Zum Inhalt springen

DSGVO & Whatsapp


AsianMarcel

Empfohlene Beiträge

Worum geht es denn genau? Um eine technische Lösung die Nutzung von Whatsapp zu verbieten? Oder um Diplomatietipps, um den Geschäftsführer von der Nicht-Nutzung zu überzeugen? Oder um die Empfehlung eines altenativen Chattools?

P.s.: Das Problem ist nicht neu durch die DSGVO, sondern war auch schon nach dem alten BDSG relevant, hat da aber niemanden interessiert.....

mfg Hendrik232

Bearbeitet von hendrik232
Link zu diesem Kommentar
Auf anderen Seiten teilen

Es gibt afaik keine konforme Möglichkeit. Entweder gegen DSGVO verstoßen oder lassen.

Am besten man hat nen externen Datenschutzbeauftragten der einem das durchwinkt und die Verantwortung dafür trägt...

Falls das ne technische Frage zu Sophos sein soll... keine Ahnung :) dann ists aber auch im falschen Forum gepostet.

Bearbeitet von toothpick
Link zu diesem Kommentar
Auf anderen Seiten teilen

"Am besten man hat nen externen Datenschutzbeauftragten der einem das durchwinkt und die Verantwortung dafür trägt..."

...

Meines Wissens nach hat stets der Chef die Verantwortung und Beauftragte sind lediglich Berater, unabhängig davon, ob sie intern oder extern angestellt sind. Wenn man das Risiko so einfach outsourcen könnte, gäbe es wohl keinen einzigen internen Beauftragten in ganz Deutschland.

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 6 Minuten schrieb toothpick:

Am besten man hat nen externen Datenschutzbeauftragten der einem das durchwinkt und die Verantwortung dafür trägt...

Selbst wenn er die Verantwortung mit trägt, stimme ich Erradicator zu, der Chef ist damit nicht raus und/oder trägt zumindest eine Teil der Verantwortung. Außerdem sind die DSBs meistens in Ihrer Haftung begrenzt, sodass dir das nicht mal viel bringen würden.

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 2 Stunden schrieb AsianMarcel:

Hallo,

nach den neuen DSGVO Richtlinien, ist Whatsapp nicht mehr auf Geschäftshandys erlaubt. [...]

Das stimmt so nicht ganz. Die Nutzung von WhatsApp ist rechtlich riskant aber nicht verboten. Die Funktionsweise von WhatsApp verstößt gegen die DSGVO, das ist das Problem. WhatsApp greift automatisch auf alle Kontakte im Smartphone zu. Diesen Zugriff kann ich zwar auch verhindern aber dadurch wird die App de facto unbrauchbar, da ich jeden Kontakt einzeln adden müsste. Nach DSGVO müsste ich allerdings die Einwilligung meiner Kontakte einholen deren Kontaktdaten weitergeben zu dürfen. In der Regel tut das Niemand. Daher verstößt die Funktionsweise von WhatsApp gegen die DSGVO. Nutzen darfst du die App trotzdem. Du tust es eben nur auf eigenes Risiko.

Und dieses Risiko trägt der Geschäftsführer. Egal wie geschickt die Organisationsstruktur im Unternehmen, z.B. durch Datenschutzbeauftragte, Koordinatoren, Manager etc., aufgebaut ist, am Ende fällt es auf den Geschäftsführer / Vorstand zurück. Daher haben einige größere Unternehmen (z.B. Continental) bereits die Verwendung von WhatsApp im Unternehmen verboten.

Mögliche Lösungsansätze:

  • WhatsApp im Unternehmen verbieten.
  • Privates Smartphone und dienstliches Smartphone trennen.
  • Bring your own device unterbinden.
  • Auf organisatorischer Ebene (z.B. über eine Richtlinie) die Speicherung von externen Kontakten verbieten. Anschließend die Einwilligung aller Mitarbeiter zur Weitergabe von Kontaktdaten über WhatsApp einholen. Sollten externe Kontakte gespeichert werden, muss deren Einwilligung eingeholt werden.
  • Andere Messenger App nutzen.

