GSB 7.1 Standardlösung

Navigation und Service

Leitfragen zur Beurteilung von Angeboten

Wenn Sie sich als Verantwortlicher die Frage stellen, ob Sie einen Messenger-Dienst einsetzen können bzw. für welchen Anbieter Sie sich entscheiden sollten, dann können die folgenden Fragen bei der Entscheidung helfen:

Messenger
Quelle: Adobe Stock

Fragen zum Anbieter

  • Hat der Anbieter seinen Sitz in der EU?
    Falls ja, dann können Sie eher davon ausgehen, dass das Angebot den Anforderungen der DSGVO entspricht.

  • Stellt der Anbieter eine Datenschutzerklärung zur Verfügung?
    Falls keine Datenschutzerklärung auffindbar ist oder falls diese im Vergleich zu anderen entsprechenden Erklärungen ungewöhnlich vage oder verwirrend formuliert ist, so sollte dies als Warnzeichen gewertet werden, dass das Angebot eventuell nicht den datenschutzrechtlichen Anforderungen genügt.

  • Stellt der Anbieter Informationen darüber zur Verfügung, welche der im Zuge der Nutzung des Angebots anfallenden personenbezogenen Daten an andere Stellen (Auftragsverarbeiter, Partnerunternehmen) weitergegeben werden? Sind diese Informationen ausreichend konkret und hinreichend umfangreich?

  • Für Anbieter mit Sitz außerhalb der EU: Stellt der Anbieter sonstige Informationen zur Verfügung, wie er ein Datenschutzniveau sicherstellt, das den Anforderungen der DSGVO genügt?
    Dies können beispielsweise Hinweise auf die Nutzung von Standardvertragsklauseln, einen Angemessenheitsbeschluss der Europäischen Kommission oder eine Selbsterklärung nach dem EU-US Privacy Shield sein. Falls keine entsprechenden Informationen verfügbar sind bestehen ernsthafte Zweifel daran, dass eine Nutzung des Dienstes datenschutzkonform möglich ist.

Fragen zur Infrastruktur und den verwendeten Protokollen

  • Stellt der Anbieter Informationen dazu zur Verfügung, in welchen Ländern die einzelnen Komponenten seiner Infrastruktur lokalisiert sind?
    Falls es keine entsprechenden Informationen gibt, so sollte dies als Warnzeichen gewertet werden, dass das Angebot eventuell nicht den Anforderungen der DSGVO genügt.

  • Stehen die Server des Dienstleisters in der EU?
    Falls ja, dann können Sie eher davon ausgehen, dass das Angebot den Anforderungen der DSGVO entspricht. Falls nein, so sollten Sie prüfen, welche Informationen auf den Servern außerhalb der EU verarbeitet werden und ob es für den Serverstandort ausreichende Garantien gibt, dass die Verarbeitung entsprechend der DSGVO erfolgt. Der Anbieter sollte in der Lage sein, entsprechende Informationen zur Verfügung zu stellen.

  • Stellt das Angebot eine Ende-zu-Ende-Verschlüsselung der Kommunikation sicher?
    Das Fehlen einer Ende-zu-Ende-Verschlüsselung ist problematisch, das Fehlen zumindest einer durchgehenden Transportverschlüsselung der Verbindung zwischen den Clients und den Servern des Anbieters sollte als Ausschlusskriterium gewertet werden. Geht es um sensible personenbezogene Daten nach Artikel 9 und 10 DSGVO (beispielsweise Gesundheitsdaten) Dritter, so ist eine Ende-zu-Ende Verschlüsselung in Regel zwingend erforderlich.

  • Welche Informationen gibt es zu den eingesetzten Protokollen und Verschlüsselungsverfahren?
    Je mehr entsprechende Informationen und Dokumentation zur Verfügung gestellt werden und je offener diese Informationen sind, desto eher können Sie davon ausgehen, dass die eingesetzten Verfahren den Anforderungen an eine sichere Kommunikation genügen, da eine unabhängige Überprüfung möglich ist, auch wenn Sie selbst diese Überprüfung nicht im Detail vornehmen können.

