Bei Messengern und Videokonferenz-Tools gehen die Meinungen noch immer weit auseinander. Die einen sehen sie vorrangig als eine Gefahr für Daten und Informationen, die anderen als praktische und inzwischen unverzichtbare Helfer für die Kommunikation mit Kollegen und Kunden. Auf welcher Seite man auch steht, eines ist sicher: Kaum ein Unternehmen kann und möchte die vielen Vorteile noch ungenutzt liegen lassen. etailment-Expertin und Rechtsanwältin Kathrin Schürmann zeigt, dass hier kein Widerspruch vorliegt – und beides geht, eine gute Kundenkommunikation und guter Datenschutz gleichermaßen.

Digitale Kommunikation von Unternehmen: Eine Frage der DSGVO

Kommunikationstools können im Unternehmenskontext für ganz unterschiedliche Zwecke eingesetzt werden. Über einen Messenger chattet der Kundenservice mit den Kunden oder das interne Meeting wird in Zeiten von Corona als Videokonferenz abgehalten. Für die allermeisten Anwendungsfälle befindet man sich im Bereich der Datenschutz-Grundverordnung (DSGVO), da personenbezogene Daten verarbeitet werden. Solche werden häufig schon von den Anwendern selbst über die Tools ausgetauscht, etwa wenn im digitalen Kundengespräch Eigenschaften des Kunden Thema sind. Über diese Inhaltsdaten hinaus erfassen die meisten Anbieter zusätzlich Metadaten: Je nach App können das Login-Daten wie Name und E-Mail-Adresse sein, aber auch Kommunikationsdaten, wer mit wem zu welcher Zeit in Kontakt getreten ist.

Erster Schritt: Die Wahl des richtigen Tools

Datenschutz beginnt mit der Entscheidung für den richtigen Anbieter. Wer im Rahmen der Kundenkommunikation auf die gängigsten Tools angewiesen ist, hat hier zwar kaum eine freie Entscheidung und kann diesen Schritt sozusagen überspringen. Allerdings kann es nie schaden, sich die Datenschutzbestimmungen des Anbieters einmal genauer anzusehen. Dabei ist ein zentraler Punkt die Verschlüsselung, die der Anbieter verwendet. Besser als eine Transportverschlüsselung (TLS) ist die sog. Ende-zu-Ende-Verschlüsselung. Wie der Name schon verrät, wird der Inhalt der Daten vom Absender bis zum Empfänger verschlüsselt, sodass er nur von diesen beiden einsehbar und sogar vor dem Anbieter selbst geschützt ist.

Bleiben noch die Metadaten, mit denen die verschiedenen Anbieter ganz unterschiedlich umgehen. Während einige die Verarbeitung auf ein Minimum reduzieren, gehen andere großzügiger vor und nutzen die Daten für die eigenen Bedürfnisse oder verkaufen sie an Dritte. Auch hier kann der Blick in die Datenschutzbestimmungen die Lage schnell aufhellen. Unklare und intransparente Formulierungen sprechen in der Regel für sich.

Schließlich sollte in die Entscheidung mit einfließen, wo der Anbieter angefallene Daten verarbeitet. Auf der sicheren Seite ist man mit einem Server-Standort in der EU oder im EWR. Für Datenströme nach außerhalb führt die EU-Kommission eine Liste mit Staaten, die ein ausreichendes Datenschutzniveau gewährleisten. Bei den vielen US-Anbietern gilt: Das Unternehmen muss nach dem EU-US Privacy-Shield-Abkommen zertifiziert sein.
Dieses sehen zwar viele aufgrund der bevorstehenden Überprüfung durch den Europäischen Gerichtshof bereits seit längerem auf der Kippe, ist aber bis zu einer gegenteiligen Entscheidung weiterhin eine zulässige datenschutzrechtliche Grundlage. Unternehmen, die besonders vertrauliche Daten über ein US-Kommunikationstool austauschen möchten, sollten zudem die ausgiebigen Zugriffsrechte der amerikanischen Behörden bedenken.


Wichtig: Die datenschutzfreundlichen Einstellungen

Im zweiten Schritt gilt es, dass ausgewählte Tool mit den richtigen Einstellungen einsatzbereit zu machen. Idealerweise handelt es sich um eines, bei dem viele Optionen durch den Nutzer selbst vorgenommen werden können. Die Gewährleistung möglichst datenschutzfreundlicher Voreinstellungen ist sogar ein rechtlicher Grundsatz (vgl. Art. 25 Abs. 2 DSGVO), der beachtet werden muss. Unternehmen sollten sich die Einstellungsmöglichkeiten genau ansehen und überprüfen, was erforderlich ist und worauf verzichtet werden kann. Bei besonders datenschutzrechtlich problematischen Funktionen wie Tracking, Aufzeichnung oder Profilbildung sollte diese Frage umso eindringlicher gestellt werden und im Zweifel gilt es, diese so weit wie möglich auszustellen.

