Moderne Probleme erfordern moderne Lösungen. Trotz der immer wieder aufflammenden Diskussion um die Vertrauenswürdigkeit von Messenger-Diensten sind sie doch selbstverständliche und nicht mehr wegzudenkende Kommunikationsmittel in unserem Alltag geworden. Wir sind es gewohnt, dass wir schnell und unkompliziert Text-, Bild- und Sprachnachrichten mit einzelnen Kontakten oder – ratzfatz und kinderleicht erstellten – Gruppen austauschen können. Was privat normal geworden ist, vermissen viele im beruflichen Kontext. Aus Gründen des Datenschutzes und der Informationssicherheit sind Messenger-Dienste in Unternehmen und Behörden regelmäßig verboten und die Mitarbeitenden an E-Mails oder gar Faxe gefesselt. Eigenständige Lösungen, wie sie von einigen Branchen oder Behörden entwickelt wurden, scheinen zwar sicher, sind dabei aber mit einem abschreckenden Aufwand verbunden.
Eine der meiner Meinung nach besten Lösungen bietet nunmehr der Schweizer Anbieter Threema mit seinem neuen „Threema OnPrem“. Dabei handelt es sich um ein vollständig vom Verwender selbst gehostetes Threema. Die Nutzer können mit der vielleicht schon aus dem Privatleben bekannten Oberfläche arbeiten und die gleichen Funktionen nutzen, während die Datenverarbeitung vollständig in der Hoheit des Unternehmens bleibt.
Für den internen Betrieb im Unternehmen sind überschaubare Ressourcen erforderlich, die sich mit einem physischen oder virtuellen Linux-Server gut unterbringen lassen. Über die Kosten informiert der Anbieter derzeit nur auf Anfrage (www.threema.ch).
Konsequenterweise ist mit dieser Variante von Threema auch nur die ausschließlich interne Kommunikation möglich. Ein Austausch mit externen Nutzern oder einer anderen OnPrem-Instanz ist nicht möglich. Für einige Verwender mag das ein Nachteil sein, für Verantwortliche mit sehr hohen Ansprüchen an Sicherheit und Vertraulichkeit jedoch definitiv ein Vorteil.
Wer mit Threema sowohl intern als auch extern kommunizieren möchte, könnte in Threema Work eine Lösung finden. Der Funktionsumfang von OnPrem und Work identisch. Beide Versionen kommen mit einem MDM und einem „Management-Cockpit“ für die zentrale Administration und Nutzerverwaltung. Einziger Unterschied ist, dass Threema Work auf Servern des Anbieters in der Schweiz betrieben wird. Die Kommunikation mit Externen ist dadurch möglich, kann aber im Bedarfsfall auch technisch unterbunden werden.
Entscheidendes Argument für Threema ist die Möglichkeit, die App auch ohne Zugriff auf das Telefonbuch des Smartphones zu verwenden. So wird eine Datenübermittlung an Dritte, für die eine Rechtsgrundlage bestehen müsste und die Informationspflichten auslöst, vermieden. Der Kommunikationskanal muss dann über die Threema-ID hergestellt werden, die für sich genommen ein relativ starkes Pseudonym ist.
Stefan Effmert
Berater für Datenschutz und Informationssicherheit
Volljurist
In einem Beschluss (Beschluss v. 22.07.2020 - Az.: 6 A 211/17) hat das OVG Lüneburg auf die Risiken bei der Verwendung von Faxgeräten zum Versand sensibler personenbezogener Daten hingewiesen. Im Rahmen eines Prozesses hatte eine Behörde ihrem Prozessbevollmächtigte wiederholt unverschlüsselt per Fax sensible Daten über den Kläger zukommen lassen, obwohl der Kläger der unverschlüsselten Übermittlung von personenbezogenen Daten bereits zu Beginn des Verfahrens widersprochen und auf seine besondere Schutzbedürftigkeit hingewiesen hatte.
