Viele Firmen nutzen Messenger-Dienste wie zB. WhatsApp oder Telegram, meist ohne sich der gravierenden Datenschutzverstösse bewusst zu sein, die ihren Einsatz verbieten.

© pixabay.de, Gerd Altmann

Seit der Corona-Pandemie nahm die Nutzung von Instant-Messenger-Diensten auch in Unternehmen stark zu - eine Umfrage des deutschen Bitkom erhob kürzlich, dass zwei Drittel aller Unternehmen sie häufig oder sehr häufig zur internen und externen Kommunikation nutzen. Immer öfter kommunizieren Unternehmen auch mit ihren Kunden über Messenger-Dienste - einfach weil es praktisch und unkompliziert ist.

In der EU ansässige Unternehmen tragen aber ein hohes Risiko, wenn sie selbst oder ihre Mitarbeiter Instant-Messenger-Dienste nutzen, die eigentlich für den privaten Gebrauch konzipiert wurden und ihren Sitz außerhalb der EU haben, weshalb sie den hier gültigen Datenschutzanforderungen meist nicht genügen.

Der Instant-Messenger-Einsatz widerspricht meist der DSGVO

Vielen, und hier vor allem vor allem kleineren, Unternehmen ist nicht bewusst, dass sie damit die Datenschutz-Grundverordnung (DSGVO)  verletzen. Vor allem (aber nicht nur) bei kostenlosen Diensten "bezahlt" man die Nutzung häufig mit Daten, eigenen oder - was noch viel kritischer ist - Daten von Dritten.

Wird in einen Messengerdienst beispielsweise das eigene Adressbuch importiert, geschieht dies wohl im Regelfall ohne die (notwendige!) Zustimmung aller(!) Betroffenen, deren Daten darin enthalten sind. Doch bereits die Speicherung einzelner Kontakdaten in solchen Diensten (ohne die deren Nutzung ja gar nicht möglich ist) verletzt die DSGVO-Regeln, denn es findet dabei eine Übertragung von personenbezogenen Daten in ein Nicht-EU-Land statt, das nicht über ein angemessenes Datenschutzniveau verfügt.

In letzter Zeit reagieren zB. US-Dienstbetreiber darauf mit dem Argument, die Daten würden auf Servern in Europa gespeichert. Doch selbst innerhalb der EU gespeicherte Daten müssen auf Verlangen von US-Behörden herausgegeben werden und die Nutzung widerspricht deshlab klar der DSGVO.

Derartige Verletzungen der Datenschutz-Grundverordnung können richtig teuer und sogar existenzbedrohend werden: bis zu € 20 Millionen oder 4 % des weltweiten Vorjahresumsatzes kann der Strafrahmen, je nach Schwere des Vergehens, betragen.

Beispiel: Ein Auszug aus den WhatsApp-AGB

Ohne Zustimmung zu folgenden Regelungen ist eine WhatsApp-Nutzung nicht möglich:

  • Mit Annahme der AGB erlaubt man WhatsApp, Telefonnummer, Profilnamen und Profilbild sowie E-Mail-Adresse für beliebige eigene Zwecke zu verwenden.
  • Neben den eigenen Daten werden auch die Daten aller Kontakte übertragen und verwendet. Durch den Datentransfer in die USA öffnet man die Daten aller Kontakte für den Zugriff durch jedwede US-Behörde inkl. Geheimdiensten. Wem die Preisgabe der eigenen Daten egal ist, sollte hier jedenfalls aufhorchen, denn ohne ausdrückliche und nachweisbare(!) Zustimmung zu dieser Datenweitergabe von jedem einzelnen(!) Ihrer Geschäftskontakte ist dies verboten.
  • Zusätzlich greift WhatsApp auch auf Informationen zu, die mit der eigentlichen Nutzung der Chat-App wenig zu tun haben: Nutzungs- und Log-Informationen, welche Funktionen Sie innerhalb der App nutzen, etwa die Telefonie usw.
  • Außerdem speichert WhatsApp Ihr Smartphone-Modell sowie, welches Netz Sie nutzen, welche Zeitzone und Sprache Sie eingestellt haben und Ihre Standort-Informationen.
  • Mit der Zustimmung zu den AGBs verzichtet man aber nicht nur auf Privatsphäre, sondern v.a. auf Datenschutz: Die gesammelten Daten und Informationen bleiben nämlich nicht bei WhatsApp, sondern sie werden "zur Analyse" an nicht näher genannte "andere Unternehmen" weiter gebeben.
  • Seit Inkrafttreten der DSGVO kann man in WhatsApp der Datenweitergabe an Facebook widersprechen, was Facebook aber auch verweigern kann. Viel Spaß dabei... !
  • Außerdem kann man Einsicht in gespeicherte Daten oder deren Löschung verlangen

Die Verantwortung liegt beim Nutzer selbst!

Dienste, deren Betreiber ihren Sitz außerhalb Europas haben, sollten von EU-Unternehmen daher derzeit nicht genutzt werden. Zwar sind Dienste aus Drittländern nicht prinzipiell verboten, jedoch müssten bei ihrer Nutzung erhöhte Schutzmaßnahmen ergriffen werden, zB. zusätzliche Verschlüsselung oder Anonymisierung / Pseudonymisierung von Daten. Vielfach können gerade dies aber die Nutzer nicht sicherstellen bzw. bieten die Dienstbetreiber gar nichts dafür an, da die Dienste ja nicht für die Unternehmensnutzung konzipiert wurden und sie sich daher nicht um die entsprechende EU-Rechtslage kümmern müssen. Die Verantwortung liegt hier klar beim Nutzer selbst!

Und eines muss hier ebenfalls klar gestellt werden: die DSGVO ist kein Instrument der EU-Bürokratie, mit dem europäischen Unternehmen das Leben schwer gemacht werden soll, wie das gerne (und kurzsichtig) argumentiert wird! Ganz im Gegenteil ist die DSGVO das Bollwerk, um die Datenhohheit und damit das geistige Potenzial, letztlich also die unternehmerische DNA europäischer Unternehmen vor dem ungezügelten Überwachungskapitalismus vornehmlich US-amerikanischer Prägung zu schützen. Es geht genau nicht darum, Europa in's "digitale Hintertreffen" zu bugsieren, sondern unser wirtschaftlich eigenständiges Überleben in einer zunehmend digitalisierten und virtualisierten Welt zu sichern. Das sollte man immer mit bedenken, wenn man Facebook, Instagram, WhatsApp - und wie sie alle heißen - nutzt.