DSGVO-konforme Kommunikation:„Wird schon gutgehen“ funktioniert nicht mehr

21. Oktober 2019

Mehr als zwei Jahre Vorlaufzeit hatte die Datenschutzgrundverordnung (DSGVO), bevor es ernst wurde. Seit fast 18 Monaten ist sie nun in Kraft. Und trotzdem tun sich bei der Umsetzung in deutschen Unternehmen noch überraschend große Lücken auf. Das zeigt die aktuelle Business-Studie der Brabbler AG, die zum ersten DSGVO-Jahrestag im Mai 2019 durchgeführt wurde.

Als besonders auffällig hat sich die Ahnungslosigkeit unter Mitarbeitern der Geschäftsführung herausgestellt. Von ihnen gab ein Drittel an, noch immer nicht konkret zu wissen, worum es bei der DSGVO geht. Dementsprechend hinkt auch die Umsetzung hinterher: So wurden laut Aussage der Teilnehmer bei etwa einem Fünftel der Firmen lediglich erste Maßnahmen umgesetzt. Bei 5 Prozent wurde noch gar nicht mit der Umsetzung begonnen.

Anzeige
corp x opta

Wirklich DSGVO-konform sind laut Aussage der Teilnehmer bisher nur 38 Prozent der deutschen Unternehmen. Zu einem ähnlichen Ergebnis kommt Capgemini in einer aktuellen Bilanz.

Kommunikation zählt zu den größten Baustellen

Besonders das Thema Kommunikation gehört in vielen Firmen zu den offenen DSGVO-Baustellen – dabei ist gerade das ein kritischer Bereich. Schließlich ist Kommunikation die Basis für so gut wie jeden Geschäftsprozess und findet täglich hundertfach in jedem Unternehmen statt. Ob rein intern oder mit externen Kommunikationspartnern, ob per E-Mail oder Chat: Personenbezogene Daten sind in jedem Fall im Spiel.

b ginlo at work survey report
Jede Menge offene Baustellen: Bei der Umsetzung der DSGVO hinken viele deutsche Firmen noch hinterher. Quelle: Brabbler AG

Dazu zählen einerseits die Metadaten der Gesprächsteilnehmer, die immer anfallen (z. B. Mail-Adressen, Nutzer-IDs oder IP-Adressen). Andererseits können aber auch die Inhaltsdaten selbst personenbezogen sein, etwa wenn Kundenkontaktdaten oder Notizen aus dem Personalgespräch ausgetauscht werden. Damit ist Kommunikation ein klarer Anwendungsfall für die DSGVO, mit personenbezogenen Daten von Mitarbeitern, Partnern und Kunden, die es zu schützen gilt.

Firmen und das WhatsApp-Problem

Umso erschreckender ist die Sorglosigkeit, die viele Unternehmen beim Thema Kommunikation an den Tag legen. Besonders besorgniserregend ist dabei der Trend, private Apps im beruflichen Kontext zu nutzen. So haben laut der erwähnten Studie 53 Prozent der Berufstätigen WhatsApp auf ihrem geschäftlich genutzten Smartphone installiert.

Das Problem dabei: WhatsApp liest die Geräte-Adressbücher inklusive Kontaktdaten von Kollegen, Kunden oder Partnern aus und gibt diese ohne deren Zustimmung an die Konzernmutter Facebook weiter – ein klarer DSGVO-Verstoß. Um hier gegenzusteuern, belassen es viele Unternehmen leider bei Verboten und Aufklärungsversuchen.

Als Lösung taugt diese Strategie aber nicht, wie ein Vergleich mit den Studienergebnissen aus dem Vorjahr verdeutlicht: Obwohl die Anzahl der Beschäftigten, die sich der WhatsApp-Datenschutzrisiken bewusst sind, von gut 50 Prozent auf knapp zwei Drittel gestiegen ist, hat die geschäftliche Verbreitung von WhatsApp im letzten Jahr sogar noch zugenommen. Auch unter denen „aufgeklärten“ Nutzern.

b ginlo at work survey report
Aufklären reicht nicht: Trotz zunehmendem Datenschutzbewusstsein nicht auf die WhatsApp-Verbreitung zu. Quelle: Brabbler AG

Begründet liegt dieses Paradox vermutlich im Wunsch nach effektiver und unkomplizierter Kommunikation. Auf diese Vorzüge des Instant Messaging wollen viele Mitarbeiter verständlicherweise auch am Arbeitsplatz nicht mehr verzichten. Genau hier sollten Unternehmen also ansetzen und DSGVO-konforme Alternativen bereitstellen.

