Bei kleineren – und auch größeren – Unternehmen werden oft Lösungen gefunden, die den Arbeitsablauf erheblich erleichtern sollen, jedoch datenschutzrechtlich mit erheblichen Risiken belastet sind. WhatsApp ist hier noch immer ein beliebtes Stichwort. Sind die Kollegen dann auch noch freundschaftlich verbunden, verschwimmen oft die Grenzen privater und dienstlicher Kommunikation. Dieser Beitrag soll erläutern, was bei dienstlichen Absprachen über private Smartphones zu beachten ist.
Der Inhalt im Überblick
BYOD, COPE, CYOD oder doch noch was anderes?
Hinter den Begriffen des BYOD (Bring Your Own Device) und dem COPE (Corporate Owned, Personally Enabled) und dem CYOD (Choose Your Own Device) stecken Mischformen der privaten und dienstlichen Nutzung von mobilen Geräten. Beim BYOD wird ein privates Gerät auch dienstlich genutzt, es besteht bspw. ein Zugriff auf die Dienstmails. Bei COPE und CYOD werden dienstliche Geräte auch privat genutzt. Hier finden Sie eine gute Übersicht. Hier im Blog haben wir bereits über die datenschutzrechtlichen Risiken von BYOD berichtet.
Private oder dienstliche Kommunikation?
Wie aber beurteilt sich der Fall, wenn – vor allem bei kleinen Betrieben – das BYOD nur einem sehr beschränkten Ausmaß genutzt wird? Bei der Nutzung des Internets erfolgt die Abgrenzung anhand der arbeitsrechtlich geschuldeten Leistung. Besteht ein Bezug zwischen Arbeit und Kommunikation, ist von der dienstlichen Nutzung auszugehen – und umgekehrt.
Die dienstlich veranlasste Privatkommunikation, d.h. die private Mitteilung mit Bezug zum betrieblichen Umfeld, wird der dienstlichen Kommunikation gleichgestellt. Beispiele hierfür sind eine kurzfristige Abstimmung im Rahmen des Schichtdienstes oder kurzfristige Absprachen bezüglich Vertretungen. Ob andere Themen, wie beispielsweise Absprachen bezüglich einer Mitfahrgemeinschaft, auch noch darunter fallen, ist offen.
Wo liegt das Problem?
Wie ist die Situation somit datenschutzrechtlich einzuschätzen, wenn das private Handy nicht in die IT-Infrastruktur eingebunden ist und kein Zugriff auf Firmenmails oder das Firmennetzwerk erfolgt? In einem solchen Fall spielen die typischerweise genannten Sicherheitsaspekte letztlich gar keine Rolle.
Hier stecken dennoch zwei Probleme:
- Zum einen die Nutzung der privaten Nummern. Werden private Nummern den übrigen Kollegen zur Verfügung gestellt (bspw. als Aushang, im Intranet), muss eine Einwilligung eingeholt werden. Die Rechtsgrundlage des § 26 BDSG reicht hier nicht aus. Mit der Einwilligung besteht bekanntlich ein erheblicher Dokumentationsaufwand und ebenso sind die anderen Risiken zu beachten. Bei der Kommunikation in einer Gruppe muss immer bedacht werden, dass der Austausch u.U. dann nicht funktioniert, wenn einige Mitarbeiter ihre Einwilligung nicht erteilen – aus welchen Gründen auch immer.
- Ein anderes Problem ist die genutzte Kommunikationsplattform. Noch immer ist WhatsApp ein beliebter Messenger-Dienst, und das obwohl sich die datenschutzrechtliche Problematik inzwischen rumgesprochen hat.
Keine pragmatischere Lösung in Sicht
Gerne würden wir an dieser Stelle einen pragmatischen Vorschlag unterbreiten. Doch ist derzeit keine Umgehungsmöglichkeit ersichtlich. Die Einholung der Einwilligung wird erforderlich sein, wenn die private Nummer für die dienstliche Kommunikation genutzt wird. Außerdem ist eine datenschutzkonforme Nutzung von WhatsApp nicht möglich.
