierbei sollte unbedingt der Datenschutzbeauftragte eingebunden werden.

Ist bei der Vertragsschließung keine Einwilligung des Arbeitnehmers eingeholt worden, so ist dies nachträglich zu tun. Trotz der Auffassung einiger Rechtsexperten, eine Einwilligung sei nicht nötig, da diese sich aus dem Vertragsverhältnis zwangsläufig ergäbe, besteht eine gewisse datenschutzrechtliche Relevanz. Sollten daher Zweifel bestehen, ist im Allgemeinen immer eine separate Einwilligung einzuholen, um dem Formerfordernis zu genügen.

Offenes Mithören – Abhören mit Einwilligung

In der Regel ist das offene Mithören durch den Arbeitgeber datenschutzrechtlich unproblematisch. Bei einem offenen Mithören stellt sich der Arbeitgeber neben den Angestellten und hört das Telefonat mit und macht sich Notizen darüber. Wird so verfahren, liegt keine konkrete Verletzung des Persönlichkeitsrechts des Betroffenen vor, da der Arbeitgeber den legitimen Zweck verfolgt und es für den Arbeitnehmer ersichtlich ist, dass mitgehört wird, z. B. um zu kontrollieren, ob unternehmensinterne Standards eingehalten werden oder die gesammelten Informationen als Vorbereitung für eine Schulung des Arbeitnehmers zu nutzten. Damit handelt er im Rahmen seines Kontrollrechts und der Zweckbestimmungen des Arbeitsvertrages mit dem Arbeitnehmer.

Möchte der Arbeitgeber eine Telefontechnik verwenden, die ihm gestattet, direkt mitzuhören, ist darauf zu achten,

  • dass dies für den Arbeitnehmer erkenntlich ist. Dies kann mitunter durch Tonsignale oder auch durch das Aufleuchten einer Lampe signalisiert werden.
  • Möchte der Arbeitgeber die Gespräche aufzeichnen, ist – sofern vorhanden – zusätzlich der Betriebsrat einzuschalten (§ 87 Abs. 1 Nr. 6 BetrVG).

Worauf ist außerdem zu achten?

Die Einwilligung ist immer erforderlich für die Zulässigkeit der verfolgten Maßnahme, doch sind neben dieser auch andere Aspekte relevant.

So kann das Aufzeichnen von Telefongesprächen dem Grundsatz der Datensparsamkeit und Datenvermeidung des § 3a Bundesdatenschutzgesetz zuwiderlaufen. Stehen andere Möglichkeiten zur Wahl, welche eine Aufnahme von Telefonaten vermeiden würde, sollten diese auch als milderes Mittel angewendet werden.

Auch sollten weitere Maßnahmen rund um Datenschutz im Call-Center ergriffen werden. Dies wären unter anderem geeignete Löschfristen, denn im Datenschutz gilt, dass personenbezogene Daten grundsätzlich nach Zweckentfall zu löschen sind. Auch sollten die Mitarbeiter, die im Call-Center tätig sind auf das Datengeheimnis nach § 5 BDSG verpflichtet werden. Ein weiterer Aspekt, der in diesem Zusammenhang eine große Rolle spielen könnte, ist die Auftragsdatenverarbeitung. Insbesondere Call-Center werden häufig ausgelagert und durch Dienstleister ausgeführt, dabei sollte der Auftraggeber sicherstellen, dass der Dienstleister die personenbezogenen Daten ausschließlich nach Weisung erhebt, verarbeitet und nutzt sowie ausreichende technische und organisatorische Maßnahmen zum Schutz dieser Daten ergreift.

Fazit

Call-Center bieten nicht nur Erleichterungen für Unternehmen, sondern ebenso Problemfaktoren, die nicht unbeachtet bleiben sollten. Harte Strafrechtliche Sanktionen von Geldstrafen bis zu Freiheitsentzug können bei Zuwiderhandlungen folgen. Aufgrund der Komplexität der Reglungen rund um Datenschutz im Call-Center ist eine datenschutzkonforme Umsetzung allerdings schwer alleine zu bewältigen. Daher sollte auf kompetente Hilfe in Form des Datenschutzbeauftragten, IT-Sicherheitsbeauftragen oder auch Datenschutzberaters zurückgegriffen werden. Ihr externer Datenschutzbeauftragter sollte das Unternehmen und den Betriebsrat bei der Erstellung einer geeigneten Betriebsvereinbarung für das Callcenter unterstützen und dabei auf relevante Aspekte des Datenschutzes hinweisen und die Umsetzung geeigneter Prozesse begleiten.

Sollten Sie sich neben dem Bereich Call-Center auch in Sachen Arbeitnehmerdatenschutz oder Auftragsdatenverarbeitung näher informieren wollen, so könnten Ihnen unsere Beiträge zu:

weiterhelfen.

Brands Consulting – steht für kompetente Dienstleistungen rund um Datenschutz & Beratung

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

„Frohe Ostern, Datenschutz!“ – Wieso Rundmails Datenschutz-Risiken bergen

Rundmails DatenschutzAlle Jahre wieder stehen insbesondere vor Feiertagen, wie Ostern oder Weihnachten, Datenschutzbeauftragten und Datenschützern die Haare zu Berge. Die Gründe sind allerdings nicht die überfüllten Supermärkte oder die Geschenkbesorgungen in aller letzter Sekunde, sondern die bei vielen Mitarbeitern überaus beliebten Rundmails.

Wer kennt es nicht? Man möchte noch schnell den Kollegen, Kunden oder anderen Ansprechpartnern angenehme Festtage wünschen, allerdings wird in der Regel eine nette E-Mail formuliert und diese an alle übersendet. Worauf die wenigsten Mitarbeiter achten, ist das Adressfeld, in das die E-Mail-Adressen eingegeben werden und genau diese Unachtsamkeit bzw. Unwissenheit kann schnell zu Sanktionen führen und daher teuer werden.

Ihr externer Datenschutzbeauftragter informiert, wieso Rundmails Datenschutz-Risiken hervorrufen können und erklärt, worauf Sie beim Versand von Rundmails achten sollten.

Wieso Rundmails Datenschutz-Risiken verursachen können

Bei Rundmails wird zunächst eine E-Mail formuliert, die an mehrere Empfänger übersendet werden kann, dabei kann der Versender bei der Eingabe der Empfänger-E-Mail-Adressen zwischen drei Adressfeldern wählen. Diese sind:

  • „An:“
  • „CC:“ (Carbon Copy = Kopie)
  • „BCC:“ (Blind Copy = nicht sichtbare Kopie)

Je nach ausgewähltem Adressfeld können die Empfänger sehen, wem die E-Mail ebenfalls übersendet worden ist und genau dies könnte für verantwortliche Stellen, wie Unternehmen, Behörden oder Vereine, sowie für den Mitarbeiter, der die Rundmail versendet hat, zu Sanktionen im Datenschutz führen.

Der Hintergrund ist, dass es sich bei einer E-Mail-Adresse um ein personenbezogenes Datum handelt. In § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) heißt es allerdings, dass personenbezogene Daten nur erhoben, verarbeitet und genutzt werden dürfen, wenn eine Rechtsgrundlage dies erlaubt oder informierte und freiwillige Einwilligungen der Betroffenen eingeholt worden sind.

Versendet ein Mitarbeiter eine Rundmail, sodass die Empfänger die E-Mail-Adressen der anderen Empfänger sehen können, so spricht man von einer Übermittlung personenbezogener Daten, die ebenfalls einer Rechtsgrundlage oder der informierten Einwilligung bedarf. Die wenigsten Mitarbeiter wären allerdings bereit vor dem Versand einer Rundmail informierte Einwilligungen von jedem Betroffenen einzuholen. Aus diesem Grund sollten sie die einzelnen Adressfelder näher betrachten.

