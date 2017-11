Spätestens seit der Diskussion um ByoD dürfte klar geworden sein, dass die häufig geduldete berufliche Nutzung von privaten Smartphones nicht ganz unproblematisch ist. Aber auch die gemäßigte Variante COPE (Corporate-owned, personally enabled), bei der Mitarbeiter Firmengeräte privat einsetzen dürfen, birgt unter Umständen rechtliche Fallstricke. Dies gilt unter anderem dann, wenn die Nutzer Social-Media- und Chat-Anwendungen aus dem Consumer-Umfeld, wie WhatsApp, auf den Geräten verwenden.

Abmahnfalle WhatsApp?

Das Problem bei WhatsApp & Co.: Die Messenger-Lösung verlangt - wie übrigens zahlreiche andere Consumer-Apps auch - den Zugriff auf die Kontaktdaten und speichert sie zum Datenabgleich auf eigenen Servern in der Cloud.

Damit droht gleich in zweifacher Hinsicht Unheil: So entschied im Mai 2017 das Amtsgericht Bad Hersfeld (Az. F 111/17 EASO), dass allein die Nutzung von WhatsApp gegen das deutsche Datenschutzrecht verstößt. Begründet wurde das Urteil unter anderem damit, dass die App sämtliche Kontaktdaten aus den Smartphones der Nutzer an die WhatsApp Inc. weiterleitet, ohne jedoch die ausdrückliche Zustimmung der Betroffenen einzuholen:

"Wer durch seine Nutzung von "WhatsApp" diese andauernde Datenweitergabe zulässt, ohne zuvor von seinen Kontaktpersonen aus dem eigenen Telefon-Adressbuch hierfür jeweils eine Erlaubnis eingeholt zu haben, begeht gegenüber diesen Personen eine deliktische Handlung und begibt sich in die Gefahr, von den betroffenen Personen kostenpflichtig abgemahnt zu werden."

Zugegeben: Bei der zugrundeliegenden Klage vor dem Amtsgericht Hersfeld handelte es sich um einen Sorgerechtsprozess, in dessen Mittelpunkt die Kontrollpflichten von Eltern bei der WhatsApp-Nutzung von Kindern standen. Entsprechend schwer ist, das Urteil auf die Nutzung von WhatsApp ins Unternehmensumfeld zu übertragen. Die nach dem Urteil in den Medien prophezeite Abmahnwelle hat zumindest bislang noch nicht eingesetzt.

Nicht DSGVO-konform

Eine größere Gefahr droht aber (womöglich) mit dem Inkrafttreten der DSGVO Ende Mai 2018: Mit der neuen Datenschutzgrundverordnung wird das Datenschutzrecht EU-weit vereinheitlicht, was unter anderem eine erweitere Haftung der Geschäftsleitung von Unternehmen nach sich zieht. Darüber hinaus erhöhen sich die Strafen für deutlich. Bei einem Verstoß droht ein Bußgeld von bis zu 4 Prozent des weltweiten Umsatzes (Konzernverbund als Maßstab) oder 20 Millionen Euro.

WhatsApp & Co. entsprechen gleich in mehrerlei Hinsicht nicht den Datenschutzbestimmungen der DSGVO. Wenn über das Smartphone eines Mitarbeiters so sensible Daten wie Mail-Adresse oder Mobilfunknummer von Kunden in die Cloud (und womöglich in die USA) übertragen werden, kann ein Unternehmen weder das von der DSGVO geforderte "Recht auf Information" erfüllen noch die Daten auf Wunsch des Kunden komplett löschen (Recht auf Vergessen werden).

Datenverlust stoppen - Was tun?

Gerade in Hinblick auf die wirksam werdende EU-Datenschutz-Grundverordnung und den damit verbundenen drakonischen Strafen kann man nicht oft genug wiederholen, wie wichtig der Schutz personenbezogener Daten auf mobilen Endgeräten ist. Das Thema ist nicht zu unterschätzen: Einer aktuellen IDC-Umfrage zufolge können im Schnitt 30 Prozent der Belegschaft in deutschen Firmen mittels Smartphone oder Tablet auf Kundendaten zugreifen - und diese sind neben Mitarbeiter- oder Lieferanteninformationen nur ein Teilbereich personenbezogener Daten.

