Datenschutz und Einsatz von Messenger-Diensten

Datenschutz und Einsatz von Messenger-Diensten

Früher gab es Brieftauben, Rauchzeichen, Telegramme, Briefe. Mit Anfang der Digitalisierung rückten diese in den Hintergrund oder kommen sowieso schon nicht mehr zum Einsatz. Heutzutage kommunizieren wir hauptsächlich per E-Mail, Messenger-Dienst oder anderen Online-Diensten. Demnach erfreuen sich Messenger-Dienste auch in Unternehmen, Arztpraxen, Vereinen und sonstigen Einrichtungen hoher Beliebtheit. Wie sieht es allerdings mit dem Datenschutz und Einsatz von Messenger-Diensten aus? Was ist zu beachten?

Messenger-Dienste und ihre Anziehungskraft

Während man über eine SMS ausschließlich Nachrichten aus Buchstaben bestehend versenden kann, bieten Messenger-Dienste so viel mehr Möglichkeiten der Kommunikation. Nutzer machen von ihren vielfältigen Funktionen meist über Apps Gebrauch. Wenngleich sie auch über Browser nutzbar sind. Mit ihnen können Nutzer Sprachnachrichten, Bilder, Videos, sogenannte Sticker (kleine vorgefertigte Bilder, um beispielsweise eine bestimmte Stimmungslage auszudrücken), Links u. v. m. verschicken.

Anbieter

Die aktuell wohl bekanntesten Messenger-Dienste sind u. a. folgende (in keiner bestimmten Reihenfolge):

1)  WhatsApp von Meta Platforms, Inc. (Datenschutzhinweis),

2)  Facebook Messenger von Meta Platforms, Inc. (Datenschutzhinweis),

3)  Signal von Signal Messenger LLC (Datenschutzhinweis),

4)  Threema von Threema GmbH (Sicherheitsinformation),

5)  Telegram von Telegram Messenger LLP (Datenschutzhinweis).

6)  WeChat von WeChat International Pte Ltd (Datenschutzhinweis) oder auch

7)  SnapChat von Snap Inc. (Datenschutzhinweis).

Mögliche technische und organisatorische Maßnahmen

Nun gibt es mehrere Möglichkeiten, wie Messenger-Anbieter, auch die, die sich in einem unsicheren Drittland befinden, datenschutzkonform agieren können. Die folgend kurz erläuterten Beispielmaßnahmen sind bei weitem nicht abschließend:

Verschlüsselung

Es gibt verschiedene Verschlüsselungsmöglichkeiten, beispielsweise die Verschlüsselung des jeweiligen Speicherortes (z. B. Server) oder die des Transportes. Am idealsten ist eine Ende-zu-Ende-Verschlüsselung. Demnach sind die Daten ab Erstellung (hier: Schreiben der Nachricht o. Ä.) der Nachricht über die Übermittlung bis zum Empfang und bei der Speicherung verschlüsselt.

Weiterführend wäre aber auch zu betrachten, wo sich der Schlüssel zur Entschlüsselung der Daten befindet. Idealfälle für die Aufbewahrung wären, wenn der Schlüssel bei der betroffenen Person liegt oder an einem bestimmten gesicherten Ort. Hier spielen wir darauf an, dass dieser Schlüssel bei einer Bank in einem EU-Land liegen könnte. Mit beispielsweise Blick auf die USA als unsicheres Drittland. Läge der Entschlüsselungsschlüssel in einem EU-Land, erschwerte es die Zugriffsmöglichkeiten der ausländischen Behörden.

Ungültigkeit des EU-US Privacy Shields

Der Grund, weshalb sowohl die Datenschutzaufsichtsbehörden als auch die betroffenen Personen solch ein Augenmerk auf die Verarbeitung personenbezogener Daten in einem unsicheren Drittland haben, beruht auf dem Urteil des EuGH (C‑311/18). Demnach erklärte der EuGH das EU-US Privacy Shield für ungültig. Mehr hierzu haben wir u. a. in unserem Beitrag „EU-US Privacy Shield: Hilfe für Unternehmen?“ erläutert. Die Folge ist dabei, dass Verantwortliche die Verarbeitung von personenbezogenen Daten in einem unsicheren Drittland nicht durchführen dürfen, sofern keine Voraussetzungen nach Art. 46 Abs. 1 DSGVO erfüllt sind.

Getrennte Aufbewahrung der personenbezogenen Daten von EU-Bürgern

Weiterführend könnten solche Unternehmen die personenbezogenen Daten von EU-Bürgern getrennt von anderen personenbezogenen Daten aufbewahren. Das würde bedeuten, dass diese Daten dann ausschließlich auf Servern in der EU gespeichert und auch der Ver- bzw. Entschlüsselungsschlüssel.

Ausschluss von Zugangsmöglichkeiten

Wenn die Zugangsmöglichkeiten für Niederlassungen außerhalb der EU zusätzlich ausgeschlossen wären, gäbe es theoretisch keine Möglichkeit für Behörden in diesen Ländern, die Daten einsehen zu können. In einer Pressemitteilung wies die Datenschutzkonferenz auch auf ein Expertengutachten zu den US-amerikanischen Überwachungsgesetzen hin (Link). Zu denen anderer unsicherer Drittstaaten gibt es aktuell scheinbar leider keine.

