Datenschutz beim Einsatz von Messenger-Diensten

Früher gab es Brieftauben, Rauchzeichen, Telegramme, Briefe. Mit Anfang der Digitalisierung rückten diese in den Hintergrund oder kommen sowieso schon nicht mehr zum Einsatz. Heutzutage kommunizieren wir hauptsächlich per E-Mail, Messenger-Dienst oder anderen Online-Diensten. Messenger-Dienste erfreuen sich auch in Unternehmen, Arztpraxen, Apotheken, Vereinen und sonstigen Einrichtungen hoher Beliebtheit. Ihr Einsatz in der Kunden- und Patientenkommunikation bewerben die Anbieter oft mit 100 % DSGVO-konform. Ist dies aber tatsächlich so? Wie sieht es aus mit dem Datenschutz beim Einsatz von Messenger-Diensten? Was ist zu beachten?

Messenger-Dienste und ihre Anziehungskraft

Während man über eine SMS ausschließlich Nachrichten aus Buchstaben bestehend versenden kann, bieten Messenger-Dienste so viel mehr Möglichkeiten der Kommunikation. Nutzer machen von ihren vielfältigen Funktionen meist über Apps Gebrauch. Wenngleich sie auch über Browser nutzbar sind. Mit ihnen können Nutzer Sprachnachrichten, Bilder, Videos, sogenannte Sticker, Emojis oder Emoticons (kleine vorgefertigte Bilder, um beispielsweise eine bestimmte Stimmungslage auszudrücken), Links u. v. m. verschicken.

Anbieter

Die aktuell wohl bekanntesten Messenger-Dienste sind u. a. folgende (in keiner bestimmten Reihenfolge):

1)  WhatsApp von Meta Platforms, Inc. (Datenschutzhinweis),

2)  Facebook Messenger von Meta Platforms, Inc. (Datenschutzhinweis),

3)  Signal von Signal Messenger LLC (Datenschutzhinweis),

4)  Threema von Threema GmbH (Sicherheitsinformation),

5)  Telegram von Telegram Messenger LLP (Datenschutzhinweis).

6)  WeChat von WeChat International Pte Ltd (Datenschutzhinweis) oder auch

7)  SnapChat von Snap Inc. (Datenschutzhinweis) sowie

8)  iMessage von Apple Inc. (Datenschutzhinweis).

Mögliche technische und organisatorische Maßnahmen

Nun gibt es mehrere Möglichkeiten, wie Messenger-Anbieter, auch die, die sich in einem unsicheren Drittland befinden, datenschutzkonform agieren können. – Ein unsicheres Drittland ist ein Staat außerhalb der EU/dem EWR ohne Angemessenheitsbeschluss der EU-Kommission über das Datenschutzniveau. – Die folgend kurz erläuterten Beispielmaßnahmen sind bei weitem nicht abschließend:

Verschlüsselung

Es gibt verschiedene Verschlüsselungsmöglichkeiten, beispielsweise die Verschlüsselung des jeweiligen Speicherortes (z. B. Server) oder die des Transportes. Am besten ist eine Ende-zu-Ende-Verschlüsselung. Demnach sind die Daten ab Erstellung (hier: Schreiben der Nachricht o. Ä.) der Nachricht über die Übermittlung bis zum Empfang und bei der Speicherung verschlüsselt.

Weiterführend wäre aber auch zu betrachten, wo sich der Schlüssel zur Entschlüsselung der Daten befindet. Idealfälle für die Aufbewahrung wären, wenn der Schlüssel bei der betroffenen Person liegt oder an einem bestimmten gesicherten Ort. Bei Threema beispielsweise ist es der Fall, dass der Nutzer den Schlüssel selbst erzeugt und verwahrt, wodurch selbst der Messenger-Betreiber die Kommunikation nicht entschlüsseln kann. Läge der Entschlüsselungsschlüssel in einem EU-Land, erschwerte es die Zugriffsmöglichkeiten der ausländischen Behörden eines unsicheren Drittstaates.

Ungültigkeit des EU-US Privacy Shields

Der Grund, weshalb sowohl die Datenschutzaufsichtsbehörden als auch die betroffenen Personen solch ein Augenmerk auf die Verarbeitung personenbezogener Daten in einem unsicheren Drittland haben, beruht auf dem Urteil des EuGH (C‑311/18). Demnach erklärte der EuGH das EU-US Privacy Shield für ungültig. Bis dahin galt das EU-US Privacy Shield vielfach als Rechtsgrundlage für den Datentransfer in die USA. Mehr hierzu haben wir u. a. in unserem Beitrag „EU-US Privacy Shield: Hilfe für Unternehmen?“ erläutert. Die Folge ist, dass Verantwortliche die Verarbeitung von personenbezogenen Daten in die USA nicht durchführen dürfen, sofern keine andere Voraussetzung nach Art. 46 Abs. 1 DSGVO erfüllt ist.

Getrennte Aufbewahrung der personenbezogenen Daten von EU-Bürgern

Vertragliche Maßnahmen wie der Einsatz von EU-Standvertragsklauseln müssen beispielsweise technische Maßnahmen wie Verschlüsselung ergänzen. Weiterführend könnten Unternehmen die personenbezogenen Daten von EU-Bürgern getrennt von anderen personenbezogenen Daten aufbewahren. Das würde bedeuten, dass diese Daten dann ausschließlich auf Servern in der EU gespeichert werden und auch der Ver- bzw. Entschlüsselungsschlüssel in den Händen der Nutzer liegt.

