04.11.2021

Einsatz von Messenger-Diensten in Unternehmen: Rechtswissenschaftliche Studie und Leitfaden vorgelegt

Rechtskonform kommunizieren und hohe Geldbußen vermeiden: FZI Forschungszentrum Informatik analysiert komplexe Rechtslage und leitet Handlungsempfehlungen für Organisationen ab / Schutz von personenbezogenen Daten und Geschäftsgeheimnissen sind wichtige Kriterien für die Auswahl eines geeigneten Instant-Messengers / Viele für die Privatnutzung angebotenen Messenger-Dienste sind kaum für den Einsatz in Unternehmen geeignet / Studie und Leitfaden als „open access“ veröffentlicht

Messenger-Dienste als schnelles und flexibles Kommunikationsinstrument sind auch für den Einsatz in Unternehmen und in der Verwaltung von Interesse. Die Rechtslage insbesondere beim Schutz von personenbezogenen Daten und Geschäftsgeheimnissen ist jedoch komplex, und die bei Verstößen drohenden Sanktionen können schnell zum Hemmnis werden. Wissenschaftler*innen des Themenfelds Recht vom FZI Forschungszentrum Informatik haben die derzeitige Rechtslage aufbereitet, welche bereits die aktuelle Novellierung des Telemedien- und Telekommunikationsrechts in Deutschland einbezieht. Mit einer Studie mit 11-Punkte-Checkliste sowie einem zusätzlichen Kurzleitfaden für Unternehmen ist eine fundierte wissenschaftliche Grundlage für die Auswahl eines Instant-Messengers zur internen und externen Kommunikation entstanden. Die Studie „Daten- und Geheimnisschutz bei der Kommunikation im Unternehmenskontext“ mit Fokus auf Messengerdienstlösungen wurde im November 2021 frei zugänglich („open access“) veröffentlicht.

Bei der Kommunikation innerhalb von Unternehmen sowie mit Kunden und Geschäftspartnern spielen Instant-Messenger eine immer wichtigere Rolle. Sie ermöglichen den schnellen, unkomplizierten Austausch von Informationen und Dokumenten per Mobiltelefon. Während der Corona-Pandemie, in der Millionen Beschäftigte zu Hause arbeiteten, hat die Bedeutung der Messenger-Dienste noch zugenommen. Laut einer Studie des Digitalverbands Bitkom vom Mai 2021 nutzen zwei Drittel (66 Prozent) aller Unternehmen Messenger-Dienste für die interne und externe Kommunikation. Im Jahr davor waren es 50 Prozent und 2018 erst 37 Prozent. Angesichts der hohen rechtlichen Anforderungen zum einen an den Datenschutz und zum anderen an den Schutz von Geschäftsgeheimnissen ist der rechtskonforme Einsatz eines Messengerdienstes für Unternehmen häufig schwer einzuschätzen. Mit der nun vom FZI vorgelegten umfassenden wissenschaftlichen Studie zu Messenger-Diensten in Unternehmen wollen die Rechtsforscher*innen Unternehmen eine wichtige Orientierungshilfe bieten.

Die Studie wurde von der Threema GmbH, Pfäffikon SZ, Schweiz, finanziell unterstützt, wobei die Verantwortung über die Inhalte allein beim FZI lag. Sie gibt die Sichtweise der Autor*innen wieder; eine Einflussnahme auf die Ergebnisse durch den Auftraggeber erfolgte nicht.

„In unserer Studie haben wir die Rechtslage für einen Einsatz von Messenger-Diensten im Unternehmen aufgezeigt mit dem Ziel, Klarheit über diesen komplexen Bereich zu schaffen und die rechtlichen Pflichten auch mit vereinfachten Checklisten aufzubereiten. Wir sprechen in der Studie bewusst keine Empfehlungen für einzelne Anbieter aus. Wir konnten diese auch nicht im Detail untersuchen, dafür sind die möglichen Anwendungsfälle viel zu komplex“, sagte die Leiterin der Studie, Dr. Manuela Wagner. „Dennoch lässt sich aus unserer Arbeit unter anderem das Fazit ziehen, dass zahlreiche, gerade für den privaten Gebrauch entwickelte Instant-Messenger den im Unternehmenskontext relevanten rechtlichen Anforderungen an Daten- und Geschäftsgeheimnisschutz in der Europäischen Union kaum oder gar nicht genügen.“

