> Datenschutz WhatsApp

Datenweitergabe von WhatsApp an Facebook – kein Löschen und keine Verwendung personenbezogener Daten nach Beschluss des Verwaltungsgerichts Hamburg

Datenweitergabe von WhatsAppWie bereits im Beitrag „Facebook stoppt Datenweitergabe – Hoffnung für den „WhatsApp Datenschutz?“ beschrieben, reißt wegen der Datenweitergabe von WhatsApp die Thematik „Datenschutz bei WhatsApp“ nicht ab.

Ihr externer Datenschutzbeauftragter informiert Sie über die neuesten Entwicklungen zu dieser Thematik.

Ausgangslage

Im September vergangenen Jahres ging unter anderem der Hamburger Datenschutzbeauftragte Johannes Casper gegen Facebook, bezüglich der Weitergabe von gesammelten personenbezogenen Daten von WhatsApp an Facebook, vor. Nach dessen Ansicht genügen die durch Facebook vorgenommenen Maßnahmen zur Erhebung und Speicherung der personenbezogenen Daten deutscher WhatsApp-Nutzer nicht den Anforderungen des § 4 BDSG.

Nach dem § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) wäre für eine rechtmäßige Erhebung, Verarbeitung und/oder Nutzung der Daten entweder

  • die Zustimmung des Betroffenen oder
  • eine Rechtsgrundlage

erforderlich.

Nach Ansicht des Hamburger Datenschutzbeauftragten habe Facebook keine ordnungsgemäße Zustimmung der betroffenen WhatsApp-Nutzer nach § 4 Abs. 1 BDSG eingeholt. WhatsApp hatte lediglich seine Nutzer um eine Zustimmung der Weitergabe an Facebook gebeten. Nach dem „Doppeltürmodell“ genügt dies jedoch nicht. Nach diesem muss eine Einwilligung nicht nur von der übermittelnden Stelle (WhatsApp) eingeholt werden, sondern auch von der empfangenden Stelle (Facebook). Weiterhin wurde bemängelt, dass der Nutzer keine freie Einwilligung (§ 4a BDSG) über die Weiterleitung seiner Daten abgeben konnte, da dieser der Datenweitergabe nur entgehen kann, wenn das WhatsApp-Konto gelöscht wird. Zudem wurde der Nutzer nicht hinreichend über die von WhatsApp angebotene „Opt-Out“-Möglichkeit informiert, die dem Nutzer einen Datenübertragungsstopp suggerierte, diesen jedoch nicht ausführte. Ebenso war keine Rechtsgrundlage ersichtlich, die die Erhebung der Daten ohne Zustimmung der Betroffenen rechtfertigte.

Er forderte deshalb von Facebook die Löschung der unrechtmäßig erhobenen Daten sowie die Dokumentation des Löschvorgangs.

Gegen diese Verfügung des Hamburger Datenschutzbeauftragten legte Facebook Widerspruch ein und ersuchte um einstweiligen Rechtsschutz.

Vorläufige Pflicht Facebooks zur Beachtung des deutschen Datenschutzrechts

Das Verwaltungsgericht Hamburg hat nun in einem Eilverfahren mit dem Beschluss vom 25.04.2017 entschieden (Az. 13 E 5912/16), dass der Antrag des Hamburger Datenschutzbeauftragten auf Löschung und Dokumentation des Löschverfahrens der von Facebook gesammelten WhatsApp-Nutzerdaten aufgrund eines formellen Fehlers nicht sofort vollziehbar sei.  Folglich müsse Facebook derzeit keine Löschung der Daten vollziehen, darf diese jedoch ohne ordnungsgemäße Einwilligung der WhatsApp-Nutzer nicht nutzen.

Datenweitergabe von WhatsApp – Ausblick

Derzeit sei nach Erklärung der Richter noch offen, ob Facebook mit dem Widerspruch gegen die Anordnung des Hamburger Datenschutzbeauftragten Erfolg haben wird. Es sei noch nicht hinreichend geklärt, ob die Anwendung des deutschen Datenschutzrechts in diesem Fall einschlägig ist und gegen die in Irland firmierte Facebook Ltd. Anwendung findet. Kommt das deutsche Datenschutzrecht jedoch zur Anwendung, wäre die Anordnung des Hamburger Datenschutzbeauftragten voraussichtlich rechtmäßig.

In unserem vorherigen Beitrag „Facebook stoppt Datenweitergabe – Hoffnung für den „WhatsApp Datenschutz“?“ können Sie weitere Informationen über das Thema einholen. Weiterhin könnte unser Beitrag „Skype, WhatsApp, Facebook Messenger, iMessage & Co. – Datenschutz-Risiken bei Instant Messaging-Diensten“ ebenso interessant für Sie sein.

Sofern Sie zu diesem oder anderen datenschutzrechtlichen Themen Fragen haben, steht Ihnen Brands Consulting gerne zur Seite. Wir unterstützen Sie rund um den Datenschutz und können Ihnen dabei helfen, sich in diesem Gebiet besser zu positionieren.

Nehmen Sie gerne Kontakt zu uns auf und holen Sie ein kostenloses Datenschutzangebot ein.

Brands Consulting – steht für kompetente Dienstleistungen rund um Datenschutz & Beratung

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Telegram und Threema – Mehr Datenschutz mit WhatsApp-Alternativen

Datenschutz WhatsApp-AlternativenSind Telegram und Threema Alternativen? Sowohl Datenschutzbeauftragte als auch die Benutzer selbst fragen sich seit Langem, ob Datenschutz mit WhatsApp möglich ist. Insbesondere Nach dem Aufkauf von WhatsApp durch Facebook im Jahre 2014 wechselten viele WhatsApp-Nutzer zu alternativen Instant-Messaging Dienstleistern. Die wohl am häufigsten in den Medien genannten WhatsApp-Alternativen sind Threema und Telegram.

Ihr externer Datenschutzbeauftragter informiert, ob Sie mehr Datenschutz mit den WhatsApp-Alternativen Telegram und Threema erreichen können und gibt ihnen Hinweise, auf was Sie bei der Auswahl eines Instant Messaging Dienstes achten sollten, damit eine ausreichende Datensicherheit sowie der möglichst nachhaltige Schutz Ihrer personenbezogenen Daten besteht.

Instant-Messaging-Dienste

Der wohl erste, den meisten Personen bekannte, Instant-Messaging-Dienst dürfte wohl ICQ sein. Ein Dienst der seit 1998 zu AOL gehörte. Auch nach dem Aufkommen von Smartphones sind die Nachfolger kaum wegzudenken. Nicht nur für Privatpersonen sind Instant-Messaging-Dienste interessant, sondern auch für Unternehmen, da diese eine schnelle und kostengünstige Übermittlung von Daten ermöglichen. Als diese Dienstleistungen aufkamen, waren sie nur für die schnelle Übermittlung von Textnachrichten und kleinen Bildern bekannt. Schnell wurden jedoch neue Funktionen integriert und gestatteten den heutigen Nutzern die Möglichkeit, Bilder wie auch Audio- und Video-Streams an andere Instant-Messaging-Nutzer zu übermitteln.

Datenschutzrechtliche Bewertung der WhatsApp-Übernahme durch Facebook

Besonders der Instant-Messaging-Dienst WhatsApp erfreute sich immer größerer Beliebtheit bei den Nutzern und verbreitete sich rasant. Vor allem in Erinnerung geblieben ist die Übernahme WhatsApp durch die Social-Network-Plattform Facebook im Februar 2014. Die Übernahme durch Facebook wurde hinreichend kritisch betrachtet, nicht zuletzt aufgrund des mangelhaften Umgangs von Facebook mit dem Datenschutz, der wohl bis heute bestehen dürfte. Grund für die Defizite im Bereich Datenschutz könnte sich aus dem Unternehmenssitz von Facebook, welcher sich in den Vereinigen Staaten befindet, erschließen, da derzeit noch keine hinreichenden Vereinbarungen mit den Vereinigten Staaten hergestellt werden konnten, um dem datenschutzrechtlichen Standard der EU zu genügen. Zumindest wird erhebliche Kritik am EU-US-Privacy-Shield durch Datenschützer geäußert. Besonders im Fokus stand bei der Übernahme die Anpassung der Datenschutzbestimmungen in WhatsApp durch Facebook. Diese erlaubt dem Betreiber (WhatsApp), Benutzermedien für kommerzielle Zwecke zu Nutzen. Viele Medien rieten, inspiriert durch Datenschützer und Datenschutzbeauftragte, daher zu alternativen Anbietern zu wechseln, um dem Risiko der unfreiwilligen Datenweitergabe zu entgehen. Häufig angepriesen wurden die Anbieter Threema und Telegram. Diese und WhatsApp sollen in den Punkten:

  • Standort des Servers (da nicht in jedem Land ein gleiches Datenschutzniveau besteht),
  • Verfahren,
  • Sicherheitsdefizite,
  • weitere Entwicklung

auf ihre datenschutzrechtliche Konformität überprüft werden, um Ihnen einen Überblick über die datenschutzrechtliche Sicherheit der genannten Dienste zu gestatten.