Das Thema wird gerade in vielen Unternehmen heiß diskutiert und bis jetzt hat keiner eine zufriedenstellende Lösung gefunden. Wenn ich persönlich das sagen hätte, würde ich die Nutzung von WhatsApp im Unternehmen verbieten. Es gibt in den meisten Fällen keinen Grund WhatsApp im Unternehmensumfeld zu benutzen. Gegenwind bekommt man da meistens nur von den Geschäftsführern, weil die schlichtweg zu faul sind zwei Smartphones zu benutzen und deshalb gerne eine Extrawurst hätten.

Bearbeitet von TooMuchCoffeeMan
Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 5 Stunden schrieb TooMuchCoffeeMan:

Und dieses Risiko trägt der Geschäftsführer

Genau so sieht es aus. Der Datenschutzbeauftragte berät nur. Das ist genau die wichtigste Änderung durch die DSGVO, dass der/die Geschäftsführer hier vollumfänglich haften. Diese können auch die Verantwortung nicht mehr abgeben.

Wenn er es weiterhin nutzen möchte, dann soll er das schriftlich fixieren und ihn freischalten. Macht er das für die Firmenangestellten, dann kann er das machen, steht aber trotzdem dafür gerade.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Am 21.9.2018 um 19:06 schrieb DarkMaster:

sind wir doch mal ganz ehrlich... interssiert die DSGVO im täglichen Geschäft den Ottonormal-Mitarbeiter?

Die Einzigen die so einen Wirbel fabrizieren sind die Datenschützer und die IT-Sec. Leute...

Das kommt darauf an wo du arbeitest und wie groß das Unternehmen ist. In meiner Abteilung habe ich zurzeit täglich mit dem Thema zu tun.

Jede Fachabteilung muss ihre Verarbeitungen erfassen und die technischen- und organisatorischen Maßnahmen (TOMs) definieren und ggf. umsetzen. Es muss überhaupt erstmal dokumentiert werden welche Systeme welche Daten verarbeiten. Es müssen unter Umständen ganz neue Melde- und Kommunikationsstrukturen aufgebaut werden. Die Meldung von Datenschutzvorfällen muss einem klar strukturierten Prozess folgen, der jedem Mitarbeiter bekannt ist. Sofern noch nicht vorhanden muss ein Datenschutzbeauftragter ernannt werden. Weitere Managementstrukturen müssen um diesen Datenschutzbeauftragten herum entstehen und besetzt werden. Da hängt ein riesiger Rattenschwanz an Meetings, Abstimmungen und internen Prüfverfahren dran. Und letztendlich will natürlich der Vorstand / Geschäftsführer über diese Schritte unterrichtet werden. Denn wie weiter oben schon geschrieben ist er derjenige der nachher am Haken hängt wenn etwas schief läuft.

Bearbeitet von TooMuchCoffeeMan
Link zu diesem Kommentar
Auf anderen Seiten teilen

In kleinen Unternehmen wird das Thema DSGVO wohl nicht so hoch gehangen, das stimmt. Dort ist man generell nicht so pingelig mit allerlei gesetzlichen Vorschriften. Ob dies nun sinnvoll ist oder nicht, sei dahingestellt.

Bei Mittelständlern und Konzernen hingegen ist das ein riesiges Thema. Dort kann man es sich kaum leisten, derartiges nicht zu berücksichtigen. Es reicht nur ein vergraulter Mitarbeiter oder Kunde, welcher das Unternehmen vorführen möchte und schon hat man den Salat.

Von daher würde ich das nicht auf die allzu leichte Schulter nehmen.

