Es könnte so einfach sein: Praktisch die gesamte Belegschaft hat ohnehin schon WhatsApp auf dem Smartphone installiert. Warum nicht schnell eine Gruppe gründen und den mit Abstand meistgenutzten Instant Messenger auch zur unternehmensinternen Kommunikation verwenden? Doch die App aus dem Hause Facebook erfüllt nicht einmal die grundlegendsten Datenschutzstandards. Unser Test zeigt: Es gibt deutlich bessere Alternativen.
Das Wichtigste in Kürze
- WhatsApp mag zwar der meistgenutzte Messenger sein – zur Kommunikation im Unternehmen sollte er aber keinesfalls verwendet werden.
- Telegram zeigt sich als beliebte Alternative schon besser aufgestellt in Sachen Datenschutz, dennoch gibt es auch hier Schwachstellen.
- Unser Test zeigt: Es gibt datenschutzkonforme Messenger-Dienste.
- Unternehmen können und sollten die Belegschaft per Dienstanweisung zur Verwendung sicherer Messenger verpflichten.
In diesem Beitrag
- Instant Messenger und Datenschutz – wo liegt das Problem?
- Darf ich Messenger zur vertraulichen Kommunikation verwenden?
- Was zeichnet einen datenschutzkonformen Messenger aus?
- Welche Messenger sind aus Sicht des Datenschutzes besonders problematisch?
- Welche Messenger sind zur sicheren Kommunikation zu empfehlen?
- Wie überzeuge ich meine Kontakte, zu einem sicheren Messenger zu wechseln?
- Fazit
Instant Messenger und Datenschutz – wo liegt das Problem?
Arbeitgeber in Deutschland und der gesamten Europäischen Union müssen ein angemessenes Niveau an Datenschutz gewährleisten, wie es die seit 2018 geltende Datenschutz-Grundverordnung (DS-GVO) vorschreibt. Da bei der Kommunikation mit Instant Messengern fortwährend personenbezogene Daten ausgetauscht werden, muss auch hier auf den Datenschutz geachtet werden. Das ist allerdings gar nicht immer leicht – vor allem dann nicht, wenn die Daten auf Servern weltweit gespeichert werden.
Ein Beispiel aus der Praxis: Ein Arbeitgeber möchte WhatsApp als Kommunikationskanal für Krankmeldungen nutzen. Dabei werden persönliche Daten – hier über die krankheitsbedingte Abwesenheit von Angestellten – gesendet und auf Servern von WhatsApp gespeichert, über die der Arbeitgeber keinerlei Kontrolle hat. Er kann also beim besten Willen nicht mehr seinen Verpflichtungen zum Datenschutz nachkommen.
Vor diesem Hintergrund überrascht es nicht, dass deutsche Gerichte und auch Datenschutzbehörden bereits seit 2017 den Einsatz von WhatsApp zur vertraulichen Kommunikation als äußerst kritisch einstufen. WhatsApp ist, wie wir im Datenschutz-Test sehen werden, für Unternehmen keinesfalls zu empfehlen. Es gibt andere Messenger, die durchaus datenschutzkonform im Arbeitsalltag eingesetzt werden können.
Darf ich Messenger zur vertraulichen Kommunikation verwenden?
Wenn Daten streng vertraulich sind, ist der sicherste Weg der Kommunikation vermutlich, jemandem ins Ohr zu flüstern. Auch das Festnetztelefon mit Kupferkabel bot seinerzeit ein hohes Maß an Vertraulichkeit. Doch der moderne Büroalltag sieht anders aus.
Am ehesten ist die Chat-Nachricht wohl mit der E-Mail zu vergleichen. Und hier zeigt sich: Ein guter Messenger ist einer unverschlüsselten E-Mail beim Datenschutz überlegen.
Es gibt also keinen Grund, generell auf den Einsatz von Messengern als vertrauliches Kommunikationsmittel zu verzichten. Tabu sind lediglich bestimmte Apps, wie wir unten sehen werden.
Was zeichnet einen datenschutzkonformen Instant Messenger aus?