Datenschutz mit WhatsApp – Marktführer mit Datenschutzmängeln

WhatsApp ist derzeit der Markführer im Bereich der Instant-Messaging-Dienste. Im vergangenen Jahr 2016 knackte der Anbieter die Marke von einer Milliarde Nutzer und ist derzeit der Instant-Messaging-Dienst mit der höchsten Nutzerzahl.

  • Standort des Servers

Der Sitz des Anbieters befindet sich in den USA, wo sich auch der entsprechende Server befindet. Datenschutzrechtlich ist dies kritisch zu betrachten, da derzeit in den USA ein niedrigerer Datenschutzstandard bestehen dürfte als in der EU.

  • Verfahren

Für die Nutzung der App ist nach der Installation eine Registrierung mit Angabe der eigenen Telefonnummer vorgesehen. Die Nummer, die der Nutzer preisgibt wird von WhatsApp gespeichert, dabei wird die Nummer so spezifiziert, dass sie nur diesem Nutzer zugeschrieben werden kann. Mit dieser Methode ist es dem Nutzer nun möglich, mit der Eingabe von Telefonnummern andere WhatsApp-Nutzer ausfindig zu machen und mit diesen über die App / durch Push-Mitteilungen zu kommunizieren.

  • Sicherheit

Seit 5. April 2016 führte WhatsApp die End-to-End-Verschlüsselung ein, die dem Nutzer unter anderem nach dem Einscannen eines QR-Codes bestätigt wird. Die Nachrichten oder Telefonate werden beim Versenden verschlüsselt und können nur vom Empfänger und Versender der Nachricht eingesehen werden. Die Sicherheit des Verfahrens basiert auf den Aussagen von WhatsApp und kann nicht überprüft werden, da es sich um eine Software handelt, welche dem Nutzer und Dritten nur eingeschränkt zugänglich ist. Eine abschließende Bewertung, ob es sich tatsächlich um eine sichere Verschlüsselung handelt, ist daher nicht möglich. Wenn Sie mehr zu der End-to-End-Verschlüsselung von WhatsApp erfahren möchten, dann lesen Sie gerne unseren Beitrag „Eine Revolution: WhatsApp-Verschlüsselung – mehr Datenschutz bzw. Datensicherheit?“.

  • Sicherheitsdefizite

In die Schlagzeilen geriet WhatsApp, wie bereits erwähnt, mit dessen Aufkauf durch den Betreiber der Social Media Plattform Facebook. Anders als zunächst angekündigt, strebte Facebook mit dem Kauf die kommerzielle Nutzung der Benutzerdaten von WhatsApp an. Weiterhin wurde bekannt, dass

  • die Telefondaten der WhatsApp-Nutzer an Facebook unverschlüsselt übermittelt wurden.
  • Fremde sich leicht Zugang zu WhatsApp-Konten verschaffen konnten. Für den Zugang benötigten diese nur geringfügige Informationen (Handynummer oder Seriennummer des Handys) des Nutzers.
  • Weiterhin konnte sich eine Hackergruppe Zugang zu einer Mehrzahl von WhatsApp-Nutzerkonten verschaffen.
  • Ebenso wurde bekannt, dass das System mehrere Sicherheitslücken aufwies, die WhatsApp in gewissen Abständen behob.
  • Weitere Entwicklung

Im September 2016 hatte WhatsApp eine Änderung seiner Datenschutzerklärung verkündet. Diese gab WhatsApp das Recht, Kontaktdaten des Nutzers an Facebook weiterzuleiten. Mit diesem Vorgehen versprach sich Facebook, Werbung besser personalisieren zu können. Der Verbraucher konnte zwar der Zusendung personalisierter Werbung widersprechen, nicht jedoch der Datenübertragung. Eine Vielzahl von datenschutzrechtlichen Klagen gingen gegen dieses Verfahren ein und erreichten einen derzeitigen Datenweitergabe-Stopp (nähere Informationen erhalten Sie in unserem Beitrag: „Facebook stoppt Datenweitergabe – Hoffnung für den „ WhatsApp Datenschutz“?“)

Datenschutz mit Threema – Messenger mit Fokus auf Datensicherheit

Bei dem Instant-Messenger Dienst Threema steht besonders die Datensicherheit im Fokus der Dienstleistung. Die kostenpflichtige App ist dabei, wie andere Instant-Messaging-Dienste, auf Smartphones und auch auf Tablets nutzbar.

  • Standort des Servers

Der Standort des Unternehmens befindet sich in der Schweiz, wo sich nach Aussagen des Unternehmens auch der Server befindet.

Die europäische Kommission hat der Schweiz, welche als Drittstaat gilt, ein mit der EU vergleichbares Datenschutzniveau attestiert.

  • Verfahren

Mit Herunterladen der Threema-App auf das Handy ist der Registrierungsvorgang abgeschlossen. Es ist für die Anmeldung nicht nötig, personenbezogene Daten wie Name, Alter, etc. anzugeben. Das Hinzufügen von Kontakten kann über drei verschiede Verfahren erfolgen. Diese haben verschiede Sicherheitsstufen und bestimmen den Grad, wie „genau“ nach dem Kontakt gesucht werden soll. Threema erklärte dabei, dass bei der höchsten Stufe ein personifizierter QR-Code des gesuchten Kontaktes eingescannt wird und somit mit größter Wahrscheinlichkeit der gesuchte Kontakt ermittelt werden kann. Das Verfahren sei im Vergleich zu der Variante, bei der Telefonnummern abgeglichen werden, konkreter und sicherer, da mit einer höheren Wahrscheinlichkeit die gesuchte Person erreicht wird und nicht ein fremder Dritter.

  • Sicherheit

Threema nutzt mehrere Verschlüsselungsverfahren, darunter nach eigenen Angaben die quelloffene NaCl („salt“ ausgesprochen) Bibliothek — dabei werden längere Zeichenketten (Schlüssel) vom Versender an den Empfänger weitergeleitet. Diese Zeichenketten sind dem Empfänger und dem Versender zugewiesen, d.h. jeder sendet seine eigene Zeichenkette, ohne dass eine mögliche Zuweisung auf den anderen möglich wäre. Die Zeichenketten besitzen dabei jeweils zwei Teile, einen geheimen und einen nicht geheimen Teil. Mit dem nicht geheimen Teil können die verschlüsselten Daten entschlüsselt werden und eine digitale Signatur (einer bestimmten Person zugeschrieben) erzeugen oder die Person authentifizieren.

Außerdem wird bei der Kommunikation zwischen dem Server und der App das Verfahren PFS (Perfect Forward Secrecy) verwendet. Dieses soll einen umfangreichen Schutz beim Datentransfer ermöglichen, da dieses System die Nachricht so stark verschlüsselt, dass die eigentliche Nachricht nach einer Sitzung nicht mehr rekonstruiert werden kann.

Ebenso wie WhatsApp nutzt Threema die End-to-End-Verschlüsselung. Threema ließ verlauten, dass bei der End-to-End-Verschlüsselung von der Verwendung des PFS-Verfahrens abgesehen wurde, da dies zu erhöhter Komplexität beim Protokoll und Server führen würde und dadurch Sicherheitslücken auftauchen könnten.

  • Sicherheitsdefizite

Zum derzeitigen Stand sind keine Datenschutzmängel bekannt. Kritisiert wurde der Anbieter lediglich dafür, seine Quellcodes nicht offen zu legen. Daher ist nicht bekannt, ob Threema tatsächlich die genannten Methoden anwendet. Threema ermöglicht dem Nutzer einen Einblick in die Funktionen und die Sicherheit des Programmes per Reserve Engineering (Nachgestellter Quellcode), was wiederum keinen Nachweis bietet, dass genau diese Funktionen angewandt werden. Im November 2015 wurde jedoch ein Sicherheitsdienstleister aus der Schweiz (cnlab security AG) eingeschaltet, welcher das Programm auditierte und für sicher befand. Es ist allerdings unklar, ob der vom Sicherheitsdienstleister überprüfte Quellcode, der tatsächlich genutzte Code ist.