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 4 Minuten schrieb Errraddicator:

Bei Mittelständlern und Konzernen hingegen ist das ein riesiges Thema. Dort kann man es sich kaum leisten, derartiges nicht zu berücksichtigen. Es reicht nur ein vergraulter Mitarbeiter oder Kunde, welcher das Unternehmen vorführen möchte und schon hat man den Salat.

Diese Unternehmen dürften jetzt aber entsprechend auch nicht so am Rad drehen, was die DSGVO angeht, da sie sich inhaltlich gar nicht so stark von dem, schon vorher gültigem, Bundesdatenschutzgesetz unterscheidet, wie @hendrik232 auch schon angemerkt hat.

Die Sache mit Whatsapp ist vor allem die allgemeine Nutzung von Daten auf dem Smartphone des Nutzers. Im Prinzip wird es erst problematisch, wenn man Personen in seinem Telefonbuch hat, die kein Whatsapp nutzen und deren Daten durch die App gelesen werden.

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 15 Minuten schrieb Rienne:

Diese Unternehmen dürften jetzt aber entsprechend auch nicht so am Rad drehen, was die DSGVO angeht, da sie sich inhaltlich gar nicht so stark von dem, schon vorher gültigem, Bundesdatenschutzgesetz unterscheidet, wie @hendrik232 auch schon angemerkt hat.

Das klingt zwar logisch, ist aber leider reines Wunschdenken. Es stimmt, dass Datenschutz bereits vor Inkrafttreten der DSGVO im Bundesdatenschutzgesetz (BDSG) geregelt worden ist. Und die Vorgaben unterschieden sich gar nicht so stark von dem was die DSGVO jetzt fordert. Der entscheidende Unterschied ist aber das Strafmaß bei festgestelltem Datenschutzvergehen. Die Strafen die vor der DSGVO für solche Fälle vergeben wurden waren lächerlich. Das konnte selbst ein Mittelständler aus der Portokasse bezahlen. Datenschutz hat vor der DSGVO schlicht Niemanden interessiert, weil es "keine" Konsequenzen bei Nichterfüllung gab. 

Entsprechend schlecht aufgestellt sind auch die meisten Konzerne was die DSGVO anbelangt. Da geht momentan ein echtes Schreckgespenst um, da man mit bis zu 4% seines Gesamtjahresumsatzes zur Kasse gebeten werden kann und das pro Vorfall. Selbst wenn der Vorfall von einer Tochterfirma begangen wurde, wird der Jahresumsatz des gesamten Konzerns für die Festlegung der Strafzahlung heran gezogen. 

Link zu diesem Kommentar
Auf anderen Seiten teilen

Vom Grundsatz her stimme ich @TooMuchCoffeeMan zu. 

vor einer Stunde schrieb TooMuchCoffeeMan:

da man mit bis zu 4% seines Gesamtjahresumsatzes zur Kasse gebeten werden kann und das pro Vorfall.

Das ist nicht ganz korrekt, da die Strafe bei bis zu 4% des Gesamtjahresumsatzes des Vorjahres oder bis zu 20 Millionen Euro liegt, je nachdem was HÖHER ist. Die 4% sind für einige Unternehmen wahrscheinlich einfacher umzusetzen als die 20 Millionen. 

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 9 Minuten schrieb OkiDoki:

Vom Grundsatz her stimme ich @TooMuchCoffeeMan zu. 

Das ist nicht ganz korrekt, da die Strafe bei bis zu 4% des Gesamtjahresumsatzes des Vorjahres oder bis zu 20 Millionen Euro liegt, je nachdem was HÖHER ist. Die 4% sind für einige Unternehmen wahrscheinlich einfacher umzusetzen als die 20 Millionen. 

Das stimmt. Die 20 Millionen habe ich unterschlagen, weil wohl die wenigsten Unternehmen da dran kommen dürften.

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 23 Minuten schrieb TooMuchCoffeeMan:

Das stimmt. Die 20 Millionen habe ich unterschlagen, weil wohl die wenigsten Unternehmen da dran kommen dürften.

