Dort, wo es möglich ist, ist mobiles Arbeiten zum Alltag geworden. Damit verschwimmt die Grenze zwischen Berufs- und Privatleben immer mehr. Auch bei den genutzten Endgeräten: Anstatt etwa zwei Smartphones und Notebooks mitzuführen, greifen Nutzer vermehrt auf eines zurück, um sowohl privat wie auch beruflich aktiv zu sein. Immer öfter ist es das gleiche Gerät, auf dem User bei Netflix streamen, an Team-Meetings teilnehmen – oder mit Freunden und Familie via Whatsapp chatten.

Das Problem an der populären Facebook-App: Wenn auch berufliche Kontakte gespeichert sind und diese obendrauf Whatsapp nicht verwenden, ist das gerade für Unternehmen aus Datenschutzperspektive heikel.

Whatsapp für Unternehmen problematisch

Facebook speichert das Adressbuch von Nutzern, unabhängig davon, ob die jeweilige Nummer ein aktives Whatsapp-Konto hat oder nicht. In diesem Fall müsste von jedem Kontakt eine Erlaubnis eingeholt werden – was praktisch aber kaum umsetzbar wäre.

Dazu kommt, dass der Europäische Gerichtshof (EuGH) im vergangenen Jahr das Privacy Shield, das Abkommen zum Datenaustausch mit US-Unternehmen, gekippt hat. Das europäische Datenschutzrecht steht im Konflikt mit der US-Judikatur – ersteres schreibt einen sensiblen Umgang mit Daten vor, die Weitergabe an einen Drittstaat ist nur gestattet, wenn auch dort ein bestimmtes Schutzniveau erreicht wird. US-Überwachungsgesetze verpflichten Unternehmen allerdings dazu, Nutzerdaten auf Antrag von Gerichten freizugeben. Der Datenschutzberater Thomas Riesenecker-Caba vom Arbeits-Forschungsinstitut Forba empfiehlt daher im STANDARD-Gespräch, für die berufliche Kommunikation Apps wie den Messenger Signal zu nutzen.

Unsicherer Umgang

Die Konsumentenschützerin Daniela Zimmer von der Arbeiterkammer (AK) Wien rät grundsätzlich davon ab, Arbeits- und Privatgeräte miteinander zu vermischen. Mitarbeiter würden die Privatsphäre einbüßen – "und der Arbeitgeber vergrößert die Datensicherheitsrisiken". Handynutzer würden privat oft risikogeneigter handeln als in einem Arbeitsumfeld. Sie machen etwa "seltener Sicherheitsupdates oder nutzen unsichere Quellen", sagt Zimmer. Ein Beispiel liefert der CIA-Direktor John Deutch, dessen Sohn sein Arbeitsgerät nutzte, um "hochriskante", wie es das Tech-Magazin "Wired" bezeichnete, Pornografieseiten aufzusuchen.

Die unsichere Nutzung könne Zimmer zufolge dazu führen, dass Schadsoftware heruntergeladen wird – die in Folge auch berufliche Informationen kompromittiert. "Whatsapp bietet zudem eine Möglichkeit für Backups der Chats an", sagt Zimmer. Dadurch würden womöglich auch sensible Unternehmensdaten unverschlüsselt bei den Cloud-Anbietern gespeichert. "Für die IT des Arbeitgebers wird es schwieriger, Firmendaten vor Angriffen zu schützen."

Container-Lösungen für Datenaustausch

Zimmer und Riesenecker-Caba empfehlen, sofern getrennte Geräte nicht möglich sind, auf Container-Lösungen zurückzugreifen. Dabei handelt es sich um eine organisatorische und technische Trennung von Daten. Das kann etwa Software sein, die es ermöglicht, Informationen, die die Arbeit betreffen – beispielsweise berufliche Kontakte und Apps –, getrennt auszuführen. Hier können Apps wie das Open-Source-Tool Shelter Abhilfe verschaffen. Mit ihnen lassen sich Arbeitsprofile erstellen, die die jeweiligen Daten von dem Rest des Systems isolieren. Auf diese Weise können sie auf keine Informationen, die sich außerhalb des virtuellen Containers befinden, zugreifen.

Wenn Unternehmen – etwa bei einem Hackerangriff – auf lokal gespeicherte Daten zugreifen wollen, gebe es keine einheitliche Regelung zum Umgang mit personenbezogenen Daten, sagt Riesenecker-Caba. Die Firmen müssen betriebsinterne Vereinbarungen treffen, in welchem Rahmen der Zugriff auf Daten von Mitarbeitern erfolgt. Diese müssen mit dem Betriebsrat abgestimmt werden. Jedenfalls müsse immer eine Abwägung erfolgen, wie sensibel die Daten sind, sagt Riesenecker-Caba. Auch müssten personenbezogene Daten bei einem Zugriff stets ausgenommen werden – diese mischen sich bei einer parallelen Nutzung aber mit anderen Informationen. "Der Betriebsrat kann Betriebsvereinbarungen dazu einfordern, wie konkret auf Daten zugegriffen wird und wie sie analysiert werden."

Zustimmung

Eine Frage sei immer, wie die jeweiligen Regeln zum Umgang mit personenbezogenen Daten und mit Betriebs- sowie Geschäftsgeheimnissen kontrolliert werden. Über eine Mobilgeräteverwaltung wäre es möglich, zentral aus der Ferne auf Endgeräte zuzugreifen, sagt Riesenecker-Caba. Auch ohne Betriebsrat müssen Arbeitnehmer aufgrund der Datenschutzgrundverordnung (DSGVO) über einen derartigen Eingriff oder eine andere Form der Überwachung informiert werden. Auch muss eine Zustimmung erfolgen – wobei es aus Arbeitnehmerperspektive oft schwierig sei, diese abzuschlagen. Gerade in der Pandemie wird vermehrt Software entwickelt, um das Nutzerverhalten von Mitarbeitern in der Heimarbeit zu überwachen – wohl auch deswegen wird die Vermischung privater und beruflicher Daten immer weniger ratsam. (Muzayen Al-Youssef, 28.4.2021)