  • Weitere Entwicklung

Derzeit erwägt Threema einen Wegzug aus der Schweiz, da dort nach einer neuen Verordnung Messaging-Dienste in bestimmten Fällen unter die Pflicht der Vorratsdatenspeicherung fallen.

Datenschutz mit Telegram –  Sicherheit durch verschlüsselte Chats

Die Telegram-App erfreut sich derzeit großer Beliebtheit, was vor allem daran liegen könnte, dass diese App im Gegensatz zu Threema kostenlos heruntergeladen werden kann.

  • Standort des Servers

Laut Telegram sind deren genutzte Server weltweit ansässig. Telegram spezifizierte diese Angabe auf dessen Twitter-Account, wonach für Europa ein in London befindlicher Server genutzt wird. Derzeit bestehen zwar noch keine Bedenken bezüglich des Datenschutzniveaus in Großbritannien, jedoch könnte sich dies in Zukunft ändern, sobald der Brexit vollzogen ist. Bedenklich wiederum sind, die von Telegram verwendeten Cloud-basierten Chats, wodurch Daten auf mehreren verschieden Servern weltweit gespeichert werden. Nach Angaben von Telegram besitzt das Unternehmen ebenso Server in Drittstaaten, die kein angemessenes Datenschutzniveau besitzen.

  • Verfahren

Telegram agiert im Bereich der Kontaktsuche, wie auch WhatsApp, mit der Personalisierung der Telefonnummer, die durch eine SMS bestätigt wird. Der Dienst ist nicht an ein Gerät gebunden, sondern kann mit der eingegebenen Telefonnummer, die der „Zugangscode“ ist, auch mit anderen Geräten genutzt werden. Die Kontaktsuche erfolgt, ebenso wie bei WhatsApp, per Eingabe der Telefonnummer oder per Synchronisation mit dem Handy-Adressbuch.

Durch eine offene Programmierschnittstelle (API) können auch unabhängige Entwickler eigene Clients entwickeln, weshalb auch inoffizielle Versionen von Telegram existieren.

  • Sicherheit

Telegram verwendet mehrere Verschlüsselungssysteme, u.a. die End-to-End-Verschlüsselung. Diese bestehen zum Teil aus bestehenden Verfahren und aus eigens entwickelten Verfahren, wie beispielsweise Cloud-basierte Chats.  Daten zwischen dem Endgerät (Handy) und den Servern, die auf der ganzen Welt verteilt sind, werden verschlüsselt. Die verschlüsselten Daten und der Schlüssel werden dabei auf unterschiedlichen Servern gespeichert.

  • Sicherheitsdefizite

Telegram-Kritiker bemängeln, dass der Anbieter teilweise quelloffene Verfahren und teils veraltete Algorithmen sowie nicht häufig verwendete Verfahren nutzt. Telegram reagierte prompt auf diese Kritik und schaltete einen Wettbewerb, der die Sicherheit des Programmes nachweisen sollte. Herausgefundene Sicherheitslücken wurden dabei behoben, jedoch verebbten die Kritikerstimmen nicht. Zu kurz sei die Zeit und zu gering die Informationen, die Telegram den Wettbewerbsteilnehmern gewährte, wodurch diesen keine hinreichende Möglichkeit gegeben wurde, einen geeigneten Hackerangriff zu simulieren.

Weiterhin wird bemängelt, dass die App Adressdaten der Nutzer ohne Benachrichtigung der Nutzer speichert. Dieses Verfahren ist aber in den AGB des Dienstleisters angegeben.

  • Weitere Entwicklung

Im Herbst 2016 wurde bekannt, dass iranische Hacker sich Zugang zu einer Vielzahl von Telegram-Accounts verschafften und Nutzer identifiziert wurden. Der Telegram-Gründer gab dabei an, dass ihm das Risiko bekannt sei und Nutzer in bestimmten Ländern zunehmend davor gewarnt wurden. Er rät Nutzern zu einer Zwei-Wege-Authentifizierung, die neben der SMS-Verifizierung durch ein Passwort bestätigt werden muss.

Anfang 2017 führte Telegram eine neue Funktion ein, die dem Nutzer die Möglichkeit gibt, bereits gesendete Nachrichten zu löschen. Weiterhin soll im Verlauf des Jahres eine Funktion eingeführt werde, die dem Nutzer ermöglicht, via Telegram zu telefonieren.

Datenschutz mit WhatsApp-Alternativen – Fazit

Threema und Telegram bieten im Vergleich zu WhatsApp in bestimmten Bereichen eine datenschutzrechtlich adäquatere Handhabe, dennoch sollten Sie sich bewusst machen, dass kein Programm der Welt Ihnen 100% Sicherheit garantieren kann. Die ständige Weiterentwicklung der technischen Möglichkeiten bietet sowohl Erleichterungen als auch Risiken. Hackerangriffe können jedes Programm treffen. Genauso können erst nach längerer Zeit Sicherheitslücken auftreten, da neue Verfahren alte Verschlüsselungstechniken hinfällig machen können. Jede Anwendung, die personenbezogene Daten verarbeitet, beinhaltet einen Risikofaktor, welcher nicht beseitigt, jedoch minimiert werden kann. Sofern Sie beabsichtigen, neue Verfahren oder Programme in Ihr Unternehmen einzuführen, sollten Sie stets die Meinung Ihres Datenschutzbeauftragten einholen und das Verfahren durch eine Vorabkontrolle von diesem prüfen lassen. Daneben müssen sich Nutzer darüber bewusst sein, dass derartige Tools einer Finanzierung bedürfen. Ist für den Nutzer keine dauerhafte Einnahmequelle des Betreibers ersichtlich, so könnte dies ein Indiz für eine Zweckentfremdung der eigenen Daten sein.

Möchten Sie mehr zum Datenschutz mit WhatsApp, Threema, Telegram oder anderer Instant-Messaging-Dienste erfahren oder sich im Datenschutz dauerhaft besser positionieren? Brands-Consulting steht Ihnen als Ansprechperson gerne zur Seite. Nehmen Sie gerne Kontakt zu uns auf oder holen Sie sich ein unverbindliches Datenschutz-Angebot ein

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen

Skype, WhatsApp, Facebook Messenger, iMessage & Co. – Datenschutz-Risiken bei Instant Messaging-Diensten

Instant-Messaging-Dienste DatenschutzDas Aufkommen neuer Messaging-Dienstleister geht Hand in Hand mit der Verbreitung sowie dem beruflichen und gemischten (privat / beruflich) Einsatz von Handys und sonstigen meist mobilen Endgeräten. Insbesondere in Unternehmen, aber auch in anderen Organisationen (Behörden, Vereine, der Kirche …), ist der Gebrauch
von Instant-Messaging-Dienstleistungen attraktiv, da diese eine schnelle Nachrichtenübermittlung garantieren und eine günstige Alternative zur SMS bilden. Es sollte dabei aber nicht außer Acht gelassen werden, dass solche Instant-Messaging-Dienste Datenschutz-Risiken mit sich bringen können. Daher ist es ratsam, zu wissen, wie solche Dienste mit personenbezogenen Daten, Geschäfts- und Betriebsgeheimnissen verfahren.

Ihr externer Datenschutzbeauftragter informiert, worauf verantwortliche Stellen bei der Nutzung von Instant-Messaging-Dienstleistungen achten sollten und wieso Instant-Messaging-Dienste Datenschutz-Risiken verursachen können.

