Messenger-Dienste als schnelles und flexibles Kommunikationsinstrument sind für den Einsatz in Unternehmen interessant. Wissenschaftler*innen des Themenfelds Recht vom FZI Forschungszentrum Informatik haben die derzeitige Rechtslage aufbereitet, welche bereits die aktuelle Novellierung des Telemedien- und Telekommunikationsrechts in Deutschland einbezieht. Mit einer Studie mit 11-Punkte-Checkliste sowie einem zusätzlichen Kurzleitfaden für Unternehmen ist eine fundierte Grundlage für die Auswahl eines Instant-Messengers zur internen und externen Kommunikation entstanden.
Instant-Messenger ermöglichen den schnellen, unkomplizierten Austausch von Informationen und Dokumenten per Mobiltelefon. Während der Corona-Pandemie hat ihre Bedeutung noch zugenommen. Laut einer Bitkom-Studie vom Mai 2021 nutzen zwei Drittel aller Unternehmen Messenger-Dienste für die interne und externe Kommunikation. Mit der nun vom FZI vorgelegten umfassenden Studie wollen die Rechtsforscher*innen eine Orientierungshilfe bieten denn diese riskieren hohe Sanktionen, wenn sie bei der internen oder externen Kommunikation die Datenschutzvorgaben verletzen.
Hinzu kommt, dass Geschäftsgeheimnisse nach neuer Rechtslage (Gesetz zum Schutz von Geschäftsgeheimnissen – GeschGehG) nur dann rechtlichen Schutz genießen, wenn die geheimen Informationen mit angemessenen Maßnahmen geschützt werden. Es liegt also im Interesse der Unternehmen, bei der Nutzung von Messenger-Lösungen auch den Schutz von Geschäftsgeheimnissen konsequent zu wahren.
Die Studie rät Unternehmen, die Messengerdienste oder andere Kommunikations- und Kollaborationstools für die interne und externe Kommunikation nutzen wollen, sich mit den für sie zutreffenden rechtlichen Pflichten gründlich auseinanderzusetzen. Die Firmen seien angehalten, den Stand der Technik zu beachten und auf technischer, organisatorischer und rechtlicher Ebene „angemessene“, dem Risiko entsprechende und „im Hinblick auf Kosten und Aufwand nicht unverhältnismäßige Maßnahmen“ zu ergreifen, um sowohl Kommunikationsinhalte als auch dabei anfallende Metadaten zu schützen.
Datenschutzrechtlich äußerst bedenklich ist laut Studie etwa die automatische Übermittlung der Kontaktverzeichnisse von Endgeräten an die Anbieter von Messengerdiensten. Ebenfalls raten die Expert*innen von Angeboten ab, die einen Datentransfer in ein Drittland außerhalb der EU und des Europäischen Wirtschaftsraums vorsehen, für das kein so genannter Angemessenheitsbeschluss der EU-Kommission vorliegt. Der Einsatz von Diensten aus solchen Drittländern sei zwar nicht per se verboten, es bestünden allerdings hohe Anforderungen an die Nutzung. So sollten zusätzliche Sicherungsmaßnahmen ergriffen werden, wie beispielsweise Datentrennung durch gesonderte Endgeräte oder Container-Softwarelösungen, zusätzliche Verschlüsselung der übertragenen und gespeicherten Inhalte, Anonymisierung bzw. Pseudonymisierung und Schulungen.
Zudem empfehlen die Studienautor*innen eine klare und transparente Trennung privater und betrieblicher Nutzungen sowie betriebsinterner und betriebsexterner Kommunikation, etwa in Chat-Gruppen, Profilen oder Accounts. Denn Datenaufbewahrungs- und Löschpflichten setzen unterschiedliche Anforderungen. Daneben können Vertraulichkeitserwartungen mit Datenzugriffsnotwendigkeiten beispielsweise aus Compliance-Gründen kollidieren.
Die Studie „Daten- und Geheimnisschutz bei der Kommunikation im Unternehmenskontext“ ist kostenlos zugänglich.
Aus den Erkenntnissen der Studie entwickelten die Autor*innen einen 17-seitigen Leitfaden für Praktiker*innen, der ebenfalls zum Download bereitsteht