WhatsApp ist eine der meistgeladenen Apps im AppStore, die auch auf dienstlich genutzten Smartphones regen Einsatz findet. Unternehmen ohne entsprechende Sicherheitsmaßnahmen befinden sich auf dünnem Eis – ein Verstoß gegen die DSGVO ist vorprogrammiert. Wir verraten Ihnen die Hintergründe und erklären, wie Sie WhatsApp DSGVO-konform einsetzen.
Möchten Mitarbeiter WhatsApp auf beruflich genutzten Handys einsetzen, stellt dies Unternehmen vor besondere Herausforderungen in Sachen Datenschutz.
Unternehmen, die ihren Mitarbeitern Smartphones zur Verfügung stellen, die diese im Rahmen eines COPE- oder BYOD-Programms auch privat nutzen, müssen damit rechnen, dass auf den auch dienstlich genutzten Geräten WhatsApp installiert wird.
Wo liegt das Problem?
Sobald auf einem Smartphone WhatsApp installiert ist, greift die App auf das interne Adressbuch zu und erstellt eine Kontaktliste. Die Daten aus dem internen Adressbuch werden an die WhatsApp-Server in den USA geschickt und dort überprüft. Dabei werden auch die Daten von Nicht-WhatsApp-Nutzern an Server in den USA übermittelt.
Wenn derartige personenbezogene Daten ohne Einwilligung seitens des Eigentümers an Dritte weitergereicht werden, ist dies ein Verstoß gegen die DSGVO. Ohne eine entsprechende Trennung von privaten und geschäftlichen Kontakten auf dem Gerät werden also die Kontaktdaten Ihrer Firmenkontakte ohne Erlaubnis an Dritte weitergereicht.
Um Kundendaten vor unbefugtem Zugriff und sich selbst vor möglichen Verstößen gegen die DSGVO zu schützen, griffen einige Unternehmen zu einer radikalen Maßnahme. Der Automobilzulieferer Continental beispielsweise entschied sich für ein komplettes Verbot von WhatsApp auf seinen 36.000 Firmenhandys. Doch solch ein rigoroses Vorgehen ist nicht unbedingt erforderlich.
Wie kann ich WhatsApp DSGVO-konform einsetzen?
Will man Clubhouse oder WhatsApp DSGVO konform nutzen, müssen die privaten und beruflichen Daten auf dem Gerät voneinander getrennt sein.
Bei Android-Geräten ist dies bereits seit einiger Zeit mit Android Enterprise (früher Android for Work) möglich. Auf dem Gerät befindet sich dann ein Arbeitsprofil mit den geschäftlichen Daten. Private Apps können nicht auf das Arbeitsprofil zugreifen. Also ist die private WhatsApp-Nutzung hier für Unternehmen kein Problem.
Bei Android-Geräten ist dies bereits seit einiger Zeit mit Android Enterprise (früher Android for Work) möglich. Auf dem Gerät befindet sich dann ein Arbeitsprofil mit den geschäftlichen Daten. Private Apps können nicht auf das Arbeitsprofil zugreifen. Also ist die private WhatsApp-Nutzung hier für Unternehmen kein Problem.
Schwieriger war es bis Ende März 2018 bei iOS-Geräten. Hier griffen bis zur Veröffentlichung von iOS 11.3 alle Apps auf das gleiche Kontaktbuch zu. Diese Sicherheitslücke wurde mit der Veröffentlichung von iOS 11.3 am 29. März 2018 geschlossen. Eine Trennung der Kontakte ist seither auch mit iPhones möglich.
iOS: So bauen Sie einen sicheren Container für Geschäftsdaten
Um WhatsApp DSGVO-konform nutzen zu können, brauchen Sie ein Mobile-Device-Management-System (MDM).
Nun muss zum Schutz der geschäftlichen Kommunikation und der Kontakte der geschäftliche Exchange-Account über die MDM-Lösung ausgerollt werden. Sämtliche Mails und die geschäftlichen Kontakte befinden sich anschließend in dem gemanagten Bereich auf dem Smartphone.
Darüber hinaus muss eine Richtlinie gesetzt werden, die den Austausch von Daten zwischen gemanagten und nicht-gemanagten Apps ausschließt. Auf diese Weise ist der von der DSGVO geforderte, technische Schutz von Unternehmensdaten auf dem iOS-Gerät umgesetzt, und die geschäftlichen Kontakte werden nicht an WhatsApp weitergegeben.
Damit ist das Unternehmen auf der sicheren Seite, nicht gegen die DSGVO zu verstoßen, selbst wenn Mitarbeiter auf den BYOD- oder COPE-Geräten WhatsApp nutzen.
Unser Angebot Cortado MDM ermöglicht eine besonders schnelle Umsetzung der DSGVO-konformen WhatsApp-Nutzung. In der webbasierten Konsole ist bereits eine DSGVO-konforme Policy vorkonfiguriert. Dadurch werden alle nötigen Sicherheitsmaßnahmen automatisch vorgenommen. Und das gilt sowohl für Android- als auch für iOS-Geräte. Sie sind also in Sachen DSGVO auf der sicheren Seite.
Lassen Sie sich von unseren Kunden SPECK Pumpen Verkaufsgesellschaft, RMD Wasserstraßen, Maschinen-Grupp oder der Landeszeitung für die Lüneburger Heide inspirieren, wie sie ihren Mitarbeitern die private WhatsApp-Nutzung ermöglichen.
Mobile Device Management für Einsteiger
Dieses kostenlose Whitepaper zeigt, wie eine MDM-Lösung Unternehmen dabei hilft, DSGVO- und eigene Compliance-Richtlinien umzusetzen.
Zum Whitepaper »