„Rundmail Datenschutz“ – Die Versendungsmöglichkeiten von Rundmails

Bei dem Versand einer E-Mail an mehrere Empfänger sollten, insbesondere wenn es sich um Empfänger außerhalb der verantwortlichen Stelle handelt, wie zum Beispiel verschiedene Kunden, die E-Mail-Adressen in das Adressfeld „BCC:“ eingetragen werden. Werden die E-Mail-Adressen in den Adressfeldern „An:“ oder „CC:“ eingegeben, so sind diese für alle Empfänger sichtbar. Bei der Verwendung von „BCC:“ können die Empfänger allerdings nicht sehen, ob die E-Mail an weitere Personen übersendet worden ist.

Wenn Sie mehr zu der internen und externen Versendung von Rundmails erfahren möchten, dann lesen Sie gerne unseren Beitrag „Versendung von E-Mails mit „An“ und „CC“ – Wieso offene E-Mail-Verteiler Datenschutz-Risiken verursachen können“.

Bußgeld für offenen E-Mail-Verteiler

Bei Verletzung des Datenschutzrechts drohen Bußgelder, Geldstrafen und sogar Freiheitstrafen.

Wie schnell in einem solchen Fall Bußgelder verhängt werden können, zeigt der Fall einer Mitarbeiterin, die eine Rundmail an einen großen Kreis von Empfängern versendet hat. Die Empfängerliste war für alle Empfänger sichtbar, weswegen das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) einen Bußgeldbescheid gegen die Mitarbeiterin erlassen hat. In einem ähnlichen Fall verhängte die Aufsichtsbehörde ein Bußgeld gegen die Unternehmensleitung.

Um derartige Sanktionen zu vermeiden, sollten Unternehmen, Vereine oder andere Organisationen ihre Mitarbeiter ausreichend schulen und sensibilisieren. Gerne unterstützen wir Sie mit Datenschutz-Schulungen dabei.

Alle Kunden und Geschäftspartnern sowie sonstigen Interessententen, denen wir nicht persönlich gratulieren konnten, wünschen wir natürlich auf diesem Wege „FROHE OSTERN“!

Haben Sie noch Fragen zum Thema „ Rundmails Datenschutz “ oder möchten Sie sich im Datenschutz dauerhaft besser positionieren?  Brands-Consulting steht Ihnen als Ansprechperson gerne zur Seite. Nehmen Sie gerne Kontakt zu uns auf oder holen Sie sich ein unverbindliches Datenschutz-Angebot ein.

Brands Consulting – steht für kompetente Dienstleistungen rund um Datenschutz & Beratung

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen

Warum Marketing und Datenschutz manchmal nicht miteinander können, aber ohne einander nicht sollten

Marketing und DatenschutzVielen Unternehmen fällt es schwer Marketing und Datenschutz unter einen Hut zu bekommen. Wurde früher Werbung vermehrt auf dem postalischen Weg übersendet, so ergeben sich für Unternehmen heute viele weitere Wege, um für Produkte und Dienstleistungen zu werben. Neben dem Einsatz von Newslettern, die via E-Mail übersendet werden, gewinnt auch die Freundschafts- oder Beipackwerbung an Bedeutung, allerdings wird bei den Werbemaßnahmen der Datenschutz häufig in den Hintergrund gestellt.

Ihr externer Datenschutzbeauftragter erklärt, wieso Sie Marketing und Datenschutz nicht getrennt betreiben sollten und welche Datenschutz-Risiken beim Einsatz bzw. dem Versand von Werbung drohen.

Marketing und Datenschutz – Datenschutzrechtliche Grundlagen

Laut § 4 Abs. 1 des Bundesdatenschutzgesetzes (BDSG) ist eine Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten nur erlaubt, wenn eine Rechtgrundlage oder informierte und wirksame Einwilligungen der Betroffenen vorliegen.

Werbung auf dem postalischen Weg

Möchten Unternehmen für ihre Angebote, Dienstleistungen und Produkte auf dem Postweg werben, so sollten sie insbesondere einen Blick auf § 28 Abs. 3 Satz 2 BDSG werfen, denn dieser erlaubt die Verarbeitung und Nutzung von Listendaten. Zu den Listendaten zählen unter anderem der Name, die Anschrift, der akademische Grad sowie das Geburtsjahr.

Unternehmen, die Werbung via Post versenden, sollten allerdings beachten, dass sie Betroffene über ihr Widerspruchsrecht informieren sollten und sofern ein Betroffener von diesem Recht Gebrauch gemacht hat, eine weitere Verarbeitung und Nutzung zu Werbezwecken zwingend unterbleiben sollte.

Werbung auf dem telefonischen Weg

Werbemaßnahmen via Telefon haben in den letzten Jahren stark abgenommen, wobei zum einen die „neuen“ Möglichkeiten aber auch der hohe Aufwand eines datenschutzkonformen Einsatzes ein Grund dafür sein können.

Unternehmen ist von Werbemaßnahmen via Telefon ohne informierter und freiwilliger Einwilligung abzuraten, wobei diese insbesondere von Privatkunden eingeholt werden sollten. Bei Geschäftskunden reicht die mutmaßliche Einwilligung aus. Dies bedeutet, dass konkrete Umstände, dass der Betroffene ein Interesse am Telefonat hat, vorliegen müssen, wobei das Risiko für die fehlerhafte Einschätzung beim werbenden Unternehmen liegt. Aus diesem Grund ist auch im Business-to-Business-Bereich von einer Werbeansprache via Telefon eher abzuraten oder zumindest eine strukturierte Umsetzung sinnvoll. Für diesbezügliche Fragen sollten Sie Ihren betrieblichen Datenschutzbeauftragten konsultieren.

Werbung auf dem elektronischen Weg

Die Werbeansprache via E-Mail dürfte derzeit der beliebteste Weg sein. Ursächlich ist hierbei in der Regel der vermeintlich günstige Preis eines digitalen Mailings. Allerdings sollten auch hier einige Maßnahmen ergriffen werden, um Datenschutz-Risiken zu minimieren. Insbesondere im Business-to-Customer-Bereich (B2C-Geschäft) ist das Einholen von informierten Einwilligungen anzuraten, außer das Unternehmen erfüllt die in § 7 Abs. 3 Gesetz gegen den unlauteren Wettbewerb (UWG) genannten Bedingungen. Diese wären Folgende:

  1. das Unternehmen hat die E-Mail-Adresse mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden erhalten,
  2. das Unternehmen verwendet Werbung für eigene ähnliche Waren oder Dienstleistungen,
  3. der Kunde/der Empfänger der Werbung hat der Verwendung nicht widersprochen und
  4. der Kunde/der Empfänger wird sowohl bei der Erhebung der E-Mail-Adresse als auch bei jeder Verwendung über sein Widerrufsrecht informiert.

Sind die Bedingungen nicht bzw. teilweise nicht erfüllt, so ist das Einholen von informierten und freiwilligen Einwilligungen, insbesondere bei Privatkunden, dringend anzuraten. Unternehmen sollten darauf achten, dass sie den Betroffenen beim Einholen der Einwilligung ausreichend über die Datenerhebung, -verarbeitung und –nutzung sowie über das Widerspruchsrecht informieren. Auch sollte darauf geachtet werden, dass Betroffene bewusst einwilligen, indem sie zum Beispiel gezielt Häkchen setzen.

Ja ich willige ein, dass …

Ein weiterer Fehler, der in der Praxis häufig vorkommt, ist die Kopplung von Einwilligungen an Gewinnspielen oder Bestellungen. Unternehmen sollten darauf achten, dass sie für den Versand von elektronischer Werbung (Newsletter) explizite Einwilligungen einholen sollten.

