DSGVO & Whatsapp

[charmanta]

Viel Wissen hier ... und ein wenig Irritation.

Ich bin Datenfuzzi ...

Diie genannten Strafen sind Höchststrafen, bis zu denen eine Aufsichtsbehörde strafen verhängen kann. Ohne groben Vorsatz reden wir eh nur über die Hälfte. In der Regel wird eine Aufsichtsbehörde wohl eher den Finger heben und helfen als gleich mit der Superkeule zu kommen.

Whatsapp ist (tagesaktuell) nicht mit der DSGVO vereinbar, eben wegen der genannten unkontrollierten Weitergabe von Kontaktdaten ( und Metadaten ) an Mama.

Der DSB kann nicht anders als der GF von der Nutzung abraten. Der GF kann nicht anders als die Nutzung verbieten oder eben die Verantwortung auf die MA abwälzen. Das mache ich i Tagesgeschäft auch und bin unter anderem deswegen ungefähr so beliebt wie ein Urologe ( nötig, sinnvoll, unbeliebt und Finger in der .... )

Aber das ist eh ein Luxusproblem. Es gibt keine technische Notwendigkeit, Whatsapp zu benutzen. Es gibt genug Alternativce, nur haben die "unsere" Kontakte in der Regel (noch) nicht. Wir warten ergo darauf dass FB den Datenschutz auch bei Whatsapp befolgt ( oder dies zusichert ). Vermutlich wird dies eher passieren als dass die Menschen von Whatsapp zu Signal & Co wechseln...

[Systemlord]

Am 27.9.2018 um 09:17 schrieb charmanta:

Wir warten ergo darauf dass FB den Datenschutz auch bei Whatsapp befolgt ( oder dies zusichert ). Vermutlich wird dies eher passieren als dass die Menschen von Whatsapp zu Signal & Co wechseln...

Ich habe eher den Verdacht, das FB das Thema nicht sonderlich interessiert, ansonsten hätten sie schon längst Ankündigungen in der Richtung gemacht. Nein, die versuchen eher, so lange wie möglich so viel Daten wie möglich abzugreifen. Oder wie man so schön sagt: Das Pferd so lange reiten, bis es tot ist.

[charmanta]

Naja, das ist halt deren Geschäftsmodell. Wer würde da noch Aktien kaufen wenn sie keinen Zugriff mehr auf die Daten hätten ? Aber steter Tropfen höhlt den Stein...

[Maniska]

Am 27.9.2018 um 09:17 schrieb charmanta:

Der DSB kann nicht anders als der GF von der Nutzung abraten. Der GF kann nicht anders als die Nutzung verbieten oder eben die Verantwortung auf die MA abwälzen.

Also wenn ich als GF die Ansage machen würde "kein WhatsApp mehr auf den Handys" ist das schon genug, oder muss ich mit technischen Mitelchen nachhelfen. Also MDM und Blacklist bzw Containerlösung für Firmenkontakte und Verbot diese direkt zu speichern?

Kann ich mich echt damit rausreden, dass es offiziell untersagt wurde, auch wenn ich es weiterhin dulde?

Zitat

Aber das ist eh ein Luxusproblem. Es gibt keine technische Notwendigkeit, Whatsapp zu benutzen. Es gibt genug Alternativce, nur haben die "unsere" Kontakte in der Regel (noch) nicht.

Eine letzte WA an alle Kontakte dass man in Zukunft nur noch via Telegramm, Treema... erreichbar ist. Sonst muss man eben anrufen oder SMS schreiben, diese Möglichkeiten gibt es ja auch noch.

Das Argument, dass ja niemand Messenger XY benutzt, und deswegen läd man sich das Ding noch nicht mal runter finde ich persönlich bescheuert. Als ich auf Telegramm umgestiegen bin, war ich echt überrascht wie viele meine Kontakte die APP schon haben. Bei der Familie hat es sich dann auch schnell durchgesetzt.

Gerade bei Firmenhandys finde ich auch, dass nur weil ich es privat nutzen darf, ich mich nicht darauf berufen kann, den vollen Funktionsumfang (alle Apps installieren/nutzen) auch zu haben. In erster Linie ist es eben ein fremdbestimmtes Gerät, dass nur das kann was die Firma zulässt. Bei einem Notebook verstehen die meisten ja auch, dass sie keine Adminrechte haben, auch wenn sie es privat nutzen dürfen...