  • Gibt es Informationen zur Sicherheit der Infrastruktur allgemein?
    Falls der Anbieter über eine Zertifizierung nach einem allgemein anerkannten Standard wie ISO/IEC 27001 verfügt, so kann dies als Indiz dafür gewertet werden, dass die Infrastruktur und die Betriebsprozesse den Sicherheitsanforderungen auch aus Sicht des Datenschutzes entsprechen.

Fragen zu den verarbeiteten Nutzerinformationen

  • Welche Informationen müssen angegeben werden, um den Dienst nutzen zu können?
    Erfolgt die Identifikation des Nutzers über eine frei wählbare ID oder beispielsweise eine E-Mail-Adresse, so ist dies potentiell datenschutzfreundlicher als wenn die Nutzung an die Mobiltelefonnummer geknüpft ist. Andererseits kann die Mobiltelefonnummer ein Merkmal zur Authentisierung des Nutzers bzw. zur Identifikation des Gesprächspartners darstellen. Je mehr Informationen allgemein für die Nutzung des Dienstes angegeben werden müssen, desto problematischer ist dies im Hinblick auf den Datenschutz.

  • Welche Möglichkeiten gibt es zur sicheren Identifikation des Kommunikationspartners?
    Gerade dann, wenn es um sensible personenbezogene Daten geht, sollte der Dienst eine Möglichkeit zur sicheren Identifikation aller an der Kommunikation Beteiligten geben. Bei Unternehmenslösungen wird dies oft über eine „Anmeldung“ der beteiligten Geräte oder Anwendungen sichergestellt, bei Angeboten für die Allgemeinheit kann die sichere Identifikation der Kommunikationspartner eine Herausforderung darstellen.

Fragen zu den Client-Apps / Anwendungen

  • Wo werden die Informationen (Inhalte der Kommunikation, Adressbücher, Metadaten) gespeichert?
    Je mehr Informationen zentral auf den Servern des Anbieters gespeichert werden, desto eher kann dies im Hinblick auf den Datenschutz problematisch werden.

  • Wie werden die Informationen (Nutzerinformationen, Adressbücher, Chatverläufe, Dokumente, Anrufprotokolle etc.) auf den Endgeräten gesichert?
    Vorteilhaft ist eine verschlüsselte Speicherung dieser Informationen unabhängig von der allgemeinen Geräteverschlüsselung, damit sensitive Informationen nicht beispielsweise im Zuge einer Gerätesynchronisation oder eines Backups unverschlüsselt in der Cloud gespeichert werden.

  • Welche Möglichkeiten zur gezielten Löschung einzelner Kommunikationsinhalte bietet die Anwendung?
    Siehe "Eingriffsmöglichkeiten für die Nutzer"

Alternative Aufbau einer eigenen Messaging- oder Videokonferenz-Plattform

Als Alternative zur Nutzung „allgemeiner“ Angebote können insbesondere größere Organisationen auch in Erwägung ziehen, eigene Messaging- oder Videokonferenz-Plattformen einzurichten. Dies kann sowohl für die rein „interne“ Nutzung als auch für die Nutzung für die Kommunikation mit externen Kommunikationspartnern geschehen. Gegenüber der Nutzung eines „allgemeinen“ Dienstes bietet dies den Vorteil, dass die Fragen im Hinblick auf den Anbieter und die Infrastruktur wegfallen, da die Organisation Infrastruktur und Betrieb selbst in die Hand nimmt.

Allerdings liegt in diesem Fall die Verantwortung sowohl für die datenschutzgerechte Umsetzung als auch für den sicheren Betrieb vollständig bei der Organisation selbst. Insbesondere die Sicherheit beim Betrieb kann hier eine Herausforderung darstellen, falls eine Kommunikation mit externen Kommunikationspartnern vorgesehen ist oder falls Mitarbeiterinnen und Mitarbeiter aus dem Homeoffice auf die Plattform zugreifen sollen. Die oben genannten Fragen können aber auch in diesem Szenario Hinweise geben, worauf bei der Auswahl einer Lösung zu achten ist.