Knackpunkte Google Drive, Dropbox, WhatsApp und Mitarbeiter

Interne Unternehmenskommunikation muss DSGVO-konform sein

| Autor: Sarah Gandorfer

Die EU fordert einen neuen Umgang mit dem Datenschutz.
Die EU fordert einen neuen Umgang mit dem Datenschutz. (Bild: Pixabay / CC0)

Bis zum Stichtag der EU-Datenschutz-Grundverordnung (DSGVO) müssen nicht nur Kundendaten entsprechend behandelt, sondern auch die interne Kommunikation nach den neuen Richtlinien ausgerichtet sein.

Am 25. Mai gilt die DSGVO verbindlich für jedes europäische Unternehmen. „Es genügt allerdings nicht, nur die Kommunikation mit Kunden oder die Website abzusichern. Auch die interne Unternehmenskommunikation muss DSGVO-konform gestaltet werden“, mahnt Christian Heutger, IT-Sicherheitsexperte und Geschäftsführer der PSW Goup.

Gerade bei der unternehmensinternen Kommunikation werden auf vielfältige Art personenbezogene Daten erhoben, beispielsweise über Intranet, Social Media, Apps und Cloud-Dienste. Zahlreiche Tools und IT-Systeme stoßen auf IP-Adressen, es wird Dokumentenzugriff gewährt, Aufenthaltsorte und Nutzungszeiten der Mitarbeiter sind ersichtlich.

„Das wird mit der EU-DSGVO problematisch. Für Datensicherheit und Datenschutz sind gerade die Schnittstellen dieser Anwendungen und Geräte eine der häufigsten Schwachstellen“, fährt Heutger fort. „Deshalb muss sich jeder Mitarbeiter, der sich mit interner Kommunikation befasst, mit der Thematik Datenschutz und Datensicherheit auseinandersetzen. Es muss zumindest ein grundlegendes Verständnis geschaffen werden, um Änderungen in der internen Kommunikation für jeden Mitarbeiter nachvollziehbar und damit anwendbar zu machen.“

Problemfall mobiles Arbeiten

In der digitalen Arbeitswelt sind Mitarbeiter oftmals mobil. Einige verfügen nicht einmal über einen festen PC-Arbeitsplatz – müssen jedoch in die interne Kommunikation einbezogen werden. Dazu werden vielfach Dienste wie „Google Drive“, „Dropbox“ oder andere US-Anbieter genutzt, um gemeinsam vertrauliche Dokumente zu bearbeiten. Auf einige Dokumente haben zudem Kunden Zugriff. Und nicht wenige Unternehmen setzen auf Mitarbeiter-Apps: Geschäftsanwendungen sind als Apps zeit- und ortsunabhängig überall erreichbar.

Dabei sind solche Apps mit etlichen Features ausgestattet, um die gesamte unternehmensinterne Kommunikation zu bündeln. „Meist ist die Kommunikation aus den verschiedenen Social-Media-Kanälen einsehbar. Zudem sind häufig externe Systeme integriert. Gruppenchats sowie Privatnachrichten erlauben es, untereinander zu interagieren. Um es auf den Punkt zu bringen: Apps dieser Art sammeln jede Menge persönliche und sensible Informationen. Deshalb ist es unabdingbar, mögliche interne Mitarbeiter-Apps auf ihre EU-DSGVO-Konformität zu überprüfen“, mahnt der Geschäftsführer.

Auch Messenger-Dienste dienen vermehrt nicht nur der privaten sondern auch der geschäftlichen Kommunikation. Doch Dienste wie WhatsApp sind nicht sonderlich datenschutzfreundlich: Erst kürzlich wurde bekannt, dass Facebook trotz Ende-zu-Ende-Verschlüsselung Nachrichten von „WhatsApp“ mitlesen kann.

„Das Problem bei solchen Lösungen ist die Datenübermittlung zwischen dem jeweiligen Anbieter und dem Endgerät. So gleichen einige Messenger, darunter WhatsApp, automatisch das Adressbuch mit den Daten auf dem Server ab. Telefonnummern sowie IP-Adressen sind jedoch personenbezogene Daten“, erläutert Heutger und rät zur Verwendung alternativer Dienste: „Threema Work beispielsweise ist eine der wenigen kommerziellen Lösungen, die einen datenschutzkonformen Einsatz in Unternehmen möglich machen. So lassen sich mit Threema etwa einzelne Kontakte vom Datenabgleich ausschließen. Die gesamte Kommunikation verläuft Ende-zu-Ende-verschlüsselt und auf dem Smartphone gespeicherte Chats und Medien sind ebenfalls verschlüsselt.“

Auch sollten Unternehmen prüfen, welche Technologien aktuell für die interne Kommunikation überhaupt genutzt werden. Wer E-Mails bislang intern unverschlüsselt versendet, sollte das ändern, beispielsweise mit einer Gateway-Lösung. „Um einen ersten Schritt in Richtung einer ganzheitlichen Sicherheitskultur zu gehen, ist eine konsequente Ende-zu-Ende-Verschlüsselung empfehlenswert. Nur die jeweiligen Kommunikationspartner können die Nachricht dann entschlüsseln und E-Mails sowie Anhänge sind sicher vor ungebetenen Mitlesern und vor Manipulation“, rät der Experte.

Schwachstelle Mitarbeiter

Außerdem unterlaufen Mitarbeitern immer wieder diverse Fehler bezüglich des Datenschutzes, wie Schatten-IT, leicht knackbare Passwörter oder sensible Informationen im privaten Postfach. „Eine DSGVO-konforme interne Kommunikation lässt sich nicht ohne Schulungen, Seminare und dem Aufbau einer Compliance aufsetzen. Von heute auf morgen ändern Menschen allerdings ihre Gewohnheiten nicht.

Es ist deshalb unabdingbar, Mitarbeiter beim Übergang in die neue Datenschutz-Ära intensiv zu unterstützen. Mein Rat ist, Mitarbeiter an die Hand zu nehmen, sie intensiv schulen zu lassen und ihnen eine Chance zu geben, sich auf die neuen Bedingungen, die mit der EU-DSGVO auf alle zukommen, einzustellen“, gibt Heutger als letzten Tipp aus.

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45276724 / Services)