Strafen in Millionenhöhe drohen

Unternehmen, Verbände oder Behörden riskieren hohe Sanktionen, wenn sie bei der internen oder externen Kommunikation die Datenschutzvorgaben verletzen. So sieht die Datenschutz-Grundverordnung (DSGVO) bei bestimmten Verstößen Geldbußen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Vorjahresumsatzes vor. Sanktionen in Millionenhöhe wurden tatsächlich bereits verhängt – allein im dritten Quartal 2021 waren es laut einer Erhebung von Finbold 984,47 Millionen Euro – die Finanzanalysten hatten dafür ein Spezialportal für DSGVO-Strafen ausgewertet. 

Geschäftsgeheimnisse wirksam schützen

Hinzu kommt, dass Geschäftsgeheimnisse nach neuer Rechtslage (Gesetz zum Schutz von Geschäftsgeheimnissen – GeschGehG) nur dann rechtlichen Schutz genießen, wenn die geheimen Informationen mit angemessenen Maßnahmen geschützt werden. Es liegt also im Interesse der Unternehmen, bei der Nutzung von Messenger-Lösungen auch den Schutz von Geschäftsgeheimnissen konsequent zu wahren. 

Angemessene Maßnahmen zum Datenschutz ergreifen

Die Studie rät Unternehmen, die Messengerdienste oder andere Kommunikations- und Kollaborationstools für die interne und externe Kommunikation nutzen wollen, sich mit den für sie zutreffenden rechtlichen Pflichten gründlich auseinanderzusetzen. Die Firmen seien angehalten, den Stand der Technik zu beachten und auf technischer, organisatorischer und rechtlicher Ebene „angemessene“, dem Risiko entsprechende und „im Hinblick auf Kosten und Aufwand nicht unverhältnismäßige Maßnahmen“ zu ergreifen, um sowohl Kommunikationsinhalte als auch dabei anfallende Metadaten zu schützen.

Datenschutzrechtlich äußerst bedenklich ist laut Studie etwa die automatische Übermittlung der Kontaktverzeichnisse von Endgeräten an die Anbieter von Messengerdiensten. 

Dienste aus unsicheren Drittländern sind problematisch

Ebenfalls raten die Expert*innen von Angeboten ab, die einen Datentransfer in ein Drittland außerhalb der EU und des Europäischen Wirtschaftsraums vorsehen, für das kein so genannter Angemessenheitsbeschluss der EU-Kommission vorliegt. Mit dem Wegfall des „Privacy Shield“-Abkommens zwischen der EU und den USA im Jahr 2020 sei damit das Weiterleiten von Daten in die Vereinigten Staaten problematisch. „Durch den Cloud-Act gilt dies selbst für innerhalb der EU gespeicherte Daten US-amerikanischer Unternehmen, weil auf Verlangen von US-Behörden auch außerhalb der USA gespeicherte Daten herausgegeben werden müssen“, schreiben die Studienautor*innen. 

Der Einsatz von Diensten aus solchen Drittländern sei zwar nicht per se verboten, es bestünden allerdings sehr hohe Anforderungen an die Nutzung. So sollten zusätzliche Sicherungsmaßnahmen ergriffen werden, wie beispielsweise Datentrennung durch gesonderte Endgeräte oder Container-Softwarelösungen, zusätzliche Verschlüsselung der übertragenen und gespeicherten Inhalte, Anonymisierung bzw. Pseudonymisierung und Schulungen. Diese Dienste kommen daher insbesondere für einen rein innerbetrieblichen Einsatz ohne Auslandsbezug kaum in Frage. Im Hinblick auf die Einbindung von Dienstleistern sowie deren Subdienstleistern gelte es ebenfalls stets zu prüfen, ob Drittlandtransfers stattfinden könnten. Für Anbieter mit Sitz und Datenverarbeitung innerhalb der Schweiz gelte dagegen ein Angemessenheitsbeschluss der EU-Kommission und somit ein angemessenes Datenschutzniveau, sodass hier keine Unterschiede zu EU-Anbietern bestünden. 

