Bildmodul
Neue Datenschutz-Grundverordnung

Warum gibt es eine neue Datenschutz-Grundverordnung?

Die europäische Union reagiert mit der neuen Datenschutz-Grundverordnung auf die Sammlung von personenbezogenen Daten und stärkt die Rechte von EU-Bürgern hinsichtlich des Datenschutzes.

Das bedeutet konkret, dass es vor allem eine erhöhte Dokumentationspflicht geben wird. Und bei Nichtbefolgen mit Bußgeldern zu rechnen ist (bis max. 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes).

Die neue Verordnung gilt für Personen sowie Körperschaften jeglicher Größe, die personenbezogene Daten von EU-Bürgern verarbeiten. Das gilt für alle Dienstleister, die mit den Daten in Berührung kommen (Datenverarbeiter, aber auch Dritter wie Cloud-Provider).

Messenger als Kommunikationstool im Unternehmen

Welche Auswirkungen hat die DSGVO bei Messengern?

Ab dem 25. Mai 2018 wird die neue Datenschutz-Grundverordnung (DSGVO) in Kraft treten. Damit werden neue Rahmenbedingungen für den Einsatz von Messengern in Unternehmen geschaffen. Was konkret fordert die neue DSGVO von einem Messenger, welcher für unternehmensinterne und -externe Kommunikation, genutzt werden soll?

  • Der Messenger darf keine Daten aus dem Adressbuch speichern und muss personenbezogene Daten pseudonymisieren.
  • Der Messenger muss Prüfprotokolle durchführen und sichere Aufzeichnungen garantieren.
  • Die Daten dürfen nicht außerhalb der EU gespeichert werden.
  • Der Messenger muss einen ausgewiesenen Datenschutzbeauftragten haben.
  • Der Messenger darf keine Meta-Daten analysieren und das Kommunikationsverhalten nicht ausspähen.
  • Der Messenger muss nebst Richtlinien die vollständige Kontrolle und Aufklärung zum Datenschutz bieten.
  • Persönliche Daten wie das Nutzerprofil müssen vollständig löschbar sein.
  • Der Messenger darf Daten nur zum notwendigen Zweck sammeln und nutzen.
  • Datenschutzbestimmungen sind transparent und einsehbar zu gestalten.
  • Ein vollständiges Archiv muss vorhanden sein und darf nur von autorisierten Personen vollständig eingesehen werden.
  • Der Messenger darf keine User-Profile generieren.
  • Bei Verwendung von personenbezogenen Daten muss eine Einverständniserklärung vorliegen.
Neuerungen im Überblick

Das beinhaltet die neue europäische
Datenschutz-Grundverordnung

Für Unternehmen wird es insgesamt vermehrte Compliance-Maßnahmen geben, die ein stärkeres Risikomanagement bedürfen.

Keine Daten aus dem Adressbuch speichern und personenbezogene Daten pseudonymisieren

Der Messenger darf die Kontaktinformationen und Daten aus dem Adressbuch nicht speichern. Sofern die Übermittlung von Daten aus dem Adressbuch des Nutzers notwendig wird, muss eine Einweg-Verschlüsselung vollzogen werden. Nach der Synchronisation der pseudonymisierten Werte muss eine sofortige Löschung der Daten stattfinden.

Der Messenger muss Prüfprotokolle durchführen und sichere Aufzeichnungen garantieren

Das Unternehmen muss der Pflicht nachkommen alle wichtigen User- sowie Administrator-Aktivitäten aufzuzeichnen und zu dokumentieren. Auch Prüfprotokolle und Audits müssen in zeitlichen Abständen durchgeführt und aufgezeichnet werden. Für den Audit durch eine externe Prüfstelle kann ein gesonderter Zugang vergeben werden.

Die Daten dürfen nicht außerhalb der Europäischen Union gespeichert werden

Die DSGVO sieht eine Speicherung der Daten in der EU vor, damit der Datenschutz nicht gefährdet ist, diese darf lediglich durch hohe Garantien und Gewährleistungen umgangen werden. Der Messenger selber sollte auf europäischen Servern betrieben werden und auch die anfallenden Daten nur auf diesen, in EU-Ländern befindlichen Servern, bearbeitet und verarbeitet werden.

Das Unternehmen muss einen ausgewiesenen Datenschutzbeauftragten haben

Sobald personenbezogenen Daten automatisch verarbeitet werden, muss ein Datenschutzbeauftragter benannt werden. Der Datenschutzbeauftragte muss gemäß der DSVGO die Aufbewahrung und Verarbeitung der Daten sicherstellen und verantworten. Die DSGVO macht für kleine Betriebe eine Ausnahme, hier kann auch der Geschäftsführer die Position einnehmen.