Zitat

Wir warten ergo darauf dass FB den Datenschutz auch bei Whatsapp befolgt ( oder dies zusichert ). Vermutlich wird dies eher passieren als dass die Menschen von Whatsapp zu Signal & Co wechseln...

Ich glaube eher friert die Hölle zu. Mein  Abteilungsleiter war vor ein paar Wochen bei einem MS Vortag wo er sich auch mit der GL von MS Deutschland unterhalten hat. Dabei ging es auch um Datenschutz bei Win 10 und der Notwendigkeit die Enterprise einsetzen zu müssen. Zitat von MS: "ich kann mir nicht vorstellen dass jemand die Datenschutzbehörden einschaltet wenn eine Firma "nur" die Win10 Pro einsetzt" Also voll bewusst, dass diese die DSGVO aktuell nicht erfüllt, aber kein Bewusstsein dass das Abgreifen der Daten irgendwie per se blöd ist.

[charmanta]

Wir haben hier das klassische deutsche "Notme" Prinzip. Wenn ein GF beweisbar eine Weisung erteilt keine WA mehr zu benutzen ist er raus und die Verantwortung liegt beim Mitarbeiter.

Aber Recht haben und Recht kriegen sind immer schon zwei paar Schuhe gewesen ....

Datenschutz bei Win 10 und der Hersteller glaubt nicht an eine Meldung ? Doch, damit würde ich schon rechnen. In Hamburg ist der Datenschützer extrem bissig und Größe schützt hier definitiv nicht. Aber die Aufsichtsbehörden sind völlig überlaufen. Übrigens macht MS schon das ein- oder andere ... siehe AV Verträge im Trustee Center. Sie werden da definitiv europäisches Recht befolgen müssen .... 4% Jahresumsatz ist ein zu hohes Risiko. Übrigens kannst DU auch ne Anzeige bei einer Aufsichtsbehörde gegen MS machen ... und schon müssen sie es verfolgen.

 

[Maniska]

vor 49 Minuten schrieb charmanta:

Wir haben hier das klassische deutsche "Notme" Prinzip. Wenn ein GF beweisbar eine Weisung erteilt keine WA mehr zu benutzen ist er raus und die Verantwortung liegt beim Mitarbeiter.

Gilt das auch, wenn man theoretisch (weil eh schon vorhanden) über ein MDM die Möglichkeit hat es technisch zu unterbinden?

Afaik muss man doch zB wenn man die private Nutzung des Mailaccounts wirksam untersagen möchte regelmäßig stichprobenartig kontrollieren sonst gilt es als geduldet. d.h.  ich muss doch auch prüfen ob WA installiert ist, oder? Und wenn ich prüfe aber keine Konsequenzen folgen, ist das doch auch zahnlos.

Andererseits wird keiner seinem Top-Neukundenranschaffer das Telefon wegnehmen, oder ihn abmahnen oder entlassen.

Zitat

Datenschutz bei Win 10 und der Hersteller glaubt nicht an eine Meldung ? Doch, damit würde ich schon rechnen. In Hamburg ist der Datenschützer extrem bissig und Größe schützt hier definitiv nicht. Aber die Aufsichtsbehörden sind völlig überlaufen. Übrigens macht MS schon das ein- oder andere ... siehe AV Verträge im Trustee Center. Sie werden da definitiv europäisches Recht befolgen müssen .... 4% Jahresumsatz ist ein zu hohes Risiko. Übrigens kannst DU auch ne Anzeige bei einer Aufsichtsbehörde gegen MS machen ... und schon müssen sie es verfolgen.

Mein Auf.. Vorgesetzter kam mit dieser Aussage zurück, ja. Ob das wirklich in Richtung "nimm halt die Pro, wird dich schon keiner melden, du kleiner KMU" ging oder ein "die Datenschützer sollen sich nicht so anstellen" war oder oder oder weiß ich nicht, ich habe die Aussage nur über Ecken bekommen.

Ich hoffe drauf, dass irgendwo einer recht zügig wegen der Pro eins auf die Nase bekommt, da mir schon durch die Blume angedeutet wurde, dass die Notwendigkeit zur Pro nach dieser Aussage nicht mehr so ganz gesehen wird...