Aus Sicht des Datenschützers sind die wichtigsten Kriterien für einen guten Messenger schnell formuliert:
- Standort des Servers: Der Server sollte sich in der EU oder einem anderen Staat des Europäischen Wirtschaftsraums (EWR), also Norwegen, Island oder Liechtenstein befinden. Wichtig: Großbritannien ist nicht mehr Teil der EU und wird nach 2020 nicht mehr an die DS-GVO gebunden sein.
- Geschäftsmodell: Der Messenger sollte nicht über Werbung finanziert werden, die die versendeten Daten nutzt.
- Verschlüsselung: Eine gute Ende-zu-Ende-Verschlüsselung sollte bei einem datenschutzkonformen Messenger Standard sein.
- Adressdaten: Das lokale Adressbuch sollte vom Messenger nicht ausgelesen werden.
- Protokoll: Das verwendete Instant-Messaging-Protokoll sollte offen standardisiert sein.
- Backup-Möglichkeit: Die Daten sollten auf Wunsch auch lokal ohne Einschränkung speicherbar sein, nicht nur in der Cloud.
Diese sechs Kriterien sind aus Sicht des Datenschutzes wichtig. Wir haben sie deshalb in unserem Test auch stark gewichtet. Daneben gibt es aber auch weitere Kriterien, die mit Blick auf eine vertrauliche Kommunikation wichtig sind:
- Abschaltung des Accounts: Das Konto sollte sich über die App löschen lassen.
- Anzeige von Aktivitäten: Der Hinweis „Tippt gerade“ sollte sich abschalten lassen. Gleiches gilt für die Anzeige „Empfangen/Gelesen“.
Prüfen wir nun einmal alle gängigen Messenger nach diesen Kriterien, ergibt sich bei der von uns vorgenommenen Gewichtung folgendes Bild:
Messenger Kriterium |
Wertung |
Rocket Chat |
Wire |
Signal |
Telegram |
|
|
Standort der Server (innerhalb des EWR); Schweiz wurde aufgrund des Angemessenheitsbeschlusses gem Art 46 DSGVO als nicht mit dem gleichen aber angemessenen Niveau mit 200 Punkten bewertet und die USA mit 50 Punkten aufgrund des Privacy Shields aber den erheblichen Unsicherheiten rund um Privacy Shields und den CLOUD Act | 300 | 300 | 200 | 200 | 50 | 0 | 0 |
Geschäftsmodell Nicht Werbung | 200 | 200 | 200 | 200 | 200 | 200 | 0 |
Ende-zu-Ende-Verschlüsselung Gruppenchat | 200 | 200 | 200 | 200 | 200 | 200 | 200 |
Zugriff auf lokales Addressbuch notwendig | 200 | 200 | 200 | 200 | 200 | 0 | 0 |
Standardisiertes, offengelegtes Protokoll | 100 | 100 | 100 | 100 | 100 | 100 | 0 |
Backup Möglich- Auf frei wählbarem Speicher ohne Cloud | 100 | 100 | 100 | 100 | 100 | 0 | 0 |
Account Löschen- innerhalb der App | 50 | 50 | 50 | 50 | 50 | 0 | 50 |
"Tippt Gerade" -Anzeige abschaltbar | 50 | 50 | 50 | 0 | 50 | 50 | 50 |
“Empfangen/Gelesen”-Anzeige abschaltbar | 50 | 50 | 50 | 50 | 50 | 0 | 50 |
Kommentar | 0 | Rocket Chat ins eine der führenden Open Source Team Chat Software Lösungen. | Sichere Kommunikation von einem Schweizer Anbieter. | Wire ist die wohl eine der am umfassendsten öffentlich geprüfte Software für die Zusammenarbeit und Kommunikation auf dem Markt. | Edward Snowden nutzt Signal. | Telegram behauptet, dass es Sicherheit priorisiert, was es zu einer Alternative zu anderen beliebten Messaging-Apps macht. | Der Hauptvorteil von Whatsapp liegt in der Verbreitung, aber die Datensicherheit ist nicht gegeben. |
Nutzerzahlen | 0 | Mehr als 10 Millionen | Ca. 8 Millionen | Keine Angabe | Mehr als 10 Millionen | Ca. 400 Millionen | Ca. 2 Milliarden |
Punkte Datenschutz | 1250 | 1150 | 1100 | 1000 | 550 | 350 |
Messenger-Dienste im Datenschutzvergleich, Quelle: DataGuard Analysis
Sie wollen in Sachen Datenschutz auf dem Laufenden bleiben? In unserem Newsletter informieren wir Sie z.B. über Themen wie die Datenschutzkonformität von Messenger-Anbietern. Melden Sie sich hier kostenlos an:
Sichern Sie Ihren Erfolg.
