Datenschutz bei Collaboration-Tools

Corona hat Messaging-Tools im Arbeitsleben zu einem wahren Siegeszug verholfen. Waren sie doch die einzige praktische Möglichkeit, Daten aus dem Home-Office schnell mit den Arbeitskollegen zu teilen. Laut einer Studie des Beratungsunternehmens Deloitte hat sich die Zahl der zu Hause arbeitenden Schweizer seit der Corona-Krise verdoppelt – von 25 Prozent auf 50 Prozent. Doch datenschutzrechtlich ist es mit den Apps nicht so einfach, wie es vielleicht auf den ersten Blick erscheint. Es gibt einerseits Daten, die gar nicht geteilt werden dürfen, und andererseits Informationen, bei denen es auf Basis bestimmter Regeln erlaubt ist. Im Folgenden erläutert die TIM Storage Solutions AG die Gründe für ein immer häufigeres Sharing von Daten über Messaging-Dienste und erläutert die Grundlagen für einen Compliance-konformen Datentransfer über Apps.

Der Datenmanagement- und Backup-Spezialist Veritas Technologies hat in seinem «Hidden Threat of Business Collaboration Report» weltweit 12.500 Büroangestellte zu ihrem Umgang mit Messaging-Tools bei der Arbeit befragt. Dabei ist herausgekommen, dass 71 Prozent bereits sensible und geschäftskritische Daten über Collaboration-Apps verschickt haben. Es ist festzustellen, dass Messaging-Tools in puncto Vertrauenswürdigkeit bei Geschäftsvereinbarungen massiv aufholen. Bereits jeder zweite sieht Messaging-Dienste als zuverlässige oder sehr zuverlässige Quelle (51 Prozent). Die Inhalte der verschickten Daten sind dabei breit gefächert. Es handelt sich um Passwörter, Kundenkontaktdaten, Daten zu Geschäftsplänen, Details zu Personalangelegenheiten und sogar Finanzdaten sowie Informationen, die im Zusammenhang mit geistigem Eigentum stehen.

Der Austausch von Daten über Messaging-Apps ist der Auslöser für verschiedene geschäftliche Aktivitäten. Die Befragten haben etwa angegeben, das Arbeitszeugnis eines potenziellen neuen Mitarbeiters über Apps entgegengenommen zu haben. Auch die Bestätigung eines Jobangebots haben sie verarbeitet. Ebenso stossen die Tools im Finanzbereich Arbeitsabläufe an – beispielsweise die Freigabe einer Bonuszahlung. Die Zustimmung der eigenen Beurteilung im Jahresgespräch läuft hin und wieder über Zoom, Slack oder Teams. Sogar Verkaufsaktionen werden darüber abgewickelt. Es ist also Fakt: Die Daten stammen aus wichtigen Bereichen der Arbeitswelt und die Dokumentation dieser Arbeitsprozesse darf aus Compliance-Sicht auf keinen Fall versäumt werden.

Mehr als die Hälfte der Befragten (58 Prozent) haben im Rahmen der Befragung des «Hidden Threat of Business Collaboration Report» angegeben, selbst Kopien der geteilten Informationen abzuspeichern. Denn so lassen sich Chatverläufe nachweisen und Unternehmen können Daten zu ihren Geschäftsaktivitäten ablegen und dokumentieren. Das Problem für viele Unternehmen besteht nun darin, dass dies längst nicht alle Beschäftigten machen. Wer sensible Daten ohne eine dauerhafte Speicherung verschickt, geht ein doppeltes Risiko ein: Es lauern sowohl rechtliche Sanktionen als auch Compliance-Probleme, die neben Geldbussen erhebliche Imageschäden und Vertrauensverluste nach sich ziehen können. Ein Beispiel in diesem Zusammenhang sind persönliche Informationen, die zu einem späteren Zeitpunkt aus steuerlichen oder medizinischen Gründen benötigt werden. Um den Gebrauch der Kommunikationswerkzeuge intern zu kontrollieren und die Apps optimal zu nutzen, rät die TIM, die Tools vollständig in die Strategien für das Datenmanagement und den Datenschutz einzubeziehen. So können IT-Verantwortliche und Firmenchefs die Kontrolle über die Daten zurückerlangen und einen Compliance-konformen Umgang mit den Informationen gewährleisten.

Zunächst sollten Organisationen darauf achten, den Wildwuchs an Messaging-Apps zu begrenzen und die Anzahl an eingesetzten Tools gering zu halten. Es sollten wirklich nur die verwendet werden, die für die eigenen Anforderungen geeignet sind. Im Anschluss ist die Formulierung von Richtlinien für die gemeinsame Nutzung von Informationen hilfreich. Dazu zählt die Definition klarer Regeln für den Umgang mit den Tools. Hierbei kann es etwa darum gehen, aufzuklären, welche Informationen überhaupt geteilt werden dürfen und welche nicht. Am besten lassen sich die Vorgaben in Mitarbeiter-Schulungen vertiefen. Versehentliche Richtlinienverstösse können so spürbar reduziert werden. Gerne steht die TIM auch bei der Implementierung einer technischen Lösung zur Seite. Die Integration von Datensätzen aus Collaboration- und Messaging-Tools in eDiscovery- und SaaS-Datensicherungslösungen unterstützen Unternehmen ungemein bei der Compliance-Konformität. So können User die jeweiligen Tools optimal nutzen, ohne Datenschutzverletzungen zu befürchten.