[varafisi]

vor 2 Stunden schrieb charmanta:

Wir haben hier das klassische deutsche "Notme" Prinzip. Wenn ein GF beweisbar eine Weisung erteilt keine WA mehr zu benutzen ist er raus und die Verantwortung liegt beim Mitarbeiter.

Aber Recht haben und Recht kriegen sind immer schon zwei paar Schuhe gewesen ....

Ich klink mich auch mal ein...

Soweit ich das aus den zahlreichen DSGVO-Workshops verstanden habe, sind zuerst die GF in der Verantwortungen, wenn das Thema Datenschutz auf den Tisch kommt. Stellt sich der Datenschutzbeauftragte vor, erhält die ganzen unterschriebenen Zettel der Mitarbeiter, bzgl. der Verständlichkeit der DSGVO im Bezug auf WA etc. Würde dieser mit ziemlich großer Wahrscheinlichkeit sagen, dass die GF ihr O.K. nur gegeben hat, WhatsApp zu nutzen aber trotzalledem noch haftbar zu machen ist. Einfach auf die Mitarbeiter abzuwälzen sehe ich rein logisch gesehen, wenn man den Zweck mal genauer betrachtet, eher als falsch an. Also auf Deutsch heißt das, dass die GF versucht hat, die Verantwortung auf die Mitarbeiter zu verschieben und fein raus zu sein, um nicht zu blechen... ich glaube, dass würde der DSB nicht mit sich machen lassen und mit einem schmunzeln im Gesicht genüsslich seinen Tee schlürfen.

Sind nur Mutmaßungen aber so sehe ich das.

 

Aber das Noteme-Prinzip pflege ich mit meinem Chef (nicht GF) ebenso... E-Mail-Umleitungen etc. Da ist man einfach fein raus aus der Sache, weil man im besten Fall natürlich die GF und/oder Abteilungsleiter bzgl. der Problematik schon unterrichtet hat.

Bearbeitet 2. Oktober 2018 von varafisi

[Systemlord]

vor 4 Stunden schrieb Maniska:

Afaik muss man doch zB wenn man die private Nutzung des Mailaccounts wirksam untersagen möchte regelmäßig stichprobenartig kontrollieren sonst gilt es als geduldet. d.h.  ich muss doch auch prüfen ob WA installiert ist, oder? Und wenn ich prüfe aber keine Konsequenzen folgen, ist das doch auch zahnlos.

Sehe ich nicht so. Wenn es eine Anweisung vom Chef gibt, das WA verboten ist, spielt jeder, der diese Anweisung ignoriert, potentiell mit seinem Job, weil er permanent Gefahr läuft, deswegen abgemahnt oder sogar gefeuert zu werden.

Eine halbwegs elegante Lösung für das Problem könnte sein, die Firmenhandys nur per VPN über die Firma ins Internet zu lassen, sobald sie außer Haus sind und in der Firewall der Firma die WhatsApp-Server blocken ?

Bearbeitet 2. Oktober 2018 von Systemlord

[TooMuchCoffeeMan]

vor 43 Minuten schrieb Systemlord:

Sehe ich nicht so. Wenn es eine Anweisung vom Chef gibt, das WA verboten ist, spielt jeder, der diese Anweisung ignoriert, potentiell mit seinem Job, weil er permanent Gefahr läuft, deswegen abgemahnt oder sogar gefeuert zu werden.

Das Problem ist die Thematik der Duldung. Gibt es Konsequenzen bei Zuwiderhandlung? Sind der GF Fälle bekannt in denen gegen die Richtlinie verstoßen wurde? Was wurde in diesen Fällen unternommen? Bei der organisatorischen Maßnahme ist es dann noch wichtig wie die Verbindlichkeit geregelt ist. Wurden z.B. Änderungen an Richtlinien auch entsprechend kommuniziert?

Eine technische Durchsetzung organisatorischer Maßnahmen ist nicht verpflichtend. Es hilft natürlich dem jeweiligen Mitarbeiter, da es ihn bei seiner Verpflichtung unterstützt. Wenn ohnehin ein MDM existiert, würde es Sinn machen dieses auch entsprechend einzusetzen. Manchmal ist das allerdings innerhalb eines Unternehmens nicht so leicht durchzusetzen. 

