Business Messaging: Messenger im Unternehmen
Die Digitalisierung im Arbeitsleben, die nicht zuletzt durch die Corona-Krise noch mal beschleunigt wurde, macht die effiziente digitale Kommunikation zur Grundlage für eine erfolgreiche Zusammenarbeit. Hier lohnt sich für viele Unternehmen der Einsatz einer Messenger-App. Doch einfach WhatsApp herunterladen und loslegen funktioniert nicht – Unternehmen müssen sich auch in der internen Kommunikation DSGVO-konform verhalten. Deshalb gilt es, den Business Messenger wohl durchdacht auszuwählen. Im heutigen Beitrag nennen wir Ihnen gute Gründe für die Kommunikation per Messenger im Unternehmen und geben Ihnen Tipps zur Auswahl und Nutzung.
Messenger im Unternehmen – was spricht dafür?
In der Corona-Krise mussten Unternehmen auf Remote-Work umstellen: Mitarbeitende waren und sind im Home-Office, die Kommunikation musste dennoch am Laufen bleiben. Für solche Fälle, aber auch grundsätzlich zum Vereinfachen von Abstimmungs- sowie Kommunikationsprozessen sind Messenger eine gute Alternative zur E-Mail: Das Smartphone hat man für gewöhnlich immer dabei, alle, die angesprochen werden sollen, erfahren Dringliches zeitnah. Ebenso bieten viele Business Messenger Desktop-Versionen ihrer Apps an. Doch auch die zügige Kommunikation mit Dienstleistern, Kunden oder Lieferanten wird durch Messenger vereinfacht.
Interaktionen und ein soziales Miteinander – auch auf digitalem Wege – fördern darüber hinaus das Wir-Gefühl im Unternehmen. Das erhöht nicht nur die Motivation der Belegschaft, sondern kann dazu beitragen, die Produktivität ebenfalls zu steigern: Dokumente sollen zügig zum Kunden gelangen, der sich jedoch auf Dienstreise befindet, ein Video-Call mit Partnern sorgt für eine schnelle Abstimmung oder der Vertrieb schickt Informationen an die Buchhaltung – per Messenger alles kein Problem. Alle Mitarbeitenden lassen sich gemeinsam oder gezielt einzeln erreichen; Messenger vereinfachen den Zugang zu relevanten Informationen.
Eine Studie des Digitalverbands Bitkom (PDF) zeigte im Mai 2021, dass 66 Prozent aller Unternehmen Messenger für die interne sowie externe Kommunikation nutzten – ein Plus von 50 Prozent zum Vorjahr. Allerdings braucht es zweierlei, um Messenger im Unternehmen erfolgreich zu etablieren: Sichere Endgeräte und Business Messenger, die rechtssicher – allem voran DSGVO-konform – genutzt werden können.
Messenger im Unternehmen und die Gesetze
Die Rechtslage ist komplex: personenbezogene Daten wollen genauso geschützt werden wie Geschäftsgeheimnisse. Werden bei der internen oder externen Kommunikation Datenschutzvorgaben verletzt, drohen mit der Datenschutz-Grundverordnung (DSGVO) Sanktionen von bis zu 4 Prozent des weltweiten Vorjahresumsatzes oder 20 Millionen Euro – je nachdem, was höher ausfällt. Hinzu können Schadenersatz- sowie Unterlassungsansprüche kommen, wenn betroffene Personen ihre Rechte bei Datenschutzverletzungen geltend machen. Das Bundesdatenschutzgesetz (BDSG) und das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) sind weiter zu beachten (die DSGVO hat Vorrang vor den telekommunikationsrechtlichen Spezialregeln aus dem TTDSG – wenn es sich nicht um öffentlich zugängliche elektronische Kommunikationsdienste handelt, wie es bei Messengern der Fall sein soll).
Doch auch das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) muss beachtet werden: geheime Informationen sind mit angemessenen Maßnahmen zu schützen. Problematisch beim Einsatz von Messengern im Unternehmen sind diverse Punkte:
- Neben Kommunikationsinhalten sollen auch Metadaten geschützt werden.