Ausschluss von Zugangsmöglichkeiten

Wenn die Zugangsmöglichkeiten für Niederlassungen außerhalb der EU zusätzlich ausgeschlossen wären, gäbe es theoretisch keine Möglichkeit für Behörden in diesen Ländern, die Daten einsehen zu können. In einer Pressemitteilung wies die Datenschutzkonferenz auch auf ein Expertengutachten zu den US-amerikanischen Überwachungsgesetzen hin (Link). Danach ist es den US-amerikanischen Behörden durch den US-Cloud-Act möglich, auch Zugriff auf Daten von US-amerikanischen Unternehmen und deren Daten in EU-Ländern zu nehmen. Zu denen anderer unsicherer Drittstaaten gibt es aktuell scheinbar leider keine offizielle Stellungnahme der deutschen Aufsichtsbehörden.

Verarbeitung personenbezogener Daten in einem unsicheren Drittland

Die oben genannten Maßnahmen tragen dazu bei, die Verarbeitung der Daten von EU-Bürgern in einem unsicheren Drittland zu begrenzen oder sogar zu unterbinden. Damit kann ein Verantwortlicher das rechtliche Problem, dass er eine Rechtsgrundlage für den Drittlandtransport benötigt, beheben.

Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten

Messenger-Anbieter – so scheint es – verarbeiten nicht in allen, aber in vielen Fällen so viele personenbezogene Daten, wie es nur möglich ist. Das bedeutet auch, dass sie auch Daten verarbeiten, die sie für die Bereitstellung ihrer Dienste eigentlich nicht benötigen. Demnach verarbeitet Meta Platforms Inc. auch Daten von Betroffenen, die die Dienste gar nicht nutzen. Des Weiteren verarbeitet nicht nur Meta Platforms Inc. Standortdaten, sondern auch so manch anderer Anbieter (z. B. Snap Inc.; WeChat International Pte Ltd sagt, das Unternehmen würde sich auf die Region begrenzen, geht aber nicht näher auf die Definition des Wortes „Region“ nach deren Verständnis ein). Teils wird sogar vermerkt, ob ein Nutzer eine App zum Zeitpunkt aktiv nutzt oder sie im Hintergrund läuft, ob der Nutzer die Maus bewegt etc. (Meta Platforms Inc.).

Welche Grundsätze der Verarbeitung personenbezogener Daten die DSGVO vorgibt, können Interessenten hier erfahren.

Datenschutzaufsichtsbehörden zu Messenger-Diensten

Die Datenschutzaufsichtsbehörden bemängeln wohl am häufigsten die Zugriffsmöglichkeiten von ausländischen Behörden auf die personenbezogenen Daten. Vom Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz gibt es speziell eine Veröffentlichung zur Problematik der Verarbeitung personenbezogener Daten durch WhatsApp (Link). Auch wenn der Fokus in dieser Veröffentlichung auf WhatsApp liegt, gilt es gleichermaßen für andere Anbieter aus unsicheren Drittländern.

Von der Datenschutzkonferenz gibt es eine Entschließung, was ein Verantwortlicher beim Einsatz von Messenger-Diensten beachten sollte. – In dem Dokument stellte die Datenschutzkonferenz einen Branchenbezug zu Krankenhäusern her; wenn es um die Maßnahmen im Allgemeinen geht, kann ein Verantwortlicher dies aber auch auf seine Einrichtung – branchenunabhängig – übertragen.

Unsere Empfehlung

Der Einsatz von Messenger-Diensten in einer Einrichtung sollte gut abgewogen werden. Je nachdem, welcher Anbieter zum Einsatz kommen soll, ist vor dem Einsatz eine Datenschutz-Folgenabschätzung durchzuführen. Diese erleichtert es dem Verantwortlichen, einzuschätzen, ob der Einsatz von beispielsweise Telegram, Signal oder WhatsApp vertretbar oder ein bestimmter Anbieter einem anderen vorzuziehen ist. Des Weiteren ist eine Übermittlung von personenbezogenen Daten in ein unsicheres Drittland zu vermeiden. Auch sind die Grundsätze der Verarbeitung gemäß der DSGVO einzuhalten. Hier möchten wir insbesondere auch auf die Einhaltung der Vertraulichkeit hinweisen, speziell auf die von Berufsgeheimnisträgern wie Ärzten, Apothekern, Berufspsychologen, Rechtsanwälten, Notaren etc. (§ 203 StGB).

Jegliche Information zu einer stattfindenden Verarbeitung ist in verständlicher, präziser und einfacher Art und Weise den Betroffenen zur Verfügung zu stellen (Datenschutzinformation). Auch hier gilt, dass die jeweilige Verarbeitung rechtmäßig sein muss. Bei Einsatz von Cookies oder Verarbeitungstätigkeiten, die nicht dringend technisch notwendig sind, darf auch dies ausschließlich mit Einwilligung des Betroffenen stattfinden (§ 25 TTDSG).

Die Verbraucherzentrale hat übrigens einen Artikel veröffentlicht und ein paar der meist genutzten Messenger-Dienste aus Sicht des Datenschutzes näher betrachtet. – Hier können Interessierte den Artikel finden. –

Fazit

Messenger-Dienste sind beliebt: Schließlich sind sie einfach zu handhaben und übertragen Nachrichten in jeglicher Form kostenfrei über Grenzen hinweg schnell. Dabei ist es aber wichtig, den Datenschutz zu beachten und einzuhalten. So kann ein Verantwortlicher etwaige Bußgelder, Schadensersatzansprüche oder Abmahnungen vermeiden.

Kontaktieren Sie uns gern heute für Beratung und Unterstützung bei der Umsetzung des Datenschutzes in Ihrer Einrichtung.