Im Business-to-Business-Bereich (B2B-Geschäft) sollte der Versand von Newslettern ebenfalls über das sogenannte Double-Opt-in-Verfahren erfolgen. Dies bedeutet, dass Newsletter, wie bereits erläutert, erst versendet werden dürfen, wenn der Betroffene eingewilligt hat. Nach Einwilligung des Betroffenen sollte dieser eine Verifizierungs-E-Mail erhalten, um zu bestätigen, dass die angegebene E-Mail-Adresse auch ihm gehört.

Wurde allerdings ein Interesse des Geschäftskunden geäußert (gilt nicht für Privatkunden!!!) und dieser hat die Kontaktdaten hinterlassen, dann dürfen Newsletter ohne vorheriges Einholen von Einwilligungen übersendet werden, allerdings sollte der Geschäftskunde über sein Widerrufsrecht informiert werden. Zudem sollte auch hier beachtet werden, dass das Risiko für die fehlerhafte Einschätzung beim werbenden Unternehmen liegt. Durch Unternehmen eigenständig durchgeführte Risikokalkulationen führen in der Regel dazu, dass einfach geworben wird. Binden Sie daher zur konkreten Beurteilung auch hierbei Ihren Datenschutzbeauftragten

Sonstige Werbemaßnahmen

Neben den klassischen Werbemaßnahmen gewinnen auch Freundschafts- oder Beipackwerbung an Bedeutung. Auch werden verstärkt soziale Medien oder zielgerichtete Werbung auf der Basis von Analyseverfahren eingesetzt, um möglichst gezielt für Produkte und Dienstleistungen zu werben.

Bei Freundschaftswerbungen erhalten die Kunden die Möglichkeit, Freunden ein bestimmtes Produkt oder den Newsletter zu empfehlen. Dabei wird die Empfehlungs-E-Mail oftmals mit Gutscheinen, Werbegeschenken, etc. verknüpft. Bietet ein Unternehmen seinen Kunden diese Option an, so sollten ebenfalls einige Risiken beachtet werden, da auch bei den Empfehlungs-E-Mails Abmahnungen und Bußgelder keine Seltenheit sind. Insbesondere die fehlende ausdrückliche und informierte Einwilligung des Empfängers der Empfehlungs-E-Mail stellt Unternehmen vor viele offene Fragen und zahlreiche Risiken. Aus diesem Grund ist vor dem Einsatz von Freundschaftswerbung abzuraten.

Anderes sieht dies allerdings bei der Beipackwerbung aus, sofern einige Maßnahmen ergriffen werden. Soll Beipackwerbung verschickt werden, so sollte ebenfalls darauf geachtet werden, dass ausschließlich Listendaten verwendet werden dürfen. Zudem sollte der Betroffene/der Empfänger ebenfalls über sein Widerrufsrecht und, um von diesem Gebrauch machen zu können, über die verantwortliche Stelle informiert werden.

Werden soziale Medien eingesetzt, um das Unternehmen vorzustellen, so sollte z. B. grundsätzlich darauf geachtet werden, dass das Impressum und die Datenschutzerklärung hinterlegt oder von der Seite des jeweiligen Mediums, wie zum Beispiel Facebook, verlinkt werden. Sofern soziale Netzwerke für weitere Zwecke, wie zum Beispiel für Gewinnspiele, eingesetzt werden, sollten weitere Maßnahmen, die im Einzelfall unterschiedlich ausfallen können, ergriffen werden. Spätestens bei der Planung von Werbung auf der Basis der Datensätze, die über Analysetools gewonnen wurden, sollte fachkundiger Rat eingeholt werden. Ihr Ansprechpartner ist hierfür Ihr interner oder externer Datenschutzbeauftragter.

Fazit

Werbemaßnahmen, ob telefonisch, postalisch, elektronisch oder auf einem anderen Weg, waren und werden für Unternehmen wichtig bleiben, allerdings sollten Unternehmen nicht außer Acht lassen, dass Marketing und Datenschutz nicht voneinander zu trennen sind. Der Einsatz von Werbung kann – je nach Maßnahme – zahlreiche Datenschutz-Risiken mit sich bringen, die vor der Durchführung genauestens betrachtet und minimiert werden sollten.

Möchten Sie mehr zu Marketing und Datenschutz erfahren oder sich im Datenschutz dauerhaft besser positionieren? Brands-Consulting steht Ihnen als Ansprechperson gerne zur Seite. Nehmen Sie gerne Kontakt zu uns auf oder holen Sie sich ein unverbindliches Datenschutz-Angebot ein

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen

Skype, WhatsApp, Facebook Messenger, iMessage & Co. – Datenschutz-Risiken bei Instant Messaging-Diensten

Instant-Messaging-Dienste DatenschutzDas Aufkommen neuer Messaging-Dienstleister geht Hand in Hand mit der Verbreitung sowie dem beruflichen und gemischten (privat / beruflich) Einsatz von Handys und sonstigen meist mobilen Endgeräten. Insbesondere in Unternehmen, aber auch in anderen Organisationen (Behörden, Vereine, der Kirche …), ist der Gebrauch
von Instant-Messaging-Dienstleistungen attraktiv, da diese eine schnelle Nachrichtenübermittlung garantieren und eine günstige Alternative zur SMS bilden. Es sollte dabei aber nicht außer Acht gelassen werden, dass solche Instant-Messaging-Dienste Datenschutz-Risiken mit sich bringen können. Daher ist es ratsam, zu wissen, wie solche Dienste mit personenbezogenen Daten, Geschäfts- und Betriebsgeheimnissen verfahren.

Ihr externer Datenschutzbeauftragter informiert, worauf verantwortliche Stellen bei der Nutzung von Instant-Messaging-Dienstleistungen achten sollten und wieso Instant-Messaging-Dienste Datenschutz-Risiken verursachen können.

Instant-Messaging-Dienstleistungen

Instant Messaging ist, wie der Name sagt, ein Nachrichtensofortversand und stellt eine Kommunikationsmöglichkeit dar. Diese erfolgt durch das Versenden von Kurzmitteilungen, welche der Absender durch das sogenannte Push-Verfahren auslöst. Die versendete Nachricht erhält der Empfänger dabei unmittelbar auf seinem Handy, Computer oder sonstigem mobilen Endgerät. Um diesen Dienst nutzen zu können, müssen die Nutzer über ein Programm (Client) verfügen. Eine wichtige Gruppe der Clients bzw. hierfür erforderlichen Programme sind neben klassischen Apps die Webbrowser. Ein Einsatz ist daher regelmäßig mit nur sehr geringen Hürden möglich.  Die eingesetzten Clients verbinden die Nutzer über ein Netz direkt mit dem Server. In der Regel ist es auch möglich, Nachrichten an Teilnehmer zu senden, welche derzeit gar nicht online sind. Diese erhalten ihre Nachrichten, sobald sie wieder mit dem Internet verbunden sind. Hierbei ist es offensichtlich, dass Datensätze zumindest zwischengespeichert werden müssen.

Mit der Updateinformation zum WhatsApp Messenger der Version 2.17.2 vom 26.01.2017 informiert  Whatsapp wie folgt „Du kannst jetzt bei Nachrichten auf Senden tippen, auch wenn du keine Verbindung hast. Diese Nachrichten werden dann automatisch gesendet, sobald dein Telefon wieder mit dem Internet verbunden ist.“ Hat der Versender Internet, wird die Nachricht somit versendet. Hat zu diesem Zeitpunkt der Empfänger allerdings keinen Netzzugang, so wird die Nachricht gespeichert, bis der Nutzer wieder erreichbar ist. Zwischen Versand und Empfang kann hierdurch eine längere Zeitperiode entstehen, in der die Daten / Informationen zumindest zwischengespeichert werden.

