Wenn der private Google Kalender zum Datenschutzproblem in der Firma wird
Der Abgleich zwischen Firmenkalender und privatem Google Kalender kann den Datenschutz verletzen, wenn vertrauliche Daten betroffen sind.
Vertragsrecht, Datenschutz, Informationssicherheit und Compliance bereiten Unternehmen, die Cloud Computing nutzen wollen, bislang die meisten Bauchschmerzen, so der Präsident des Hightech-Verbandes BITKOM. Für 31 Prozent der deutschen Unternehmen kommt Cloud Computing nicht infrage. Unter den Cloud-Anwendern setzen 36 Prozent auf eine Private Cloud, für Public Clouds haben sich nur 15 Prozent entschieden.
Doch selbst wenn sich Unternehmen gegen ein Public-Cloud-Angebot wie Google Drive entschieden haben, könnten ihre vertraulichen Daten dort landen. Dazu reicht schon das weit verbreitete Vorgehen vieler Mitarbeiterinnen und Mitarbeiter, die betriebliche Terminverwaltung zum Beispiel mit dem privaten Google Kalender (Google Calendar) abzugleichen.
Datenschutz: Nicht nur reine Termindaten können betroffen sein
Betrachtet man die Datenkategorien, die einem Online-Kalender wie dem Google Kalender anvertraut werden, sind zahlreiche Daten mit Personenbezug darunter: Neben Namen, Vornamen und E-Mail-Adresse des Nutzers sind auch die entsprechenden Daten der Gesprächspartner zu finden. Der Inhalt des Termins wird beschrieben, der Ort des Treffens, der Zeitpunkt und die Dauer sowie mögliche Terminwiederholungen. Mitunter werden den Gesprächsteilnehmern zudem umfangreiche Beschreibungen zum Thema des Termins mitgeliefert als Vorbereitung des Treffens.
Wird der betriebliche Kalender durch einen Mitarbeiter mit dem privaten Google Kalender synchronisiert, um zum Beispiel alle aktuellen Termine auf dem Android-Smartphone mitzuführen, findet eine Übertragung der Daten in eine Cloud-Umgebung von Google statt. Ähnliches passiert bei dem Abgleich des Firmenkalenders mit anderen Online- oder Cloud-Kalendersystemen.
Termine im Blick, nicht aber den Datenschutz
Es erscheint zwar löblich, wenn Mitarbeiterinnen und Mitarbeiter eine aktuelle Übersicht über all ihre Termine wahren wollen und deshalb auch die betrieblichen Termine in ihren privaten Online-Kalender aufnehmen. Die möglichen Folgen für den Datenschutz aber sind nicht zu unterschätzen. Die Termine in einem Kalender wie dem Google Kalender befinden sich nicht nur lokal auf dem Endgerät des Mitarbeiters oder der Mitarbeiterin. Bereits dieser Umstand kann ein Datenrisiko darstellen, da die Terminverwaltung auf Smartphones nicht automatisch verschlüsselt ist. Ein Gerätedieb könnte also die Termine und damit auch die Firmendaten aus der Synchronisation einsehen.
Bei einem Online-Kalender als Cloud-Dienst kommt noch hinzu, dass die Firmendaten bei einer Kalenderfreigabe durch den Nutzer unbefugten Dritten zugänglich werden können. So wirbt zum Beispiel Google Kalender explizit damit, dass die Kalendereinträge für „Kollegen, Freunde und die ganze Welt freigegeben“ werden können. Bei vertraulichen Projektterminen und Kalendereinträgen, die Kundendaten umfassen, würde dies allerdings einen ungewollten Datenabfluss zur Folge haben.
Werbung passend zum Kundentermin
Nicht vergessen sollten Sie zudem, dass die Betreiber eines Online-Kalenders nicht nur den aktuellen Standort des Nutzers auswerten könnten, um zielgenau Werbung zu platzieren. Auch die nächsten Aufenthaltsorte laut Kalenderdaten könnten zu Werbezwecken ausgewertet werden. Wenn also am nächsten Tag ein Termin am Frankfurter Flughafen ansteht und schon heute eine entsprechende Werbung von nahe gelegenen Shops angezeigt wird, sollte dies die Nutzer wachrütteln, dass die Daten in Online-Kalendern durchaus zu anderen Zwecken ausgewertet werden könnten als zur reinen Terminerinnerung.
Kalenderabgleich kann zu Datenübermittlung, Cloud-Nutzung und Datenabfluss führen
Der scheinbar harmlose Abgleich zwischen einem privaten Online-Kalender wie Google Kalender und dem betrieblichen Kalender, den viele Mitarbeiterinnen und Mitarbeiter zum Beispiel für ihr Notebook oder Android-Smartphone durchführen, kann also gleich mehrere Auswirkungen auf den betrieblichen Datenschutz haben:
- Die betrieblichen Daten könnten zusammen mit den privaten Termindaten des Nutzers ausgewertet werden, zum Beispiel für Werbung passend zum nächsten Termin.
- Die Nutzer könnten versehentlich zusammen mit ihren privaten Terminen auch vertrauliche Daten gegenüber Dritten veröffentlichen, indem sie ihren Kalender freigeben.
- Personenbezogene Daten und andere vertrauliche Informationen könnten ungewollt in eine Cloud gelangen, auch wenn Unternehmen aus Sicherheitsgründen kein Cloud Computing machen wollen.
Richtlinien aufstellen, Verschlüsselungslösung suchen
Unternehmen sollte es deshalb nicht versäumen, interne Richtlinien zu erlassen und bekannt zu geben, ob und wenn ja welche Kalenderdaten durch die Mitarbeiter auf privaten Geräten bzw. mit privaten Kalendern synchronisiert werden dürfen. Dabei sollten auch die Kalender-Dienste benannt werden, mit denen ein Datenabgleich erlaubt ist.
Zusätzlich empfiehlt sich die Suche nach geeigneten Schutzmechanismen, die die vertraulichen Daten innerhalb von Kalendern gegen unbefugte Einsichtnahme schützen können. Ein interessantes Beispiel wurde in Rheinland-Pfalz mit dem Wissenschaftspreis ausgezeichnet. Die prämierte Arbeit betrachtet genau die Frage „Google-Online-Kalender: Datenschutzproblematik und Lösung“. Die dort vorgestellte Verschlüsselungslösung verhindert allerdings die Synchronisation, wie der Verfasser unterstreicht. Möglich wird hingegen ein Schutz vieler personenbezogener Kalenderdaten gegen eine Auswertung durch Google oder andere Dritte.