Ich würde sogar noch einen Schritt weitergehen. Es braucht einen geregelten Prozess zur Bewertung von Apps hinsichtlich Datenschutz- und Datensicherheitsrisiken. Idealerweise gekoppelt mit einer technischen Umsetzung über z.B. eine Blacklist oder Whitelist. Wenn vorhanden sollte das Risikomanagement des Unternehmens miteinbezogen werden. Nur so ist sichergestellt, dass auch Apps die nicht Whatsapp und Facebook heißen hinsichtlich ihrer Risiken betrachtet und bewertet werden.

 

[Roy_Trenneman]

Am 21.9.2018 um 11:08 schrieb AsianMarcel:

Hallo,

nach den neuen DSGVO Richtlinien, ist Whatsapp nicht mehr auf Geschäftshandys erlaubt. Unser Geschäftsführer würde Whatsapp dennoch weiterhin verwenden. Wir verwenden aktuell Sophos MDM und ich wollte fragen ob jemand vielleicht das gleiche Problem hat oder vllt sogar einen Lösungsansatz.

Hallo AsianMarcel,

wir standen genau vor dem gleichen Problem (schon vor der DSGVO), Sophos Mobile Control im Einsatz und die Anforderung das WhatsApp weiter genutzt werden soll, ohne die Business-Kontakte an Facebook zu senden.

Hierfür gibt es (ein Mitschreiber erwähnte es bereits) Container-Lösungen. Sophos MC hat eine Container-Lösung, die allerdings erst in der Advanced-Lizenz enthalten ist.

Die Container-Lösung bringt zwei Apps mit, eine für Mails/Kontakte/Kalender (Secure Mail), eine weitere für Dokumente (Secure Workspace). Aus dem Container ist ein Zugriff auf iOS möglich (z.B. um Fotos zu verschicken), umgekehrt kann iOS nicht auf den Container zugreifen.

WhatsApp könnte also nicht auf die Business-Kontakte in der Secure Mail App zugreifen. Willst du einen Mail-Anhang bearbeiten, geht dies nur über Secure Workspace App, da der Anhang verschlüsselt ist und in z.B. Documents nicht dargestellt werden kann.

Was sind die Nachteile die man in Kauf nehmen muss (Ich kann nur etwas zum Stand von vor 9 Monaten sowie zu iOS sagen!):

• Die Secure Mail App ist nicht so gut wie die nativen iOS-Apps in Verbindung mit Exchange ActiveSync, es fehlen auch Funktionen wie die Synchronisation von Notizen und Aufgaben.
• Die verpassten Anrufe können nicht den Business-Kontakten zugeordnet werden.
• Der Push ist deutlich schlechter, was daran liegt das iOS die nativen Apps bevorzugt behandelt. Es kann mitunter lange dauern bis eine neue Mail gepushed wird. Andere Anbieter haben sich hier auf Umwegen behelfen können und sind an der Stelle deutlich besser.

Wenn die Geschäftsführung mit den Pferdefüßen leben kann, könntest du theoretisch mit verhältnismäßig geringem Aufwand und geringen Kosten das Problem lösen.

Die wichtige Frage ist allerdings, mit wem die Geschäftsführung eigentlich per WhatsApp kommuniziert. Wenn WhatsApp ausschließlich privat genutzt wird, können die privaten Kontakte in der nativen iOS Kontakte App angelegt werden und die Business-Kontakte bleiben sicher in der Secure Mail App. Erfahrungsgemäß wird es wahrscheinlich aber so sein, dass die Geschäftsführung sowohl dienstlich als auch privat über WhatsApp kommuniziert. ?

Nun gibt es die Möglichkeit, der Secure Mail App zu erlauben, die geschützten Kontakte in die native iOS Kontakte App zu synchronisieren. Dann geht WhatsApp wieder, die Kontakte sind aber genauso schlecht geschützt wie vorher. Nächste Möglichkeit: Die Sekretärin trägt händisch alle Business-Kontakte mit WhatsApp in der nativen iOS Kontakte App ein. Kurzum, das ist ein Thema, bei dem du nur verlieren kannst. ?

Ich persönlich habe schon vor Jahren wieder angefangen eine zwei-Geräte-Strategie zu fahren und halte diese für den einzig sinnvollen Weg.

Grüße

Roy