- Das Übermitteln von Daten an Drittländer ist problematisch – etwa beim Übermitteln der Kontaktverzeichnisse. Beachten Sie, dass das Privacy Shield, auf das sich leider noch immer diverse Messenger-Anbieter stützen, keine Gültigkeit hat. Prüfen Sie auf Angemessenheitsbeschlüsse der EU; die Alternative sind die neuen Standardvertragsklauseln.
- Das Trennen von privater und geschäftlicher Kommunikation sowie betriebsinternen und –externen Informationen muss Beschäftigten eingeschärft werden.
- Unternehmen – einschließlich aller Mitarbeitenden, die den Business Messenger verwenden – müssen über grundlegende rechtliche Kenntnisse verfügen, um nicht gegen die oben erwähnten Gesetze zu verstoßen.
Die DSGVO verpflichtet Unternehmen, in der Gestaltung ihrer Kommunikation ein „angemessenes“ Datenschutzniveau umzusetzen. Zieht das Verarbeiten personenbezogener Daten keine oder geringe Risiken für die Rechte und Freiheiten Betroffener nach sich, so ist das Schutzniveau „angemessen“. Auch für Geschäftsgeheimnisse verlangt der Gesetzgeber „angemessene“ Geheimhaltungsmaßnahmen. Diese können sich mit denen zum Schutz personenbezogener Daten überschneiden: eine umfassende Verschlüsselung etwa schützt in beiden Fällen „angemessen“, ist jedoch nur ein Baustein für sicheres Messaging im Unternehmen.
Überlegungen: So finden Sie den richtigen Messenger
Es wäre schön einfach, wenn Sie sich lediglich einen Messenger empfehlen lassen müssten, der alle Anforderungen erfüllt – leider ist es nicht so leicht. Denn je nach Organisation unterscheiden sich die Ansprüche an den Business Messenger. Stellen Sie sich die folgenden Fragen:
- Bereitstellung: Möchten Sie eine SaaS- oder eine selbstgehostete Lösung? Beides hat Vor- und Nachteile – bei ersterem sparen Sie Wartungsaufwand, selbstgehostete Lösungen liefern Ihnen jedoch volle Datenhoheit.
- Einsatzzweck: Setzen Sie den Messenger im Unternehmen ausschließlich intern oder auch extern ein? Welches Budget planen Sie ein? Ist die Nutzung zeitlich limitiert? Welche Funktionen sind Ihnen wichtig?
- Installationsumgebung: Wird der Messenger ausschließlich auf Dienstgeräten oder auf privat und dienstlich gemischten Smartphones installiert? Soll ein Client für den Browser das Abrufen von Chats überall und plattformunabhängig ermöglichen?
- Rechtliches: Schließen Sie mit Dienstanbietern einen Auftragsverarbeitungsvertrag (AVV; z. B. bei SaaS) oder einen Vertrag zur gemeinsamen Verantwortlichkeit (Joint Controller Agreement; JCA; z. B. beim Nutzen von Online-Diensten)? Beim AVV bleiben Sie Verantwortlicher; Dienstanbieter werden Auftragsverarbeiter und dürfen Daten damit nur zu Ihren Zwecken bzw. in Ihrem Auftrag verarbeiten. Beim JCA sind Sie gemeinsam mit dem Dienstanbieter verantwortlich; der Dienst verfolgt dabei eigene Zwecke. Sie müssen Zuständigkeiten regeln, also wer welche Datenschutzpflichten wie zu erfüllen hat.
- Datenschutzleitlinie: Interne Richtlinien sollten in der Datenschutzleitlinie darüber hinaus aufgenommen werden. Mitarbeitende haben so stets Einblick in ihre Rechte und Pflichten. Geregelt werden sollten mitunter:
- Gestatten Sie private Kommunikation? Tipp: Die meisten Business Messenger erlauben das Einrichten von Gruppen. Hier können auch private Gruppen eingerichtet werden, in denen der arbeitgeberseitige Zugriff ausgeschlossen wird, während beispielsweise die Kommunikationsgruppe mit externen Kunden von leitenden Angestellten überwacht wird.
- Inhalte sollten verschlüsselt und getrennt von anderen gespeichert werden. Backups müssen ebenfalls verschlüsselt sein. Klären Sie, ob die Datensicherungen auf Ihren Servern oder lokal auf den Endgeräten gespeichert werden.