Beispielsweise kann das Schutzniveau mit Passwortschutz von Online-Meetings oder Mehr-Faktor-Authentifizierungen signifikant erhöht werden. Teilweise kann auch die Nutzung von Metadaten durch den Anbieter durch die Nutzer selbst eingeschränkt werden, wie das zum Beispiel bei Microsoft 365 – ehemals Office 365 – möglich ist, zu dessen Paket Outlook und das Messenger- und Videokonferenz-Tool Teams gehören. Ebenfalls zu beachten: Wenn vorhanden, sollte auf die kostenpflichtige und/oder die Business-Version zurückgegriffen werden, da diese in der Regel sicherer sind und mehr Einstellungen ermöglichen. Auch gibt es oft neben einer App noch eine Browser-Version des jeweiligen Tools.

Diese kann risikoreicher sein, häufig weil es weniger Einstellungsmöglichkeiten gibt. So wurde in einer Datenschutz-Folgenabschätzung im Auftrag des niederländischen Justizministeriums bemängelt, dass die Web-Version von Microsoft 365 keine Regulierungsmöglichkeiten bestimmter Datenübermittlungen ermögliche und die Datenübermittlungen nicht einsehbar seien.

Vorsicht mit Adressbüchern

Ein Problem, das vor allem bei der Nutzung von Messengern auftritt, ist die Erfassung von Adressdaten aus dem Kontaktbuch. Viele Unternehmen setzen Messenger zur Kundenkommunikation und zu Marketingzwecken ein. Das prominenteste Beispiel WhatsApp, aber auch andere Dienste lesen das Adressbuch des Nutzers aus und erfassen so auch die Daten Dritter. Um das zu vermeiden, bieten sich – neben dem Rückgriff auf andere Apps – mehrere Möglichkeiten an.


Am einfachsten ist es, separate Geräte zu verwenden, sodass alle Kontaktadressen dieselbe App nutzen und dieselben Nutzungsbestimmungen akzeptiert haben. Alternativ kann auch vor dem Erstkontakt mit den Kunden eine entsprechende Einwilligung eingeholt werden, die dann aber den verhältnismäßig strengen Anforderungen der DSGVO genügen muss und die auch jederzeit widerrufbar ist, was im Nachhinein für Probleme und Unübersichtlichkeit sorgen kann. Als technische Lösung kann auch auf getrennte Adressbücher durch Sicherheitscontainer gesetzt werden. Je nach Einsatzfeld, Art der Daten und individuellen Bedürfnissen musss hier die passende Lösung ermittelt werden.


Zum Schluss: Kommunikationstools datenschutzkonform einsetzen

Im letzten Schritt sollten für die vollständige Erfüllung der datenschutzrechtlichen Anforderungen noch einige Anpassungen vorgenommen werden. Welche Tools jeweils verwendet werden und welche Daten zu welchen Zwecken daraufhin verarbeitet werden, muss sich in der eigenen Datenschutzerklärung wiederfinden. Zudem muss das Verzeichnis der Verarbeitungstätigkeiten (VVT) dahingehend ergänzt werden. In den meisten Fällen muss mit dem Anbieter auch ein Auftragsverarbeitungsvertrag (AVV) geschlossen werden – entsprechende Muster finden sich meist schon auf der jeweiligen Webseite.


© Pavel Timofeev - Fotolia.com
Technologie

Top-Tools für mehr Produktivität im Team

Insgesamt lässt sich also festhalten, dass die meisten Tools datenschutzkonform eingesetzt werden können. Einige Anbieter, darunter viele auch aus Europa, werben sogar mit einer hohen Datensicherheit und sind, wenn es vorrangig um Datenschutz geht, sicherlich erste Wahl. Unternehmen, die aber andere Tools, etwa aufgrund praktischer Funktionen oder der hohen Verbreitung unter den Kunden, verwenden wollen, sollten ihre Möglichkeiten in Bezug auf Datensicherheit so weit wie möglich selbst in die Hand nehmen. Wer die hier genannten Aspekte berücksichtigt und die Risiken im Auge behält, steht auch datenschutzrechtlich auf der sicheren Seite.

AUCH INTERESSANT:


Marketing

12 clevere E-Marketingtools für das kleine Budget


Business Guide

49 Seiten Ratgeber „Kommunikation in der Krise“: Gute Ideen mit kleinem Budget


© imago images / MiS
Business Guide

63 Seiten Roadmap für die „neue Normalität“