Das ist immer noch nicht ganz korrekt. Als Strafe wird der Wert herangezogen, welcher HÖHER ist.

Beispiel: Mittelständisches Unternehmen mit 4 Millionen Jahresumsatz. Im Falle einer Strafe zahlen die nicht bis zu 4% des Jahresumsatzes pro Vorfall sondern eben bis zu 20 Millionen Euro pro Vorfall, da die 20 Millionen Euro höher sind als 4% des Jahresumsatzes. Und genau dieses Szenario ist für kleine und mittelständische Unternehmen existenzgefährdend.

Bearbeitet von OkiDoki
Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 16 Minuten schrieb OkiDoki:

Das ist immer noch nicht ganz korrekt. Als Strafe wird der Wert herangezogen, welcher HÖHER ist.

Beispiel: Mittelständisches Unternehmen mit 4 Millionen Jahresumsatz. Im Falle einer Strafe zahlen die nicht bis zu 4% des Jahresumsatzes pro Vorfall sondern eben bis zu 20 Millionen Euro pro Vorfall, da die 20 Millionen Euro höher sind als 4% des Jahresumsatzes. Und genau dieses Szenario ist für kleine und mittelständische Unternehmen existenzgefährdend.

Im Grunde ist das auch für Unternehmen mit 50 Mrd. Jahresumsatz existenzgefährdend. Das wäre eine theoretisch mögliche Bußgeldhöhe von 2 Mrd. €. 

Bearbeitet von TooMuchCoffeeMan
Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 10 Stunden schrieb TooMuchCoffeeMan:

Im Grunde ist das auch für Unternehmen mit 50 Mrd. Jahresumsatz existenzgefährdend. Das wäre eine theoretisch mögliche Bußgeldhöhe von 2 Mrd. €. 

Das ist ja Sinn der Sache, die Bußgelder sollen spürbar sein. Die maximale Summe wird wohl dennoch selten beim ersten Verstoß verhängt werden.

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 10 Stunden schrieb ITegration_DE:

Das ist ja Sinn der Sache, die Bußgelder sollen spürbar sein. Die maximale Summe wird wohl dennoch selten beim ersten Verstoß verhängt werden.

Ich bin sehr gespannt darauf wie hoch die Bußgelder bei schwerwiegenden Verstößen tatsächlich ausfallen. Je nachdem in welche Richtung das Pendel schwingt war die Panik entweder berechtigt oder ein Sturm im Wasserglas.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Am 24.9.2018 um 08:53 schrieb TooMuchCoffeeMan:

Das kommt darauf an wo du arbeitest und wie groß das Unternehmen ist. In meiner Abteilung habe ich zurzeit täglich mit dem Thema zu tun

großer AG, 35k MA. Habe auch täglich damit zu tun, allerdings immer Seiten des Datenschutzes und der IT-Security.

Am 24.9.2018 um 08:53 schrieb TooMuchCoffeeMan:

Es muss überhaupt erstmal dokumentiert werden welche Systeme welche Daten verarbeiten.

das sollte eigentlich auch ohne der DSGVO der Fall sein...

Am 24.9.2018 um 08:53 schrieb TooMuchCoffeeMan:

Es müssen unter Umständen ganz neue Melde- und Kommunikationsstrukturen aufgebaut werden. Die Meldung von Datenschutzvorfällen muss einem klar strukturierten Prozess folgen, der jedem Mitarbeiter bekannt ist. Sofern noch nicht vorhanden muss ein Datenschutzbeauftragter ernannt werden.

die Strukturen/Konzepte sind vorhanden und auch umgesetzt. Datenschutzbeauftragte haben wir ziemlich viele.