- Identitäts- und Authentizitätsnachweise müssen zur Identifikation von Kontakten möglich sein. Zu regeln ist auch der Zugang zur App, etwa per Nutzernamen und Passwort zuzüglich Zwei-Faktor-Authentifizierung.
- Sicherheitsrelevante Konfigurationen sollten bereits voreingestellt sein, bevor der Messenger praktisch im Unternehmensalltag eingesetzt wird. Definieren Sie diese Voreinstellungen und formulieren Sie es, falls Sie möchten, dass Nutzende diese Einstellungen nicht ändern.
- Kommunizieren Sie die unternehmenseigenen Vorstellungen von Privatsphäre: Dürfen Mitarbeitende IDs oder Pseudonyme nutzen, falls dies in Ihrem Unternehmenskontext sinnvoll erscheint? Sind Profilbilder verpflichtend oder optional? Regeln Sie auch die Angabe von E-Mail-Adressen, Mobilfunknummern und weiteren Details.
Interne Analysen für den Messengereinsatz
Überlegen Sie anschließend, welche Daten Sie beim Business Messaging verarbeiten: Beschäftigtendaten mit großer Sicherheit, wenn Sie intern kommunizieren. Kommen auch Daten Dritter hinzu? Geschäftsgeheimnisse oder Daten besonderer Kategorie wie etwa Gesundheitsdaten? Haben Sie diese Informationen zusammengetragen, gilt es, das Datenschutz- und Geheimhaltungsniveau zu bestimmen, um „angemessene“ Schutzmaßnahmen ergreifen zu können. Dafür teilen Sie alle potenziell betroffenen Daten in Schutzklassen ein.
Zeigt Ihre Analyse, dass Sie häufig sensible Dokumente per Messenger austauschen, beispielsweise Aufträge oder andere Geschäfts- sowie Handelsbriefe, dann steht ein professionelles Datenmanagement im Fokus der Funktionalität. Möchten Sie den Messenger im Unternehmen deshalb einführen, weil Sie die informelle und/ oder private Kommunikation stärken wollen, setzen Sie Vertraulichkeit in den Vordergrund Ihrer Überlegungen.
Durch Ihre Analyse wissen Sie, wofür Sie den Messenger im Unternehmen einsetzen. Für diese Zwecke benötigen Sie auch eine Rechtsgrundlage. Einwilligungen sind gerade im Beschäftigtenkontext kritisch: Sie müssen freiwillig und informiert abgegeben werden, müssen widerrufbar und nachweisbar sein. Ein Ausschluss aus der Kommunikation als Konsequenz der fehlenden Einwilligung oder Weisungen von Führungskräften lassen die Freiwilligkeit beim Einwilligen vermissen. Als weitere Rechtsgrundlagen kommen zum Beispiel Verträge, rechtliche Verpflichtungen (Aufbewahrungsfristen beispielsweise) oder auch das berechtigte Interesse in Frage.
Business Messenger durchleuchten
Sie haben nun die interne Seite analysiert – das ist nur ein Teil der notwendigen Transparenz. Der andere Teil folgt nun: Sie sammeln Informationen über verschiedene Dienste, damit Sie eine Risikobewertung durchführen können. Dazu gehören:
- Datenschutzerklärung: Lesen Sie die Rechtstexte, also die Datenschutzerklärung und die Nutzungsbedingungen. Lassen Sie sich Fragen von Ansprechpartnern des Messenger-Dienstes beantworten – so können Sie gleich die Reaktionszeiten und den Support testen.
- Transparenz der Anbieter: Prüfen Sie darüber hinaus, ob Sicherheitseigenschaften sowie technische und organisatorische Maßnahmen (TOM) von den Anbietern bereitgestellt werden. Haben Sicherheitsaudits von unabhängiger Stelle stattgefunden? Ist der Quellcode öffentlich einsehbar und wird dieser aktuell gehalten?
- Technische Funktionsweisen: Prüfen Sie die technischen Funktionsweisen des Messengers. Viele Anbieter bieten den Download entsprechender Dokumentationen auf ihren Websites an.
- Zugriffsberechtigungen: Lassen sich die Berechtigungen, auf die die Messaging-App zugreifen möchte, mit der Funktionsweise erklären? Sie dürfen stutzig werden, wenn die App mehr Berechtigungen als notwendig einfordert.