Das Gericht sah hierin einen Verstoß gegen das Niedersächsischen Landesdatenschutzgesetzes durch die Behörde. Faxen sei ein unsicheres Kommunikationsmedium, weil die Informationen grundsätzlich unverschlüsselt versandt werden, abhörbar seien und ein Fehlversand aufgrund falscher Eingabe der Rufnummer immer wieder vorkommen. Außerdem hätten bei modernen Faxgeräten oftmals Wartungsfirmen Zugriff auf die Geräte und könnten daher Kenntnis vom Inhalt versandter Dokumente erhalten. Daher sei irrelevant, dass die Mitarbeiter der Kanzlei als Empfänger der Nachricht ebenso wie die Rechtsanwälte selbst einer beruflichen Schweigepflicht unterliegen.
Wir nehmen das Urteil zum Anlass, Sie darauf hinzuweisen, auch beim Faxen die notwendigen datenschutzrechtlichen Vorgaben zu beachten:
- Verzichten Sie möglichst auf das Faxen von sensiblen personenbezogenen Daten.
- Verwenden Sie nach Möglichkeit Verschlüsselungslösungen im Faxgerät.
- Erstellen Sie Adresslisten im Faxgerät selbst um eine Falscheingabe von Faxnummern zu verhindern
- Sorgen Sie für einen zugangsbeschränkten Standort von Faxgeräten.
- Prüfen Sie regelmäßig und sorgfältig die technischen Parameter Ihrer Geräte, Verteilerlisten und Protokolle der Faxsoftware.
Wie immer stehen wir bei weiteren Fragen gerne zur Verfügung.
C. Lürmann
Rechtsanwältin
Consultant für Datenschutz
Online-Kommunikationstools werden angesichts neuer Formen der überörtlichen Zusammenarbeit immer wichtiger. Sie helfen, gewohnte Arbeitsabläufe während der angeordneten Kontaktsperren aufrechtzuerhalten.
Die ENISA (European Union Agency for Cybersecurity) hat hierzu einige Empfehlungen veröffentlicht. Es folgt eine kurze Zusammenfassung der Empfehlungen auf Deutsch:
- Verschlüsselte Kommunikation sollte unbedingt unterstützt werden.
- Die zentralisierte Verwaltung sollte unterstützt werden. Dies bedeutet, dass ein Administrator die Einstellungen für alle Teilnehmer vornehmen kann. So können Berechtigungen, Passwortpolicy, und virtuelle Meetingräume gemanagt und unbefugtes Mithören verhindert werden.
- Eine starke Benutzerauthentifizierung (Mehrfaktor-Authentifizierung) ist zu empfehlen.
- Die Konfigurationsoptionen geben Aufschluss über eine mögliche lokale Nutzung von Diensten/Tools. Lokales Hosting auf einem eigenen Server ist gegenüber externer Datenverarbeitung (in einer Cloud) vorzugswürdig.
- Die Datenschutzhinweise sollten genau und kritisch gelesen werden. Wichtige Punkte sind: Erhobene Datenarten, Ort(e) der Datenverarbeitung, mögliche Drittlandtransfers, Speicherdauer sowie Voreinstellungen bzgl. Datenschutz. Ein Teilen der erhobenen Daten mit sozialen Netzwerken sollte grundsätzlich vermieden werden. Ziehen Sie für eine genauere Einschätzung den Datenschutzbeauftragten zu Rate!
- Private Endgeräte dürfen nicht für Videokonferenzen o.Ä. genutzt werden. Bei Verwendung mobiler Endgeräte (Smartphones, Tablets) müssen vor der Nutzung die Berechtigungen der jeweiligen App überprüft und ggf. angepasst werden.
- Genutzt werden sollte immer nur die aus sicheren Quellen stammende, letzte Version einer Software mit aktuellen Sicherheitspatches.
- Alle Meetings, Gruppen und Räume sollten passwortgeschützt sein. Links zu Konferenzräumen dürfen nicht außerhalb der Teilnehmergruppe geteilt werden.
