EU-DSGVO So verläuft die interne Kommunikation im B2B datenschutzkonform

Autor / Redakteur: Dr. Cristian Grossmann / Georgina Bott

Gerade in der Industrie haben viele Mitarbeiter keinen digitalen Arbeitsplatz und sind daher nicht ausreichend in die interne Kommunikation integriert. Um diese Lücke zu füllen, fällt die Wahl oft auf mobile Lösungen wie WhatsApp oder Facebook. Spätestens mit der DSGVO führt das aber zu datenschutzrechtlichen Problemen.

Firmen zum Thema

Gerade im B2B ist es nicht einfach, alle Mitarbeiter in die interne Kommunikation mit einzubinden. Eine Mitarbeiter-App kann dabei helfen.
Gerade im B2B ist es nicht einfach, alle Mitarbeiter in die interne Kommunikation mit einzubinden. Eine Mitarbeiter-App kann dabei helfen.
(Bild: Beekeeper AG)

Vor dem Hintergrund der EU-Datenschutzgrundverordnung (EU-DSGVO) findet sich bei der internen Kommunikation eine oft nicht datenschutzkonforme Situation, denn die meisten Unternehmen setzen hierfür eine breite Palette an Instrumenten und IT-Systemen ein. Diese reichen vom Intranet über Social-Media-Kanäle bis hin zu Apps oder Cloud-Diensten. Für die interne Kommunikation erheben, speichern und verarbeiten diese Systeme und Anwendungen viele personenbezogene Daten, wie etwa die IP-Adresse, Zugriffe auf Dokumente, Aufenthaltsorte oder Nutzungszeiten.

Datenschutz beginnt beim einzelnen Mitarbeiter

In 56 Prozent der deutschen Unternehmen steht weniger als eine Vollzeitstelle für den Themenkomplex Datenschutz zur Verfügung, so das Ergebnis einer aktuellen Erhebung des Bitkom. Die Kapazitäten der Datenschutzexperten sind also knapp. Entscheidend ist daher, dass sich alle Abteilungen im Betrieb und jeder einzelne Mitarbeiter verantwortlich fühlen und sich über die Maßnahmen klarwerden, die für den eigenen Verantwortungs- oder Arbeitsbereich wichtig sind. Denn ohne ein zumindest grundlegendes Verständnis der aktuellen Anforderungen wird es kaum möglich sein, die anstehenden Veränderungen zu managen und zu kommunizieren.

Viele Mitarbeiter sind von internen Informationen abgeschnitten

In Industrie und Fertigung kommt hinzu, dass viele Mitarbeiter keinen regelmäßigen Zugang zu internen Informationen haben, da sie nicht an einem festen PC-Arbeitsplatz tätig sind. Sie sind entweder gar nicht in die interne Kommunikation integriert und von wichtigen Informationen abgeschnitten. Oder die Betriebe setzen auf Lösungen wie WhatsApp oder Facebook. Da diese eigentlich für den privaten Gebrauch entwickelt wurden, zeigen sich im professionellen Einsatz gravierende Nachteile. Vor allem ist die für eine vertrauliche interne Kommunikation wichtige Datensicherheit nicht gegeben, denn WhatsApp übermittelt ungefragt Daten zwischen Sender- und Empfängergerät wie etwa Einträge aus dem Adressbuch. Für diese Synchronisation sendet die App darüber hinaus Daten wie die Statusanzeige, die Rückschlüsse auf das Nutzungsverhalten zulässt, an Server in den USA.

WhatsApp & Co. ermöglichen keine datenschutzkonforme Kommunikation

Die DSGVO jedoch möchte verhindern, dass das Datenschutzniveau durch eine Übertragung auf internationale Unternehmen aufgeweicht wird. Und auch eine Analyse von Arbeitsleistung, persönlichen Vorlieben, Verhalten oder Aufenthaltsorten darf nicht stattfinden, denn sie ermöglicht ein auf persönlichen Daten basierendes Profiling. Lösungen wie Facebook oder WhatsApp wurden nicht für den professionellen Einsatz in Unternehmen entwickelt. Ihnen fehlen Optionen für Mobile Device Management (MDM) oder Schnittstellen für entsprechende Integrationslösungen. Diese Tools gewährleisten daher kein datenschutzkonformes Enterprise-Messaging.

Die Arbeitswelt wird mobiler, flexibler und agiler

Es wäre schon Herausforderung genug, den Anforderungen der DSGVO gerecht zu werden. Zusätzlich verändern die Entwicklungen, die wir derzeit unter dem Schlagwort digitale Transformation beobachten, unsere Arbeitswelt grundlegend: Wir arbeiten immer mobiler, flexibler und agiler. Die Veränderungen betreffen Technologien und Prozesse gleichermaßen. Kein Management kommt angesichts der dramatischen Umwälzungen an einer effizienten und professionellen internen Kommunikation vorbei. Die Herausforderung für Arbeitgeber besteht darin, in dieser Situation alle Mitarbeiter in die interne Kommunikation einzubeziehen und dabei ihren durch die private Nutzung von Smartphones und Social Media geprägten Erwartungen genauso gerecht zu werden wie dem Datenschutz.