Instant-Messaging-Dienstleistungen

Instant Messaging ist, wie der Name sagt, ein Nachrichtensofortversand und stellt eine Kommunikationsmöglichkeit dar. Diese erfolgt durch das Versenden von Kurzmitteilungen, welche der Absender durch das sogenannte Push-Verfahren auslöst. Die versendete Nachricht erhält der Empfänger dabei unmittelbar auf seinem Handy, Computer oder sonstigem mobilen Endgerät. Um diesen Dienst nutzen zu können, müssen die Nutzer über ein Programm (Client) verfügen. Eine wichtige Gruppe der Clients bzw. hierfür erforderlichen Programme sind neben klassischen Apps die Webbrowser. Ein Einsatz ist daher regelmäßig mit nur sehr geringen Hürden möglich.  Die eingesetzten Clients verbinden die Nutzer über ein Netz direkt mit dem Server. In der Regel ist es auch möglich, Nachrichten an Teilnehmer zu senden, welche derzeit gar nicht online sind. Diese erhalten ihre Nachrichten, sobald sie wieder mit dem Internet verbunden sind. Hierbei ist es offensichtlich, dass Datensätze zumindest zwischengespeichert werden müssen.

Mit der Updateinformation zum WhatsApp Messenger der Version 2.17.2 vom 26.01.2017 informiert  Whatsapp wie folgt „Du kannst jetzt bei Nachrichten auf Senden tippen, auch wenn du keine Verbindung hast. Diese Nachrichten werden dann automatisch gesendet, sobald dein Telefon wieder mit dem Internet verbunden ist.“ Hat der Versender Internet, wird die Nachricht somit versendet. Hat zu diesem Zeitpunkt der Empfänger allerdings keinen Netzzugang, so wird die Nachricht gespeichert, bis der Nutzer wieder erreichbar ist. Zwischen Versand und Empfang kann hierdurch eine längere Zeitperiode entstehen, in der die Daten / Informationen zumindest zwischengespeichert werden.

Instant-Messaging-Systeme innerhalb von IT-Richtlinien/-Betriebsvereinbarungen/-Dienstvereinbarungen

Häufig werden Instant-Messaging-Systeme innerhalb der IT-Sicherheitsrichtlinien, Betriebsvereinbarungen oder Dienstvereinbarungen von Organisationen nicht ausreichend eingebunden bzw. berücksichtigt. Messaging Systeme werden zu pauschal ohne individuelle Betrachtung und Berücksichtigung den Telekommunikationsdiensten zugeordnet, worunter auch die E-Mail fällt. Organisationen sollten nicht nur klare Regelungen für die Nutzung des dienstlichen E-Mail-Postfachs treffen, sondern Differenzieren und auch die Nutzung von Instant-Massaging-Diensten, wie zum Beispiel von WhatsApp oder Apples iMessage, klar regeln.

Neben WhatsApp und iMessage findet unter anderem Skype for Business, früher Microsoft Lync, Verwendung. Dieser Message-Dienst ermöglicht den Mitarbeitern, Sofortnachrichten sowie Daten auszutauschen. Gleichzeitig können mit Skype for Business verschiedenste Messaging-Systeme verbunden werden, womit ebenso Kunden und Dienstleister, welche ein anderes System nutzen, erreicht werden können.

Die Problematik liegt hierbei nicht nur bei der rechtlichen Zuordnung des Systems, sondern vielmehr auch bei der Bewertung, ob damit Kontroll- und Überwachungsmaßnahmen durch den Arbeitgeber erfolgen könnten.

Verwendung von Instant-Messaging-Systemen für eine Verhaltens- und Leistungskontrolle

Die Möglichkeit einer dauerhaften, technisch gestützten Leistungs- und Verhaltenskontrolle könnte sich theoretisch bereits durch die Statusmeldungen (verfügbar, beschäftigt, abwesend) des Mitarbeiters ergeben. Daraus kann der Arbeitgeber beispielsweise auf mögliche Fehlzeiten, Aktivität und Arbeitszeiteinteilungen des Arbeitnehmers schließen. Ein berechtigtes Interesse des Arbeitgebers auf Chatverläufe zu zugreifen kann unter anderem dann vorliegen, wenn die Inhalte eines Chats archivierungspflichtige Geschäftsbriefe bzw. Geschäftskommunikation betreffen. Derartige relevante Kommunikation mag derzeit vielleicht nur in Einzelfällen vorkommen, gerade bei technischen Arbeitsmitteln ist ein schneller, regelmäßig auch zeitgemäßer Wandel, allerdings nichts Verwunderliches.

Grundsätzlich kann der Arbeitgeber eine Kontrolle ansetzen, sofern ein konkreter Missbrauchsverdacht gegenüber den Arbeitnehmern vorliegt, wobei es eine große Rolle spielt, ob eine Privatnutzung erlaubt ist. Darf der Arbeitnehmer die Instant-Message-Dienste zu privaten Zwecken nutzen, so tritt der Arbeitgeber als Telekommunikationsanbieter auf und ist den Vorschriften des Telekommunikationsgesetztes (TKG) unterworfen. Laut § 88 TKG gilt das Fernmeldegeheimnis, wodurch die Zugriffsrechte des Arbeitsgebers auf die Chatverläufe erheblich eingeschränkt werden. Selbst bei einem Verdacht auf eine Straftat könnte sogar die Strafanzeige als milderes Mittel gelten. Bei einem Verbot der Privatnutzung dürfte der Arbeitgeber auf die Chatverläufe zugreifen, allerdings sollte dies ebenfalls stichprobenartig und in angemessenen Zeiträumen bzw. im Missbrauchsverdachtsfall erfolgen (anlassbezogen).

Instant-Message-Dienste können eine Verhaltens- und Leistungskontrolle der Mitarbeiter erleichtern. Beispiel: Nutzt eine Firma ein Chatprogramm, um zeitnah auf Supportanfragen von Kunden einzugehen, so könnte der Arbeitgeber mittels Protokollierung der Chatverläufe prüfen, wie lange ein Mitarbeiter für die Beantwortung benötigt oder wie viele Anfragen der Mitarbeiter am Tag beantwortet. Um eine Verhaltens- und Leistungskontrolle durch den Arbeitgeber zu vermeiden, ist von einer grundlosen Protokollierung der Chatverläufe abzuraten. Eine konkete Protokollierung mit Zweckbindung könnte hingegen denkbar sein. Zudem sollten klare Regelungen geschaffen werden. Mit diesen soll zum einen geregelt werden, ob eine Privatnutzung erlaubt oder verboten ist. Des Weiteren soll klar formuliert werden, wann der Arbeitgeber bzw. andere Vorgesetzte unter Einbeziehung des Datenschutzbeauftragten und – sofern vorhanden – eines Betriebsratsmitglieds auf die Daten zugreifen dürfen. Um gesetzliche Aufbewahrungsfristen nicht zu verletzen, sollte zudem festgelegt werden, dass keine Dateien versendet werden dürfen, die gesetzlichen Archivierungspflichten unterliegen oder bei denen Löschfristen einzuhalten sind, die auf diesem Wege überschritten würden.

Wieso Instant-Messaging-Dienste Datenschutz-Risiken hervorrufen

Besonders kritisch ist die Nutzung von extern betriebenen Instant-Messaging-Dienstleistungen, wie WhatsApp oder auch iMessage. Besonders dann, wenn iPhones oder sonstige Smartphones dienstlich vom Unternehmen zur Verfügung gestellt werden, sollte ausdrücklich darauf hingewiesen werden, dass die Instant Messaging Funktionen untersagt sind. Eine derartige Vorgabe erteilte eine der großen deutschen Banken zur Umsetzung im Jahr 2017.

Sofern dies nicht gewünscht ist und den Mitarbeitern eine Privatnutzung der Smartphones erlaubt werden soll, wäre zu prüfen, ob die Einführung eines Mobile-Device-Management-Systems einschließlich Containersystem notwendig ist, wobei die Verhältnismäßigkeit nicht außer Acht gelassen werden sollte. Bei einem Unternehmen mit fünf Smartphones dürfte regelmäßig anders vorzugehen sein als bei 500 oder mehr Endgeräten und der erlaubten Privatnutzung. Grundsätzlich gilt jedoch, dass Organisationen klare Regelungen schaffen sollten, da der Einsatz von Instant-Messaging-Diensten Datenschutz-Risiken verursacht. Dies ergibt sich unter anderem daraus, dass der Arbeitnehmer meist über seinen privaten WhatsApp- oder iTunes-Account kommuniziert. Dabei scannen beide Programme das Adressbuch und führen die gesammelten Informationen in eine Datenbank. Diese befinden sich auf den Servern der Anbieter. Problematisch wird es insbesondere dann, wenn der Server sich in einem Land befindet, welches sich außerhalb der EU/des EWR befindet und über kein angemessenes Datenschutzniveau verfügt. Darunter fallen mitunter die USA. In unserem Beitrag zu „Cloud Computing – Durchblicken Sie vor lauter Wolken den Datenschutz?“ finden Sie mehr Informationen dazu.