- Bei der Einrichtung sind privatsphärefreundliche Voreinstellungen zu wählen (Kamera standardmäßig inaktiv, keine Aufnahme/Mitschnitt des Meetings oder von versandten Kurznachrichten). Sollte dennoch eine Aufzeichnung erforderlich sein, müssen vorab alle Teilnehmer informiert werden und müssen der Aufzeichnung zustimmen.
- Chat-, Audio- und Bildschirmteilungsfunktionen sollten mit Bedacht eingesetzt werden, damit keinerlei Informationen unbeabsichtigt geteilt werden. Es können i.d.R. auch nur einzelne Fenster freigegeben werden. Der Hintergrund bei Videokonferenzen sollte neutral gewählt werden, um keine personenbezogenen oder vertraulichen Informationen preiszugeben.
Insgesamt ist also beim Einsatz von Online-Kommunikationstools Einiges zu beachten, um für den geschäftlichen Einsatz sicher unterwegs zu sein. Eine solche Absicherung sollte immer sowohl in technischer, als auch in organisatorischer Weise vorgenommen werden. Wie schon in Punkt 5. erwähnt, hilft die frühzeitige Einbindung des Datenschutzbeauftragten dabei, Fehler zu vermeiden.
Florian S.
Justiziar | M.A.
Consultant für Datenschutz
Da hat es sich Facebook wohl zu einfach gemacht. Lapidar hat das Unternehmen behauptet, kein Mitglied ihrer Rechtsabteilung habe ausreichende deutsche Sprachkenntnisse, um Beschwerden, Gerichtsbeschlüsse oder Mitteilungen auf Deutsch in vollem Umfang zu verstehen. Zu Unrecht, wie das OLG Düsseldorf im Rahmen eines Kostenfestsetzungsverfahrens im Dezember 2019 festgestellt hat:
Sachverhalt
Das Landgericht Düsseldorf hatte Facebook in Irland im Wege der Rechtshilfe einen Beschluss in deutscher Sprache zustellen lassen. Facebook verweigerte die Annahme wegen einer fehlenden englischen Übersetzung und argumentierte, dass der Beschluss damit nicht zugestellt worden sei.
Entscheidung des OLG
Davon ließ sich das OLG jedoch nicht beeindrucken. Es komme bei der Beurteilung der Verständnisfähigkeit nicht darauf an, ob konkrete Mitglieder der Geschäftsleitung oder der jeweiligen Rechtsabteilung über entsprechende Sprachkenntnisse verfügen, sondern auf die Organisation des Unternehmens insgesamt. Dass das Unternehmen den Beschluss nicht verstehen könne, sei in diesem Fall eine reine Schutzbehauptung.
Facebook habe Millionen von Nutzern in Deutschland, mit denen ausdrücklich auf Deutsch kommuniziert wird. Sämtliche im Verhältnis zwischen Unternehmen und Nutzern bestehenden Vertragsdokumente (AGB, Gemeinschaftsstandards, Nutzungsbedingungen) würden auf Deutsch vorliegen, auch das deutsche Recht würde in den entsprechenden Dokumenten besonders berücksichtigt, so z.B. das Deutsche Produkthaftungsgesetz. Derartige Formulierungen seien ohne profunde Kenntnisse der deutschen Sprache und des deutschen Rechts nicht möglich. Das Gericht sah es damit als erwiesen an, dass Facebook über ausreichende Deutschkenntnisse verfügt, so dass die Verweigerung der Annahme des gerichtlichen Schriftstücks durch Facebook unzulässig und rechtsmißbräuchlich gewesen sei.
Fazit
Bei der Entscheidung zeigt sich einmal mehr, wie eine kleine Rechtsstreitigkeit über einen nur geringen dreistelligen Betrag, große Wirkung entfalten kann. Die Notwendigkeit, mit den international tätigen und auftretenden Unternehmen nur in der jeweiligen Sprache des Hauptsitzes kommunizieren zu müssen, scheint jedenfalls aufgrund dieser Entscheidung zu entfallen.
C. Lürmann
Rechtsanwältin
Consultant für Datenschutz