Eine Plattform für alle

Eine Kommunikationsplattform für alle Mitarbeiter zu finden – egal, ob sie im Büro am Schreibtisch sitzen oder in der Werkshalle unterwegs sind – die zukunftsfähig, motivierend, datenschutzkonform und sicher ist, mag wie die Quadratur des Kreises erscheinen. Doch der Spagat zwischen modernen, motivierenden Lösungen und einer datenschutzkonformen Umsetzung ist machbar. Eine Möglichkeit ist es beispielsweise, eine professionelle Mitarbeiter-App für die interne Kommunikation zu implementieren. Sie bündelt die gesamte interne Kommunikation in einer datenschutzkonformen Anwendung, integriert externe Systeme, holt die Kommunikation aus privaten Social-Media-Kanälen ins Unternehmen zurück und professionalisiert sie.

Anforderungen an eine datenschutzkonforme Mitarbeiter-App

Um sicherzustellen, dass ab Ende Mai alle personenbezogenen Daten datenschutzkonform verwaltet und verarbeitet werden, sollte eine Mitarbeiter-App die Konzepte der Vertraulichkeit, Integrität und Verfügbarkeit garantieren. Nur so ist sicher, dass sämtliche intern weitergegebenen Daten geschützt und für Drittpersonen unzugänglich sind.

  • 1. Vertraulichkeit: Es ist kein unautorisierter Zugriff auf Daten möglich, was beispielsweise durch die Verschlüsselung der Inhalte erzielt werden kann.
  • 2. Integrität: Die Korrektheit der Daten und des Systems sind sichergestellt und Dritte haben keine Chance, Daten zu manipulieren.
  • 3. Verfügbarkeit: Alle Systeme müssen jederzeit betriebsbereit sein. Ausschließlich autorisierte Nutzer können die Datenverarbeitung vollziehen.

Checkliste: Ist Ihre interne Kommunikation fit für die DSGVO?

  • Ihr Unternehmen hat all seine Kanäle identifiziert, mittels derer es persönliche Daten verarbeitet.
  • Ihr Unternehmen hat ein Inventar aller verarbeiteten persönlichen Daten.
  • Ihr Unternehmen hat direkten Zugriff auf alle Systeme, mittels derer personenbezogene Daten verarbeitet werden.
  • Ihr Unternehmen besitzt das Recht, alle Systeme eigenhändig zu überprüfen, mittels derer persönliche Daten verarbeitet werden.
  • Ihr Unternehmen ist nur so lange im Besitz von personenbezogenen Daten, wie es sie benötigt.
  • Ihr Unternehmen verzichtet auf ein auf persönlichen Daten basierendes Profiling mittels Analyse von Arbeitsleistung, wirtschaftlicher Situation, Gesundheit, persönlichen Vorlieben, Interessen, Zuverlässigkeit, Verhalten und Aufenthaltsorte.
  • Ihr Unternehmen erzeugt ausschließlich aggregierte Daten, die von sämtlichen persönlichen Daten gesäubert sind.
  • Persönliche Daten werden verschlüsselt oder anonymisiert, bevor sie langfristig, zum Beispiel als Backup, gespeichert werden.
  • Ihr Unternehmen verfügt über alle wichtigen technischen Mittel, mittels derer es die persönlichen Daten einer Person permanent löschen kann.
  • Ihr Unternehmen setzt Technologien ein, mittels derer es Verstöße gegen die Datenschutzbestimmungen ermitteln kann.
  • Die Datenschutzrichtlinien sind transparent und klar bezüglich der Verarbeitung persönlicher Daten.
  • Ihr Unternehmen bietet denjenigen Mitarbeitern, die mit persönlichen Daten zu tun haben, regelmäßig Schulungen an.

Dr. Cristian Grossmann ist Gründer und CEO der Beekeeper AG.
Dr. Cristian Grossmann ist Gründer und CEO der Beekeeper AG.
(Bild: Beekeeper AG)

Über den Autor

Dr. Cristian Grossmann ist Gründer und CEO der Beekeeper AG, Anbieter von mobilen Lösungen zur Kommunikation und Kollaboration. Bevor Cristian Grossmann Beekeeper 2012 gegründet hat, arbeitete er als IT-Stratege für Accenture und betreute in diesem Rahmen mehrere große internationale Projekte. Er ist promovierter Elektroingenieur der ETH Zürich.

(ID:45223562)