 

Am 24.9.2018 um 08:53 schrieb TooMuchCoffeeMan:

Da hängt ein riesiger Rattenschwanz an Meetings, Abstimmungen und internen Prüfverfahren dran

korrekt. Jeder Pups muss auf DSGVO geprüft werden, obwohl (wie oben bereits angemerkt) unsere Systeme allein aufgrund der BDSG schon davor sicher sein mussten.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Ich weiß nicht ob es hier schon erwähnt wurde, aber es gibt bei mnachen MDM Systemen die Möglichkeit einer "Containerlösung", mit der ungemanagte Apps wie WA nicht mehr auf aus Outlook synchronisierte Kontakte zugreifen können.

Bei MobileIron ist es der markierte Eintrag, bei Sophos wird es wohl so was Ähnliches geben.image.png.0a520c6741f1d879f77c3e038165ebf6.png

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 12 Stunden schrieb DarkMaster:

das sollte eigentlich auch ohne der DSGVO der Fall sein...

Das wird immer schwieriger je größer das Unternehmen ist. Bei dezentral organisierten, internationalen Unternehmen wird es dann sogar sehr schwierig. Der Systemadministrator der das System betreut wird wissen welche Daten dort abgelegt werden. Vielleicht weiß es sogar der Anwender der täglich mit dem Programm arbeitet. Aber weiß es auch der Datenschutzbeauftragte? Gibt es ein zentrales Datenschutzmanagement wo solche Informationen zusammengetragen werden?

Laut DSGVO müssen alle Verarbeitungen (digital und nicht digital) erfasst und dokumentiert sein. Es müssen Schutzklassen festgelegt und in vielen Fällen Datenschutzfolgeabschätzungen durchgeführt werden. Verträge über Auftragsdatenverarbeitungen müssen in aktueller Form vorliegen. Vor allem wenn Daten über Ländergrenzen hinweg ausgetauscht werden. Bei automatischer Datenverarbeitung müssen technische und organisatorische Maßnahmen (TOMs) definiert und umgesetzt sein. Wenn Jemand sein Recht auf Auskunft in Anspruch nimmt, muss das Unternehmen in angemessener Zeit darauf reagieren können. Und das geht nur wenn die Informationen bereits zentral zusammen getragen wurden. Das ist genau das was die meisten Unternehmen vor Probleme stellt.

Je kleiner das Unternehmen, desto übersichtlicher die IT Landschaft. Aber ab einer gewissen Größe wird es zu einer Mammutaufgabe all diese Anforderungen umzusetzen. Und kleine Unternehmen wiederum haben das Problem, dass sie meistens weder die Expertise noch die Zeit haben sich solchen Themen so anzunehmen wie es gefordert ist.

vor 12 Stunden schrieb DarkMaster:

großer AG, 35k MA. Habe auch täglich damit zu tun, allerdings immer Seiten des Datenschutzes und der IT-Security.

[...]

korrekt. Jeder Pups muss auf DSGVO geprüft werden, obwohl (wie oben bereits angemerkt) unsere Systeme allein aufgrund der BDSG schon davor sicher sein mussten.

Hier vermischt du Datenschutz und Datensicherheit. In der DSGVO wird die Sicherheit der Systeme bzgl. der bekannten drei Schutzziele der Informationssicherheit (CIA) gefordert. Neu hinzu kommt noch das Schutzziel Belastbarkeit, welches die DSGVO allerdings nicht näher definiert, weshalb sich Experten über die Bedeutung seit Monaten den Kopf zerbrechen. Das sind die Anforderungen der DSGVO an Datensicherheit.

