Der Spagat zwischen DSGVO und Unternehmensinteressen

Die Anpassung der digitalen Kommunikation an die Vorgaben der DSGVO bereitet vielen Unternehmen Kopfzerbrechen: Viele sehen ihre Interessen an Archivierung und zentralem Zugriff durch die gestärkten Datenschutzrechte ihrer Mitarbeiter gefährdet. Näher betrachtet zeigt sich jedoch: Es sind weniger die Betroffenenrechte, die jetzt Maßnahmen erforderlich machen, sondern vielmehr die Sicherheit der Verarbeitung, auf die die DSGVO großen Wert legt.

Ob E-Mails oder Chats, interne oder externe Nachrichten: Die digitale Kommunikation ist einer der Unternehmensprozesse, bei denen die meisten Datenspuren hinterlassen werden – daher ist sie auch mit am stärksten von der Datenschutz-Grundverordnung (DSGVO) betroffen. In vielen Firmen ist jetzt die Unsicherheit groß: Naturgemäß haben sie ein großes Interesse daran, die Nachrichten ihrer Mitarbeiter zentral zu archivieren und bei Bedarf darauf zuzugreifen, zum Beispiel., wenn ein Mitarbeiter überraschend ausfällt oder um bei Rechtsstreitigkeiten Nachweise zu erbringen. Doch inwiefern wird diese Datenhoheit des Unternehmens nun durch die DSGVO eingeschränkt? Führt die Archivierung der Korrespondenz zu Konflikten mit dem Datenschutz? Müssen Nachrichten von Ex-Mitarbeitern jetzt gelöscht werden?

Anzeige

Am grundlegenden Archivierungsrecht ändert sich nichts

Die gute Nachricht: Ein genauerer Blick auf die aktuelle Gesetzeslage entkräftet viele dieser Befürchtungen. Unternehmen dürfen die geschäftliche Korrespondenz ihrer Mitarbeiter auch weiterhin archivieren. Dies gilt nicht nur, wenn gesetzliche Pflichten greifen – auch das ureigene Interesse an Nachvollziehbarkeit und Kontrolle ist weiterhin ein gültiger Grund.

Dies gilt in der Regel auch für die Nachrichten ehemaliger Mitarbeiter. Diese haben zwar grundsätzlich ein Recht auf Vergessenwerden gegenüber ihrem Arbeitgeber – bei geschäftlicher Korrespondenz überwiegen jedoch nach verbreiteter Expertenmeinung meist die Belange des Arbeitgebers. Die Begründung: Hier würde das Löschen der Nachrichten einzelner Beteiligter meist ganze Kommunikationsverläufe auseinanderreißen und die Nachvollziehbarkeit stark beeinträchtigen.

Trotz allem dürfen Archivierung und zentraler Zugriff natürlich nicht in Überwachung ausarten: Daher ist zum einen der Grundsatz der Verhältnismäßigkeit zu beachten, der etwa anlassloses und dauerhaftes Mitlesen verbietet, aber auch das Transparenzgebot: Dem zufolge müssen Unternehmen ihre Nutzer vorab über die zentrale Speicherung der Nachrichten sowie über geplante Kontrollmechanismen informieren. Aber auch auf technischer Ebene sollten Maßnahmen ergriffen werden, die Missbrauch vorbeugen und dadurch nicht zuletzt die Akzeptanz der Mitarbeiter erhöhen. Empfehlenswert sind zum Beispiel ein Audit-Log oder die automatische Benachrichtigung von Nutzern, auf deren Nachrichten zugegriffen wird.

Forderung nach Sicherheit rückt in den Fokus

Den größten Handlungsbedarf dürfte jedoch bei vielen Unternehmen die Forderung nach Sicherheit der Verarbeitung nach sich ziehen. Dieser kommt in der DSGVO ein hoher Stellenwert zu, dem bisher übliche Kommunikationslösungen, wie etwa E-Mail, oft nicht ausreichend gerecht werden. Auch die Nutzung privater Messenger wie WhatsApp und Co. ist zu einem handfesten Problem geworden: So liest WhatsApp standardmäßig das Adressbuch des Geräts im Klartext aus – also sämtliche Kontaktdaten von Kollegen, Kunden und Partnern. Ein klarer DSGVO-Verstoß, der viele Unternehmen ganz konkret betrifft: In einer branchenübergreifenden Umfrage der Brabbler AG gaben 49 % der Befragten an, WhatsApp auf dem geschäftlichen Smartphone installiert zu haben – und das, obwohl fast jedem zweiten davon die damit einhergehenden Datenschutzrisiken für ihren Arbeitgeber bewusst sind.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Das Problem: Verschlüsselung und Archivierung schließen sich bisher oft aus

Die Herausforderung für Unternehmen liegt also darin, DSGVO-konforme Messaging-Alternativen zu finden, die den Schutz der Vertraulichkeit nach außen hin sicherstellen – auch gegenüber dem Anbieter. Gleichzeitig aber müssen diese Lösungen so konzipiert sein, dass das eingangs erwähnte Archivierungsinteresse der Firmen gewahrt bleibt. Viele verschlüsselte Business-Messenger am Markt tun gerade das aber nicht: Die einzelnen Schlüssel liegen meist nur auf den Geräten der Nutzer, ein zentraler Zugriff auf Klartextdaten ist damit ausgeschlossen.

Gefragt sind daher neue Verschlüsselungskonzepte, die Unternehmen eine Art Generalschlüssel bieten, mit dem sich bei Bedarf auch an zentraler Stelle Nachrichten entschlüsseln lassen. Nur das verhindert, dass die DSGVO-Forderung nach Sicherheit zulasten berechtigter Archivierungsinteressen geht.

Ein kostenloses E-Book zur digitalen Kommunikation unter der DSGVO sollte hier zum Download stehen.

Fabio MartiFabio Marti, Director Business Development, Brabbler AG (Quelle: Brabbler)
 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.