Der Messenger darf keine Meta-Daten analysieren und das Kommunikationsverhalten nicht ausspähen

Die Speicherung von Meta-Daten sollte nur im Zusammenhang notwendiger Funktionalität erfolgen. Das Analysieren und Sammeln zur Erstellung von (erweiterten) Benutzerprofilen ist unzulässig, dadurch soll verhindert werden, dass es Einblicke in das Benutzerverhalten gibt.

Der Messenger muss nebst Richtlinien die vollständige Kontrolle und Aufklärung zum Datenschutz bieten

Die Richtlinien gemäß der DSVGO sollten Teil des Entwicklungsprozesses vom Messenger gewesen sein (Privacy-by-Design/Privacy-by-Default) und dem Unternehmen die Kontrolle über Sicherheit, Datenschutz und Compliance geben. Durch eine gute Dokumentation kann das verifiziert werden.

Persönliche Daten wie das Nutzerprofil müssen vollständig löschbar sein

Die betroffene Person hat das Recht die Löschung aller eigenen personenbezogenen Daten, die jemals auf den Servern hinterlegt wurden, zu beantragen. Das Recht auf Löschung schreibt vor, dass die personenbezogenen Daten vollständig gelöscht werden können. Dieses Recht muss ebenfalls auf das Vertragsrecht angewendet werden z. B. bei Auflösung eines Vertrages.

Der Messenger darf Daten nur zum notwendigen Zweck sammeln und nutzen

Personenbezogene Daten müssen pseudonymisiert und dürfen nur zum funktionalen Zweck abgerufen und gesammelt werden wie z. B. für den Nachrichten-Service. Der Messenger muss detailliert beschreiben, welche und wofür personenbezogene Daten verwendet werden.

Datenschutzbestimmungen müssen transparent und einsehbar sein

Ein Nutzer muss vollständig und verständlich über den Einsatz seiner personenbezogenen Daten aufgeklärt werden. Welche Daten in welchem Umfang und zu welchem Zweck verarbeitet werden und was mit seinen Daten in Zukunft geschieht. Dazu müssen auch Angaben über die Speicherdauer gemacht und auch die Kontaktdaten des Datenschutzbeauftragten öffentlich einsehbar werden.

Vollständiges Archiv, welches nur von autorisierten Personen eingesehen werden darf

Um der DSVGO zu entsprechen muss der Messenger ein Archiv anlegen, welches nur vom zuständigen Datenschutzbeauftragten oder einer autorisierten Person eingesehen werden kann. Das soll das Unternehmen dabei unterstützen, nachzuweisen und herauszufinden wo personenbezogene Daten erfasst und ausgetauscht wurden.

Dokumentation und Überwachung von Sicherheitsverletzungen

Unternehmen müssen mit der DSGVO viel stärker auf Sicherheitsverletzungen achten und schneller auf diese reagieren, so dass Kunden, Partner und Nutzer direkt und innerhalb von 72 Stunden über die (mögliche) Sicherheitsverletzung informiert und aufgeklärt werden. Die Meldung an die Aufsichtsbehörde muss Informationen wie Beschreibung, Anzahl der betroffenen Personen, Folgen und Maßnahmen enthalten.

Bei Verwendung von personenbezogenen Daten muss eine Einverständniserklärung vorliergen

Einzelpersonen müssen in die Verarbeitung von personenbezogenen Daten einwilligen. Diese Einwilligung muss unmissverständlich und ohne Zwang sein, zudem muss erkennbar sein, für welchen Fall zugestimmt wurde. Die Unternehmen müssen die Einwilligung nachweisen und bei Widerruf vom Kunden muss die Einwilligung widerrufen werden können.

Keine Daten aus dem Adressbuch speichern und personenbezogene Daten pseudonymisieren

Der Messenger darf die Kontaktinformationen und Daten aus dem Adressbuch nicht speichern. Sofern die Übermittlung von Daten aus dem Adressbuch des Nutzers notwendig wird, muss eine Einweg-Verschlüsselung vollzogen werden. Nach der Synchronisation der pseudonymisierten Werte muss eine sofortige Löschung der Daten stattfinden.

Der Messenger muss Prüfprotokolle durchführen und sichere Aufzeichnungen garantieren

Das Unternehmen muss der Pflicht nachkommen alle wichtigen User- sowie Administrator-Aktivitäten aufzuzeichnen und zu dokumentieren. Auch Prüfprotokolle und Audits müssen in zeitlichen Abständen durchgeführt und aufgezeichnet werden. Für den Audit durch eine externe Prüfstelle kann ein gesonderter Zugang vergeben werden.

