EU-DSGVO und die unternehmensinterne Kommunikation
Mit dem 25. Mai 2018 gilt die EU-Datenschutz-Grundverordnung (EU-DSGVO) verbindlich für jedes europäische Unternehmen. Aktuell sind zahlreiche Unternehmen mit den Vorbereitungen beschäftigt – jedoch findet oftmals vorrangig die externe Kommunikation Berücksichtigung. Dabei gilt es, auch die interne Unternehmenskommunikation DSGVO-konform zu gestalten. Wir geben Tipps, worauf Ihr achten solltet.
Intranet, Social Media, Apps und Cloud-Dienste
Man mag kaum glauben, wie umfangreich die unternehmensinterne Kommunikation oft ist: Via Intranet, Social Media, Apps und Cloud-Diensten werden personenbezogene Daten erhoben, gespeichert und verarbeitet. Zahlreiche Tools und IT-Systeme stoßen auf IP-Adressen, es wird Dokumentenzugriff gewährt, man sieht Aufenthaltsorte, aber auch Nutzungszeiten.
Das wird mit der EU-DSGVO problematisch! Für Datensicherheit und Datenschutz sind gerade die Schnittstellen dieser Anwendungen und Geräte eine der häufigsten Schwachstellen. Diese Problematiken sollten keinesfalls auf die IT-Abteilungen oder auf den Datenschutzbeauftragten abgewälzt werden. Jeder Mitarbeiter, der sich mit interner Kommunikation befasst, muss sich mit der Thematik beschäftigen – heißt in der Praxis: nahezu jeder Mitarbeiter muss sich damit auseinandersetzen. Es muss zumindest ein grundlegendes Verständnis geschaffen werden, um Änderungen in der internen Kommunikation für jeden Mitarbeiter nachvollziehbar und damit anwendbar zu machen.
EU-DSGVO-konforme Tools
Mitarbeiter sind heutzutage mobil, flexibel, agil. Einige Mitarbeiter verfügen nicht mal über einen festen PC-Arbeitsplatz. Auch diese müssen zwingend in Zeiten der EU-DSGVO in die interne Kommunikation einbezogen werden. Deshalb setzen Unternehmen vermehrt auf Mitarbeiter-Apps. Sie sind häufig mit etlichen Features ausgestattet: Die gesamte unternehmensinterne Kommunikation wird gebündelt. Die Kommunikation aus den verschiedenen Social Media-Kanälen ist einsehbar. Externe Systeme werden integriert. Gruppenchats und Privatnachrichten erlauben es, untereinander zu interagieren.
Diese kleine Auflistung verschiedener Features zeigt es bereits: Apps dieser Art sammeln persönliche und sensible Informationen in Massen. Deshalb ist es unabdingbar, mögliche interne Mitarbeiter-Apps auf ihre EU-DSGVO-Konformität zu überprüfen.
Offizielle Lösungen wie WhatsApp oder Threema?
Messenger-Dienste erfreuen sich nach wie vor größter Beliebtheit. WhatsApp gehört dabei zweifelsfrei zu den bekanntesten und beliebtesten Vertretern. Jedoch zeigt sich der Messenger-Dienst nicht sonderlich datenschutzfreundlich: Erst kürzlich wurde die Nachricht veröffentlicht, dass Facebook trotz Ende-zu-Ende-Verschlüsselung Nachrichten von WhatsApp mitlesen kann. Eines von vielen Beispielen – WhatsApp tritt immer wieder mit Datenschutz-Skandalen in Erscheinung.
Das Problem bei offiziellen Lösungen ist die Datenübermittlung zwischen dem jeweiligen Anbieter und dem Endgerät. So gleichen einige Messenger, darunter WhatsApp, automatisch das Adressbuch mit den Daten auf dem Server (in aller Regel US-Server) ab. Telefonnummern sowie IP-Adressen sind jedoch personenbezogene Daten.
„Threema Work“ gehört zu den wirklich wenigen kommerziellen Lösungen, die einen datenschutzkonformen Einsatz in Unternehmen möglich machen. So bietet Threema beispielsweise eine sogenannte Ausschlussliste: Einzelne Kontakte lassen sich vom Datenabgleich ausschließen. Die gesamte Kommunikation verläuft Ende-zu-Ende-verschlüsselt, auf dem Smartphone gespeicherte Chats und Medien sind ebenfalls verschlüsselt. Außerdem findet keine zentrale Speicherung personenbezogener Daten statt.
Beispiele unternehmensinterner Kommunikation
Um zu verdeutlichen, wie relevant das Absichern der internen Kommunikation ist, haben wir einige Beispiele aus dem Alltag herausgepickt:
- Der Vertriebsmitarbeiter möchte vom Home-Office aus einen Kunden anrufen. Leider hat er dessen Telefonnummer nicht. Der Kollege im Büro ist immer prima per Facebook-Chat erreichbar, also erfragt der Vertriebler die Telefonnummer auf diesem Wege. Natürlich hilft der Kollege gern und sendet die gesuchte Nummer unkompliziert per Facebook zurück.
- Ein Mitarbeiter ist erkrankt. Er scannt seine Krankschreibung ein und sendet diese per E-Mail an den Vorgesetzten.
- Bei einem Mitarbeiter hat sich die Bankverbindung geändert. Seine neuen Bankdaten sendet er der Personalabteilung per E-Mail, damit das kommende Gehalt problemlos auf dem richtigen Konto landet.
- Abteilungen, die zusammenarbeiten, nutzen Google Drive, Dropbox oder andere US-Anbieter, um gemeinsam vertrauliche Dokumente zu bearbeiten. Auf einige Dokumente haben auch Kunden Zugriff.