Instant-Messaging-Systeme innerhalb von IT-Richtlinien/-Betriebsvereinbarungen/-Dienstvereinbarungen

Häufig werden Instant-Messaging-Systeme innerhalb der IT-Sicherheitsrichtlinien, Betriebsvereinbarungen oder Dienstvereinbarungen von Organisationen nicht ausreichend eingebunden bzw. berücksichtigt. Messaging Systeme werden zu pauschal ohne individuelle Betrachtung und Berücksichtigung den Telekommunikationsdiensten zugeordnet, worunter auch die E-Mail fällt. Organisationen sollten nicht nur klare Regelungen für die Nutzung des dienstlichen E-Mail-Postfachs treffen, sondern Differenzieren und auch die Nutzung von Instant-Massaging-Diensten, wie zum Beispiel von WhatsApp oder Apples iMessage, klar regeln.

Neben WhatsApp und iMessage findet unter anderem Skype for Business, früher Microsoft Lync, Verwendung. Dieser Message-Dienst ermöglicht den Mitarbeitern, Sofortnachrichten sowie Daten auszutauschen. Gleichzeitig können mit Skype for Business verschiedenste Messaging-Systeme verbunden werden, womit ebenso Kunden und Dienstleister, welche ein anderes System nutzen, erreicht werden können.

Die Problematik liegt hierbei nicht nur bei der rechtlichen Zuordnung des Systems, sondern vielmehr auch bei der Bewertung, ob damit Kontroll- und Überwachungsmaßnahmen durch den Arbeitgeber erfolgen könnten.

Verwendung von Instant-Messaging-Systemen für eine Verhaltens- und Leistungskontrolle

Die Möglichkeit einer dauerhaften, technisch gestützten Leistungs- und Verhaltenskontrolle könnte sich theoretisch bereits durch die Statusmeldungen (verfügbar, beschäftigt, abwesend) des Mitarbeiters ergeben. Daraus kann der Arbeitgeber beispielsweise auf mögliche Fehlzeiten, Aktivität und Arbeitszeiteinteilungen des Arbeitnehmers schließen. Ein berechtigtes Interesse des Arbeitgebers auf Chatverläufe zu zugreifen kann unter anderem dann vorliegen, wenn die Inhalte eines Chats archivierungspflichtige Geschäftsbriefe bzw. Geschäftskommunikation betreffen. Derartige relevante Kommunikation mag derzeit vielleicht nur in Einzelfällen vorkommen, gerade bei technischen Arbeitsmitteln ist ein schneller, regelmäßig auch zeitgemäßer Wandel, allerdings nichts Verwunderliches.

Grundsätzlich kann der Arbeitgeber eine Kontrolle ansetzen, sofern ein konkreter Missbrauchsverdacht gegenüber den Arbeitnehmern vorliegt, wobei es eine große Rolle spielt, ob eine Privatnutzung erlaubt ist. Darf der Arbeitnehmer die Instant-Message-Dienste zu privaten Zwecken nutzen, so tritt der Arbeitgeber als Telekommunikationsanbieter auf und ist den Vorschriften des Telekommunikationsgesetztes (TKG) unterworfen. Laut § 88 TKG gilt das Fernmeldegeheimnis, wodurch die Zugriffsrechte des Arbeitsgebers auf die Chatverläufe erheblich eingeschränkt werden. Selbst bei einem Verdacht auf eine Straftat könnte sogar die Strafanzeige als milderes Mittel gelten. Bei einem Verbot der Privatnutzung dürfte der Arbeitgeber auf die Chatverläufe zugreifen, allerdings sollte dies ebenfalls stichprobenartig und in angemessenen Zeiträumen bzw. im Missbrauchsverdachtsfall erfolgen (anlassbezogen).

Instant-Message-Dienste können eine Verhaltens- und Leistungskontrolle der Mitarbeiter erleichtern. Beispiel: Nutzt eine Firma ein Chatprogramm, um zeitnah auf Supportanfragen von Kunden einzugehen, so könnte der Arbeitgeber mittels Protokollierung der Chatverläufe prüfen, wie lange ein Mitarbeiter für die Beantwortung benötigt oder wie viele Anfragen der Mitarbeiter am Tag beantwortet. Um eine Verhaltens- und Leistungskontrolle durch den Arbeitgeber zu vermeiden, ist von einer grundlosen Protokollierung der Chatverläufe abzuraten. Eine konkete Protokollierung mit Zweckbindung könnte hingegen denkbar sein. Zudem sollten klare Regelungen geschaffen werden. Mit diesen soll zum einen geregelt werden, ob eine Privatnutzung erlaubt oder verboten ist. Des Weiteren soll klar formuliert werden, wann der Arbeitgeber bzw. andere Vorgesetzte unter Einbeziehung des Datenschutzbeauftragten und – sofern vorhanden – eines Betriebsratsmitglieds auf die Daten zugreifen dürfen. Um gesetzliche Aufbewahrungsfristen nicht zu verletzen, sollte zudem festgelegt werden, dass keine Dateien versendet werden dürfen, die gesetzlichen Archivierungspflichten unterliegen oder bei denen Löschfristen einzuhalten sind, die auf diesem Wege überschritten würden.

Wieso Instant-Messaging-Dienste Datenschutz-Risiken hervorrufen

Besonders kritisch ist die Nutzung von extern betriebenen Instant-Messaging-Dienstleistungen, wie WhatsApp oder auch iMessage. Besonders dann, wenn iPhones oder sonstige Smartphones dienstlich vom Unternehmen zur Verfügung gestellt werden, sollte ausdrücklich darauf hingewiesen werden, dass die Instant Messaging Funktionen untersagt sind. Eine derartige Vorgabe erteilte eine der großen deutschen Banken zur Umsetzung im Jahr 2017.

Sofern dies nicht gewünscht ist und den Mitarbeitern eine Privatnutzung der Smartphones erlaubt werden soll, wäre zu prüfen, ob die Einführung eines Mobile-Device-Management-Systems einschließlich Containersystem notwendig ist, wobei die Verhältnismäßigkeit nicht außer Acht gelassen werden sollte. Bei einem Unternehmen mit fünf Smartphones dürfte regelmäßig anders vorzugehen sein als bei 500 oder mehr Endgeräten und der erlaubten Privatnutzung. Grundsätzlich gilt jedoch, dass Organisationen klare Regelungen schaffen sollten, da der Einsatz von Instant-Messaging-Diensten Datenschutz-Risiken verursacht. Dies ergibt sich unter anderem daraus, dass der Arbeitnehmer meist über seinen privaten WhatsApp- oder iTunes-Account kommuniziert. Dabei scannen beide Programme das Adressbuch und führen die gesammelten Informationen in eine Datenbank. Diese befinden sich auf den Servern der Anbieter. Problematisch wird es insbesondere dann, wenn der Server sich in einem Land befindet, welches sich außerhalb der EU/des EWR befindet und über kein angemessenes Datenschutzniveau verfügt. Darunter fallen mitunter die USA. In unserem Beitrag zu „Cloud Computing – Durchblicken Sie vor lauter Wolken den Datenschutz?“ finden Sie mehr Informationen dazu.

Ebenso bedenklich ist die kommerzielle Nutzung der persönlichen Daten durch einige Anbieter von Instant-Messaging-Systemen. Sie sollten sich daher erkundigen, inwiefern der Anbieter Ihre Daten verwertet.

Weiterhin wurde durch zahlreiche Meldungen verkündet, dass einige externe Instant-Messaging-Dienstleistungen gewisse Sicherheitslücken aufweisen. So hatte beispielsweise Microsoft bei seinem Windows Live Messenger sowie auch MSN einige Sicherheitsprobleme, welche sich unter anderem bei deren integrierten Webcam-Sitzungen und Video-Chats befanden. Das Problem bestand darin, dass der Instant-Messaging-Client die Webcam-Sitzung und Video-Chats nicht korrekt verarbeitet und damit möglichen Angreifern (Hackern) die Chance bietet, beliebige Codes ausführen zu können. Um dies zu ermöglichen, müsste das potenzielle Opfer lediglich zu einer Webcam- oder Video-Chat-Sitzung durch den Angreifer eingeladen werden. Die Opfer werden dabei von vermeintlichen Bekannten auf interessante Webseiten gelockt, wo Schadprogramme (Malware) auf sie warten.

