Gefahr DSGVO-Strafen: Darum ist rechtskonforme Messenger-Kommunikation für Unternehmen unerlässlich

Gefahr DSGVO-Strafen: Darum ist rechtskonforme Messenger-Kommunikation für Unternehmen unerlässlich

Diese Vorteile bietet Instant Messaging für Unternehmen

Messenger sind als schnelles und flexibles Kommunikationsmittel in Unternehmen kaum noch wegzudenken. Tagtäglich kommen Chat-Dienste zum Einsatz, über welche Arbeitnehmer sensible Firmendaten austauschen. Durch vermehrtes Homeoffice und mobiles Arbeiten, auch im Zuge der Corona-Pandemie, nahm das Interesse an Chat-Apps für den schnellen und unkomplizierten Informationsaustausch im Berufsalltag weiter zu.

Instant Messaging bietet immense Vorteile:

  • Hohe Flexibilität: Durch Instant Messaging gelingt ein schneller Informationsaustausch auch mit Angestellten, die im Homeoffice oder von unterwegs aus arbeiten.
  • Effiziente One-to-Many-Kommunikation: Gruppenchats, Verteilerlisten und themenspezifische Newsfeeds erlauben eine schnelle und zielgerichtete Ansprache der gesamten Belegschaft, bestimmter Abteilungen sowie von einzelnen Mitarbeitern und Externen. Informationen können in vielfältiger Form (Text, Bild, Video, Dateien, Links, Sprachnachrichten) verbreitet werden.
  • Mitarbeiterzufriedenheit: Da Arbeitnehmer die Nutzung von Messengern aus dem Privatbereich gewohnt sind, kommen sie damit auch im beruflichen Kontext gut zurecht.

So ist es für Unternehmen kaum möglich, auf die Vorzüge von Chat-Diensten zu verzichten. Sie stehen vor der Herausforderung, einen sicheren und DSGVO-konformen Messenger ausfindig zu machen, der zugleich die Anforderungen an Handhabung und Funktionsumfang erfüllt. Weil oft das notwendige Know-How fehlt, herrscht bei vielen Unternehmen grosse Verunsicherung darüber, inwiefern leicht zugängliche, private Messaging-Dienste auch im beruflichen Kontext rechtssicher einsetzbar sind.

Gefahr DSGVO-Strafen: Sind populäre Messenger datenschutzkonform?

Bei der Nutzung von Messengern wie WhatsApp werden zahlreiche personenbezogene Daten gespeichert und verarbeitet. Neben dem Zugriff auf das Adressbuch, den die Nutzer vorweg erlauben müssen, lesen die Dienste Metadaten zum Chat-Verhalten und den Nutzungsgewohnheiten der App sowie Aufenthaltsorte aus.

In Hinblick auf die Europäische Datenschutz-Grundverordnung (DSGVO) ist das problematisch, und vertrauliche Firmeninformationen landen häufig ungeschützt bei Dritten. Um DSGVO-Strafen zu vermeiden, müssen sich Unternehmen also dringend mit den Bestimmungen bezüglich eines datenschutzkonformen Messenger-Einsatzes im geschäftlichen Umfeld befassen und die erforderlichen Massnahmen treffen.

Studie bestätigt: Fast kein Messenger ist DSGVO-konform

Im November 2021 wurde vom renommierten FZI Forschungszentrum Informatik eine umfassende Studie zum Thema «Daten- und Geheimnisschutz bei der Kommunikation im Unternehmenskontext» veröffentlicht. Sie behandelt die aktuelle Rechtslage zur firmeninternen Nutzung von Instant Messengern in der EU (vorrangig in Deutschland). Der daraus entwickelte Praxisleitfaden bietet eine wichtige Orientierungshilfe bei der Wahl eines geeigneten, DSGVO-konformen Messengers für Unternehmen.

Das FZI stellt zusammenfassend fest:

«Gerade für den privaten Gebrauch entwickelte Instant Messenger [genügen] den im Unternehmenskontext relevanten rechtlichen Anforderungen an Daten- und Geschäftsgeheimnisschutz in der Europäischen Union kaum oder gar nicht»

Dr. Manuela Wagner, Leiterin der Studie

Kostenloser Download der Datenschutz-Studie und des Praxisleitfadens:

Datenschutzverstoss: Hohe Bussgelder drohen

Eine Missachtung der europäischen Datenschutzrichtlinien kann für Unternehmen einen gravierenden finanziellen Schaden bedeuten: Bei Datenschutzverstössen werden Bussgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Vorjahresumsatzes fällig.