Abonnieren Sie praxisnahe Experten-Tipps!
Schließen Sie sich 3.000+ Führungskräften an, die mit unserem monatlichen Newsletter zu dem Thema Informationssicherheit auf dem Laufenden bleiben.
Welche Messenger sind aus Sicht des Datenschutzes besonders problematisch?
Mit WhatsApp fällt besonders ein Instant Messenger in unserem Test negativ auf. Die von mittlerweile rund zwei Milliarden Menschen zur Kommunikation genutzte App leidet aber besonders unter dem mangelnden Datenschutz von Mutterkonzern Facebook. Überraschenderweise ist aber Telegram, ein Shootingstar unter den Messengerdiensten mit inzwischen über 500 Millionen Nutzern, in unserem Test nicht so gut davon gekommen und das obwohl der Anbieter für viele als sichere WhatsApp-Alternative gilt.
WhatsApp und der Datenschutz
Für WhatsApp kann der Datenschützer kein „Like“ vergeben – nicht nur, aber unter anderem auch aufgrund der zunehmenden Verflechtung mit dem Mutterkonzern Facebook. Das haben auch die deutschen Datenschutzbehörden wiederholt betont. Negativ fallen im Test gleich eine ganze Reihe von Punkten auf:
- Geschäftsmodell: Facebook verdient sein Geld mit personalisierter Werbung, was angesichts der immer engeren Verzahnung der unterschiedlichen Produkte des Konzerns auch für WhatsApp eine Gefahr darstellt.
- Standort: Die Daten werden bei WhatsApp nicht auf Servern innerhalb der EU oder des EWR gespeichert.
- Protokoll: WhatsApp verfügt als einziger Messenger im Test über kein standardisiertes, offengelegtes Protokoll.
- Adressbuch: Der vielleicht kritischste Punkt aus Sicht des Datenschutzes ist der notwendige Zugriff von WhatsApp auf das lokale Adressbuch.
Generell ist es möglich WhatsApp den Zugriff auf die eigenen Kontakte im Adressbuch zu untersagen oder auch rückwirkend zu entziehen. Richten Sie diese Einstellung ein, zeigt die App keine Kontakte an und Sie müssen zunächst warten, bis Sie angeschrieben werden. Bei Entzug des Zugriffs auf Ihr Adressbuch können Sie zwar bestehende Chats weiterführen, statt eines Namens sehen Sie dann allerdings nur die Telefonnummer des Kontakts
Positiv hervorzuheben ist zwar die bei WhatsApp mögliche Ende-zu-Ende-Verschlüsselung von Gruppenchats. Doch auch hier muss bemängelt werden, dass zwar Inhalte verschlüsselt übertragen werden, nicht jedoch Metadaten – wer mit wem zu welchem Zeitpunkt in Kontakt tritt, ist für den Konzern prinzipiell einsehbar.
Übrigens: Auch WhatsApp Business können wir nicht empfehlen. Der Auftragsverarbeitungsvertrag mit Facebook enthält nicht einmal die Minimalangaben zur Datenverarbeitung und Datenübermittlung. Zudem ist auch hier die Verflechtung zu der Datenkrake Facebook hervorzuheben.
Telegram und der Datenschutz
Dass das Image von WhatsApp inzwischen in der Öffentlichkeit einigermaßen angekratzt ist, nutzt vor allem ein anderer Messenger für sich: Der vom exilierten russischen Unternehmer Pavel Durov gegründete Dienst Telegram hat inzwischen weltweit rund 500 Millionen Nutzer, Tendenz steigend. Die zwei handfesten Vorzüge sind zum einen das Geschäftsmodell, das nicht auf Werbung basiert sowie das offen standardisierte Protokoll.