Ebenso bedenklich ist die kommerzielle Nutzung der persönlichen Daten durch einige Anbieter von Instant-Messaging-Systemen. Sie sollten sich daher erkundigen, inwiefern der Anbieter Ihre Daten verwertet.

Weiterhin wurde durch zahlreiche Meldungen verkündet, dass einige externe Instant-Messaging-Dienstleistungen gewisse Sicherheitslücken aufweisen. So hatte beispielsweise Microsoft bei seinem Windows Live Messenger sowie auch MSN einige Sicherheitsprobleme, welche sich unter anderem bei deren integrierten Webcam-Sitzungen und Video-Chats befanden. Das Problem bestand darin, dass der Instant-Messaging-Client die Webcam-Sitzung und Video-Chats nicht korrekt verarbeitet und damit möglichen Angreifern (Hackern) die Chance bietet, beliebige Codes ausführen zu können. Um dies zu ermöglichen, müsste das potenzielle Opfer lediglich zu einer Webcam- oder Video-Chat-Sitzung durch den Angreifer eingeladen werden. Die Opfer werden dabei von vermeintlichen Bekannten auf interessante Webseiten gelockt, wo Schadprogramme (Malware) auf sie warten.

Es ist daher unerlässlich, einen Datenschutzbeauftragten und IT-Sicherheitsbeauftragten zur Seite zu haben, damit datenschutzrechtliche Probleme und IT-Sicherheitsrisiken optimal behandelt oder umgangen werden können.

Falls Sie sich für die Risiken bei der Nutzung von Instant-Messaging-Diensten in Organisationen interessieren, könnten die Beiträge

von uns für Sie interessant sein.

Sicherheitskriterien bei Instant-Messaging-Diensten

Eine gewisse Sicherheit bei einigen Instant-Messaging-Diensten bietet die End-to-End-Verschlüsselung, die die gesendeten Daten so verfremdet, dass diese ohne Datenschlüssel nicht mehr nachvollziehbar sind. Erst wenn die Nachricht bei dem Empfänger ankommt, wird die Nachricht entschlüsselt. Grundsätzlich bietet dieses Verfahren eine gewisse Sicherheit, jedoch sollte beispielsweise bei WhatsApp darauf geachtet werden, dass die aktuelle Version installiert ist. 2016 führte WhatsApp offiziell mit Kennzeichnung im Chatverlauf die End-to-End-Verschlüsselung ein, bei älteren Versionen gilt diese jedoch nicht. Sie sollten daher möglichst die neueste Version besitzen.

Wie bereits erwähnt, besitzen nicht alle Länder ein angemessenes Datenschutzniveau. Auch sind je nach Sitz des Anbieters unterschiedliche Maßnahmen zu ergreifen, dabei ist es entscheidend, ob der Anbieter seinen Sitz innerhalb der EU/des EWR hat oder eine Datenübermittlung an einen Dienstleister außerhalb der EU/des EWR (Drittland) stattfindet. Kann oder möchte eine Organisation nicht auf den Einsatz von Instant-Message Diensten verzichten, so sollten Anbieter gewählt werden, die Ihren Sitz innerhalb der EU/des EWR haben. Zudem sollten klare Regelungen mittels Richtlinien/Betriebsvereinbarungen/Dienstvereinbarungen geschaffen und Mitarbeiter – mittels Datenschutz-Schulungen – ausreichend sensibilisiert werden.

Fazit

Instant-Messaging-Dienste stellen eine Erleichterung der Kommunikation dar, da diese die Nachrichten sofort übermitteln und der Empfänger diese ebenso ohne Zeitverzug einsehen kann. Jedoch bieten die angebotenen Dienste keine vollkommene Sicherheit der Datenübertragung und vor ungewolltem Zugriff oder missbräuchlicher Verwendung. Besonders problematisch sind unter anderem:

  • Anbieter außerhalb der EU/des EWR,
  • mögliche kommerzielle Nutzung der privaten Daten durch Instant-Messaging-Dienste,
  • Sicherheitslücken innerhalb der Software.

Es ist daher unerlässlich, kompetente Unterstützung bei dieser Thematik zu haben.

Brands Consulting steht Ihnen dabei gerne zur Seite. Wir bieten Ihnen optimal Unterstützung in Sachen Datenschutz. Holen Sie sich ein unverbindliches und kostenloses Angebot zum Datenschutz bei uns ein oder nehmen Sie mit uns Kontakt auf und profitieren Sie von unserer Erfahrung.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Facebook stoppt Datenweitergabe – Hoffnung für den „ WhatsApp Datenschutz “?

WhatsApp DatenschutzDie Thematik „ WhatsApp Datenschutz “ reißt seit Einführung der neuen Nutzungsvereinbarung von WhatsApp nicht ab, dabei stehen sowohl Facebook als auch WhatsApp unter erheblicher Kritik. Die geänderte Nutzungsvereinbarung und die damit verbundene Datenweitergabe an Facebook besorgt nicht nur Experten, sondern auch viele WhatsApp-Nutzer. Nun verbuchen europäische Datenschützer und Datenschutzbeauftragte den ersten Erfolg. Facebook stoppt vorerst die Datenweitergabe.

Ihr externer Datenschutzbeauftragter informiert im Folgenden über den aktuellen Status und welche Auswirkungen der vorrübergehende Stopp auf das Thema „ WhatsApp Datenschutz “ hat.

Was Sie bezüglich „ WhatsApp Datenschutz “ wissen sollten

Wie wir bereits in dem Beitrag „Datenweitergabe an „Datenkrake“ Facebook – Wie WhatsApp Datenschutz-Risiken erhöht“ berichteten, teilt WhatsApp seit September Account-Informationen mit Facebook. Dies führte in den vergangenen Wochen allerdings zu viel Kritik und schlug wohl größere Wellen als zunächst von Facebook erwartet oder erhofft. Europäische Datenschützer und Datenschutzbeauftragte wurden jetzt mit einem ersten Teilerfolg für ihre Hartnäckigkeit belohnt und auch WhatsApp-Nutzer können, zumindest vorrübergehend, aufatmen, denn die Datenweitergabe wurde vorerst gestoppt.

Wie die britische Datenschutzbeauftragte, Elizabeth Denham, am 07.11.2016 berichtet, hat die britische Datenschutzbehörde einen Durchbruch erreicht und die Datenweitergabe wurde vorerst für Großbritannien gestoppt, allerdings hat Facebook nun verkündet, dass dies auf ganz Europa ausgeweitet wird. Ziel sei es, dass Behördenvertreter ihre Bedenken benennen können und Facebook diese abwägen kann.

Zuvor musste Facebook viel Kritik einstecken. Die britische Datenschutzbeauftragte kritisierte unter anderem, dass WhatsApp-Nutzer nur unzureichend darüber informiert werden, was mit ihren Daten geschieht. Zudem sieht Sie die „eingeholte“ Einwilligung zur Datenweitergabe als ungültig an. Mit dieser Meinung steht Sie nicht alleine, denn auch in Deutschland sehen sowohl Datenschutzbeauftragte als auch Verbraucherschützer die Datenweitergabe als kritisch bzw. unzulässig. Neben der Verbraucherzentrale Bundesverband (vzbv) ging vor allem der Hamburger Datenschützer, Johannes Caspar, gegen Facebook vor. Zwar war Facebook der Meinung, dass die Zuständigkeit nicht beim Hamburger Datenschützer, sondern bei der irischen Datenschutzbehörde liegt, allerdings prüft auch diese derzeit die Zulässigkeit der Weitergabe.

Zudem stellt auch die Artikel-29-Datenschutzgruppe die Wirksamkeit der Einwilligung infrage. Bei der Artikel-29-Datenschutzgruppe handelt es sich um ein Beratungsgremium der EU-Kommission, das sich aus

  • Vertretern der nationalen Datenschutzbehörden,
  • dem europäischen Datenschutzbeauftragten
  • und einem Vertreter der europäischen Kommission

zusammensetzt.