Dennoch gibt es nach wie vor Organisationen, die auf den Einsatz einer Mobile-Device-Management- oder Enterprise-Mobility-Management-Lösung scheuen. Laut IDC-Studie wird jedes dritte mobile Gerät mit Zugriff auf Kundendaten nicht verwaltet. IT-Entscheider müssten den Schutz personenbezogener Firmendaten insbesondere auf privaten Devices dringend in den Griff bekommen, mahnen die Marktforscher entsprechend, sonst werde die DSGVO-Compliance nicht zu halten sein.

Zumindest bei Firmengeräten war bislang der klassische Lösungsansatz, die Mitarbeiter nicht nur über die drohenden Risiken von WhatsApp & Co. zu informieren, sondern mit Hilfe einer einschlägigen MDM- oder EMM-Lösung (Holzhammer-Methode) die Installation von kritischen Apps zu verhindern. Dies ist möglich durch den Einsatz von Black- oder Whitelisting-Funktionen oder - rigoroser - gleich die öffentlichen App-Stores zu sperren. In der Praxis dürften beide Möglichkeiten allerdings bei Smartphones, die für die private Nutzung freigegeben wurden, nur bedingt umsetzbar sein.

Anwenderfreundlicher und moderner ist die Option, die Kundendaten - ebenfalls über eine EMM-Lösung oder etwa die Container-App SecurePIM Office - in einem geschützten Bereich auf dem Mobilgerät einzuschließen. Die getrennte Verwaltung von dienstlichen und privaten Kontakten auf dem Smartphone ist in der Praxis allerdings nur unter Einbußen an Komfort und Bedienbarkeit möglich. Unter anderem geht in der Regel, wenn nicht wie bei SecurePIM unter iOS das CallKit-Framework integriert ist, die Rufnummernidentifizierung verloren.

Eine interessante - und mit 4.99 Euro auch sehr günstige - Lösung für das WhatsApp-Problem bietet die App SecureContact Pro von der Karlsruher Firma Mobile Box. Die für iOS verfügbare App (eine Android-Version ist in Arbeit) fungiert als sicherer Safe für private und berufliche Kontakte und soll eine datenschutzkonforme, sichere Nutzung von WhatsApp sowohl im privaten als auch im geschäftlichen Umfeld ermöglichen. In diesem Fall wird nur die Telefonnummer an das jeweilige Tool übergeben, ohne dass dabei der restliche Datensatz offengelegt wird. Als weiteres Feature bietet die App einen Urlaubsmodus, bei dem der Anwender an seinen freien Tagen für dienstliche Kontakte nicht erreichbar ist - es sei denn, er schaltet einzelne Kontakte frei.

WhatsApp: Keine kommerzielle Nutzung erlaubt

Im Zusammenhang mit WhatsApp und Facebook im Business ist noch ein weiteres Problem zu nennen. So hat sich grade WhatsApp wegen seiner weiten Verbreitung und der einfachen Bedienbarkeit als beliebtes Tool für die Organisation in Arbeitsgruppen, mit internen Kollegen, aber auch freien Mitarbeitern. Wie ein Blick in die jeweiligen AGB verrät, schließen WhatsApp und Facebook die kommerzielle Nutzung ihres Messengers jedoch aus, eigentlich dürften diese nur mit expliziter Zustimmung verwendet werden.

Auch wenn das Abmahn-Risiko von Rechtsexperten allgemein als gering eingestuft wird (WhatsApp droht bei missbräuchlicher Nutzung lediglich mit einer Sperrung des Accounts), kann es gerade mit Blick auf die DSGVO nicht schaden, auf Nummer Sicher zu gehen und den Mitarbeitern ein Enterprise Messaging Tool anzubieten - dieses sollte selbstverständlich nicht nur professionell und sicher sein, sondern auch eine vergleichbare Usability wie die beliebten Messaging-Apps aus dem Consumer-Umfeld bieten.