In unserem Test zeigt sich: Telegram kann nicht unbedingt als sichere Alternative zu WhatsApp empfohlen werden. Was die Serverstandort angeht kann Telegram kaum sicherer betrachtet werden als WhatsApp, da es die Daten auf der ganzen Welt speichert. Darunter auch in Ländern, die aus europäischer Sicht als unsicher gelten können. Allerdings ist positiv hervorzuheben, dass Telegram eine über Jahre entwickelte Technologie zur Synchronisation verschlüsselter Daten zwischen den Datenzentren einsetzt. Diese Technologie verschlüsselt den lokalen Speicher in jedem der Datenzentren so, dass ein Einbruch in jedes Rechenzentrum und die Beschlagnahme von Servern nutzlos wäre. Ebenfalls positiv zu bewerten ist, dass die eingesetzten Verschlüsselungsschlüssel in mehrere Teile getrennt sind und niemals am selben Ort gespeichert sind, wie die Informationen, die sie verschlüsseln.
Insgesamt sind die Verschlüsselungsmöglichkeiten die Telegram bietet besser als die von WhatsApp. Jeder Chat auf Telegram wird seit dem Launch der App verschlüsselt. Erst kürzlich stellt Pavel Durov dazu klar, dass Telegram sogenannte Secret Chats hat, die Ende-zu-Ende verschlüsselt sind sowie Cloud-Chats, die auf Real-Time Speicherung und dezentrale Cloud-Speicher zurückgreifen. Insgesamt zeigt sich, dass Telegram im Bereich Verschlüsselung mehr bietet als WhatsApp, jedoch bleiben in Bezug auf Telegram und Datenschutz einige wichtige Fragen offen, insbesondere was die globale Speicherung von Daten betrifft.
Welche Messenger sind zur sicheren Kommunikation zu empfehlen?
Aus unserem Test zu Messengern und Datenschutz geht Rocket Chat als eindeutiger Sieger hervor. Aber auch die zweit- und drittplatzierten Apps Threema und Wire können bedenkenlos für die Kommunikation in Unternehmen empfohlen werden. Der Messenger Signal (übrigens von Edward Snowden persönlich empfohlen) leidet im Test trotz sonst guter Werte unter dem Server-Standort USA.
Rocket Chat und der Datenschutz
Der größte Vorteil von Rocket Chat als Messenger besteht darin, dass der Dienst selbst gehostet werden kann. Alle Daten verbleiben so im Unternehmen, der Dienst kann über den Browser verwendet werden, ohne auf dem eigenen Gerät installiert zu sein. Beim Punkt Serverstandort erhält die App im Test daher als einzige die volle Punktzahl – wie auch in allen anderen Kategorien.
Für Unternehmen ebenso wichtig wie der Datenschutz sind Performance und Funktionalität eines Messengers. Die gute Nachricht: Nutzer von Rocket Chat müssen hier keine Abstriche machen. Dateien, Bilder und Videos können problemlos versendet werden, die App ist für verschiedene PC-Betriebssysteme ebenso erhältlich wie für Android und iOS.
Threema und der Datenschutz
Der Messenger Threema kann zur vertraulichen und datenschutzkonformen Kommunikation ebenso empfohlen werden wie Testsieger Rocket Chat. Der kleine Punktabzug im Test ist auf den Serverstandort Schweiz zurückzuführen. Das lässt sich sicher diskutieren, doch letztlich gilt: Im Zweifelsfall ist ein Serverstandort in der EU für deutsche Unternehmen immer besser als außerhalb der EU.
Threema verlangt nicht die Eingabe personenbezogener Daten wie z. B. E-Mail-Adresse oder Handynummer. Die App kann auf Basis einer zufällig genutzten Threema-ID ohne Zugriff auf das Adressbuch genutzt werden, auf Wunsch ist die Eingabe des eigenen Namens dennoch möglich. Die gesamte Kommunikation ist durch Ende-zu-Ende-Verschlüsselung gesichert.