Fazit

Alles in allem scheint es so, als wäre der Druck auf Facebook zu groß geworden. Zwar wurde die Datenweitergabe nur vorläufig gestoppt, allerdings ist nicht auszuschließen, dass Facebook aufgrund der großen Kritik vielleicht doch und ggf. dauerhaft einknickt und die Datenweitergabe auch in anderen Ländern – zunächst vorläufig und im nächsten Schritt hoffentlich dauerhaft – stoppt und Anpassungen an der Nutzungsvereinbarung sowie am generellen Vorgehen für „informierte Einwilligungen“ vornimmt. Es bleibt daher abzuwarten, wie Facebook auf die Thematik rund um den „ WhatsApp Datenschutz “ weiterhin reagiert.

Wenn Sie wissen wollen, wieso WhatsApp Datenschutz-Risiken, insbesondere für „verantwortliche Stellen“, hervorruft, dann lesen Sie unseren Beitrag „WhatsApp in Unternehmen – Kommunikationskanal, Marketing-Instrument oder eine Datenschutz-Katastrophe?“ oder nehmen Sie direkt Kontakt mit uns auf. Möchten Sie sich im Datenschutz dauerhaft besser positionieren? Dann holen Sie sich gerne ein unverbindliches Angebot zum Datenschutz ein

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen

Externer Datenschutzbeauftragter – „zehn Dinge“, die er niemals sagen würde!

Was würde ein externer Datenschutzbeauftragter NIE sagen? Jede Berufsgruppe / Branche hat ihre eigenen Probleme, Anforderungen, Merkmale und folglich Aussagen, die von den einzelnen Gruppen stammen können oder die einzelne Berufsgruppen niemals treffen würden. Im Folgenden erfahren Sie, was Sie nie aus dem Mund eines externen Datenschutzbeauftragten hören werden, wobei dies in den meisten Fällen auch auf den internen Datenschutzbeauftragten zutreffen dürfte.

Externer Datenschutzbeauftragter: „Hierfür übernehme ich die Verantwortung!“

1. Externer Datenschutzbeauftragter: „Hierfür übernehme ich die Verantwortung!“Die Aussage „Hierfür übernehme ich die Verantwortung!“ würde ein externer Datenschutzbeauftragter nicht tätigen, weil er sie üblicherweise auch nicht übernimmt.

Grund: Als Datenschutzbeauftragte haben wir die Pflicht auf die Einhaltung des Datenschutzes hinzuwirken. Das heißt unsere Aufgabe ist es „verantwortlichen Stellen“, wie Unternehmen und Vereinen, den richtigen Weg „auszuleuchten“ und sie bei der Umsetzung zu unterstützen, wobei die Umsetzung selbst bei der „verantwortlichen Stelle“, demzufolge bei der Geschäftsführung respektive Behördenleitung liegt. Mehr Infos zu Hinwirkungspflicht des Datenschutzbeauftragten erfahren Sie in unserem Datenschutz-Lexikon.

Externer Datenschutzbeauftragter: „Natürlich können Sie alle Daten in der Dropbox sichern.“

1. Externer Datenschutzbeauftragter: „Natürlich können Sie alle Daten in der Dropbox sichern.“Ein externer Datenschutzbeauftragter würde immer von einer Nutzung der Dropbox abraten.

Grund: Werden personenbezogene Daten in eine Cloud, so auch in die Dropbox, ausgelagert, so handelt es sich bereits um eine Datenübermittlung. Eine Übermittlung personenbezogener Daten bedarf allerdings grundsätzlich einer Rechtsgrundlage oder einer informierten Einwilligung.

Bei einer Auslagerung personenbezogener Daten an einen Cloud-Anbieter, der seinen Sitz innerhalb der europäischen Union (EU) / des europäischen Wirtschaftsraums (EWR) hat, ist die Ausgangslage etwas einfacher, da es sich bei Cloud-Diensten in den meisten Fällen um eine Auftragsdatenverarbeitung (ADV), gemäß § 11 Bundesdatenschutzgesetz (BDSG) handelt. Die Übermittlung an einen ADV-Dienstleister wird hingegen als „Nicht-Übermittlung“ eingestuft, wodurch das Einholen von informierten Einwilligungen nicht notwendig ist. Achtung: Das Abschließen eines Vertrages zur Auftragsdatenverarbeitung, der die Rechte und Pflichten des Auftraggebers / Auftragnehmers klar regelt, ist allerdings unbedingt anzuraten.

Hat der Cloud-Anbieter seinen Sitz außerhalb der EU / EWR (Drittland), wie dies bei der Dropbox Inc. der Fall ist, so gilt nicht die Fiktion der „Nicht-Übermittlung“. Aus diesem Grund dürfen die Daten nur auf Basis einer Rechtsgrundlage respektive alternativer vertraglicher Regelungen zum klassischen ADV-Vertrag oder einer informierten Einwilligung in die Dropbox ausgelagert werden.

Externer Datenschutzbeauftragter: „Im Datenschutz ist alles erlaubt, außer es wird explizit verboten.“

1. Externer Datenschutzbeauftragter: „Im Datenschutz ist alles erlaubt, außer es wird explizit verboten.“Bei dieser Aussage wurden Satzteile bewusst verdreht und der Satz gewinnt eine neue, allerdings komplett falsche Bedeutung.

Grund: Im Datenschutz gilt, anders als in der Überschrift formuliert, das Verbot mit Erlaubnisvorbehalt. Dies bedeutet, dass jegliche Erhebung, Verarbeitung oder Nutzung personenbezogener Daten VERBOTEN ist, außer eine Rechtsgrundlage oder informierte Einwilligungen der Betroffenen erlauben die Datenverarbeitung.

Externer Datenschutzbeauftragter: „Den Ausweis können Sie bedenkenlos kopieren.“

Externer Datenschutzbeauftragter: „Den Ausweis können Sie bedenkenlos kopieren.“Das Kopieren von Personalausweisen ist ein Thema, das in der Praxis häufig zu Streitigkeiten führt, allerdings ist das Kopieren von Ausweisen, anderes als von vielen „verantwortlichen Stellen“ erwartet und gelebt, bis auf wenige Ausnahmen, verboten.

Grund: Im Personalausweisgesetz (PAuswG) findet man zu dem Kopierverbot zwar keinen Passus, jedoch geht dies aus der Gesetzesbegründung, aus Urteilen und allgemeinen Grundsätzen des Datenschutzes hervor. Grundsätzlich gilt, dass der Ausweis sogar bestmöglich nicht einmal aus der Hand gegeben werden sollte, wobei es Ausnahmen gibt, wie zum Beispiel in Banken gemäß Geldwäschegesetz (GwG).

Unternehmen und anderen „verantwortlichen Stellen“ ist deshalb von dem Kopieren von Personalausweisen ohne legitimen Zweck abzuraten.

Externer Datenschutzbeauftragter: „Es gibt kein Restrisiko!“

Externer Datenschutzbeauftragter: „Es gibt kein Restrisiko!“Auch den Satz werden Sie von einem externen Datenschutzbeauftragten nicht hören.

Grund: Der Grund ist ganz einfach, wo personenbezogene Daten erhoben, verarbeitet und genutzt werden, kann nie vollkommen ausgeschlossen werden, dass diese Daten von Unbefugten eingesehen werden.

„Verantwortliche Stelle“ sind allerdings dazu verpflichtet, geeignete technische und organisatorische Maßnahmen (sogenannte TOM) zutreffen, um personenbezogene Daten zu schützen. Die Anforderungen sind in der Anlage zu § 9 BDSG aufgeführt. Erforderliche Maßnahmen sind unter anderem die Verpflichtung der Mitarbeiter auf das Datengeheimnis sowie sämtliche Maßnahmen, die den Zugriff auf Datenverarbeitungsanlagen (z. B. verschlossene Räume) und in Datenverarbeitungsprogramme (z. B. Passwörter) erschweren bzw. verhindern sollen. Daneben sind weitere Anforderungen umzusetzen.

Trotz der zahlreichen Maßnahmen, die getroffenen werden bzw. getroffenen werden sollten, verbleiben Restrisiken, da Unbefugte immer neue Wege finden könnten, um an sensible Informationen zu gelangen.

Externer Datenschutzbeauftragter: „Nein – die Datenerhebung benötigt keiner gesetzlichen Grundlage oder Einwilligung.“

Externer Datenschutzbeauftragter: „Nein - die Datenerhebung benötigt keiner gesetzlichen Grundlage oder Einwilligung.“Die Aussage, dass eine Datenerhebung keine gesetzliche Grundlage bzw. keine Einwilligung benötigt ist falsch.