Es ist daher unerlässlich, einen Datenschutzbeauftragten und IT-Sicherheitsbeauftragten zur Seite zu haben, damit datenschutzrechtliche Probleme und IT-Sicherheitsrisiken optimal behandelt oder umgangen werden können.

Falls Sie sich für die Risiken bei der Nutzung von Instant-Messaging-Diensten in Organisationen interessieren, könnten die Beiträge

von uns für Sie interessant sein.

Sicherheitskriterien bei Instant-Messaging-Diensten

Eine gewisse Sicherheit bei einigen Instant-Messaging-Diensten bietet die End-to-End-Verschlüsselung, die die gesendeten Daten so verfremdet, dass diese ohne Datenschlüssel nicht mehr nachvollziehbar sind. Erst wenn die Nachricht bei dem Empfänger ankommt, wird die Nachricht entschlüsselt. Grundsätzlich bietet dieses Verfahren eine gewisse Sicherheit, jedoch sollte beispielsweise bei WhatsApp darauf geachtet werden, dass die aktuelle Version installiert ist. 2016 führte WhatsApp offiziell mit Kennzeichnung im Chatverlauf die End-to-End-Verschlüsselung ein, bei älteren Versionen gilt diese jedoch nicht. Sie sollten daher möglichst die neueste Version besitzen.

Wie bereits erwähnt, besitzen nicht alle Länder ein angemessenes Datenschutzniveau. Auch sind je nach Sitz des Anbieters unterschiedliche Maßnahmen zu ergreifen, dabei ist es entscheidend, ob der Anbieter seinen Sitz innerhalb der EU/des EWR hat oder eine Datenübermittlung an einen Dienstleister außerhalb der EU/des EWR (Drittland) stattfindet. Kann oder möchte eine Organisation nicht auf den Einsatz von Instant-Message Diensten verzichten, so sollten Anbieter gewählt werden, die Ihren Sitz innerhalb der EU/des EWR haben. Zudem sollten klare Regelungen mittels Richtlinien/Betriebsvereinbarungen/Dienstvereinbarungen geschaffen und Mitarbeiter – mittels Datenschutz-Schulungen – ausreichend sensibilisiert werden.

Fazit

Instant-Messaging-Dienste stellen eine Erleichterung der Kommunikation dar, da diese die Nachrichten sofort übermitteln und der Empfänger diese ebenso ohne Zeitverzug einsehen kann. Jedoch bieten die angebotenen Dienste keine vollkommene Sicherheit der Datenübertragung und vor ungewolltem Zugriff oder missbräuchlicher Verwendung. Besonders problematisch sind unter anderem:

  • Anbieter außerhalb der EU/des EWR,
  • mögliche kommerzielle Nutzung der privaten Daten durch Instant-Messaging-Dienste,
  • Sicherheitslücken innerhalb der Software.

Es ist daher unerlässlich, kompetente Unterstützung bei dieser Thematik zu haben.

Brands Consulting steht Ihnen dabei gerne zur Seite. Wir bieten Ihnen optimal Unterstützung in Sachen Datenschutz. Holen Sie sich ein unverbindliches und kostenloses Angebot zum Datenschutz bei uns ein oder nehmen Sie mit uns Kontakt auf und profitieren Sie von unserer Erfahrung.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Datenschutz im Internet – Surfen mit Mozillas Browser Firefox Klar

Firefox Klar DatenschutzSeit kurzer Zeit gibt es auch in Deutschland Mozillas mobilen Browser „Firefox Klar“ für das Betriebssystem iOS. Viele Nutzer stellen sich die Frage, ob Firefox Klar oder die Browsererweiterung des Content-Blockers „Klar by Firefox“ Datenschutz-Risiken minimiert. Die Entwickler aus dem Hause Mozilla versprechen den Nutzern mit Firefox Klar jedenfalls eine höhere Privatsphäre und damit einen verbesserten Datenschutz.

Ihr externer Datenschutzbeauftragter informiert über den neuen Browser und erklärt, ob Firefox Klar für mehr Datenschutz im Internet sorgt und Datenschutz-Probleme sowie Datenschutz–Risiken lösen kann.

Datenschutz mit Firefox Klar – Wie Firefox Klar Datenschutz und eine höhere Privatsphäre schafft

Datenschutz im InternetUmgesetzt wird die Sicherung der Privatsphäre des Nutzers unter anderem durch den im Browser integrierten „Tracking-Blocker“, welcher verhindert, dass der Nutzer von Werbe- und Analysenetzwerken verfolgt wird.

Werbe- und Analysenetzwerke sorgen dafür, dass Sie über mehrere Netzwerke hinweg identifiziert werden können. Wird Ihnen auf einer Internetseite Werbung für ein Produkt angezeigt, welches Sie zuvor auf einer anderen Internetseite begutachtet haben, steckt dahinter ein Werbe- und Analysenetzwerk. Durch den Einsatz dieser Form des Marketings kann Werbung äußerst zielgerichtet erfolgen. Durch den „Tracking Blocker“ des Browsers Firefox Klar werden diese Netzwerke blockiert. Positiver Nebeneffekt dieser Funktion ist, dass Werbung weitestgehend ausgeblendet wird. Das Blockieren kann allerdings auch dazu führen, dass einzelne Funktionen von Webseiten nicht mehr genutzt werden können. Klar by FirefoxDies führt zwar zu mehr Datenschutz im Internet für den Nutzer, allerdings könnte die eingeschränkte Nutzerfreundlichkeit („Usability“) auch dazu führen, dass die Nutzerzahlen nach einem kurzfristigen Ansturm wieder rückläufig sein werden.

  1. Der Entwickler Mozilla empfiehlt für diesen Fall, die Internetseite in Firefox oder Safari zu öffnen und bietet dafür in Firefox Klar einen Button an, welcher die Seite auf den genannten Browsern öffnet.
  2. Ebenso existiert ein Löschbutton, der den gesamten Browserverlauf entfernt und somit verhindert, dass Dritte nachvollziehen können, auf welchen Webseiten Sie waren. Eine Löschfunktion für den Verlauf existiert zwar bereits in anderen bzw. nahezu allen gängigen Browsern, Firefox Klar bietet für den Nutzer lediglich einen vereinfachten Weg der Funktionsnutzung.

Surfen mit Mozillas Browser Firefox KlarWeiterhin kann der Nutzer innerhalb der Einstellungen des Browsers selbst und recht einfach bestimmen, welche Inhalte durch Firefox Klar geblockt werden sollen. So lassen sich mitunter Social-Tracker blocken, so dass beispielsweise der Tweet-Button auf Twitter oder auch Like- und Teilen-Buttons auf Facebook verschwinden. Dies hat den Vorteil, dass Social-Media Plattformen wie Facebook, Twitter und Co., das Surfverhalten nicht mehr überwachen können.

Optional lässt sich bei Firefox Klar das Laden von Webfonts (individuelle Schriftarten auf Webseiten) unterbinden, was regelmäßig die Surfgeschwindigkeit und vermutlich auch den genutzten Traffic erhöht. Außerdem ist in Firefox Klar ein Content-Blocker enthalten, der in den iOS-Einstellungen aktivierbar ist. Mit diesem werden Werbe- und Analysenetzwerke auch für Safari blockiert. Möchten Sie weiterhin Safari nutzen, ist auch dies kein Problem. Durch Verschieben des Schiebereglers lässt sich Firefox Klar für Safari aktivieren und die beschriebenen Funktionen in Safari nutzen.