Wire und der Datenschutz
Wire Enterprise ist ein Dienst, der speziell auf die Kommunikation in Unternehmen zugeschnitten ist. Zur Anmeldung muss eine E-Mail-Adresse angegeben werden, ein Zugriff auf das Adressbuch ist nicht erforderlich. Neben der Nutzung des Messenger-Dienstes besteht auch die Möglichkeit, über Voice over IP (VoIP) zu telefonieren.
Wire kann sowohl auf Smartphones, Tablets als auch auf Desktop-Geräten genutzt werden. Die gesamte Kommunikation ist Ende-zu-Ende verschlüsselt. Wire ist Open Source, d. h. die Software ist transparent und kann überprüft werden.
Die Serverstandorte von Wire befinden sich mittlerweile in der Schweiz sowie der EU. Zwar sind die Datenschutzgesetze der Schweiz nicht so strikt wie die der EU, dadurch, dass sich aber auch in der EU Server befinden, ist dies generell als positiv zu bewerten. Einen Wermutstropfen gibt es jedoch: Es lässt sich nicht verbergen, dass ein Nutzer gerade tippt, was im Bereich des Arbeitsrechts problematisch sein kann.
Signal und der Datenschutz
Der Messenger Signal kann für den datenschutzkonformen Einsatz in Unternehmen nur bedingt empfohlen werden. Hier zeigt sich im Test die Bedeutung des Serverstandorts: Während bei allen anderen datenschutzrelevanten Features die volle Punktzahl erreicht wurde, ist eine physische Speicherung von personenbezogenen Daten in den USA wie im Falle von Signal datenschutzrechtlich zumindest heikel, insbesondere vor dem Hintergrund des EuGH-Urteils im Fall „Schrems II“ zum Datenschutzniveau in den USA vom 16.07.2020.
Wie überzeuge ich meine Kontakte, zu einem sicheren Messenger zu wechseln?
Datenschutz ist eine Führungsaufgabe. Entsprechend sollte im Unternehmensbereich die Nutzung sicherer Messenger schlicht und ergreifend dienstlich angewiesen werden. Vorstand und Geschäftsführung sollten hier mit gutem Beispiel vorangehen. Die klare Ansage: WhatsApp und andere unsichere Messenger dürfen nicht auf Dienstgeräten installiert werden.
Schwieriger ist es im umgekehrten Fall für Mitarbeiter, wenn die Nutzung unsicherer Messenger im Betrieb schon etabliert und weit verbreitet ist. Die Empfehlung hier: Sprechen Sie die Firmenleitung oder Ihren Datenschutzbeauftragten auf die Problematik an. Erst wenn dieser Schritt wiederholt erfolglos bleibt, sollten Sie einen anonymen Hinweis an die Datenschutzbehörden in Erwägung ziehen.
Im privaten Bereich ist es sicher am schwierigsten, den Freundes- und Bekanntenkreis zum Umstieg auf datenschutzkonforme Messenger zu bewegen. Wer hier etwas Argumentationshilfe benötigt, sollte einfach mal auf die AGB von WhatsApp verweisen, das sich sämtliche Nutzungsrechte an privaten Inhalten wie Bildern einräumen lässt. Das bringt viele Menschen zum Nachdenken.
Fazit
Die Moral der Geschichte: Finger weg von unsicheren Messenger-Diensten. Auch, wenn es bequem ist und scheinbar jedermann sie schon nutzt.
Wenn Sie im Unternehmen eine Führungsposition innehaben, ist es ihre Verantwortung, mit gutem Beispiel und einer Dienstanweisung voranzugehen. Sind Sie Mitarbeiter, haben Sie zumindest sehr gute Argumente und auch die ganz eindeutige Position der deutschen Datenschutzbehörden auf Ihrer Seite, um für Datenschutz beim Messaging zu werben. Denn reine Bequemlichkeit zahlt sich langfristig selten aus.
Bei weiteren Fragen zu diesem und anderen Themen im Datenschutz stehen Ihnen unsere Experten gerne zur Verfügung. Vereinbaren Sie einfach ein kostenloses Gespräch und wir melden uns bei Ihnen: