vectorfusionart - stock.adobe.co
Was der Datenschutz bei Messenger-Nutzung verlangt
Werden Messenger für die Übermittlung personenbezogener Daten genutzt, muss die Datenschutz-Grundverordnung beachtet werden. Die Aufsichtsbehörden haben Hinweise veröffentlicht.
E-Mail ist in den DACH-Ländern der relevanteste Dienst im Internet, so eine Studie von Web.de. Für mehr als ein Viertel der Befragten ist sie unverzichtbar, in Deutschland sind es 28,4 Prozent, in Österreich 28,1 Prozent und in der Schweiz 31,4 Prozent. Erst dahinter platzieren sich in der DACH Region die Instant Messenger (20,6 Prozent).
Die MessengerPeople Studie 2019 zeigt jedoch, dass knapp zwei Drittel (58 Prozent der Unternehmensentscheider angeben, dass für ihr Unternehmen Messenger-Apps wie WhatsApp, Facebook Messenger, Apple Business Chat oder Telegram in der Zukunft einen festen Bestandteil im Kundenservice darstellen werden. Messenger werden heute bereits von rund 21 Prozent der deutschen Firmen als Servicekanal eingesetzt.
Folgende Vorteile sehen Unternehmensentscheider beim Einsatz von WhatsApp und Co. im Kundenservice: Neben der „schnelleren Bearbeitung von Anfragen“ (41 Prozent) und des „einfachen Zugangs durch die weit verbreitete Nutzung“ (41 Prozent) die Möglichkeit des „Senden und Empfangen multimedialer Inhalte“ (38 Prozent) sowie die Option „im Kundenservice mehrere Anfragen parallel zu beantworten“ (30 Prozent). Doch was ist mit dem Datenschutz?
Der Einsatz von Messenger-Diensten im Kundenservice hat ohne Zweifel die Verarbeitung personenbezogener Daten, eben der Kundendaten, zur Folge. Entsprechend sind Messenger-Dienste ein Datenschutzthema.
Messenger-Nutzung selbst in kritischen und sensiblen Bereichen
Selbst in Krankenhäusern werden Messenger-Dienste von dem Personal eingesetzt. Angesichts der fortschreitenden Digitalisierung des Gesundheitswesens forderte kürzlich die Datenschutzkonferenz (DSK, Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder) sicherzustellen, dass Patientendaten in medizinischen Einrichtungen jeder Größe nach dem Stand der Technik geschützt werden. Für den Einsatz von Messenger-Diensten im Krankenhausbereich wurden technische Anforderungen zusammengestellt, die als Grundlage für weitere Gespräche mit den einschlägigen Verbänden (DKG, VKD, KH-IT, BÄK, bvitg) dienen sollen.
Diese technischen Anforderungen gelten für den Einsatz in einem so sensiblen Bereich wie einem Krankenhaus. Sie können aber auch als Maßgabe dienen, wenn es in anderen Bereichen erhöhte Anforderungen an den Datenschutz bei Verwendung von Messenger-Programmen gibt. Deshalb lohnt es sich auch für andere Branchen, diese Anforderungen nach Datenschutz-Grundverordnung (DSGVO/GDPR) genau anzusehen.
Datenschutzanforderungen an Messenger-Dienste
Die Aufsichtsbehörden haben sowohl Muss-Anforderungen an Messenger-Dienste bei Einsatz in sensiblen Bereichen wie Krankenhäusern aufgestellt als auch solche Anforderungen, die alternative Vorgehensweisen zulassen oder nur wünschenswert wären. An dieser Stelle sollen die gesetzlich verpflichtenden Anforderungen (Muss) näher betrachtet werden, die sich nicht nur speziell auf den Bereich Krankenhaus beziehen. Die Aufsichtsbehörden haben dabei unter anderem die Messenger-App, das genutzte Endgerät und die Kommunikation betrachtet.
Messenger-Applikation
- Die App muss die Möglichkeit bieten, die Nutzerinnen und Nutzer entsprechend Art. 13 DSGVO über die mit der Nutzung verbundene Datenverarbeitung zu unterrichten. Die Informationen müssen in einem klar erkennbaren Bereich (beispielsweise Hinweise zum Datenschutz, Datenschutzerklärung) für den jederzeitigen Zugriff hinterlegt sein.
- Die App muss über die Möglichkeit verfügen, die Nutzung beziehungsweise den Zugriff auf die darüber gespeicherten Daten an eine eigene vorherige Authentifizierung (beispielsweise PIN, Fingerabdruck etc.) zu knüpfen. Diese kann auf betriebssystemseitige Funktionen zurückgreifen, muss sich jedoch vom Schutz zur Entsperrung des Mobilgeräts unterscheiden.
- Die App muss über die Möglichkeit verfügen, Kontaktdaten von Kommunikationsteilnehmern in einem eigenen, vom allgemeinen Adressbuch des Smartphones getrennten Speicher abzulegen.
- Die App muss über die Möglichkeit verfügen, Nachrichten sowie Dateianhänge wie Bilder, Videos, Dokumente etc. ausschließlich in einem eigenen, von den allgemeinen Speicherbereichen des Smartphones getrennten Speicher in verschlüsselter Form abzulegen.
- Werden elektronische Signaturen oder andere elektronischer Zertifikate genutzt, muss ein Zertifikatsmanagement vorhanden sein.
- Die App muss über die Möglichkeit verfügen, die über sie verwalteten Daten gezielt oder allgemein zu löschen (Nachrichten, Dateien, Kontakte etc.).
- Soweit im Rahmen der Nutzung der Applikation Dienste Dritter zur Fehleranalyse eingebunden werden, muss dies offen erkennbar dargestellt und als optional gekennzeichnet werden; die für eine Übermittlung zur Fehlersuche vorgesehenen Datenkategorien müssen klar erkennbar sein. Eine entsprechende Datenübermittlung muss in der Voreinstellung deaktiviert sein.
- Mit Blick auf die Verfügbarkeit der Daten muss die Applikation über die Möglichkeit einer Sicherung der Kontaktdaten/Inhaltsdaten/Kommunikationsvorgänge verfügen. Soweit die Speicherung durch einen Dienstleister übernommen wird, welcher nicht die Anforderungen des Art. 9 Abs. 3 DSGVO erfüllt, muss die Möglichkeit bestehen, die Daten nach dem Stand der Technik vor ihrer Übergabe derart zu verschlüsseln, dass eine Entschlüsselung nur mit einem Schlüssel möglich ist, der nicht an den Dienstleister offenbart und separat gesichert wird.
- Für die Messenger-Lösung ist durch das Anwenderunternehmen und gegebenenfalls den beauftragten Auftragsverarbeiter ein geeigneter Nachweis darüber zu führen, dass die für die Erfüllung der Datenschutz-Grundsätze und die Gewährleistung der Sicherheit der Verarbeitung nach Art. 25 Abs. 1 bzw. 32 DSGVO enthaltenen Funktionen effektiv implementiert wurden bzw. bei den jeweiligen Verarbeitungsvorgängen die Vorgaben der DSGVO eingehalten werden.
- Die Applikation muss hinsichtlich ihrer Konfigurationseinstellungen dem Grundsatz datenschutzgerechter Voreinstellungen (Art. 25 Abs. 2 DSGVO) entsprechen.
Kommunikation über den Messenger
- Die Vertraulichkeit und Integrität der über den Messenger-Dienst geführten Kommunikation muss unter Berücksichtigung des Stands der Technik über eine Ende-zu-Ende-Verschlüsselung zwischen den Kommunikationsteilnehmern gewährleistet werden.
- Weiterhin muss zur Gewährleistung der Integrität der Informationen, wenn diese für nachfolgende Maßnahmen von Bedeutung ist, dafür Sorge getragen werden, dass alle kommunizierten Daten beim Empfänger ankommen. Wird eine Mitteilung seitens eines Messengers auf mehrere Nachrichten verteilt (zum Beispiel weil der Messenger pro Nachricht nur eine bestimmte Zeichenzahl oder Dateigröße zulässt), müssen Mechanismen integriert sein, die dem Empfänger mitteilen, ob die gesendete Mitteilung vollzählig angekommen ist oder ob einzelne Nachrichten fehlen.
- Verbindungsdaten zu der über den Messenger-Dienst geführten Kommunikation (beispielsweise Kommunikationsteilnehmer, Zeitpunkt, Geräte- und Standortdaten) dürfen nur solange und soweit gespeichert werden, wie es für die Übermittlung von Nachrichten durch einen Dienstleister oder im Rahmen einer notwendigen Dokumentation erforderlich ist. Die Kommunikations-bzw. Metadaten dürfen ausschließlich für eigene Zwecke des Anwenderunternehmens genutzt werden. Eine Nutzung für andere Zwecke durch den Hersteller der Lösung oder den Plattformbetreiber (zum Beispiel für Werbezwecke) ist unzulässig.
Sicherheit der Endgeräte (Smartphones, Tablets)
- Die eingesetzten Endgeräte müssen über einen wirksamen Zugriffschutz verfügen (beispielsweise PIN/Passphrase, biometrische Lösungen). Der interne Speicher der Geräte muss durch Verschlüsselung so geschützt werden, dass eine Entschlüsselung die Kenntnis der Anmeldedaten voraussetzt.
- Es dürfen lediglich Geräte zum Einsatz kommen, deren Betriebssystemversion durch den Hersteller der Betriebssystemplattform (Google beziehungsweise Apple) aktuell mit Sicherheitspatches versorgt werden und bei denen alle derartigen Sicherheitspatches angewandt wurden.
- Die Endgeräte müssen einem Dienst für das Mobile Device Management (MDM) unterworfen werden.
Auch Unternehmen außerhalb der Gesundheitsbranche sollten diese Forderungen ernst nehmen, insbesondere wenn sie ebenfalls mit personenbezogenen Daten besonderer Kategorien (Artikel 9 DSGVO) umgehen oder es andere Gründe für einen erhöhten Schutzbedarf gibt.