Fazit

Die Funktionen, die Firefox Klar mit sich bringt, dürften für die meisten Nutzer nicht neu sein, da die Einstellungen auch bei der Nutzung anderer Browser eingestellt werden können, allerdings werden diese Funktionen sehr nutzerfreundlich verpackt und lassen sich durch nur wenige Klicks aktivieren. Dazu kommt, dass viele Funktionen, wie die blockierte Werbeverfolgung oder die blockierte Verfolgung durch Social-Media-Buttons, bereits nach Installation des Browsers aktiviert sind. Der Entwickler Mozilla legt, wie schon erwähnt, seinen Schwerpunkt auf die Privatsphäre des Nutzers. Wer mehr Privatsphäre mit wenig Klicks sucht, sollte einen Blick auf Firefox Klar  werfen, allerdings können nicht nur mit Firefox Klar Datenschutz-Risiken minimiert werden.

Wünschen Sie sich mehr Privatsphäre,  Sicherheit und Datenschutz im Internet beim Surfen, möchten allerdings Ihren bisherigen Browser nutzen, dann lesen Sie unseren Beitrag „Cookies anzeigen, entfernen und löschen – Datenschutz mit Firefox, Safari, Chrome, Internet Explorer und Co.“ oder „JavaScript deaktivieren – Datenschutz mit Chrome, Firefox, Internet Explorer, Safari und Co.“. Gerne können Sie auch direkt Kontakt zu uns aufnehmen oder fordern Sie ein unverbindliches Angebot zum Datenschutz an.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Datenschutz bei Kundenbindungssystemen – Welche personenbezogenen Daten Kundenkarten- oder Rabattkarten-Anbieter wirklich benötigen und welche sie tatsächlich erheben

Kundenbindungssysteme Datenschutz„Kundenbindungssysteme Datenschutz“ sind zwei Begriffe, die insbesondere Datenschutzbeauftragte und Datenschützer selten in einem Satz verwenden würden, außer sie wollen vor neuen Systemen warnen oder die „Alten“ kritisieren. Diese Kundenbindungssysteme haben allerdings nicht nur bei Datenschutzbeauftragten und der Verbraucherzentrale einen schlechten Ruf, sondern auch bei Verbrauchern selbst. Der Grund für das schlechte Ansehen ist u. a. der Verdacht, dass die  Anbieter von Kundenbindungssystemen in Deutschland oder im europäischen bzw. internationalen Ausland:

  • persönliche Kundendaten an Dritte weitergeben könnten,
  • die gesammelten Daten für Marketingforschungszwecke verwenden und
  • die Kunden personenbezogen durch die Auswertung ihrer Daten analysieren.

Trotz der Skepsis, auch auf Seite der Verbraucher, ist die Verlockung, ein „gratis“ Messer-Set oder eine Armbanduhr für 25000 Punkte und einer Zuzahlung von 19,99 € zu erhalten, zumeist größer, weshalb Kundenkarten in zahlreichen Haushalten täglich verwendet werden.

Die Frage, ob wirklich mehr personenbezogene Daten erhoben werden als tatsächlich notwendig und ob die Erhebung und Verwendung datenschutzkonform ist, kommt allerdings regelmäßig hoch. Aus diesem Grund erklärt Ihr externer Datenschutzbeauftragter im Folgenden, die Bedeutung hinter der Begriffskombination „Kundenbindungsysteme Datenschutz“ und welche Gefahren hinter Kundenbindungssystemen lauern.

Wie funktionieren Kundenkarten?

Insbesondere im Einzelhandel sind Kundenbindungssysteme, wie Kundenkarten/Rabattkarten, ein beliebtes Werkzeug, um Verbraucher längerfristig an sich zu binden. Bekannte Anbieter sind u. a. Payback oder DeutschlandCard. Diese Kundenkarten ermöglichen es dem Kunden nicht nur beim Einkaufen von Lebensmitteln oder Kleidung Punkte zu sammeln, sondern auch beim Tanken, beim Buchen von Reisen oder beim Kauf von Medikamenten.

Kundenkarten DatenschutzVielfach zeigt sich, dass durch die vermeintliche „Punkte-Sammel-Wut“ nicht mehr den eigenen wirtschaftlichen Interessen gefolgt wird und nicht die günstigste Tankstelle, sei es vom Preis oder von der Entfernung, sondern z. B. eine Aral-Tankstelle angefahren wird. Hier können die beliebten Payback-Punkte gesammelt werden.

Neben dem Einzelhandel haben weitere Bereiche / Stellen, wie Kinos, die deutsche Bahn, oder verschiedene Fluggesellschaften eine Verwendung für Rabattkarten gefunden und setzen diese im Rahmen ihrer Bonusprogramme ein. Können die meisten Kundenkarten nur bei dem Anbieter der Karte (z. B. IKEA FAMILY), verwendet werden, so ermöglichen Payback oder die DeutschlandCard das Sammeln von Punkten bei einer Vielzahl an Partnern. Ein Datenaustausch bzw. eine gemeinsame Datensammlung liegt daher nahe, wodurch diese Kundenbindungssysteme Datenschutz-Gefahren um ein Vielfaches erhöhen.

Neben Punkten und zahlreichen Rabattaktionen erfreuen sich die Nutzer von Kundenkarten (z. B. Douglas Card) regelmäßig an der vereinfachten Bezahlung der Ware mittels dieser Kundenkarte.

Um von den Kundenkarten Gebrauch zu machen, muss der Besitzer in dem meisten Fällen ein Formular ausfüllen. Neben den Listendaten (z. B. Namen, Adresse) werden regelmäßig weitere Informationen, wie Interessen, der ausgeübte Beruf oder Angaben über die Kleider- bzw. Schuhgröße erfragt. Hat man das Formular ausgefüllt und an den Anbieter versendet bzw. dem Anbieter übergeben, so erhält der Kunde die Karte zum Teil direkt oder bereits nach wenigen Tagen / Wochen auf dem Postweg.  Mit Erhalt der Rabattkarte kann das „große“ Sammeln von Punkten und das Erwerben von vermeintlichen Schnäppchen beginnen.

„Kundenbindungssysteme Datenschutz“ – die Bedeutung hinter der Begriffskombination

Grundsätzlich gilt im Datenschutz das Verbot mit Erlaubnisvorbehalt, wodurch zunächst jegliche Erhebung, Verarbeitung und Nutzung personenbezogener Daten verboten ist, außer sie basiert auf einer Rechtsgrundlage oder einer informierten Einwilligung der Betroffenen.

Auf Basis von § 28 Bundesdatenschutzgesetz (BDSG) dürften personenbezogene Daten erhoben, verarbeitet und genutzt werden, die zu Erfüllung der (eigenen) Geschäftszwecke erforderlich sind. Die Notwendigkeit zur Identifizierung des Verbrauchers würde beispielsweise erlauben, dass der Name und die Adresse verwendet werden. Zudem könnte das Geburtsjahr, wenn die Kundenkarte, ab einem gewissen Alter genutzt werden darf, oder eine Kontaktinformation, wie die Telefonnummer oder E-Mail-Adresse, erforderlich sein. Bei den Vorüberlegungen sollte geprüft werden, ob die Information über eine Person tatsächlich benötigt wird oder ob diese nur „gesammelt“ wird, um diese vielleicht irgendwann mal zu verwenden (Stichwörter „Datensammelwut“ oder „Vorratsdatenspeicherung“).