77’000 DSGVO-Strafen gegen deutsche Unternehmen

Im Jahr 2020 wurden in den EU-Mitgliedsstaaten Bussgelder in Höhe von rund 160 Millionen Euro wegen Datenschutzverstössen verhängt. Mit 77’000 gilt Deutschland zudem als Land mit den meisten Missachtungen der DSGVO seit Einführung des Regelwerks.

Es wurden gemäss dem Bussgeld-Radar der Datenschutzkanzlei bereits folgende Sanktionen gegen deutsche Unternehmen verhängt:

  • 14’500’000 Euro gegen die Immobiliengesellschaft Deutsche Wohnen SE
  • 1’240’000 Euro gegen die AOK Baden-Württemberg
  • 900’000 Euro gegen den Telekommunikationsdienstleister 1&1 Telecom GmbH

Studie: Datenschutzkonforme Messenger im Unternehmen

Die aktuelle Rechtslage bezüglich des firmeninternen Gebrauchs von Instant Messengern ist komplex und unübersichtlich. Laut der erläuterten Studie erweisen sich zudem beinahe alle Messaging-Lösungen als unbrauchbar für die berufliche Kommunikation, weil sie die geltenden Datenschutzbestimmungen der DSGVO missachten.

Zum Schutz von Firmendaten und Geschäftsgeheimnissen ist es jedoch wichtig, auf volle Datenschutzkonformität zu achten, um hohe DSGVO-Strafen zu vermeiden. Deshalb leitet die Studie des FZI drei entscheidende Handlungsempfehlungen für Unternehmen ab:

Massnahmen zum Datenschutz ergreifen

Unternehmen wird empfohlen, sich beim Einsatz von Instant Messengern mit den für sie zutreffenden rechtlichen Pflichten sorgfältig auseinanderzusetzen. Sie sind angehalten, datenschutzfreundliche Technologien zu berücksichtigen und auf organisatorischer, rechtlicher und technischer Ebene notwendige Vorkehrungen zu treffen, um sensitive Daten sowie anfallende Metadaten vor Missbrauch zu schützen.

Zugleich ist ein konsequenter Datenschutz vom verantwortungsbewussten Handeln der Mitarbeiter abhängig. Wird eine Messaging-Lösung im Unternehmen eingeführt, sollten daher alle Angestellten über dessen rechtmässige Nutzung unterrichtet werden.

Messenger aus unsicheren Drittländern vermeiden

Ebenfalls rät die Studie dringend von Messenger-Diensten ab, die einen Datentransfer in ein Drittland ausserhalb der Europäischen Union durchführen, für das kein Angemessenheitsbeschluss der EU-Kommission vorliegt.

Insbesondere die Weiterleitung von personenbezogenen Daten in die Vereinigten Staaten ist seit dem Ende des EU-US-Privacy-Shields äusserst problematisch. Aufgrund des CLOUD Acts dürfen Geheimdienste und Ermittlungsbehörden in den USA jederzeit auf personenbezogene Daten von Unternehmen in der EU und der Schweiz zugreifen, wenn diese ihre Daten auf US-Servern speichern.

Alle Informationen zum EU-US-Datentransfer

Welche Regelungen bei der Datenübermittlung in die USA aktuell gelten, erfahren Sie in unserem Blogbeitrag Ein Jahr nach dem Aus der Privacy-Shield-Abkommen: 5 Handlungsempfehlungen für die datenschutzkonforme und sichere Unternehmenskommunikation.

Private von beruflicher Kommunikation trennen

Die Studienautoren empfehlen ausserdem eine konsequente Trennung der privaten und der betrieblichen Kommunikation. Dadurch wird vermieden, dass sensitive Unternehmensdaten über private, unsichere Chat-Dienste an Dritte gelangen. Stattdessen sollte ein DSGVO-konformer Messenger zum Einsatz kommen, der den Arbeitnehmern allein zum Austausch beruflicher Informationen dient und für den professionellen Einsatz entwickelt wurde.

Ein DSGVO-konformer Messenger: Die sichere Wahl

Im Gegensatz zu Chat-Diensten aus dem Privatbereich erfüllt Threema Work die Anforderungen an einen sicheren und datenschutzkonformen Messenger umfassend und vorbildlich.

Damit ermöglicht der Business Messenger von Threema Unternehmen und Organisationen eine rechtskonforme und bestmöglich geschützte interne Kommunikation, damit auch im Berufsalltag nicht auf die vielen Vorzüge von Instant Messaging verzichtet werden muss.