An dieser Stelle kann nur auf die Risiken hingewiesen werden.
… und im Kommentar wiederum kann die ausgezeichnete Lösung erwähnt werden, die auch in diesem Newsletter bereits genannt wurde:
https://wire.com/de/
Es gibt alternativ Dienste, die keine Telefonnummer (weder zur Registrierung noch zum Betrieb) voraussetzen. Man registriert sich via E-Mailadresse, welche auch eine Wegwerf-Adresse sein. In letzterem Fall erhält man dann womöglich keine Statusupdates oder kann die „Passwort vergessen“-Funktion nicht nutzen. Wenn diese Dienste jedoch nicht selbst gehostet werden (bspw. Mattermost), laufen diese meist in einer Cloud außerhalb der EU, womit der Datenschutz der Inhaltsdaten wieder zum Tragen kommt.
Es gibt sicherlich alternative Dienste, welche datenschutzrechtlich weniger kritisch zu betrachten sind, als WhatsApp. Das große Problem ist allerdings, auch die Kommunikationspartner alle auf diese Alternativen umzustellen.
ich habe hier im Hause auch schon die verschiedensten Anläufe unternommen, um von WhatsApp wegzukommen – alle sind an der mangelnden Akzeptanz der Nutzer gescheitert. Für die innerbetriebliche Kommunikation mag wire.com möglicherweise noch eine Alternative sein – spätestens wenn es um die Kommunikation mit externen Partnern geht, führt wieder kein Weg an WhatsApp vorbei. Dieser Dienst hat sich, allen datenschutzrechtlichen Bedenken zum Trotz, leider so wie ein „Virus“ ausgebreitet, dass er praktisch allgegenwärtig ist. Man kann sich sicherlich einen Account bei einem anderen Messenger-Dienst einrichten; man wird einfach schlichtweg nicht erreichbar sein, weil die Kommunikationspartner nicht mitspielen.
Ich bin auch ehrlich gespannt, wie lange diverse große Unternehmen, über deren WhatsApp-Verbot in den letzten Wochen berichtet wurde, diesen Bann durchhalten. Schon in der Zeit nach dem Urteil aus Bad Hersfeld ging ja eine Welle gegen WhatsApp durchs Land – geblieben ist davon nach meiner Beobachtung nicht viel.
Wie schaut es denn mit Skype aus?
Ist auf jeder Plattform nutzbar. Kann eigentlich das was WA auch kann.
Nur die gelesen-Funktion ist nicht vorhanden.
Es stimmt, dass WhatsApp und Skype als Messenger-Dienste ähnliche Funktionen anbieten, also auch gleichen Fragen/ Probleme unterliegen. Bei Skype ist zunächst zwischen dem „normalen“ Skype und Skype for Business on-premises zu unterscheiden. Bei der Nutzung von WhatsApp werden die Daten direkt an die Server in den USA übermittelt. Bei Skype kommt es darauf an, welche Version genutzt wird. Bei die Skype for Business on-premises Version werden die Daten auf eigenen (Unternehmens-)Server gehostet. Daten werden in einem solchen Fall nicht auf Servern von Microsoft verarbeitet.
Auch wire hat so seine Problemchen: https://www.androidpit.de/datenschutz-messenger-wire-tracking-code-sendet-daten-in-die-usa
Jeder favorisiert was ihm persönlich liegt, auch beim Thema Sicherheit erlebe ich immer wieder, dass Experten sich auf Dinge einschießen, die argumentativ nicht haltbar sind, aber jeder Mensch braucht eben „seinen Anker“. Wir leben in interessanten Zeiten, wie die Chinesen zu sagen pflegen, und interessant ist dabei nicht positiv besetzt. Der Wunsch nach einer dauerhaften und verlässlichen Lösung ist groß, aber diese wird es nicht geben. Die Dynamik und Komplexität der „Digitalität“ verbietet das per se und wir Menschen sind damit einfach überfordert.