Die Kontaktdaten sollten allerdings nur zur Erfüllung des definierten Zwecks, zum Beispiel bei Rückfragen zu der Kundenkarte, genutzt werden. Weitere Daten, die auf Basis von § 28 BDSG erhoben werden dürfen, hängen von den einzelnen Systemen ab, allerdings könnten u. a. die Preise der Artikel für die Erfüllung des Geschäftszwecks wichtig sein. Bereits bei der Implementierung der Prozesse sollte der bestellte Datenschutzbeauftragte unbedingt eingebunden werden.

Die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten, die nicht zur Erfüllung des Zwecks erforderlich sind und Daten, die zum Zweck der Werbung oder Meinungsforschung erhoben werden sollen, setzen die informierte Einwilligung der Betroffenen voraus.

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) erstellte ein Gutachten über Kundenbindungssysteme und kritisierte u. a.,  dass

  • die meisten Kundenbindungssysteme mehr Daten über den Kunden erheben, als für die Durchführung des Bonusprogramms erforderlich sind,
  • bei zahlreichen Bonusprogrammen anfallende Daten zu Zwecken der Werbung und Marktforschung genutzt werden,
  • beim Einsatz der Kundenkarte in den Partnerunternehmen ebenfalls mehr Daten erhoben werden, als erforderlich sind,
  • der Einwilligungserklärung in vielen Fällen eine genaue Beschreibung der zu verarbeitenden Kundendaten fehlt,
  • nicht festgestellt werden kann, ob und welche Kundendaten Partnerunternehmen speichern und weiterverarbeiten.

Wie können sich Verbraucher schützen?

Gläserner MenschVerbraucher, die sich schützen möchte, ist anzuraten, dass sie gewissenhafter mit Kundenkarten / Rabattkarten umgehen und sich nicht von den zumeist sehr geringen Rabatten blenden lassen. Schließlich sollte sich der Kunde darüber bewusst sein, dass er für die Rabatte oder Prämien regelmäßig einen wesentlich höheren Preis, durch starke Einblicke in seine Privatsphäre, bezahlt.

Je häufiger der Verbraucher seine Kundenkarte nutzt, desto dichter werden die Informationen über ihn, bis der Anbieter ein ganzes Benutzerprofil erhält und genau weiß, wann und wo sich der Verbraucher aufgehalten hat und welche Vorlieben, Interessen und Gewohnheiten dieser besitzt. Dies gilt insbesondere für Kundenkarten, die bei zahlreichen Partnern verwendet werden können. Mit Hilfe dieser Rabattkarten könnte der Anbieter – bei regelmäßiger Nutzung – nicht nur erfahren wo und was der Kunde gerne einkauft, sondern auch wo der Kunde im Urlaub war und welche Krankheiten er hat. Die Gefahr ist daher nicht gerade gering, dass Kundenkarten-Nutzer – im Sinne des Datenschutzes – zu „gläsernen Menschen“ werden.

Nichtsdestotrotz sollten Kundenbindungssysteme nicht pauschal verteufelt werden, da Nutzer selbst entscheiden können, welche Informationen die Anbieter der Kundenkarten erhalten dürfen und welche man als Kunde lieber für sich behält.

Was sollten Anbieter von Kundenkarten beachten?

Anbietern von Kundenkarten ist dringendst anzuraten, dass sie für personenbezogene Daten, die für den eigentlichen Zweck nicht erforderlich sind und für die Übermittlung an Dritte erhoben werden, informierte Einwilligungen der Betroffenen einholen.

Anbieter sollten den Verbraucher ausreichend darüber informieren, welche Daten, für welchen Zweck erhoben werden. Über eine Übermittlung an Dritte, über das Widerspruchsrecht und über die Freiwilligkeit der Einwilligung sollten Kunden ebenfalls klare Informationen erhalten. Die verantwortliche Stelle ist des Weiteren eindeutig zu benennen.

Die besonderen Rechte, wie das Recht auf Auskunft, gemäß § 34 BDSG, sollten verantwortliche Stelle ebenfalls nicht außer Acht lassen und ggf. den Rat eines Datenschutzbeauftragten einholen.

Sie haben eine Frage hierzu? Sprechen Sie doch mit Ihrem (betrieblichen) Datenschutzbeauftragten. Sie haben noch keinen? Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

WhatsApp in Unternehmen – Kommunikationskanal, Marketing-Instrument oder eine Datenschutz-Katastrophe?

Der Messenger „WhatsApp“ gewinnt seit Jahren in privaten Haushalten an Bedeutung, wobei der Kommunikationskanal nicht nur junge Nutzer lockt. Mittlerweile verwendet die Mehrheit, sobald sie in Besitz eines Smartphones ist, unabhängig ihres Alters den Messenger. Die einfache Handhabung, sowie die Plattformunabhängigkeit sind einige Faktoren, die im Februar 2016 zu über einer Milliarde WhatsApp-Nutzern geführt haben. Die steigende Beliebtheit und das routinierte Arbeiten mit dieser App führt dazu, dass der Messenger auch zu dienstlichen Zwecken eingesetzt wird.

WhatsApp wird allerdings schon lange nicht mehr rein als Kommunikationskanal in Unternehmen genutzt, sondern findet auch vermehrt als Marketing-Instrument Verwendung. Unternehmen können mittels WhatsApp eine Vielzahl an Nutzern erreichen, wobei die Kontaktaufnahme oftmals viel persönlicher erfolgen kann, als dies mit einer postalischen Ansprache oder per E-Mail möglich wäre.

Die vermeintliche Simplizität der Kommunikation mittels WhatsApp führt dazu, dass sowohl Arbeitnehmer als auch Arbeitgeber oftmals bewusst rechtliche Risiken ausblenden und gegen geltendes Datenschutzrecht verstoßen.

WhatsApp als Kommunikationskanal in Unternehmen

Whatsapp Datenschutz KatastropheImmer häufiger setzen Arbeitnehmer WhatsApp als internes Kommunikationsmittel ein. In diesem Rahmen tauschen sie beispielweise Dienstpläne oder Informationen über Kunden, Patienten, Kollegen etc. aus. Doch die interne dienstliche Nutzung von WhatsApp -insbesondere auf dienstlichen Endgeräten- führt regelmäßig zu zahlreichen datenschutzrechtlichen Risiken.

Zwar verspricht WhatsApp, seit Anfang April 2016, eine Ende-zu-Ende-Verschlüsselung, welche die Inhalte der Nachrichten vor unbefugtem Lesen schützen soll. Jedoch ist es nicht ratsam, sich auf dem Versprechen über eine funktionierende und dauerhafte Verschlüsselung der Betreiber eines vermeintlich kostenlosen Dienstes auszuruhen, da zumal eine Verschlüsselung nur dann gegeben ist, wenn der Chat-Partner über die aktuelle WhatsApp-Version verfügt. Wurde die aktuelle Version noch nicht auf dem Endgerät installiert, wobei in Gruppenchats nur ein Chat-Partner über die „veraltete“ Version verfügen muss, so ist keine Ende-zu-Ende-Verschlüsselung gegeben. Näheres zur Ende-zu-Ende-Verschlüsselung von WhatsApp können Sie in dem Beitrag „Eine Revolution: WhatsApp-Verschlüsselung – mehr Datenschutz bzw. Datensicherheit?“ nachlesen.

Vertraut man den Betreibern des Messengers bezüglich der Ende-zu-Ende-Verschlüsselung, steht man als Arbeitnehmer und insbesondere als Arbeitgeber (bzw. die Leiter / Entscheidungsträger der „Verantwortlichen Stelle“) vor weiteren Risiken. Zwar können die Inhalte der Nachrichten, zumindest laut der Betreiber, nicht mehr gelesen werden, allerdings wird in der Regel bereits im Installationsprozess von WhatsApp, spätestens aber mit dem Einsatz der Applikation (App), der Zugriff auf die gespeicherten Telefonnummern in Smartphones ermöglicht. Diese (personenbezogenen) Daten werden nicht legitimiert an die WhatsApp-Server in Kalifornien (USA) weitergegeben.

