Anzeige

Anzeige

VERANSTALTUNGEN

IT-SOURCING 2019 – Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

IT-Sourcing 2019 - Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

MCC CyberRisks - for Critical Infrastructures
12.09.19 - 13.09.19
In Hotel Maritim, Bonn

Rethink! IT 2019
16.09.19 - 17.09.19
In Berlin

Anzeige

Anzeige

DSGVO Mitarbeiter Shutterstock 182474909 700

Die Anpassung der digitalen Kommunikation an die Vorgaben der DSGVO bereitet vielen Unternehmen Kopfzerbrechen: Viele sehen ihre Interessen an Archivierung und zentralem Zugriff durch die gestärkten Datenschutzrechte ihrer Mitarbeiter gefährdet. Näher betrachtet zeigt sich jedoch: Es sind weniger die Betroffenenrechte, die jetzt Maßnahmen erforderlich machen, sondern vielmehr die Sicherheit der Verarbeitung, auf die die DSGVO großen Wert legt.

Ob E-Mails oder Chats, interne oder externe Nachrichten: Die digitale Kommunikation ist einer der Unternehmensprozesse, bei denen die meisten Datenspuren hinterlassen werden – daher ist sie auch mit am stärksten von der Datenschutz-Grundverordnung (DSGVO) betroffen. In vielen Firmen ist jetzt die Unsicherheit groß: Naturgemäß haben sie ein großes Interesse daran, die Nachrichten ihrer Mitarbeiter zentral zu archivieren und bei Bedarf darauf zuzugreifen, zum Beispiel., wenn ein Mitarbeiter überraschend ausfällt oder um bei Rechtsstreitigkeiten Nachweise zu erbringen. Doch inwiefern wird diese Datenhoheit des Unternehmens nun durch die DSGVO eingeschränkt? Führt die Archivierung der Korrespondenz zu Konflikten mit dem Datenschutz? Müssen Nachrichten von Ex-Mitarbeitern jetzt gelöscht werden?

Am grundlegenden Archivierungsrecht ändert sich nichts

Die gute Nachricht: Ein genauerer Blick auf die aktuelle Gesetzeslage entkräftet viele dieser Befürchtungen. Unternehmen dürfen die geschäftliche Korrespondenz ihrer Mitarbeiter auch weiterhin archivieren. Dies gilt nicht nur, wenn gesetzliche Pflichten greifen – auch das ureigene Interesse an Nachvollziehbarkeit und Kontrolle ist weiterhin ein gültiger Grund.

Dies gilt in der Regel auch für die Nachrichten ehemaliger Mitarbeiter. Diese haben zwar grundsätzlich ein Recht auf Vergessenwerden gegenüber ihrem Arbeitgeber – bei geschäftlicher Korrespondenz überwiegen jedoch nach verbreiteter Expertenmeinung meist die Belange des Arbeitgebers. Die Begründung: Hier würde das Löschen der Nachrichten einzelner Beteiligter meist ganze Kommunikationsverläufe auseinanderreißen und die Nachvollziehbarkeit stark beeinträchtigen.

Trotz allem dürfen Archivierung und zentraler Zugriff natürlich nicht in Überwachung ausarten: Daher ist zum einen der Grundsatz der Verhältnismäßigkeit zu beachten, der etwa anlassloses und dauerhaftes Mitlesen verbietet, aber auch das Transparenzgebot: Dem zufolge müssen Unternehmen ihre Nutzer vorab über die zentrale Speicherung der Nachrichten sowie über geplante Kontrollmechanismen informieren. Aber auch auf technischer Ebene sollten Maßnahmen ergriffen werden, die Missbrauch vorbeugen und dadurch nicht zuletzt die Akzeptanz der Mitarbeiter erhöhen. Empfehlenswert sind zum Beispiel ein Audit-Log oder die automatische Benachrichtigung von Nutzern, auf deren Nachrichten zugegriffen wird.

Forderung nach Sicherheit rückt in den Fokus

Den größten Handlungsbedarf dürfte jedoch bei vielen Unternehmen die Forderung nach Sicherheit der Verarbeitung nach sich ziehen. Dieser kommt in der DSGVO ein hoher Stellenwert zu, dem bisher übliche Kommunikationslösungen, wie etwa E-Mail, oft nicht ausreichend gerecht werden. Auch die Nutzung privater Messenger wie WhatsApp und Co. ist zu einem handfesten Problem geworden: So liest WhatsApp standardmäßig das Adressbuch des Geräts im Klartext aus – also sämtliche Kontaktdaten von Kollegen, Kunden und Partnern. Ein klarer DSGVO-Verstoß, der viele Unternehmen ganz konkret betrifft: In einer branchenübergreifenden Umfrage der Brabbler AG gaben 49 % der Befragten an, WhatsApp auf dem geschäftlichen Smartphone installiert zu haben – und das, obwohl fast jedem zweiten davon die damit einhergehenden Datenschutzrisiken für ihren Arbeitgeber bewusst sind.

Das Problem: Verschlüsselung und Archivierung schließen sich bisher oft aus

Die Herausforderung für Unternehmen liegt also darin, DSGVO-konforme Messaging-Alternativen zu finden, die den Schutz der Vertraulichkeit nach außen hin sicherstellen – auch gegenüber dem Anbieter. Gleichzeitig aber müssen diese Lösungen so konzipiert sein, dass das eingangs erwähnte Archivierungsinteresse der Firmen gewahrt bleibt. Viele verschlüsselte Business-Messenger am Markt tun gerade das aber nicht: Die einzelnen Schlüssel liegen meist nur auf den Geräten der Nutzer, ein zentraler Zugriff auf Klartextdaten ist damit ausgeschlossen.

Gefragt sind daher neue Verschlüsselungskonzepte, die Unternehmen eine Art Generalschlüssel bieten, mit dem sich bei Bedarf auch an zentraler Stelle Nachrichten entschlüsseln lassen. Nur das verhindert, dass die DSGVO-Forderung nach Sicherheit zulasten berechtigter Archivierungsinteressen geht.

Ein kostenloses E-Book zur digitalen Kommunikation unter der DSGVO sollte hier zum Download stehen.

Fabio MartiFabio Marti, Director Business Development, Brabbler AG (Quelle: Brabbler)
 

GRID LIST
Gesundheitswesen Cyber Security

Datenschutz und Verschlüsselung im Gesundheitswesen mangelhaft

Um den Datenschutz im Gesundheitswesen ist es schlecht bestellt: Eine neue Studie der GDV…
EU-Flagge

DSGVO-konforme Generierung von Testdaten mit Eperi jetzt möglich

Eperi, Experte für Cloud-Data-Protection-Lösungen, bringt eine neue Lösung für die…
Efail E-Mail-Security

Der Kampf gegen Efail geht weiter

Die Entdeckung der Sicherheitslücke Efail kam einem SuperGAU gleich: 2018 entdeckte ein…
E-Mail Security

E-Mail-Verschlüsselung mit PGP ist nicht sicher

In letzter Zeit traten gehäuft Probleme bei der Verwendung von PGP und Keyservern auf:…
Datensicherheit Erdkugel

Wer seine Daten nicht schützt, wird zum Verlierer

Die Gefahren im neuen digitalen Zeitalter wachsen, neue „Spielregeln“ verändern die Welt.…
DSGVO Last

Innovationsbremse DSGVO: Hemmnis für europäische Start-Ups

Vor rund einem Jahr ist die zweijährige Übergangsfrist der Datenschutzgrundverordnung…