Verarbeitung personenbezogener Daten in einem unsicheren Drittland

Weiterführend würden die oben genannten Maßnahmen dazu beitragen, die Verarbeitung der Daten von EU-Bürgern in einem unsicheren Drittland zu begrenzen oder sogar zu unterbinden.

Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten

Messenger-Anbieter – so scheint es – verarbeiten nicht in allen, aber in vielen Fällen so viele personenbezogene Daten, wie es nur möglich ist. Das bedeutet auch, dass sie auch Daten verarbeiten, die sie für die Bereitstellung ihrer Dienste eigentlich nicht benötigen. Demnach verarbeitet Meta Platforms Inc. auch Daten von Betroffenen, die die Dienste gar nicht nutzen. Des Weiteren verarbeitet nicht nur Meta Platforms Inc. Standortdaten, sondern auch so manch anderer Anbieter (z. B. Snap Inc.; WeChat International Pte Ltd sagt, das Unternehmen würde sich auf die Region begrenzen, geht aber nicht näher auf die Definition des Wortes „Region“ nach deren Verständnis ein). Teils wird sogar vermerkt, ob ein Nutzer eine App zum Zeitpunkt aktiv nutzt oder sie im Hintergrund läuft, ob die Maus sich bewegt etc. (Meta Platforms Inc.).

Welche Grundsätze der Verarbeitung personenbezogener Daten die DSGVO vorgibt, können Interessenten hier erfahren.

Datenschutzaufsichtsbehörden zu Messenger-Diensten

Die Datenschutzaufsichtsbehörden bemängeln wohl am häufigsten die Zugriffsmöglichkeiten von ausländischen Behörden auf die personenbezogenen Daten. Vom Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz gibt es speziell eine Veröffentlichung zur Problematik der Verarbeitung personenbezogener Daten durch WhatsApp (Link). Auch wenn der Fokus in dieser Veröffentlichung auf WhatsApp liegt, gilt es gleichermaßen für andere Anbieter aus unsicheren Drittländern.

Von der Datenschutzkonferenz gibt es eine Entschließung, was ein Verantwortlicher beim Einsatz von Messenger-Diensten beachten sollte. – In dem Dokument stellte die Datenschutzkonferenz einen Branchenbezug zu Krankenhäusern her; wenn es um die Maßnahmen im Allgemeinen geht, kann ein Verantwortlicher dies aber auch auf seine Einrichtung – branchenunabhängig – übertragen.

Unsere Empfehlung

Der Einsatz von Messenger-Diensten in einer Einrichtung sollte gut abgewogen werden. Je nachdem, welcher Anbieter zum Einsatz kommen soll, ist vor dem Einsatz eine Datenschutz-Folgenabschätzung durchzuführen. Diese erleichtert es dem Verantwortlichen, einzuschätzen, ob der Einsatz von beispielsweise Telegram, Signal oder WhatsApp vertretbar oder ein bestimmter Anbieter einem anderen zu bevorzugen ist. Des Weiteren ist eine Übermittlung von personenbezogenen Daten in ein unsicheres Drittland zu vermeiden. Auch sind die Grundsätze der Verarbeitung gemäß der DSGVO einzuhalten. Hier möchten wir insbesondere auch auf die Einhaltung der Vertraulichkeit hinweisen, speziell auf die von Berufsgeheimnisträgern wie Ärzten, Apothekern, Berufspsychologen, Rechtsanwälten, Notaren etc. (§ 203 StGB).

Jegliche Information zu einer stattfindenden Verarbeitung ist verständlicher, präziser und einfacher Art und Weise den Betroffenen zur Verfügung zu stellen (Datenschutzinformation). Auch hier gilt, dass die jeweilige Verarbeitung rechtmäßig sein muss. Bei Einsatz von Cookies oder Verarbeitungstätigkeiten, die nicht dringend technisch notwendig sind, darf auch dies ausschließlich mit Einwilligung des Betroffenen stattfinden (§ 25 TTDSG).

Die Verbraucherzentrale hat übrigens einen Artikel veröffentlicht und ein paar der meist genutzten Messenger-Dienste aus Sicht des Datenschutzes näher betrachtet. – Hier können Interessierte den Artikel finden. –

Fazit

Messenger-Dienste sind beliebt: Schließlich sind sie einfach zu handhaben und übertragen Nachrichten in jeglicher Form kostenfrei über Grenzen hinweg schnell. Dabei ist es aber wichtig, den Datenschutz zu beachten und einzuhalten. So kann ein Verantwortlicher etwaige Bußgelder, Schadensersatzansprüche oder Abmahnungen vermeiden.

Kontaktieren Sie uns gern heute für Beratung und Unterstützung bei der Umsetzung des Datenschutzes in Ihrer Einrichtung.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.