Eine Datenübermittlung bedarf, laut Bundesdatenschutz, einer rechtlichen Grundlage oder einer informierten Einwilligung der Betroffenen. In der Regel liegt Beides bei der Installation und Nutzung des Messengers nicht vor. Zudem handelt es sich um eine Datenübermittlung in ein Drittland (außerhalb der europäischen Union und des europäischen Wirtschaftsraums) ohne angemessenes Datenschutzniveau. Eine datenschutzkonforme Übermittlung wäre deshalb nur möglich, wenn zum einen das Datenschutzniveau, beispielsweise durch Abschluss von EU-Standardvertragsklauseln mit daran geknüpften weiteren Maßnahmen, hergestellt wird oder andererseits eine informierte und freiwillige Einwilligung eines jeden Kontakts im Telefonbuch eingeholt wird. Dies wäre allerdings ein Aufwand, den niemand tragen könnte bzw. möchte.

Eine weitere Möglichkeit wäre, den Zugriff von WhatsApp auf das Telefonbuch, sowie auf weitere Informationen (Fotos, Notizen, etc.) mittels manueller Einstellungen am Smartphone zu verhindern. Die WhatsApp-Nutzung wäre dadurch zwar weniger risikobehaftet, aber für den Nutzer mit Sicherheit mehr als unerfreulich, da keine „usability“ (Benutzerfreundlichkeit) mehr bestehen wird.

WhatsApp als Marketing-Instrument in Unternehmen

WhatsApp in Unternehmen – Kommunikationskanal, Marketing-Instrument oder eine Datenschutz-Katastrophe_Bild2Die Bedeutung von WhatsApp spielt allerdings nicht nur im Rahmen der internen Kommunikation eine große Rolle. Immer mehr Unternehmen fühlen sich, insbesondere aufgrund der Masse an Nutzern, verpflichtet, den Messenger als Marketing-Instrument einzusetzen. In diesem Rahmen werden nicht nur Newsletter versendet, sondern auch Inhalte mittels WhatsApp-Sharing-Button geteilt, Supportanfragen beantwortet oder ganze Beratungsgespräche ausgelagert. WhatsApp ist aufgrund der Gruppenchat-Funktion nicht nur für „persönliche“ Chats zwischen zwei Chat-Partnern, sondern vor allem zur Schaffung von Communities sehr attraktiv. Jedoch sollte sich ein Unternehmen nicht von den zahlreichen Vorteilen und Möglichkeiten blenden lassen und vor dem Einsatz des Messengers einen Blick auf die rechtlichen Grundlagen werfen.

Setzt man WhatsApp zu Marketingzwecken ein, so könnte man nicht nur gegen die allgemeinen Geschäftsbedingungen (AGB) von WhatsApp, die eine kommerzielle Nutzung des Dienstes untersagen, sondern auch gegen das Bundesdatenschutzgesetz (BDSG), das Telemediengesetz (TMG), sowie gegen das Gesetz gegen den unlauteren Wettbewerb (UWG) verstoßen.

Im Rahmen der geschäftlichen Ansprache, die laut den AGBs, zu unterlassen ist, ist das Risiko für das Unternehmen eher gering, da einer Sperrung üblicherweise eine Verwarnung vorausgeht. Die datenschutzrechtlichen Risiken stellen eine weitaus größere Problematik für Unternehmen dar. Denn auch in diesem Zusammenhang gilt das Verbot mit Erlaubnisvorbehalt. Im Datenschutz ist die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten grundsätzlich verboten, außer eine gesetzliche Grundlage oder informierte Einwilligung des Betroffenen erlauben die Erhebung, Verarbeitung oder Nutzung.

Datenschutz Werbung

Sollen Newsletter via WhatsApp versendet werden, so ist dem Unternehmen anzuraten, eine informierte und ausdrückliche Einwilligung der Betroffenen einzuholen, da ausschließlich § 7 S. 3 UWG unter strengen Bedingungen das Versenden von Newslettern ohne Einwilligung der Betroffen erlaubt. Für eine informierte und ausdrückliche Einwilligung sollten Unternehmen grundsätzlich das Double-Opt-in Verfahren anwenden, um eine Verifikation der Rufnummern bzw. der E-Mail-Adressen, im Fall von „gewöhnlichen“ Newslettern via E-Mail, vorzunehmen. Nutzt man allerdings die Broadcast-Funktion von WhatsApp, so sollte das Opt-In-Verfahren ausreichen, da der Nutzer die Nachrichten nur erhält, wenn der Absender als Kontakt hinterlegt ist. Eine Anmeldung, die zu Beweiszwecken gespeichert werden sollte und der Einsatz von Broadcast-Listen ist dringendst zu empfehlen.  Mittels dieser Listen können sich die anderen Nutzer, anders als bei den Gruppenchats, untereinander nicht sehen. Zudem sollte darauf geachtet werden, dass der Kunde bei der Anmeldung Informationen über den Verwendungszweck und das Widerrufsrecht erhält. Wobei der Hinweis zum Widerrufsrecht nicht nur im Rahmen der Erhebung der Rufnummer fallen sollte. Der Kunde ist in jedem Newsletter darüber zu informieren, dass er sich jederzeit aus dem Newsletter austragen kann bzw. durch Löschung der Rufnummer des Absenders kein Versand von Newslettern stattfinden kann.

Ein weiteres Problem, dass auf Unternehmen im Rahmen der Kundenkommunikation zukommt, könnte die Mitstörerhaftung sein. Zum einen ist unklar, ob das Unternehmen für Datenschutzverstöße seitens WhatsApp haften muss. Zum anderen ist der Einsatz von Communities kritisch, da in diesem Rahmen schädigende, rechtswidrige bzw. sittenwidrige Inhalte von Nutzern verbreitet werden könnten. Um das Risiko zu minimieren, ist der Einsatz von geeigneten Datenschutzerklärungen, Impressen, sowie von Nutzungserklärungen dringend anzuraten.

Der Einsatz des WhatsApp-Sharing-Buttons ist zwar auch mit Risiken verbunden, jedoch ist die Verwendung weniger risikobehaftet als die Nutzung des Like-Buttons von Facebook. Denn anderes als bei dem Like-Button sollen bei der der Verlinkung keine Daten übermittelt werden. Erst wenn der Nutzer den Link aktiviert, würde eine Datenübermittlung erfolgen. Eine Datenschutzerklärung, die über die Verwendung der Daten informiert, wäre trotzdem anzuraten.  Wird das Teilen von Inhalten an Freunde (Tell-a-Friend) mit wirtschaftlichen Anreizen verknüpft, so ist die Situation kritischer anzusehen.

Fazit

Der Einsatz von WhatsApp ist aus Datenschutzsicht kritisch. Zwar mag der Einsatz sowohl aus Unternehmens- als auch aus Kundensicht zahlreiche Vorteile bergen, jedoch stehen diesen Vorzügen eine Vielzahl an Risiken gegenüber.

Möchte oder kann ein Unternehmen -trotz der Risiken- nicht auf den Messenger verzichten, so sollte sich das Unternehmen ausreichend von seinem Datenschutzbeauftragten oder einem Datenschutzberater / Consultant beraten lassen. Eine weitere Alternative wäre der Einsatz eines Messengers, der europäische Server nutzt und damit schärferen Datenschutzrechten unterliegt.

Verwenden auch Sie WhatsApp zu Kommunikations- oder Marketingzwecken? Falls Sie bereits einen Datenschutzbeauftragten haben, lassen sie sich hierzu von diesem beraten… ansonsten nehmen Sie Kontakt zu uns auf. Gerne beraten wir Sie rund um das Thema WhatsApp und über ein datenschutzkonformes Marketing.

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.