Daten sind das Kerngeschäft von WhatsApp
Wie sinnvoll ist es, den Messenger im Unternehmen zu nutzen?
Ein Patentrezept gab es nicht, als im August drei Referenten im Haus der Industrie im Schiffgraben über WhatsApp und Alternativen informierten – dafür ein ehrliches. Die entscheidende Frage kam gegen Ende der Infoveranstaltung der Arbeitgeberverbände aus den Reihen der Zuhörer: Was ist denn jetzt die Alternative zu WhatsApp?
Keine einfache Antwort. Anfang Juni verunsicherte Continental mit einem Verbot von WhatsApp auf Diensthandys. Social-Media-Apps greifen auf persönliche Nutzerdaten wie Adressbucheinträge zu. Dabei werden auch Daten von Personen an WhatsApp übermittelt, die WhatsApp nicht nutzen. Das ist nicht erst seit der Datenschutz-Grundverordnung (DSGVO) ein Problem.
„Die Verantwortung zur Einhaltung des Datenschutzes wird auf den Nutzer der App abgewälzt“, so Joerg Heidrich, Justiziar und Datenschutzbeauftragter des Heise-Verlags. Er rät klar von der Nutzung von WhatsApp im Unternehmen ab: „Neben der Weitergabe von Adressdaten ist die Erfassung von Metadaten problematisch.“ Dazu gehören auch Gerätedaten und Standort-Informationen. Was mit den Daten passiert, die auf den amerikanischen WhatsApp-Servern gespeichert werden, ist unklar. Heidrich: „Informationen interessanter Unternehmen kommen in den USA eine ganz besondere Aufmerksamkeit zu Teil – und das ist keine Verschwörungstheorie.“
Auch Peter Leppelt von der IT-Firma praemandatum sieht das Problem in den Metadaten, gerade in Kombination mit einfallsreichen AGB: „Aber WhatsApp macht nicht mehr alles falsch. Es werden keine Nummern mehr übertragen, außerdem existiert eine Ende-zu-Ende-Verschlüsselung. Wie vertrauenswürdig diese jedoch ist, weiß man nicht.“ Heißt, die Nachrichten selbst können nur die Kommunikationspartner entschlüsseln. Wegen der DSGVO mache er sich weniger Sorgen, sagte er: „Die DSGVO will Ihr Unternehmen gar nicht ruinieren. Ziel des Datenschutzes ist nicht der Schutz der Daten, sondern der Schutz der Menschen.“ Wer seine Mitarbeiter mit ins Boot holt und gemeinsam über Alternativen spricht, verkleinert laut Leppelt das Risiko einer Schatten-IT – eine IT neben der offiziellen Unternehmens-IT.
Marco Trumtrar von der Zentralen Polizeidirektion Niedersachsen (ZPD) stellte solch eine Alternative vor: NIMes ist ein eigener Messenger für Polizisten in Niedersachsen. Die ZPD formulierte ein eigenes Konzept für die Informationssicherheit, unter anderem mit verschlüsseltem Dateiaustausch: „Aufgrund des hohen Schutzbedarfes.“ Die Besonderheit: Der Messenger kann auf den privaten Smartphones der Mitarbeiter eingerichtet werden. „Um zu gewährleisten, dass NIMes wirklich statt WhatsApp genutzt wird“, berichtete Trumtrar. Seit September ist die App landesweit in Betrieb.
Und nun? WhatsApp oder nicht? „Ich kann in der Vertriebskommunikation nicht auf WhatsApp verzichten. Was kann ich machen?“, fragte ein Teilnehmer. „Ich weiß es nicht“, antwortete Leppelt ehrlich. Eine Möglichkeit sei ein eigenes WhatsApp-Handy – damit wäre zwar nicht das Problem der Metadaten gelöst, aber dafür die Daten-Weitergabe von Dritten im Sinne der DSGVO. DSGVO-Experte Heidrich ergänzte: „Natürlich kann man sich Alternativen wie ‚Signal‘ installieren. Da läuft man aber Gefahr, lange allein zu bleiben.“
Eine praktische Alternative fehlt also noch. „Bekommen Sie einfach keine Panik“, beruhigte Leppelt. „Nehmen Sie sich die Zeit, die Sie brauchen, nehmen Sie Ihre Mitarbeiter mit und brechen Sie keine nicht zu Ende gedachten Lösungen übers Knie. Im Zweifel sind Sie dann schon weiter als Ihre gegebenenfalls konzeptlose Konkurrenz.“ Wer glaubhaft zeige, dass er sich mit dem Thema auseinandersetze, setze ein positives Zeichen. Für alles andere fehle zurzeit noch die Antwort.
Mögliche WhatsApp-Alternativen nach Peter Leppelt (praemandatum)
Ideal sind lokal gehostete Software und Open Source (OSS). In Open-Source-Modellen sind die Quellcodes frei verfügbar, das heißt, diese Software kann von jedem Nutzer genutzt und verarbeitet werden. Im Gegensatz zu WhatsApp, Skype Business und Atlassian-Produkten stehe so kein Unternehmen hinter der Software, die mit Datenweitergabe Geld verdienen. Beispiele für Open-Source-Messenger sind Mattermost, XMPP mit OTR, ChatSecure und Signal.