Private und dienstliche Kommunikation klar trennen

Zudem empfehlen die Studienautor*innen eine klare und transparente Trennung privater und betrieblicher Nutzungen sowie betriebsinterner und betriebsexterner Kommunikation, etwa in Chat-Gruppen, Profilen oder Accounts. Denn Datenaufbewahrungs- und Löschpflichten setzen unterschiedliche Anforderungen. Daneben können Vertraulichkeitserwartungen mit Datenzugriffsnotwendigkeiten beispielsweise aus Compliance-Gründen kollidieren. Den Beschäftigten und Gesprächspartnern muss stets bewusst sein, wer unter welchen Voraussetzungen mitlesen kann und wie lange Nachrichten vorgehalten und gegebenenfalls archiviert werden. Ein umfassender Ausschluss der privaten Nutzung von Messengern erscheint den Studienautor*innen hingegen nicht ratsam, auch wenn dies oftmals empfohlen werde. 

„Wir sind dem FZI sehr dankbar für diese erste umfassende Untersuchung, da sie Unternehmen und anderen Organisationen eine klare Orientierung im Markt der Messenger-Dienste bietet“, sagte der CEO des Schweizer Instant Messengers Threema, Martin Blatter.

Studie und Praxis-Leitfaden zum Download

Die Studie „Daten- und Geheimnisschutz bei der Kommunikation im Unternehmenskontext“ umfasst zirka 300 Seiten und kann hier kostenfrei abgerufen werden: https://url.fzi.de/messengerstudie

Aus den Erkenntnissen der Studie entwickelten die Autor*innen einen 17-seitigen Leitfaden für Praktiker*innen, der hier zum Download bereitsteht: https://url.fzi.de/messenger-LF

Über das FZI Forschungszentrum Informatik

Das FZI Forschungszentrum Informatik mit Hauptsitz in Karlsruhe und Außenstelle in Berlin ist eine gemeinnützige Einrichtung für Informatik-Anwendungsforschung und Technologietransfer. Es bringt die neuesten wissenschaftlichen Erkenntnisse der Informationstechnologie in Unternehmen und öffentliche Einrichtungen und qualifiziert junge Menschen für eine akademische und wirtschaftliche Karriere oder den Sprung in die Selbstständigkeit. Betreut von Professoren verschiedener Fakultäten entwickeln die Forschungsgruppen am FZI interdisziplinär für ihre Auftraggeber Konzepte, Software-, Hardware- und Systemlösungen und setzen die gefundenen Lösungen prototypisch um. Mit dem FZI House of Living Labs steht eine einzigartige Forschungsumgebung für die Anwendungsforschung bereit. Das FZI ist Innovationspartner des Karlsruher Instituts für Technologie (KIT).

Über Threema

Threema ist der meistverkaufte sichere Instant-Messenger. Mehr als 10 Millionen Nutzer in Europa und darüber hinaus vertrauen bereits auf die Services aus der Schweiz, die konsequent auf Datenschutz und Datenvermeidung ausgelegt sind. Unter ihnen sind 2 Millionen Nutzer der Business-Anwendung Threema Work in über 5.000 Unternehmen, Behörden, Schulen und Verbänden. Namhafte Konzerne wie Daimler, Bosch, TK Aufzüge, RWE und EDEKA setzen Threema Work als internen Messenger ein. Auch viele kleine und mittelständische Unternehmen sowie öffentliche Institutionen (z.B. ADAC, Bundesverwaltung der Schweiz und Erasmus Universität Rotterdam) nutzen den Service schon. Internet: www.threema.ch

Weitere Informationen

Johanna Häs, Communications
FZI Forschungszentrum Informatik
Haid-und-Neu-Str. 10-14, 76131 Karlsruhe
Telefon: +49 721 9654-904
E-Mail: presse@dont-want-spam.fzi.de
Internet: www.fzi.de

Roman Flepp
Threema
E-Mail: press@dont-want-spam.threema.ch

Downloads

  • Studie "Daten- und Geheimnisschutz bei der Kommunikation im Unternehmenskontext" Download pdf 6,4 MB
  • Kurzleitfaden "Auswahl und Nutzung datenschutzfreundlicher Messengerdienste im Unternehmen" Download pdf 741,9 KB