Die Daten dürfen nicht außerhalb der Europäischen Union gespeichert werden

Die DSGVO sieht eine Speicherung der Daten in der EU vor, damit der Datenschutz nicht gefährdet ist, diese darf lediglich durch hohe Garantien und Gewährleistungen umgangen werden. Der Messenger selber sollte auf europäischen Servern betrieben werden und auch die anfallenden Daten nur auf diesen, in EU-Ländern befindlichen Servern, bearbeitet und verarbeitet werden.

Das Unternehmen muss einen ausgewiesenen Datenschutzbeauftragten haben

Sobald personenbezogenen Daten automatisch verarbeitet werden, muss ein Datenschutzbeauftragter benannt werden. Der Datenschutzbeauftragte muss gemäß der DSVGO die Aufbewahrung und Verarbeitung der Daten sicherstellen und verantworten. Die DSGVO macht für kleine Betriebe eine Ausnahme, hier kann auch der Geschäftsführer die Position einnehmen.

Der Messenger darf keine Meta-Daten analysieren und das Kommunikationsverhalten nicht ausspähen

Die Speicherung von Meta-Daten sollte nur im Zusammenhang notwendiger Funktionalität erfolgen. Das Analysieren und Sammeln zur Erstellung von (erweiterten) Benutzerprofilen ist unzulässig, dadurch soll verhindert werden, dass es Einblicke in das Benutzerverhalten gibt.

Der Messenger muss nebst Richtlinien die vollständige Kontrolle und Aufklärung zum Datenschutz bieten

Die Richtlinien gemäß der DSVGO sollten Teil des Entwicklungsprozesses vom Messenger gewesen sein (Privacy-by-Design/Privacy-by-Default) und dem Unternehmen die Kontrolle über Sicherheit, Datenschutz und Compliance geben. Durch eine gute Dokumentation kann das verifiziert werden.

Persönliche Daten wie das Nutzerprofil müssen vollständig löschbar sein

Die betroffene Person hat das Recht die Löschung aller eigenen personenbezogenen Daten, die jemals auf den Servern hinterlegt wurden, zu beantragen. Das Recht auf Löschung schreibt vor, dass die personenbezogenen Daten vollständig gelöscht werden können. Dieses Recht muss ebenfalls auf das Vertragsrecht angewendet werden z. B. bei Auflösung eines Vertrages.

Der Messenger darf Daten nur zum notwendigen Zweck sammeln und nutzen

Personenbezogene Daten müssen pseudonymisiert und dürfen nur zum funktionalen Zweck abgerufen und gesammelt werden wie z. B. für den Nachrichten-Service. Der Messenger muss detailliert beschreiben, welche und wofür personenbezogene Daten verwendet werden.

Datenschutzbestimmungen müssen transparent und einsehbar sein

Ein Nutzer muss vollständig und verständlich über den Einsatz seiner personenbezogenen Daten aufgeklärt werden. Welche Daten in welchem Umfang und zu welchem Zweck verarbeitet werden und was mit seinen Daten in Zukunft geschieht. Dazu müssen auch Angaben über die Speicherdauer gemacht und auch die Kontaktdaten des Datenschutzbeauftragten öffentlich einsehbar werden.

Vollständiges Archiv, welches nur von autorisierten Personen eingesehen werden darf

Um der DSVGO zu entsprechen muss der Messenger ein Archiv anlegen, welches nur vom zuständigen Datenschutzbeauftragten oder einer autorisierten Person eingesehen werden kann. Das soll das Unternehmen dabei unterstützen, nachzuweisen und herauszufinden wo personenbezogene Daten erfasst und ausgetauscht wurden.

Dokumentation und Überwachung von Sicherheitsverletzungen

Unternehmen müssen mit der DSGVO viel stärker auf Sicherheitsverletzungen achten und schneller auf diese reagieren, so dass Kunden, Partner und Nutzer direkt und innerhalb von 72 Stunden über die (mögliche) Sicherheitsverletzung informiert und aufgeklärt werden. Die Meldung an die Aufsichtsbehörde muss Informationen wie Beschreibung, Anzahl der betroffenen Personen, Folgen und Maßnahmen enthalten.

Bei Verwendung von personenbezogenen Daten muss eine Einverständniserklärung vorliergen

Einzelpersonen müssen in die Verarbeitung von personenbezogenen Daten einwilligen. Diese Einwilligung muss unmissverständlich und ohne Zwang sein, zudem muss erkennbar sein, für welchen Fall zugestimmt wurde. Die Unternehmen müssen die Einwilligung nachweisen und bei Widerruf vom Kunden muss die Einwilligung widerrufen werden können.