Grund: Wie bereits unter Punkt 3 erläutert, bedarf jede Erhebung, Verarbeitung und Nutzung personenbezogener Daten einer Rechtsgrundlage oder einer informierten Einwilligung.

Rechtliche Grundlagen für eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten findet man allerdings nicht nur im Bundesdatenschutzgesetz, sondern in anderen landesspezifischen Vorschriften, wie dem Datenschutzgesetz Nordrhein-Westfalen (DSG NRW) oder in bereichsspezifischen Gesetzen, wie dem Telemediengesetz (TMG) oder Telekommunikationsgesetz (TKG). Liegt keine Rechtsgrundlage vor, die die Erhebung, Verarbeitung und/oder Nutzung erlaubt, so ist die „verantwortliche Stelle“ verpflichtet, informierte Einwilligungen einzuholen, wobei das Datenschutzrecht konkrete Anforderungen an die „Informiertheit“ der Einwilligungen stellt.

Zudem sollte der gesetzesübergreifende Grundsatz der Zweckbindung nicht außer Acht gelassen werden. Dies bedeutet, dass personenbezogene Daten ausschließlich für den Zweck erhoben, verarbeitet und genutzt werden dürfen, für den die Rechtsgrundlage bzw. die informierte Einwilligung vorliegt. Plant eine „verantwortliche Stelle“ die Daten für einen anderen Zweck zu verwenden, so bedarf es einer erneuten Prüfung der Rechtsgrundlage oder es müssen für den „neuen“ Zweck informierte Einwilligungen eingeholt werden.

Externer Datenschutzbeauftragter: „Kameraattrappen sind nie ein Problem!“

Externer Datenschutzbeauftragter: „Kameraattrappen sind nie ein Problem!“Kameraattrappen stellen für „verantwortliche Stelle“ zunächst ähnliche Probleme / Risiken  dar, wie „normale“ Videoanlagen.

Grund: Kameraattrappen sollten zunächst genauso behandelt werden, wie Videoanlagen mit denen Aufnahmen angefertigt werden können, da im Datenschutzrecht nicht nur der Inhalt oder die Bedeutung der Daten im Vordergrund steht, sondern das „informationelle Selbstbestimmungsrecht“.

Weiß einer Betroffener nicht, dass es sich um eine Kameraattrappe handelt, so wird er sich automatisch anpassen und ist in seinem Handeln eingeschränkt, was wiederrum das Grundrecht der freien Persönlichkeitsentfaltung und folglich das informationelle Selbstbestimmungsrecht verletzt.

Kameraattrappen sollten deshalb vor Anbringung durch einen Datenschutzbeauftragten geprüft werden, sogenannte Vorabkontrolle, die auch bei funktionierenden Anlagen ein absolutes MUSS ist.

Möchten Sie mehr zum Thema Videoüberwachung erfahren, dann lesen Sie unseren Beitrag „Videoüberwachung – Wieso Sie den Datenschutz im Blick behalten sollten?

Externer Datenschutzbeauftragter: „Verstecken Sie Ihr Passwort ruhig unter der Tastatur, dort ist es sicher!“

Externer Datenschutzbeauftragter: „Verstecken Sie Ihr Passwort ruhig unter der Tastatur, dort ist es sicher!“Als externer Datenschutzbeauftragter sieht man in der Praxis häufig mehr oder weniger kreative Verstecke für Passwörter. Eines das weniger kreativ, allerdings fast überall zu finden ist, dürfte die Tastatur sein.

Sollten auch Sie sich beim Lesen ertappt fühlen, dann „nix wie weg damit“!

Grund: Sie sollten Ihr Passwort nicht unter der Tastatur verstecken, weil das Versteck einfach nicht sicher ist. Schafft es ein Unbefugter an Ihren Arbeitsplatz, so kann er sich schnell und einfach Zugriff auf personenbezogene Daten verschaffen. Der Datenklau ist allerdings nicht das einzige Risiko, da der Unbefugte ebenso Daten in Ihrem Namen manipulieren oder löschen kann. Dies könnte auch schnell für Sie selbst zu unschönen Konsequenzen führen.

Externer Datenschutzbeauftragter: „Mein Kollege ist krank.“

Externer Datenschutzbeauftragter: „Mein Kollege ist krank.“„Mein Kollege ist krank“ oder „Mein Kollege ist für zwei Wochen im Urlaub auf Mallorca“ sind Informationen, die wir regelmäßig zuhören bekommen, wenn wir unter anderem in Unternehmen anrufen, allerdings würden Sie diese Informationen nicht von einem Datenschutzbeauftragten erhalten.

Grund: Bei diesen Informationen handelt es sich bereits um personenbezogene Daten, die wir ohne Rechtsgrundlage oder ohne informierter Einwilligung des Betroffenen nicht weitergeben sollten. Es kann zwar wie ein betriebliches Interesse klingen, sich nach dem Aufenthalt des Mitarbeiters eines Unternehmens zu erkundigen, aber dahinter mehr verbergen. Auch wenn es abstrakt klingt, könnten sich Anrufer nach Mitarbeitern erkundigen, erfahren, dass sich diese länger im Ausland befinden und diese Informationen dazu nutzen, um bei der Person einzubrechen. Auch sollten Privatadressen der Kollegen nicht einfach rausgegeben werden.

Bei der Angabe „Mein Kollege ist krank“ handelt es sich zumal um besonders sensiblen Angaben personenbezogener Daten. Für diese sogenannten besonderen Angaben personenbezogener Daten sieht der Gesetzgeber einen, wie das Wort schon sagt, „besonderen“ Schutz vor.

Externer Datenschutzbeauftragter: „WhatsApp können Sie jetzt ruhig verwenden, ist schließlich verschlüsselt.“

Externer Datenschutzbeauftragter: „Mein Kollege ist krank.“Ein externer Datenschutzbeauftragter würde Ihnen gegenwärtig von der Nutzung von WhatsApp abraten.

Grund: Schenkt man dem Anbieter von WhatsApp, was die Verschlüsselung angeht, Vertrauen, so verbleiben aus Datenschutzsicht Risiken, die „verantwortliche Stellen“ nicht bewältigen können.

Das Problem tritt üblicherweise bereits im Installationsprozess auf, denn – je nach Geräretyp – greift WhatsApp während oder nach der Installation auf die gespeicherten Kontakte des Telefonbuchs zu.  Diese Kontaktdaten werden an die Server in den USA übermittelt, wodurch, wie bereits unter Punkt 2 erläutert, informierte Einwilligungen der Betroffenen eingeholt werden müssten.

Möchten Sie mehr zum Einsatz von WhatsApp erfahren, dann lesen Sie „Eine Revolution: WhatsApp-Verschlüsselung – mehr Datenschutz bzw. Datensicherheit?“ oder „WhatsApp in Unternehmen – Kommunikationskanal, Marketing-Instrument oder eine Datenschutz-Katastrophe?

Zudem sollte nicht außer Acht gelassen werden, dass die geänderte Nutzungsvereinbarung und damit die Datenübermittlung an Facebook sowie an weitere Unternehmen der Facebook-Unternehmensgruppe zu noch höheren Datenschutz-Risiken führt. Ihr externer Datenschutzbeauftragter informiert Sie in dem Beitrag „Datenweitergabe an „Datenkrake“ Facebook – Wie WhatsApp Datenschutz-Risiken erhöht“ über die Datenübermittlung an Facebook und die „neuen“ Datenschutz-Risiken.

Möchten Sie weitere Informationen zu den einzelnen Themen erfahren oder möchten Sie sich im Datenschutz dauerhaft besser positionieren?  Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Datenweitergabe an „Datenkrake“ Facebook – Wie WhatsApp Datenschutz-Risiken erhöht

WhatsApp DatenschutzDas Thema „ WhatsApp Datenschutz “ sehen Datenschützer und Datenschutzbeauftragte schon seit Jahren sehr kritisch, insbesondere die Übernahme durch Facebook vor etwa zwei Jahren besorgte viele Experten sowie Nutzer. „Es wird keinen Datenaustausch von Kundendaten zwischen WhatsApp und Facebook geben.“, so oder so ähnlich beruhigte WhatsApp-Gründer Jan Koum besorgte WhatsApp-Nutzer nach der Übernahme. Er berichte von seiner Kindheit, die er in der damaligen UdSSR verbrachte und erinnerte sich an die Worte seiner Mutter am Telefon: „Das erzähle ich dir nur von Angesicht zu Angesicht, nicht jetzt.“.