Das was so viel Arbeit verursacht sind aber die organisatorischen Anforderungen die ich weiter oben gelistet habe (ADV, Verarbeitungen erfassen, Struktur aufbauen, zentrales Datenschutzmanagement etc.). Ich kenne eure IT Landschaft nicht, aber bei 35k Mitarbeitern dürftet ihr schon einiges an Systemen haben. Und ich bezweifle, dass es eine einzelne Person gibt, die da den 100%igen Überblick hat. Wenn es noch Tochterunternehmen gibt die ihr eigenes Süppchen kochen und nicht alles über einen zentralen Dienstleister läuft, dann wird es erst recht kompliziert. Wir haben die 10-fache Mitarbeiterzahl und bei uns kostet das Thema DSGVO daher viele Manntage und viele Nerven.

vor 11 Stunden schrieb Maniska:

Ich weiß nicht ob es hier schon erwähnt wurde, aber es gibt bei mnachen MDM Systemen die Möglichkeit einer "Containerlösung", mit der ungemanagte Apps wie WA nicht mehr auf aus Outlook synchronisierte Kontakte zugreifen können.

Das stimmt. Dann bleibt dennoch das Problem, dass Mitarbeiter die Kontakte selbst auf ihrem Diensthandy adden und damit dann trotzdem gegen die DSGVO verstoßen. Da sind wir dann im Grunde wieder bei einer organisatorischen Lösung (Whatsapp verbieten), die man wiederum auch technisch durch ein MDM umsetzen kann.

Verhindert diese Einstellung eigentlich auch den Zugriff auf das globale Outlook Adressbuch von der Telefonapp aus?

Bearbeitet von TooMuchCoffeeMan
Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 12 Stunden schrieb TooMuchCoffeeMan:

Das stimmt. Dann bleibt dennoch das Problem, dass Mitarbeiter die Kontakte selbst auf ihrem Diensthandy adden und damit dann trotzdem gegen die DSGVO verstoßen. Da sind wir dann im Grunde wieder bei einer organisatorischen Lösung (Whatsapp verbieten), die man wiederum auch technisch durch ein MDM umsetzen kann.

Verhindert diese Einstellung eigentlich auch den Zugriff auf das globale Outlook Adressbuch von der Telefonapp aus?

Laut unserem externene Datenschutzbeauftragten lässt sich das (theoretisch) mit einer Arbeitsanweisung, die genau das verbietet, erschlagen. So ganz kann ich das auch nicht glauben, aber wenn der Datenschutzfuzzi sagt das reicht...

Ich würde auch am liebsten WA via Blacklist komplett verbieten. Nur weil das Handy zur Privatnutzung freigegeben ist, heißt das ja nicht, dass es auch alle Funktionen hat, die ein privates Gerät haben würde...

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 11 Stunden schrieb Maniska:

Laut unserem externene Datenschutzbeauftragten lässt sich das (theoretisch) mit einer Arbeitsanweisung, die genau das verbietet, erschlagen. So ganz kann ich das auch nicht glauben, aber wenn der Datenschutzfuzzi sagt das reicht...

Damit hat man die Verantwortung für Datenschutzkonformität zum Teil auf den Mitarbeiter abgewälzt. Kann man natürlich so machen, entbindet den Geschäftsführer aber natürlich nicht von seiner eigenen Verantwortung. Ein Verstoß gegen interne Arbeitsanweisungen kann zwar arbeitsrechtliche Konsequenzen haben, ist aber dann losgelöst von den Strafen der DSGVO. Das Risiko einer Datenschutzverletzung bleibt bestehen.

Man könnte die Arbeitsanweisung natürlich noch mit technischen Maßnahmen über das MDM koppeln. Dann könnte man zumindest verhindern, dass auf das unternehmenseigene Kontaktverzeichnis zugegriffen wird. Aber letztendlich ist das eher eine halbgare Lösung.

vor 11 Stunden schrieb Maniska:

Ich würde auch am liebsten WA via Blacklist komplett verbieten. Nur weil das Handy zur Privatnutzung freigegeben ist, heißt das ja nicht, dass es auch alle Funktionen hat, die ein privates Gerät haben würde...

Das wäre auch meine bevorzugte Lösung und derzeit sind wir da in Gesprächen mit dem Vorstand. Mal schauen ob das was wird. Aber die Mitarbeiter lieben nun mal ihr Whatsapp :/

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...