Sind Sie in Ihrer Analyse zu dem Schluss gekommen, dass die Nutzung des Messengers im Unternehmen ein geringes oder normales Risiko mit sich bringt, sind Sie in der Pflicht, die Prüfung regelmäßig zu wiederholen. Geht ein hohes Risiko mit der Datenverarbeitung einher, müssen Sie eine Datenschutz-Folgenabschätzung (DSFA) durchführen. Dies ist etwa der Fall, wenn der Standort von Nutzenden getrackt wird oder Gesundheitsdaten verarbeitet werden.
Dienstanbieter, die Transparenz zeigen und belegen können, dass Daten ausschließlich flüchtig verarbeitet und unmittelbar wieder gelöscht werden, sind zu bevorzugen. Denn so wird auch Ihr Aufwand zum Umsetzen von Betroffenenrechten deutlich geringer, über die Sie sich ebenfalls Gedanken machen müssen.
Zusammenfassung: Messenger im Unternehmen
Sie sehen: Sie haben viel zu tun, wenn Sie für Ihre interne oder externe Kommunikation einen Messenger im Unternehmen einsetzen möchten. Vielleicht erstellen Sie ein internes „Team Messenger“, in dem auch Rechtsexperten dafür sorgen, dass der Messengereinsatz in Ihrem Unternehmen rechtssicher erfolgt. Möchten Sie Unterstützung für dieses Projekt? Zögern Sie nicht, Kontakt zu uns aufzunehmen – gerne beraten wir Sie umfassend!
Im Folgenden fassen wir die Punkte zur Auswahl eines Messengers für Ihr Unternehmen zusammen – gerne können Sie diese Zusammenfassung wie eine Checkliste nutzen:
- On-Premise- oder SaaS-Lösung?
- Technische Kompetenzen der Anbieter prüfen
- AV- oder JC-Vertrag?
- Welche Garantien werden geboten? EU-Standardvertragsklauseln (SCC, Standard Contractual Clauses)? Wie werden die TOM umgesetzt? Wie die technischen Details?
- Soll der Messenger im Unternehmen für die interne oder externe Kommunikation eingesetzt werden?
- Welche Datenkategorien werden verarbeitet?
- Werden Daten auf Dienst- oder privaten Geräten verarbeitet?
- Welche Kosten kommen auf das Unternehmen zu? Welche Funktionen werden dafür geboten? Welche überhaupt benötigt?
- Auf welchen Rechtsgrundlagen stützt sich die Verarbeitung?
- Bei der internen Kommunikation?
- Bei der externen Kommunikation?
- Wie transparent zeigen sich die Dienstanbieter?
- Wie sind die Rechtstexte (Datenschutzerklärung, Nutzungsbedingungen, Lizenzbestimungen) gestaltet?
- Welche Dokumentationen existieren (TOM, DSFA bei hohem Risiko, Quellcode, Audit-Ergebnisse usw.)?
- Was unternehmen Dienstanbieter für die Datensicherheit? Was können Sie als Organisation (Endgeräte-Sicherheit, Datenschutzleitlinie usw.) dazu beitragen?
- Verschlüsselung von Inhalten, Metadaten, Kontaktverzeichnissen, Backups?
- Datenübermittlung in Drittstaaten? Speicherorte?
- Authentisierung, Kontakt-Verifikation?
- Was unternehmen Dienstanbieter für die Datenminimierung? Was können Sie als Organisation (Datenschutzleitlinie) dazu beitragen?
- Metadaten, Registrierungsdaten usw.?
- App-Berechtigungen?
- Tracking und Standortdaten – bei hohem Risiko DSFA bedenken.
- Findet ein Datentransfer ins Ausland statt? Falls in Drittstaaten:
- Angemessenheitsbeschluss oder Standardvertragsklauseln?
- Technische sowie rechtliche Transfergarantien?
- Wie gehen Dienstanbieter und Sie selbst als Organisation mit dem Management von Daten um?
- Speicherung der Daten?
- Wie gewährleisten Sie die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit?
- Wie erfolgt das Management der Endgeräte?
- Wie setzen die Dienstanbieter und Sie als Unternehmen die Betroffenenrechte um?