Diese Worte sind allerdings Vergangenheit, denn spätestens gestern ist gezwungenermaßen genau das eingetroffen, wovor so viele Nutzer Angst hatten. WhatsApp teilt Account-Informationen mit Facebook und den anderen Unternehmen in der Facebook-Unternehmensgruppe, wie Instagram. In der Datenschutz-Richtlinie steht: „Als Teil der Facebook-Unternehmensgruppe erhält WhatsApp Informationen von den Unternehmen dieser Unternehmensgruppe und teilt Informationen mit ihnen.“ Ein Austausch von Kundendaten zwischen WhatsApp und Facebook und die Berührung datenschutzrechtlicher Bestimmungen scheint klar.

Ihr externer Datenschutzbeauftragter informiert, wieso Privatpersonen und „verantwortliche Stellen“ (Unternehmen, Behörden, Vereine usw.) das Thema „ WhatsApp Datenschutz “ nicht außer Acht lassen sollten.

WhatsApp Datenschutz – Facebook-Unternehmensgruppe als „Datenkrake“

Machte WhatsApp mittels Ende-zu-Ende-Verschlüsselung vor einigen Monaten noch einen großen Schritt nach vorne in Richtung Datenschutz und Datensicherheit, so ist die beliebte App mit der Datenweitergabe von Kundendaten sehr weit zurückgefallen. Die geänderte Nutzungsvereinbarung war für viele Nutzer ein Schock.

Welche Informationen werden mit Facebook geteilt?

WhatsApp soll Informationen, wie die Telefonnummer an Facebook weitergeben. Zudem soll WhatsApp mitteilen, wann der Nutzer auf WhatsApp aktiv war. Andere Account-Informationen, wie das Profilfoto oder die Statusmeldungen möchte man im Moment nicht teilen, wobei sich die Nutzer fragen sollten, wie schnell sich dies ändern könnte.

Können sich WhatsApp-Nutzer schützen?

Bestehenden Nutzern räumte man bis zum 25.09.2016 die Möglichkeit ein, sich vor der personalisierten Werbung und den Freundschaftsempfehlungen, mittels WhatsApp-Account-Informationen, zu schützen, wobei dies auf zwei Wegen funktionierte. Hatten bestehende Benutzer der neuen Nutzungsvereinbarung noch nicht zugestimmt, so konnten sie über „Lies“ das Häkchen in der Vereinbarung, das die Verwendung erlaubt, entfernen. Hatte man der Nutzungsvereinbarung bereits zugestimmt, so konnte man in WhatsApp unter Einstellungen -> Account -> Meine Account-Info teilen – je nach Gerätetyp –  das Häkchen entfernen oder den Schieberegler umschalten. Neuen WhatsApp-Nutzern wurde diese Möglichkeit allerdings nicht gewährt.

Achtung! WhatsApp-Nutzer sollten allerdings beachten, dass sie zwar der Werbung widersprochen haben, allerdings die Daten trotzdem an Facebook weitergegeben werden. WhatsApp schreibt auf der Homepage: „Die Facebook-Unternehmensgruppe wird diese Information trotzdem erhalten und für andere Zwecke, wie Verbesserung von Infrastruktur und Zustellsystemen, des Verstehens der Art der Nutzung unserer bzw. ihrer Dienste, der Absicherung der Systeme und der Bekämpfung von Spam, Missbrauch bzw. Verletzungshandlungen.“

Die neue Nutzungsvereinbarung und die Tatsache, dass sich Nutzer letztendlich nicht gegen die Weitergabe schützen können, alarmiert nicht nur die Benutzer selbst, sondern zahlreiche Datenschutzbeauftragte, Datenschützer und die EU-Kommission. Auch ging bereits eine Klage bei der Federal Trade Commission (Verbraucherschutzbehörde) von US-Datenschützern ein.

„ WhatsApp Datenschutz “ – Was sollten „verantwortliche Stelle“ beachten?

WhatsApp FacebookImmer häufiger findet WhatsApp Verwendung innerhalb der sogenannten „verantwortlichen Stellen“, als Kommunikationskanal oder als Marketing-Instrument. Allerdings sind die Risiken für die Unternehmen, Behörden, Vereine, Stiftungen bzw. sonstige verantwortliche Stellen um ein Vielfaches höher als die bei reinen Privatpersonen der Fall sind. Auf der Hand liegt, dass Organisationen über deutlich mehr sensible Daten, wie Betriebsgeheimnisse und personenbezogene Daten von Kunden, Mitarbeitern und sonstigen Betroffenen verfügen dürften.

Das erhöhte Risiko für „verantwortliche Stellen“ existierte allerdings bereits vor der Weitergabe der Daten an Facebook, da bereits die Übermittlung an WhatsApp problematisch ist.

Im Installationsprozess von WhatsApp, spätestens aber mit dem Einsatz der App, greift diese auf die gespeicherten Telefonnummern in Smartphones bzw. die Inhalte der Kontakte bzw. Visitenkarten zu. Diese (personenbezogenen) Daten werden dann nicht legitimiert an die WhatsApp-Server in Kalifornien (USA) weitergegeben. Nicht legitimiert, weil eine Datenübermittlung durch das Bundesdatenschutzgesetz (BDSG) nur auf Basis einer Rechtsgrundlage oder auf informierten Einwilligungen der Betroffenen erfolgen darf. Zudem handelt es sich um eine Datenübermittlung in ein Drittland (außerhalb der europäischen Union (EU) und des europäischen Wirtschaftsraums (EWR)) ohne angemessenes Datenschutzniveau.

Eine datenschutzkonforme Übermittlung wäre deshalb nur möglich, wenn zum einen das Datenschutzniveau, beispielsweise durch Abschluss von EU-Standardvertragsklauseln, hergestellt wird oder informierte und freiwillige Einwilligungen eines jeden Kontakts im Telefonbuch eingeholt werden. Die Tatsache, dass WhatsApp nun erste Informationen mit Facebook austauscht, könnte zudem zu weiteren Risiken führen, da –wie bereits angedeutet  – regelmäßig deutlich mehr Informationen  innerhalb eines Kontakts hinterlegt sind. Vor zwei Jahren war von einer Datenweitergabe keine Rede, daher muss sich gefragt werden, in welche Richtung sich der Konzern weiter bewegen wird.

Insbesondere für „verantwortliche Stellen“, die eine Privatnutzung von dienstlichen Smartphones oder den dienstlichen Einsatz von privaten Endgeräten erlauben, besteht ein erhöhtes Risiko. Mitarbeiter könnten Apps, unter anderem WhatsApp oder Facebook, installiert haben und personenbezogene Daten nicht legitimiert an Unternehmen in Drittländern übermitteln. Aus diesem Grund sollten klare Regelungen innerhalb einer Organisation respektive verantwortlichen Stelle getroffen werden.

Fazit

Grundsätzlich ist sowohl Privatpersonen als auch „verantwortlichen Stellen“ anzuraten, auf den Einsatz von WhatsApp zu verzichten und auf Messenger zurückzugreifen, deren Anbieter ihren Sitz innerhalb der EU/der EWR haben.

Der Grund ist zum einen, dass das Datenschutzrecht innerhalb der EU/des EWR, mittels EU-Richtlinie, harmonisiert ist. Ein weiterer Grund für „verantwortliche Stellen“ ist, dass per BDSG eine Ausnahmeregelung für Auftragsdatenverarbeitungen, gemäß § 11 BDSG, existiert, die als „Nicht-Übermittlung“ eingestuft wird und das Einholen von informierten Einwilligungen nicht erfordert. Hat der Anbieter seinen Sitz innerhalb der EU/EWR, so können in dem meisten Fällen – nach einer Prüfung durch den Datenschutzbeauftragten extern / intern – Verträge zur Auftragsdatenverarbeitung abgeschlossen werden. Bei einer Übermittlung personenbezogener Daten an einen Anbieter außerhalb der EU- / EWR-Staaten, wie WhatsApp, ist die Vorgehensweise schwieriger sowie mit mehr Aufwand und mit vielen Risiken verbunden.

Haben Sie weitere Fragen zu dem Thema “ WhatsApp Datenschutz ” oder allgemein zu „Datenschutz bei Apps“? Möchten Sie sich im Datenschutz dauerhaft besser positionieren?  Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.