- Pünktlich zu den weihnachtlichen Feiertagen sollen einige Kunden Geschenke erhalten. Verschiedene Abteilungen wählen einige Kunden aus und setzen deren Daten zusammen mit Adressen in eine gemeinsam genutzte Excel-Tabelle, auf die über die Cloud zugegriffen wird.
All diese wirklich alltäglichen Beispiele sind mit der EU-DSGVO ab dem 25. Mai 2018 problematisch. Die meisten Unternehmen behandeln die interne Kommunikation stiefmütterlich – es genügt nicht, die Kommunikation mit Kunden sowie die Website abzusichern. Möchtet Ihr euch vor den horrenden, existenzvernichtenden Bußgeldern schützen, müsst Ihr Eure interne Kommunikation wirklich kritisch beleuchten. Es gibt im Wesentlichen drei große Punkte, auf die Ihr Euren Fokus lenken solltet: Eure Mitarbeiter, die Prozesse sowie die Technologien. Dass alle drei Aspekte eng zusammenhängen, versteht sich.
Mitarbeiter brauchen Compliance
Schatten-IT, leicht knackbare Passwörter oder sensible Informationen im privaten Postfach: Angestellten unterlaufen diverse Fehler bezüglich des Datenschutzes. Die Mitarbeiter – der Faktor Mensch – bilden quasi die Schwachstelle Nummer 1 in der internen Kommunikation. Sensible Daten gehen immer durch die Hände der Mitarbeiter. Schulungen, Seminare und das Aufbauen der Compliance sind dringende Voraussetzungen für eine EU-DSGVO-konforme interne Kommunikation.
Es ist unabdingbar, dass Ihr Eure Mitarbeiter beim Übergang in die neue Datenschutz-Ära intensiv unterstützt. Ihr werdet sicherlich auf Gewohnheiten stoßen, die nicht mehr hinterfragt werden, auf unflexible Mitarbeiter und auf sehr eingefahrene Arbeitsweisen. Nehmt Eure Mitarbeiter an die Hand, lasst sie intensiv schulen und gebt Ihnen eine Chance, sich auf die neuen Bedingungen, die mit der EU-DSGVO auf alle zukommen, einzustellen.
Prozesse überprüfen
Gerade alteingesessenen Mitarbeitern, die mit ihrer Vorgehensweise bisher immer Erfolg hatten, dürfte die Umstellung schwerfallen. Man muss sich an neue Regelungen für einfachste Handlungen gewöhnen: Dokumente werden plötzlich anders mit dem Team geteilt, die Personalabteilung kommt nicht mehr wie bisher einfach per E-Mail an neue Informationen. Es herrscht Unsicherheit: Was ist erlaubt, was strikt untersagt? Kann man sich den Aufwand auch sparen und einfach den bisherigen Workflow nutzen?
Damit die Umstellung zu keinem großen Unmut bei der Belegschaft führt, sollten Prozesse entworfen werden, wie womit umzugehen ist. Ein Mehr an Datensicherheit bringt auch ein Mehr an Arbeit mit sich. Etabliert jedoch klare Prozesse, macht es den Mitarbeitern einfacher.
Idealerweise entsprechen die neuen Prozesse weitestgehend den alten – hangelt euch am bisherigen Workflow entlang und entwerft entsprechende EU-DSGVO-konforme Prozesse. Die Wahrscheinlichkeit, dass die neuen Prozesse positiv angenommen werden, steigt, wenn die Arbeitsweisen nicht zu sehr geändert werden müssen.
Technologien anpassen
Bereits weiter oben haben wir über Tools gesprochen. Darauf möchten wir noch einmal zurückkommen: Prüft, welche Technologien Ihr aktuell für die interne Kommunikation nutzt. Habt Ihr E-Mails bislang intern immer unverschlüsselt versendet? Ändert dies – beispielsweise mit einer Gateway-Lösung. Informationen zum Thema erhaltet Ihr in unserem Blogbeitrag „Gateway-Lösungen zur zentralen Verschlüsselung und digitalen Signatur von E-Mails“. Haben sich Eure Mitarbeiter bislang über einen beliebigen Chat ausgetauscht, solltet Ihr nun auf eine sichere Messenger-Lösung umstellen, wie oben beschrieben.
Um einen ersten Schritt in Richtung ganzheitliche Sicherheitskultur zu gehen, ist konsequente Ende-zu-Ende-Verschlüsselung empfehlenswert. Nur die jeweiligen Kommunikationspartner können die Nachricht dann entschlüsseln. Damit sind die E-Mails selbst, aber auch Anhänge sicher vor ungebetenen Mitlesern sowie vor Manipulation.
EU-DSGVO-konforme Unternehmenskommunikation
Wie Ihr seht, dürft Ihr keinesfalls die unternehmensinterne Kommunikation übersehen, wenn Ihr gerade in den Vorbereitungen für die EU-DSGVO steckt. Bezieht idealerweise Eure Mitarbeiter in sämtliche Überlegungen mit ein – schließlich sind es Eure Mitarbeiter, die letzten Endes mit den Neuerungen arbeiten müssen. Es ist empfehlenswert, sich mit Tools und Technologien zu befassen, die den aktuellen recht ähnlich sind – umso höher fällt die Akzeptanz der Mitarbeiter aus.
Habt Ihr noch viel zu tun, bevor die EU-DSGVO mit dem 25. Mai 2018 verbindlich gilt? Wir unterstützen Euch gerne! Sowohl bei den Überlegungen zur internen Kommunikation als auch bei anderen Themen, die die EU-DSGVO mit sich bringt. Kontaktiert uns einfach!