Leider geht es in der Realität nur sehr langsam vorwärts: Laut Aussage der Studienteilnehmer bekommen 62 Prozent der Beschäftigten keinen offizieller Business-Messenger zur Verfügung gestellt – das sind nur 3 Prozentpunkte weniger als im Vorjahr.

Weiter Abwarten ist eine riskante Strategie

Die überwiegende Mehrheit deutscher Unternehmen scheint also nach dem Prinzip „wird schon gutgehen“ zu verfahren und sich vor Sanktionen relativ sicher zu fühlen. Schließlich sind die vorab befürchteten Millionenstrafen bisher weitgehend ausgeblieben. Ausnahmen, wie etwa die in Frankreich gegen Google verhängte Rekordstrafe von 50 Millionen, betreffen meist Großkonzerne, sodass gerade kleinere Unternehmen bei sich selbst keinen großen Handlungsbedarf zu sehen scheinen.

Viele Aufsichtsbehörden haben sich zwar bisher der Beratung gewidmet. Für die Zukunft sind jedoch verstärkt Kontrollen geplant – selbst, wenn keine konkreten Beschwerden vorliegen. DSGVO-Mängel sollte also kein Unternehmen mehr auf die leichte Schulter nehmen.

Compliance und eigene Sicherheitsinteressen gehen Hand in Hand

b ginlo at work survey report
Handeln dringend geboten: DSGVO-konforme WhatsApp-Alternativen fehlen in den meisten Unternehmen. Quelle: Brabbler AG

Doch mal ganz abgesehen von drohenden Strafen: Sollte die DSGVO mit ihren Forderungen nicht eigentlich offene Türen einrennen – gerade beim Thema Kommunikation? Maßnahmen für mehr Datensicherheit und Datenminimierung sind schließlich weit mehr als ein Compliance-Thema.

Sie geben Ihnen als Firma die Hoheit über Ihre Daten zurück und bieten so wirkungsvollen Schutz für die Vertraulichkeit Ihrer sensiblen Interna. Letztlich handeln Sie also im ureigenen Interesse, wenn Sie in DSGVO-konforme Kommunikationssysteme investieren. Achten Sie dabei darauf, dass folgende Voraussetzungen erfüllt sind:

  • Vollverschlüsselung: Die Ende-zu-Ende-Verschlüsselung auf dem Weg zwischen Sender und Empfänger reicht nicht. Auch ruhende Daten auf dem Endgerät müssen verschlüsselt sein, damit auch der Geräteverlust kein Risiko für Sie darstellt.
  • Kein Adressbuchabgleich im Klartext: Für das Identifizieren von Kontakten reicht auch der Abgleich pseudonymisierter Adressbucheinträge, z. B. durch Hashen.
  • Anbieterabschirmung: Der Zugriff auf Klartextinhalte darf nur für Sie als Kunde möglich sein, nicht für den Anbieter.
  • Löschroutinen beim Anbieter: So werden sensible Daten automatisch gelöscht, wenn diese nicht mehr zwingend nötig sind.
  • Trennung privater und geschäftlicher Daten: Am besten über eine eigenständigen Business-App, die Inhalte sicher gegenüber anderen Anwendungen auf dem Gerät abschirmt.

Derartige Funktionalitäten bekommt man bei den üblichen Anbietern aus dem Silicon Valley wohl kaum. Stattdessen sollten Unternehmen zu DSGVO-konformen Alternativen „Made in Europe“ greifen. Das stärkt die EU als digitalen Standort und macht uns alle ein Stück weit unabhängiger von der zunehmenden Übermacht amerikanischer und asiatischer Digital-Konzerne.

Fabio Marti ist Director Business Development für ginlo Business.

Brabbler AG

Lesen Sie auch